Aktuelle Veröffentlichung zum Datenschutz bei Messung von Energie

Unser Partner Dr. Kay Diedrich hat im jüngst erschienenen Kommentar zum Messstellenbetriebsgesetz (MsbG) von Steinbach/Weise die §§ 52 bis 54 und 73 kommentiert, die sich mit dem Datenschutz im Zusammenhang mit der Messung von Energie beschäftigen (erschienen bei De Gruyter): Mit dem Messstellenbetriebsgesetz hat der Gesetzgeber auf Grundlage europäischer Vorgaben mit Wirkung ab dem 02.09.2016 den Versuch einer umfassenden digitalen Rahmengesetzgebung für die Messung von Energie unternommen. Gerade bezogen auf Regelungen zum Datenschutz stehen aber erhebliche Klärungen noch aus, die beispielsweise die Vereinbarkeit des Gesetzes mit europäischen Richtlinien und der Datenschutzgrundverordnung (DSGVO) betreffen. Die Kommentierung bietet insoweit Hinweise für die Praxis. Zugleich werden verfügbare Inhalte und Hintergründe genutzt, die aus allgemeinem Datenschutzrecht, Vorgängerregelungen des Energiewirtschaftsgesetz (EnWG) und allgemeinen Rechtsgrundsätzen bereits jetzt erforderliche Sicherheit für die Umsetzung des neuen Rechtsrahmens bieten können.

Jens Nebel im karriereführer #recht

Der karriereführer #recht hat unseren Partner Jens Nebel in seiner aktuellen Ausgabe zu den Berufsaussichten für junge Anwälte im Bereich des Datenschutzrechts befragt. Gerade die am 25.05.2018 in Kraft tretende Datenschutz-Grundverordnung ist dabei Herausforderung und Chance zugleich. Sein Fazit: „Es gibt zwar sicherlich Rechtsgebiete, die sich dem Anfänger einfacher erschließen. Wer jedoch die ersten Schritte erfolgreich hinter sich gebracht hat, wird schnell feststellen, dass die mitunter diffus formulierten Normen zugleich viel Raum für kreative Lösungen bieten. Ich finde, für Junganwälte ist das eine großartige Chance. Denn mit der Datenschutz-Grundverordnung bietet sich dem datenschutzinteressierten Einsteiger ein rechtlich noch vergleichsweise unbestelltes Feld. Momentan tummeln sich zwar Berater jeglicher Couleur im Bereich des Datenschutzes. Letzten Endes lassen sich rechtlich belastbare Lösungen aber nicht ohne rechtliche Kompetenz finden. Dabei gilt: Ohne saubere juristische Methodik, geht es (auch) im Datenschutzrecht nicht. Vor allem warne ich davor, die Bedeutung technischer Vorkenntnisse zu überschätzen: Die technischen Zusammenhänge kann jeder qualifizierte Jurist verstehen lernen – allein mit technischem Background lassen sich juristisch-handwerkliche Defizite hingegen kaum kompensieren. Man muss kein Technik-Freak sein, um erfolgreich datenschutzrechtlich beraten zu können.“

Facebook-Like-Button: OLG Düsseldorf legt Fragen dem EuGH vor

Die Einbindung des sog. „Like-Buttons“ von Facebook wird von Datenschützern überaus kritisch beäugt. In diesem Sinne hatte das LG Düsseldorf im März vergangenen Jahres entschieden, durch die Einbindung verstoße ein Webseitenbetreiber gegen Datenschutzrecht. Er sei verantwortlich für die damit verbundene Bekanntgabe der IP-Adresse und des sog. Browser-Fingerprints an Facebook (LG Düsseldorf, Urteil vom 09.03.2016, Az. 12 O 151/15).

Die Vorlagefragen des OLG Düsseldorf

Das OLG Düsseldorf hat nun in der hiergegen geführten Berufung (Az. I-20 U 40/16) das Verfahren ausgesetzt und dem Europäischen Gerichtshof diverse Fragen zur Auslegung der dem deutschen Datenschutzrecht zugrunde liegenden Richtlinie 95/46/EG vorgelegt. Im Einzelnen möchte das OLG wissen:

  1. Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABl. Nr. L 281/31 vom 31.11.1995) einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?
  2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an Dritte zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABl. Nr. L 281/31 vom 31.11.1995), wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
  3. Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
  4. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmenden Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
  5. Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
  6. Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt des Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

Was steckt hinter den Fragen?

