Im Bereich des Datenschutzes ist in den letzten Tagen viel in Europa passiert, auch wenn noch viel in der Diskussion steht. Grund genug für einen kurzen Überblick über aktuelle Themen und Verfahren zum nationalen und internationalen Datenschutz und einen kleinen vorläufigen Ausblick.
1. EU US Privacy Shield
Am 2. Februar konnten sich die EU-Kommission und Vertreter der USA grundsätzlich auf das „EU-US Datenschutzschild“ („EU-US Privacy Shield“) einigen, wie der estnische Vizepräsident der Europäischen Kommission, Andrus Ansip und die tschechische Justizkommissarin Vera Jourava per Pressemitteilung verlautbaren ließen.
Die auf großen politischen Druck hin schnell gestrickte Vereinbarung soll als Nachfolger von „Safe Harbor“ dienen und die nach der wegweisenden Entscheidung des Europäischen Gerichtshof (EuGH) in Luxemburg entstandene Rechtslücke für den Datenaustausch von personenbezogenen Daten zwischen Europa und den USA mehr oder weniger wirksam schließen.
Denn der EuGH hatte bekanntlich Anfang Oktober 2015 mit einem spektakulären Urteil das einige Jahre lang geltende Safe-Harbor Abkommen zwischen Europa und den USA für unzulässig erklärt. Dies galt unter anderem als Rechtsgrundlage für die Übermittlung von personenbezogenen Daten aus Europa in die USA und stufte diese als mit dem deutschen/europäischen Datenschutz-Level im Einklang stehenden „sicheren Hafen“ ein. Daneben existieren für die in Deutschland ansässigen Unternehmen unter anderem noch die „EU-Standardvertragsklausel“ und die deutlich strengeren Regelungen aus dem deutschen Bundesdatenschutzgesetz (BDSG), wenn sie solche Datenverarbeitungsprozesse vornehmen oder vornehmen lassen.
Mit diesem Paukenschlag versetzte der EuGH nicht nur hierzulande die Datenschutzbehörden in Alarmbereitschaft, sondern vielmehr auch alle in Deutschland agierenden Unternehmen, die auf Grundlage von technischen Vorgängen wie dem (internen) E-Mail-Verkehr, Mitarbeiter-Intranet oder mittels ihren Webseiten bzw. Servern personenbezogene Daten in die USA transportieren. Theoretisch betrifft dies quasi jedes zweite oder dritte Unternehmen, das auf Web-Server oder Mail-Server aus den USA zugreift oder spezielle Dienste auf Ihren Webseiten integriert hat, die einen Datentransfer in die USA vorsehen (z.B. auch Analyse-Tools, Skripte oder Sicherheits-Tools für die Webseite).
Trotz der grundlegenden Einigung über das neue „EU-US Privacy Shield“-Abkommen, das vorläufig nur im stillen Kämmerchen der EU-Gebäude geschmiedet wurde, fehlt es bislang an verbindlichem und aussagekräftigem Info-Material (und dem genauen Wortlaut der Regelung). Zwar konnten schon einige Datenschützer eine erste Einschätzung vornehmen, doch im Grunde tappen wir alle noch im dunklen.
Die „Angemessenheitsentscheidung“ wird derzeit von der Europäischen Kommission vorbereitet, wonach „festgelegt wird, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder der von ihm eingegangenen internationalen Verpflichtungen ein angemessenes Datenschutzniveau gewährleistet.“ (Quelle: European Data Protection Supervisor). Und auch die nationalen Mitgliedsstaaten sowie der europäische „Zusammenschluss“ der jeweiligen nationalen Datenschutzbehörden als „Art. 29 Gruppe“ sind noch zu beteiligen, ehe das Abkommen dann rechtswirksam umgesetzt werden kann.
Einige Datenschützer haben sogar schon angedeutet, dass wohl auch dieses Abkommen die Bedenken am Schutzlevel der betroffenen Daten in den USA, insbesondere auch dem Schutz vor Zugriffen von US-amerikanischen Geheimdiensten und Organisationen auf die personenbezogenen Daten von Europäern nicht vollends aus der Welt schaffe und keine gefestigte Rechtsgrundlage für den Datentransfer liefere. Es wird sich sehr bald zeigen, wie die Europäische Kommission dies sieht.
