VG Köln
Beschlüsse vom 01.03.2022 6 L 1277/21 (Google Ireland Ltd.) 6 L 1354/21 (Meta Platforms Ireland Limited)
Das VG Köln hat entschieden, dass die Neuregelungen im Netzwerkdurchsetzungsgesetzes (NetzDG) teilweise unionsrechtswidrig sind. Das Gericht hat den Eilanträgen von Google und Meta / Facebook teilweise stattgegeben.
Die Pressemitteilung des Gerichts: Gericht entscheidet über Eilanträge von Google und Meta: Netzwerkdurchsetzungsgesetz verstößt teilweise gegen Unionsrecht
Zentrale Vorschriften des novellierten Netzwerkdurchsetzungsgesetzes (NetzDG) sind wegen Verstoßes gegen unionsrechtliche Vorschriften unanwendbar. Dies hat das Verwaltungsgericht Köln heute entschieden und damit Eilanträgen der Google Ireland Ltd. und der Meta Platforms Ireland Limited gegen die Bundesrepublik Deutschland teilweise stattgegeben.
Das novellierte NetzDG verpflichtet mit dem neu eingefügten § 3a Anbieter sozialer Netzwerke dazu, Inhalte, die ihnen im Rahmen einer Beschwerde über rechtswidrige Inhalte (sog. NetzDG-Beschwerde) gemeldet worden sind und welche sie entfernt oder zu denen sie den Zugang gesperrt haben, auf das Vorliegen konkreter Anhaltspunkte für bestimmte Straftatbestände zu überprüfen. Liegen solche Anhaltspunkte vor, müssen die Inhalte zusammen mit bestimmten Nutzerangaben an das Bundeskriminalamt übermittelt werden. § 3b NetzDG verpflichtet die Anbieter sozialer Netzwerke dazu, ein Gegenvorstellungsverfahren in Bezug auf Entscheidungen über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt einzuführen. In § 4a NetzDG wird das Bundesamt für Justiz als für die Überwachung der Einhaltung der Vorschriften des NetzDG zuständige Behörde bestimmt.
Die in Irland niedergelassenen Anbieter der sozialen Netzwerke Youtube (Google), Facebook und Instagram (beide Meta) haben mit ihren Eilanträgen jeweils die Feststellung beantragt, dass sie nicht den neu geschaffenen Pflichten des NetzDG unterliegen. Zur Begründung machten sie Verstöße gegen Unionsrecht sowie nationales Verfassungsrecht geltend.
Dem ist das Gericht teilweise gefolgt. Beide Eilverfahren seien nur zum Teil zulässig. Soweit sie sich auch auf die Pflicht bezögen, ein Gegenvorstellungsverfahren in Bezug auf Entscheidungen über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt einzuführen, denen keine NetzDG-Beschwerde zugrunde liege, fehle es am Rechtsschutzbedürfnis. Insoweit müssten sich die Antragstellerinnen auf den Rechtsschutz gegen etwaige aufsichtsbehördliche Verfügungen verweisen lassen.
In der Sache hat das Gericht entschieden, der Gesetzgeber habe bei der Einführung des § 3a NetzDG gegen das Herkunftslandprinzip der Richtlinie über den elektronischen Geschäftsverkehr (ECRL) verstoßen. Nach diesem Prinzip richten sich die rechtlichen Anforderungen an einen in einem Mitgliedsstaat der EU niedergelassenen Anbieter elektronischer Dienste nach dem Recht seines Sitzstaates. Die Antragsgegnerin könne sich nicht auf Ausnahmen von diesem Prinzip berufen, da der Gesetzgeber weder das für Ausnahmen vorgesehene Konsultations- und Informationsverfahren durchgeführt habe noch die Voraussetzungen eines Dringlichkeitsverfahrens vorgelegen hätten.
§ 4a NetzDG, der nur im Verfahren von Google Streitgegenstand war, verstoße gegen die Richtlinie über audiovisuelle Mediendienste, die auf Videosharingplattform-Dienste Anwendung finde. Diese statuiere den Grundsatz der rechtlichen und funktionellen Unabhängigkeit der zur Überwachung der Pflichtenerfüllung der Diensteanbieter zuständigen Medienbehörden. Da das als Bundesoberbehörde eingerichtete Bundesamt für Justiz mit Sitz in Bonn dem Bundesministerium für Justiz und Verbraucherschutz unterstehe und von diesem Weisungen entgegennehme, könne von der von der Richtlinie geforderten Staatsferne beim Bundesamt für Justiz keine Rede sein.