Hintergrund der ersten Frage ist die Klagebefugnis des im Ausgangsverfahren klagenden Verbraucherverbandes, der sich sowohl auf § 3a UWG als auch auf § 2 Abs. 2 Nr. 11 UKlaG stützt. Die Frage wird sich unter Geltung der Datenschutz-Grundverordnung erledigen, weil Art. 80 Abs. 2 DS-GVO den Mitgliedsstaaten ab de. 25.05.2018 die Möglichkeit zur Einräumung einer solchen Klagebefugnis explizit einräumt.

Fragen 2 und 3 befassen sich mit der Frage der Verantwortlichkeit eines Seitenbetreibers, der einen Drittinhalt (z. B. ein Social-Plugin wie den „Like-Button“, die Frage ist aber von grundsätzlicher Bedeutung für die Einbindung jeglicher Drittinhalte wie z. B. Stadtplänen, Börsentickern, Video-Playern, Seitencountern etc.) einbindet: Ist dieser „verantwortliche Stelle“, obwohl er durch die Einbindung nicht selbst Daten des Seitennutzers an den Dritten übermittelt, sondern lediglich eine Übermittlung vom Browser des Nutzers an den Dritten mitverursacht? Oder kann zumindest eine „Störerhaftung“ begründet werden?

Frage 4 zielt sodann – losgelöst von der Frage, wer verantwortlich ist – auf die Rechtmäßigkeit der Einbindung. Hier macht das OLG zunächst deutlich, dass es über den Wortlaut des § 15 Abs. 1 S. 1 TMG hinaus eine Legitimation auch dann annehmen würde,  wenn die Verarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Dies steht im Einklang mit der jüngsten EuGH-Rechtsprechung in der Rechtssache Breyer, in der der EuGH § 15 Abs. 1 S. 1 TMG als nicht richtlinienkonform bezeichnet hat, was eine europarechtskonforme Auslegung der Norm erfordert, in die die Voraussetzungen von Art. 7 Buchstabe f) der Datenschutzrichtlinie hineinzulesen sind. In der Tat stellt sich in einer Dreieckskonstellation wie der Vorliegenden dann die Frage, auf wessen berechtigte Interessen abgestellt werden muss, wobei die Beantwortung möglicherweise von der Frage abhängt, wer als „Verantwortlicher“ im Sinne von Frage 2 anzusehen ist.

In Frage 5 möchte das OLG wissen, wem gegenüber gegebenenfalls eine Einwilligung erklärt werden muss. Dahinter steht zum einen der Umstand, dass Facebook zumindest von seinen Nutzern Einwilligungserklärungen einholt. Zum anderen stellt sich – wie auch in Frage 6 – die Frage, ob der Webseitenbetreiber, der den „Like-Button“ oder einen anderen Drittinhalt einbindet, überhaupt die Möglichkeit hat, den Nutzer – sei es im Rahmen der „Datenschutzerklärung“, sei es im Rahmen einer Einwilligung – über die Datenverarbeitung hinreichend konkret zu informieren.

Disclaimer

Der Autor vertritt im vorliegenden Verfahren die Beklagte und Berufungsführerin.

Vorlagebeschluss zum Download und Stellungnahmen

Hier der vollständige Vorlagebeschluss vom 19.01.2017 zum Download (NB: Mit Klick auf den Link werden Sie auf die Internetseite des Verbraucherzentrale NRW e.V. weitergeleitet). Eine erste Besprechung findet sich bei Carlo Piltz auf seinem Blog De Lege Data.