Sehr gute und aktuelle Analysen zu diesem datenschutzrechtlichen Abkommen lassen sich im eigens zu diesem Thema ins Leben gerufenen Blog ( www.euusprivacyshield.de) von dem Datenschutzexperten Dr. Carlo Piltz nachlesen.
UPDATE 05.03.2016
In den vergangenen Tagen veröffentlichte die Europäische Kommission den ersten Entwurf der Angemessenheitsentscheidung. Nun darf darüber diskutiert werden, ob diese Entwurf den Anforderungen des EuGH gerecht werden. Eine erste Analyse findet sich im genannten Blog von Rechtsanwalt Dr. Carlo Piltz. Seiner Ansicht nach blieben derzeit noch einige Fragezeichen im Raum.
2. Der HmbBfDI leitet erste Verfahren ein
Wie der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Prof. Johannes Caspar vor wenigen Tagen gegenüber dem Handelsblatt mitteilte, habe die Hamburger Datenschutzbehörde bereits erste Bußgeldverfahren gegen mehrere in Hamburger ansässige Unternehmen wegen der Datenschutzverstöße in der Post-Safe-Harbor Ära eingeleitet.
Diese Unternehmen seien Töchterunternehmen von Firmen aus den USA und würden nach Auffassung des Hamburgischen Datenschützers personenbezogene Daten derzeit ohne rechtliche Grundlage in die USA übermitteln. Und dies trotz mehrerer offiziellen Hilfestellungen und der großen Ankündigung der Behörde im vergangenen Jahr, die fraglichen Unternehmen zu Beginn des Jahres unter die Lupe zu nehmen bezüglich ihres Datenaustausches mit Mutterkonzernen in den USA.
Im Raum steht ein Bußgeld von bis zu 300.000 Euro bei einem vorsätzlichen oder fahrlässigen Handeln (§ 43 BDSG) gegen die Vorschriften aus dem Bundesdatenschutzgesetz (BDSG). Jedoch wolle man erst einmal die betroffenen Unternehmen anhören und gegebenenfalls danach ein Bußgeldbescheid erlassen.
Es bleibt also abzuwarten, inwiefern die deutschen Aufsichtsbehörden ernst machen und solche Bußgeldverfahren einleiten bzw. Bußgelder verhängen. Oder ob das neue Datenschutz-Abkommen zwischen Europa und den USA dann als wirksame Rechtsgrundlage Anerkennung findet.
3. Der Streit um die Klarnamenpflicht bei Facebook
Und noch einmal Hamburg: Im Verwaltungsverfahren wegen des Streits zwischen der Hamburger Datenschutzbehörde und Facebook um die so genannte Klarnamenpflicht im größten sozialen Netzwerk der Welt herrscht seit Monaten Stillstand. Wenig Neues gibt es zu dem am Verwaltungsgericht Hamburg seit einem halben Jahr anhängigen Verfahren, wie auch die Behörde im jüngst veröffentlichten Tätigkeitsbericht konstatiert.
Prof. Johannes Caspar wird indes nicht müde auf die derzeitige Rechtslage in Deutschland zu verweisen, an die sich auch Facebook zu halten habe. So sagte er am gestrigen Tage, während der Facebook-Chef Mark Zuckerberg seinen Besuch in Berlin fortsetzte und medienwirksam morgens bei Schnee und Regen durch das Brandenburger Tor joggte: „Facebook sammelt zu viele Daten, verfolgt seine Nutzer und besteht auf deren Klarnamen, auch wenn es gegen das Gesetz ist.“
Schließlich ist im deutschen Recht in § 13 Abs. 6 Telemediengesetz (TMG) auch die anonymisierte Nutzung eines Telemedienangebots ausdrücklich verankert, die das Interesse des Einzelnen zum Schutz der Privatsphäre bei seinen Internet-Aktivitäten verfolgt. Niemand soll gezwungen sein, im Internet oder in Foren mit seinem Klarnamen zu diskutieren – und erst Recht nicht sich durch amtliche Ausweispapiere bei einer Anmeldung zu legitimieren.