Digitale Wirtschaft NRW – wir sind beim 1. Summit dabei

Unser Kollege Dr. Kay Diedrich ist als Speaker beim 1. Summit der Digitalen Wirtschaft NRW mit von der Partie. Dabei geht es am 25.11.2016 im SANAA-Gebäude des Unesco-Welterbes Zollverein in Essen schwerpunktmäßig um die digitale Transformation. In diversen Panels, Pitches und Diskussionsrunden richten die Teilnehmer einen Blick auf die Zukunft der digitalen Branche. Unter der Schirmherrschaft von NRW-Wirtschaftsminister Garrelt Duin geht es unter anderem um Themen wie Suchmaschinenoptimierung und digitalen Bonuskarten, über Gesundheitsapps und Content Commerce, bis zum Citizen Score und Big Nudging. Vertreter aus Wirtschaft, Startup, Mittelstand und Wissenschaft diskutieren Trends, die das E-Commerce zukunftsfähig machen. Inklusive der Frage: Quo vadis, Datenschutz? KÜMMERLEIN Rechtsanwälte & Notare ist Mitsponsor der Veranstaltung.

Die Veranstaltung ist bereits jetzt ein großer Erfolg: Denn Tickets sind leider nicht mehr erhältlich.

Heute: Compliance-Seminar

Aktuelle Studien belegen, dass die Bedeutung von Compliance in deutschen Unternehmen nach wie vor „notorisch unterschätzt“ wird. Bei etwa der Hälfte der befragten Vorstandsvorsitzenden genießt die Verhinderung von Korruption nicht den höchsten Stellenwert – in den USA oder Japan liegen die Werte deutlich höher. Noch erschreckender: Gemäß einer Untersuchung können 93 % aller Mitarbeiter mit dem Begriff „Compliance“ nichts anfangen. Das Thema ist also unverändert aktuell.

Aktuelle Entwicklungen

Heute widmen wir uns Bereichen, in denen die regulatorischen Anstrengungen des Gesetzgebers besonders hoch sind und erhebliche Herausforderungen bergen.

Steuerrecht

Im ersten Vortrag beleuchten wir die Sinnhaftigkeit von innerbetrieblichen Kontrollsystemen im steuerrechtlichen Kontext. Unsere Kollegin Stefanie Loos trägt unter dem Titel „Tax Compliance: Innerbetriebliches Kontrollsystem – (K)ein Mehrwert?“ vor.

Corporate Social Responsibility

Hieran schließt sich eine kritische Würdigung des Richtlinienvorschlags der EU-Kommission zur Corporate Social Responsibility an, mit dem Geschäftsethik und Nachhaltigkeit in den Rang von Rechtspflichten erhoben werden sollen. Der Vortrag von Dr. Michael Neupert trägt den Titel „Corporate Social Responsibility: Passt ‚Ethik‘ zu Compliance?“.

Datenschutz

Schließlich geht es nach der Pause um den „Klassiker“ Datenschutz und den mitunter überraschend weiten Anwendungsbereich des Begriffs „personenbezogene Daten“. Dr. Kay Diedrich hat den Titel „EUGH-Entscheidung: Reichweite von Datenschutz – total oder mit handhabbaren Grenzen?“ für seinen Vortrag gewählt.

Unterlagen zum Download

Weitere Details finden sich über unsere Homepage. Unterlagen zu unserem Seminar stellen wir ab morgen hier zum Download zur Verfügung.

Privacy Shield – Was ist bei der Auftragsdatenverarbeitung zu beachten?

Nachdem der Europäische Gerichtshof den „Safe-Harbour“-Beschluss vor circa einem Jahr zu Fall gebracht hatte, herrschte eine gewisse Ratlosigkeit im transatlantischen Datenverkehr. Der Nachfolger „Privacy Shield“ ist seit Juli aktiv. Die EU-Kommission erkennt das Datenschutzniveau als gleichwertig an, wenn sich ein Unternehmen dem „Privacy Shield“ unterwirft. Was müssen deutsche Auftraggeber nun beachten, wenn der Auftragnehmer (oder dessen Subunternehmer) das „Privacy Shield“ als Legitimationsgrundlage anbietet?

Zwei-Stufen-Test

Nach wie vor gilt der Zwei-Stufen-Test. Damit ist auf erster Stufe zunächst die Frage der Rechtmäßigkeit der Übermittlung als solcher zu klären. Auf zweiter Stufe ist dann die Frage der Übermittlung ins Nicht-EWR-Ausland zu beantworten.

Für die erste Stufe gilt, dass auch bei einer klassischen Auftragsdatenverarbeitungssituation (z. B. Miete von Online-Speicherplatz, Cloud-Leistungen, Rechenzentrumsoutsourcing etc.) die Einschaltung eines Auftragnehmers in den USA keine Auftragsdatenverarbeitung im Sinne des deutschen Datenschutzrechts darstellt. Die gesetzliche Privilegierung gilt ausdrücklich nur, soweit der Auftragnehmer im Europäischen Wirtschaftsraum sitzt. Nur dann fingiert das Gesetz (§§ 3 Abs. 8 S. 2, 11 BDSG), dass keine Übermittlung vorliegt und der Auftragnehmer insoweit als integrierter Teil der verantwortlichen Stelle betrachtet wird. Die Übermittlung an einen Auftragnehmer außerhalb des EWR ist damit an den üblichen Erlaubnistatbeständen zu messen. Wenn – wie in der Regel – keine Einwilligung aller Betroffenen vorliegt, kommen also primär die §§ 28 und 29 BDSG ins Spiel. Das hat Auswirkungen, insbesondere wenn es um „sensitive“ Daten im Sinne von § 3 Abs. 9 BDSG geht (also z. B. Religion, ethnische Herkunft, sexuelle Orientierung etc.): Denn da die sehr strengen Erlaubnistatbestände der §§ 28 und 29 BDSG in üblichen ADV-Situationen regelmäßig nicht eingreifen, gehen jedenfalls die deutschen Datenschutzbehörden davon aus, dass die Einschaltung eines Auftragnehmers im Nicht-EWR-Ausland regelmäßig unzulässig sei (vgl. Orientierungshilfe Cloud-Computing, Version 2.0 vom 09.10.2014, S. 40). Ob dem zu folgen ist, erscheint allerdings fragwürdig, weil sowohl der „Privacy Shield“ als auch die nach wie vor anerkannten EU-Standardvertragsklauseln für die Einschaltung von Auftragnehmern von der Möglichkeit einer Übermittlung auch sensitiver Daten ausgehen.

Gleichwertiges Datenschutzniveau verbindlich

Hat man die erste Stufe überwunden, ist die zweite Stufe ebenfalls genommen, soweit sich das empfangende US-Unternehmen dem „Privacy Shield“ unterwirft. Dieses Regelwerk erlaubt US-Unternehmen eine Selbstzertifizierung, wie dies schon unter „Safe Harbour“ möglich war. Auf nachhaltige Kritik an dem neuen Instrument musste man nicht lange warten. Gleichwohl ist der Angemessenheitsbeschluss der EU-Kommission zunächst rechtlich verbindlich, wenn auch die nationalen Aufsichtsbehörden – auch dies ein Ausfluss der EuGH-Entscheidung zu „Safe Harbour“ – im Einzelfall anders entscheiden können.

Umsetzung bei der Auftragsdatenverarbeitung

Gleichwohl stellen sich in der konkreten Umsetzung einige Fragen. Zunächst gilt – „Privacy Shield“ hin oder her – dass die Übermittlung auf erster Stufe gerechtfertigt werden muss, was jedenfalls einen den Anforderungen von § 11 BDSG entsprechenden Auftragsdatenverarbeitungsvertrag erfordert (wenn auch – s.o. – es sich nicht um eine Auftragsdatenverarbeitung im Sinne des BDSG handelt). Somit sind die Mindestinhalte aus dem 10-Punkte-Katalog schriftlich festzulegen. Im Zweifel (im Einzelnen ist das umstritten) gilt hier ein echtes Schriftformerfordernis, d. h. es sind tatsächliche Unterschriften unter einen Vertrag erforderlich. Wie bereits oben angesprochen sollten Gegenstand des Auftrages im Zweifel keine „sensitiven“ Daten sein, will man nicht Ärger mit der Aufsichtsbehörde herausfordern.