Vor diesem Hintergrund hatte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit wegen dieses Verstoßes gegen das Telemediengesetz und das Personalausweisgesetz am 28.07.2015 eine Anordnung gegen die Facebook Ireland Ltd. erlassen (Siehe Pressemitteilung), gegen die sich das Unternehmen gerichtlich wehrt.
Alerdings ist in der bevorstehenden EU-Datenschutzgrundverordnung eine solche Regelung zur anonymen Nutzung von Telemedien zum Leidwesen vieler Datenschützer jedenfalls nicht ausdrücklich erwähnt. Insofern könnte sich dieses Bestreben und folglich das gesamte Verfahren in spätestens einem Jahr nach dem derzeitigen Stand der Dinge von selber erledigt haben.
Zudem argumentieren die Rechtsanwälte von Facebook, die Klarnamenpflicht diene auch der Gewährleistung der Rechtsverfolgung. Ihr Motto könnte daher lauten: Wer das social network unter seinem echten Namen nutzt, betreibt (wohl) seltener Unfug in diesem und kann bei Rechtsverstößen oder Straftaten effektiver zur Verantwortung gezogen werden. Dass dieses Argument nur bedingt greift, beweisen die zahlreichen derzeit diskutierten Fälle der Facebook-Hetze, wo sich unzählige Bürger auch unter ihrem Klarnamen und mit klar erkennbaren Profilfoto an den Diskussionen bis hin zur strafbaren Volksverhetzung beteiligen. Also eine Klarnamenpflicht würde demgemäß wohl nicht zu einem stilvollen und rechtstreuen Umgang auf Facebook führen.
UPDATE 05.03.2016
Ende der Woche berichteten diverse Medien von einem „Sieg“ von Facebook im Verwaltungsrechtstreit zwischen dem HmbBfDI und der Facebook Ireland Ltd. Diese Schlagzeilen sind eigentlich falsch, denn das Unternehmen konnte lediglich im einstweiligen Rechtsschutz vor dem VG Hamburg (Beschl. v. 03.03.2016, Az. 15 E 4482/15) die aufschiebende Wirkung des Widerspruchs gegen die Anordnung der Behörde wiederherstellen lassen – die Anordnung kann daher zunächst nicht vollzogen werden.
Das Gericht argumentierte: Das deutsche Recht sei gar nicht anwendbar, sondern vielmehr das Recht des EU-Landes, mit dem die streitgegenständliche „Datenverarbeitung am engsten verbunden sei“. Dies sei hier wegen des Sitzes der Facebook Ireland Ltd. in Dublin das irische Gesetz. Eine tiefgehende materielle Prüfung der eigentlichen Frage, namentlich: Inwieweit Facebook die anonyme Nutzung nach der deutschen Rechtslage (TMG) zu gewährleisten hat, wurde somit gekonnt umschifft.
Auf der Seite der Hamburger Datenschutzbehörde findet sich hierzu bereits eine lesenswerte Pressemitteilung mit Hinweisen auf – möglicherweise – anderslautende Entscheidungen hinsichtlich der Prüfung des anzuwendenden Rechts für grenzüberschreitende Fallkonstellationen. Die Behörde geht daher weiterhin von der Rechtmäßigkeit der Anordnung aus.
„Die Auffassung, wonach das Recht desjenigen Mitgliedstaats der EU anzuwenden ist, in dem sich diejenige Niederlassung befindet, mit deren Tätigkeit die streitige Datenverarbeitung am engsten verbunden ist, vermag nicht zu überzeugen. Das Ziel der EU-Datenschutzrichtlinie, einen umfassenden und wirksamen Schutz der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre und des Datenschutzes zu gewährleisten, wird durch diese enge Auslegung im Beschluss verfehlt. Wir werden uns daher weiterhin für das Recht auf pseudonyme Nutzung einsetzen und die erforderlichen Schritte prüfen.“
(Prof. Johannes Caspar, Pressemitteilung vom 4.03.2016).