Benachrichtigungserfordernis

Noch ungeklärt ist, wie mit dem Benachrichtigungserfordernis umzugehen ist, das der „Privacy Shield“ statuiert. Wie schon unter „Safe Harbour“ müssen die Betroffenen umfassend und proaktiv über die Übermittlung an ein US-Unternehmen informiert werden. Hier stellt sich die Frage, wer diese Information übernehmen soll. Der „Privacy Shield“ erlegt die Pflicht dem US-Unternehmen auf. Da gerade in der Auftragsdatenverarbeitung jedoch der Auftragnehmer nicht unbedingt Kenntnis darüber hat, wessen Daten er eigentlich verarbeitet und es häufig auch kaum opportun erscheint, dass die Betroffenen „aus heiterem Himmel“ von einem Auftragnehmer angesprochen werden, müsste an sich der Auftraggeber die Information übernehmen. Damit zeigt sich jedoch ein gravierender Nachteil des „Privacy Shield“: Denn während bei einer üblichen Auftragsdatenverarbeitung – sei es innerhalb des Europäischen Wirtschaftsraumes, sei es auf Basis der EU-Standardvertragsklauseln mit Unternehmen außerhalb des EWR – die Betroffenen nicht en detail über den Umstand der Verarbeitung aufgeklärt werden müssen, wird die Informationspflicht nach dem „Privacy Shield“ den Widerstand einzelner Betroffener geradezu herausfordern. Wenn das Erfordernis in der Praxis somit nicht unter Verstoß gegen den „Privacy Shield“ ignoriert werden soll, wird dieses einige Unruhe stiften, die ein auslagerndes Unternehmen nicht unbedingt anstreben wird. Wer das vermeiden möchte, muss somit über alternative Instrumente wie die EU-Standardvertragsklauseln nachdenken oder die Daten von vornherein so anonymisieren bzw. verschlüsseln, dass keine Übermittlung personenbezogener Daten mehr vorliegt.

Eine Übersicht zu den wesentlichen Aspekten des „Privacy Shield“ bieten wir hier zum Download.

Facebook: Datenschützer verbieten Datenweitergabe von WhatsApp

Wie heute bekannt wurde, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar eine Verwaltungsanordnung erlassen, die es Facebook untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Bereits von WhatsApp an Facebook übermittelte Daten soll Facebook löschen.

Wie es in der Pressemitteilung der Behörde heißt, seien Facebook und WhatsApp zwei selbstständige Unternehmen. Nachdem Facebook WhatsApp vor zwei Jahren erworben habe, hätten die Unternehmen zugesichert, dass die Daten der Nutzer nicht ausgetauscht würden. Der Datenschützer wirft den Anbietern eine Irreführung der Nutzer und der Öffentlichkeit sowie einen Verstoß gegen das deutsche Datenschutzrecht vor.

Ist deutsches Recht anwendbar?

Hier liegt allerdings bereits der sprichwörtliche Hase im Pfeffer. Denn zu allererst stellt sich die Frage: Ist deutsches Datenschutzrecht überhaupt anwendbar? Der Dienst Facebook wird zumindest in Europa von der Facebook Ireland Ltd. mit Sitz in Dublin angeboten. Gemäß § 1 Abs. 5 des Bundesdatenschutzgesetzes (BDSG) findet deutsches Datenschutzrecht jedoch keine Anwendung, sofern eine in einem anderen Mitgliedsstaat der Europäischen Union belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dem Wortlaut des Gesetzes folgend käme eine Anwendung deutschen Datenschutzrechts somit nur in Betracht, soweit die Datenerhebung und -speicherung „durch eine Niederlassung“ in Deutschland erfolgt.

EuGH-Urteil wenig hilfreich

Die Pressemitteilung lässt vermuten, dass der Hamburger Datenschützer Letzteres annimmt. Denn er verweist auf die deutsche Facebook-Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt. Caspar beruft sich auf das Urteil des EuGH vom 28.07.2016, in dem das Gericht über Vorlagefragen in einem Verfahren zwischen Amazon und dem österreichischen Verein für Konsumenteninformation zu befinden hatte (Rechtssache C-191/15). Darin verweist der EuGH allerdings im wesentlichen nur auf das maßgebliche Kriterium, ob die Tätigkeit „im Rahmen der Tätigkeiten“ der Niederlassung ausgeübt werde. Wann dies der Fall ist, verrät das von Caspar angeführte EuGH-Urteil nicht.

Kriterium der engsten Verbindung

Diese Frage wurde indes bereits vom Verwaltungsgericht Hamburg analysiert, das am 3. März diesen Jahres eine Verfügung des Hamburgischen Datenschutzbeauftragten gegen Facebook zur Klarnamenpflicht kassiert hatte. Darin kam das VG mit einer überzeugenden Begründung zum Ergebnis, dass § 1 Abs. 5 BDSG, der auf Art. 4 Abs. 1 lit. a der Datenschutzrichtlinie 95/46/EG zurückgeht, bei grenzüberschreitenden Sachverhalten auch als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedsstaaten fungiert. Denn auch wenn man die deutsche Facebook-Dependance als Niederlassung im Sinne von § 1 Abs. 5 BDSG qualifiziert, läge zumindest auch eine Verantwortlichkeit der irischen Facebook-Niederlassung nahe. In einem solchen Fall sei das Recht (und nur das Recht) derjenigen Niederlassung anzuwenden, die zu der Datenverarbeitung die engste Verbindung aufweist. Das OVG Hamburg hat die Entscheidung in der Sache bestätigt, allerdings auf die ungeklärte Rechtslage und das Fehlen einer verlässlichen Prognose über deren Beantwortung verwiesen (weitergehend musste sich das OVG in seiner Eilentscheidung mit der Rechtslage nicht befassen, weil es schon die ungeklärte Rechtslage als ausreichend ansah, um die aufschiebende Wirkung des Widerspruches von Facebook wiederherzustellen, nachdem die Behörde den Sofortvollzug angeordnet hatte). Wie das VG Hamburg argumentierte auch der Generalanwalt in seinen Schlussanträgen in dem von Johannes Caspar angeführten EuGH-Verfahren (Tz. 125):

Im vorliegenden Fall geht es hingegen darum, welches von mehreren nationalen Rechten, mit denen die Richtlinie umgesetzt wurde, auf die in den streitigen Klauseln vorgesehenen Datenverarbeitungsvorgänge Anwendung finden soll. Dabei ist die Niederlassung zu bestimmen, im Rahmen von deren Tätigkeiten diese Vorgänge am unmittelbarsten erfolgen.

Der EuGH hat in seiner Entscheidung dann allerdings leider darauf verzichtet, diese – oder eine andere – Richtschnur im Urteil aufzugreifen.

Analyse

Es erscheint fraglich, ob sich die Hamburgische Datenschutzbehörde mit der Entscheidung einen Gefallen tut. Zwar war die Behörde zunächst – beflügelt durch die weite Auslegung des Begriffes „im Rahmen der Tätigkeiten einer Niederlassung“ im mittlerweile berühmten Google Spain-Urteil des EuGH – davon ausgegangen, dass jede Niederlassung im Inland zugleich die Anwendbarkeit deutschen Datenschutzrechts bewirkt. Dabei verkennt die Behörde aber einen gravierenden Unterschied: Während die Google Spain-Entscheidung mit einer weiten Auslegung des Niederlassungsbegriffs operiert, um überhaupt das europäische Datenschutzrecht zur Anwendung bringen zu können, geht es im vorliegenden Fall um den Konflikt zweier innerstaatlicher Rechte, die jeweils – lediglich – der Umsetzung der vollharmonisierend wirkenden Datenschutzrichtlinie 95/46/EG (EuGH) dienen. Es ist also keineswegs so, dass die Betroffenen WhatsApp-Nutzer hier schutzlos gestellt wären. Vielmehr wird sich sehr wohl die Frage nach der Rechtmäßigkeit der Übermittlung personenbezogener Daten an WhatsApp stellen – nur eben nicht auf Basis des deutschen, sondern des irischen Datenschutzrechts. Denn es ist verhältnismäßig naheliegend, dass eine wesentlich engere Verbindung dieses Vorgangs zur irischen Facebook-Niederlassung bestehen wird, die für den Facebook-Dienst und damit die Datenverwendung verantwortlich ist, wenn zugleich die deutsche Niederlassung lediglich Werbung verkauft. Es ist daher anzunehmen, dass der Bescheid des Hamburgischen Datenschutzbeauftragten eher in die Rubrik der Symbolpolitik einzusortieren ist. Rechtlich wird die Verfügung voraussichtlich ohne Wirkung bleiben. Es bleibt freilich abzuwarten, wie sich die irische Datenschutzbehörde zu dem Thema positionieren wird.

Wer braucht heute noch Datenschutz, wenn es Schokolade gibt?