4. Der EuGH hat nun im Fall ULD vs. Facebook sechs Fragen zu klären
Und auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in Kiel befindet sich derzeit in einem äußerst interessanten Verwaltungsrechtsstreit, welches auch Facebook betrifft und nun in die nächste Runde geht.
Das ULD ist knapp seit fünf Jahren der Ansicht, der Betrieb einer Facebook-Fanpage verstoße gegen nationales und europäisches Datenschutzrecht. Konkret wurde beanstandet, dass die von Facebook integrierten Analyse-Tools (wie z.B. „Facebook Insights“) zur Auswertung des Nutzungsverhaltens der Seitenbesucher sowie deren Verknüpfung mit der ohnehin erfolgten Verarbeitung der Nutzerdaten für Werbezwecke einer ausdrücklich erklärten Einwilligung der Seitenbesucher bedürfe. Hieran fehle es aber, weswegen diese Facebook-Fanpage zu deaktivieren sei. Aus diesem Grund erließ das ULD eine Anordnung gegenüber einem in Schleswig-Holstein ansässigem Bildungsunternehmen, das auf Grund der Eigenschaft als Betreiber der Facebook-Fansite als „verantwortliche Stelle“ nach dem BDSG angesehen wurde und sich anschließend mit der Klage im Verwaltungsverfahren in beiden Instanzen gegen diese Anordnung wehrte. Die Betreiberin des Netzwerks, die Facebook Ireland Ltd. ist zwar nur Beigeladene, ließ es sich aber nicht nehmen, eigene Stellungnahmen zu dem Verfahren abzugeben.
Am gestrigen Tag fand vor dem Bundesverwaltungsgericht (BVerwG) in Leipzig die mündliche Verhandlung in dieser Sache statt mit dem Ergebnis: Nun wird erstmal der EuGH angerufen zur Klärung der datenschutzrechtlichen Verantwortung für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten. Dem EuGH werden sechs konkrete Fragen zur Vorabentscheidung vorgelegt (BVerwG 1 C 28.14 – Beschluss vom 25. Februar 2016). Solange dies nicht geklärt ist, wird das anhängige Revisionsverfahren erst einmal ausgesetzt.
Die Leiterin des ULD, Marit Hansen kommentiert in der gestrigen Pressemitteilung diese Entscheidung des Gerichts wie folgt:
„Nach mehr als fünf Jahren und drei Instanzen hatte ich auf klare Aussagen und einen Abschluss des Rechtsstreits gehofft. Vor dem Hintergrund, dass wir in zwei Jahren mit der Europäischen Datenschutz-Grundverordnung arbeiten werden, steht zu befürchten, dass der ursprüngliche Sachverhalt in der rechtlichen und technischen Umsetzung überholt sein wird. Mit Blick auf die jüngsten Urteile des EuGH mit Datenschutzbezug ist aber hier mit deutlichen Impulsen für den Schutz der Betroffenenrechte zu rechnen. Außerdem freue ich mich darüber, dass das Bundesverwaltungsgericht in der Verhandlung die Wirksamkeit der Grundrechte auch in komplexen Verarbeitungszusammenhängen im Internet betont hat.“ (Quelle: Pressemitteilung des ULD)
Fazit zur aktuellen Bestandsaufnahme: Es bleibt also spannend, wie es in den nächsten Wochen weiter geht mit der aktuellen Materie des Datenschutzes und ob weitere aufsichtsbehördliche Schritte in Hamburg eingeleitet und umgesetzt werden. Vieles liegt auch nicht in der Hand der deutschen Datenschützer, sondern muss auf EU-Ebene diskutiert werden. Entscheidend wird sein, ob das „EU-US Privacy Shield“-Abkommen in Kürze zur Zufriedenheit der Beteiligten besprochen und sodann abgesegnet wird – und wie anschließend die nationalen Datenschutzbehörden darauf reagieren. Bestehen weiterhin ernsthafte Zweifel an dem Datenschutz-Level in den USA, dürfte sich das Spiel wiederholen.
Ich habe auch schon viel Negatives über das neue Privacy Shield gehört. Ich bin gespannt ob
der Vorschlag umgesetzt wird.