Die etwas provokative Frage hat einen ernsten Hintergrund: Denn während der Gesetzgeber das Datenschutzrecht unlängst drastisch „nachgeschärft“ hat (EU-Datenschutz-Grundverordnung), scheint Datenschutz für den Betroffenen eine zunehmend geringere Rolle zu spielen. Subjektiv beschleicht einen dieses Gefühl schon seit Längerem. Während mancher Datenschützer die Verarbeitung personenbezogener Daten mitunter als Werk des Teufels anzusehen scheint, interessiert das die Nutzer sozialer Medien zunehmend wenig. Mitunter findet sich der Alltag des Einzelnen minutiös dokumentiert auf Facebook, Twitter & Co. – einschließlich Bewegungsprofil, kulinarischen und sonstigen Vorlieben.

Schokolade gegen Passwort

Vor diesem Hintergrund verwundert also nicht, worüber SPIEGEL Online nun berichtet: In einer Studie waren knapp 50% der Teilnehmer dazu bereit, ihr Passwort herauszugeben, wenn ihnen zuvor eine Tafel Schokolade(!) geschenkt wurde. Die Autoren der Studie schlussfolgern:

Sie zeigen, dass viele von uns den Herausforderungen unseres Informationszeitalters noch nicht gewachsen sind. Deshalb muss das Wissen um Gefahren und Konsequenzen unseren digitalen Handelns in den Fokus unserer gesellschaftlichen Mediendebatte rücken.

Diese Schlussfolgerung verwundert indes. Denn an öffentlicher Debatte um die Folgen digitalen Handelns herrscht nun wahrlich kein Mangel. Vielmehr scheint sich bei Vielen schlicht eine gewisse Gleichgültigkeit eingestellt zu haben. So lässt die Studie auch die Schlussfolgerung zu, dass die Probanden der Sicherheit und dem Schutz persönlicher Daten nicht die Bedeutung zumessen, die die Urväter des Bundesdatenschutzgesetzes historisch im Sinn hatten (zu dem Gesetzesmaterialien hier). Wenn man so will, entfernt sich der Regulierungsansatz des Gesetzgebers von dem Bedrohungsempfinden derjenigen, die eigentlich geschützt werden sollen. Und wirft die Frage auf, ob es opportun erscheint, einem Betroffenen Schutz aufzudrängen, den dieser offenbar gar nicht (mehr) für notwendig erachtet.

Misstrauen in die Privatautonomie

Dahinter steckt in Wahrheit eine gehörige Portion Misstrauen in die Privatautonomie des Einzelnen, die doch eigentlich durch das Grundrecht auf informationelle Selbstbestimmung gestärkt werden soll. Der Gesetzgeber glaubt – nicht zum ersten Mal – besser zu wissen, welchen Schutz vor Datenverarbeitung der Bürger benötigt. Die Ergebnisse der Studie zeigen, dass mehr Regulierung nicht unbedingt mehr Schutz und Sicherheit bedeutet, sondern auch zu Ermüdungserscheinungen führen kann. Dem Gesetzgeber sollte dies ein Menetekel sein.

Die Zulässigkeit der Übermittlung personenbezogener Kundenstammdaten zum Vollzug eines Asset Deals

Die Verordnung (EU) 2016/679 des Europäischen Parlamentes und Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) ist am 25.5.2016 in Kraft getreten. Ihre Regelungen gelten ab dem 25.5.2018 (Art. 99 DSGVO). Damit stellt sich – wie in vielen Bereichen – auch für Unternehmensverkäufe die Frage nach den Auswirkungen. Denn würden sich die datenschutzrechtlichen Vorgaben unter der Datenschutz-Grundverordnung verschärfen, könnte dies Anlass genug sein, eine Unternehmenstransaktion möglichst noch vor Wirksamwerden der neuen Vorschriften abzuwickeln. Der vorliegende Beitrag geht der Frage nach, unter welchen Voraussetzungen der Veräußerer eines Unternehmens im Wege des Asset Deals heute und nach dem ab 2018 geltenden Recht die Möglichkeit hat, zum Vollzug der Transaktion personenbezogene Daten über seinen Kundenstamm – als Bestandteil des Unternehmens oder isoliert – in zulässiger Weise an den Erwerber weiterzugeben.

Dieser Frage gehe ich in einem Fachaufsatz in der heute erschienen Ausgabe der Computer und Recht nach (CR 2016, 417-424).