Im Verfahren der Meta Platforms Ireland Limited hat das Gericht den Antrag in Bezug auf das mit § 3b Abs. 1 NetzDG eingeführte Gegenvorstellungsverfahren nach Entscheidungen über NetzDG-Beschwerden abgelehnt. Zur Begründung führte das Gericht aus, die Vorschrift sei von der Befugnis der EU-Mitgliedstaaten zur Festlegung von Verfahren für die Entfernung einer Information oder die Sperrung des Zugangs zu ihr (Art. 14 Abs. 3 ECRL) gedeckt. Auch ein Verstoß gegen die in der Charta der Grundrechte der Europäischen Union gewährleistete unternehmerische Freiheit oder nationales Verfassungsrecht sei nicht gegeben.
Die gerichtlichen Beschlüsse wirken nur zwischen den jeweiligen Verfahrensbeteiligten.
Gegen die Beschlüsse können die Beteiligten jeweils Beschwerde einlegen, über die das Oberverwaltungsgericht in Münster entscheiden würde.
Das LAG Hessen hat in diesem Fall entschieden, dass Arbeitnehmer einen Anspruch gegen seinen Arbeitgeber auf Zahlung von 1.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen unberechtigter Observation durch einen Detektiv hat.
Aus den Entscheidungsgründen:
Der Kläger kann von der Beklagten Zahlung von 1.500€ nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit 4. Dezember 2019 verlangen.
Nach Art. 82 Absatz 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Verantwortlicher ist gemäß Art. 4 Nr. 7 EU-DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei einer Aktiengesellschaft ist dies der Vorstand (Schild, BeckOK Datenschutzrecht, Wolff/Brink, DSGVO Art. 4 Rn. 89).
Anspruchsberechtigt ist der Kläger als natürliche Person.
Zu ersetzen sind sowohl materielle als auch immaterielle Schäden. Gerade bei immateriellen Schäden ist die Rechtsprechung des EuGH zu berücksichtigen, dass der geschuldete Schadensersatz „eine wirklich abschreckende Wirkung“ haben muss (EuGH Urt. v. 17.12.2015 – C-407/14, EuZW 2016, 183, 184). Die bisherige deutsche Rechtsprechung, die immateriellen Schadensersatz überhaupt nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hat, was auch der ausdrücklichen Regelung in § 8 Abs. 2 BDSG aF entspricht, ist nicht mehr anwendbar. Da der Begriff des Schadens in Art. 82 DSGVO ein europarechtlicher ist, darf nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor (Kühling/Buchner – Ct, DS-GVO BDSG, 3. Auflage, Art. 82 DS-GVO Rn. 18a).
Ein immaterieller Schaden kann in einer unzulässigen Observierung durch eine Detektei bestehen (Kühling/Buchner – Ct, a.a.O., Rn. 18c; Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, 2. Auflage, Art. 82 DSGVO Rn. 16; BAG 19. Februar 2015 – 8 AZR 1007/13 – Rn. 23).
Der Verantwortliche haftet für jede „nicht dieser Verordnung entsprechende Verarbeitung“ (Art. 82 Abs. 2 S. 1 DSGVO), solange diese kausal für den Schaden ist. Der Begriff der Beteiligung ist weit zu verstehen, sodass insbesondere die letztlich schädigende Handlung nicht von dem in Anspruch genommenen Verantwortlichen ausgegangen sein muss (Kühling/Buchner – Ct, a.a.O., Rn.23).
Die Observation des Klägers einschließlich personenbezogener Datenerhebung war rechtswidrig. Ein berechtigtes Interesse der Beklagten nach § 26 Abs. 1 S. 2 BDSG, das in der Aufdeckung einer Straftat im Beschäftigungsverhältnis liegen kann, zur Erhebung personenbezogener Daten im Wege der Observation des Klägers lag nicht vor. Zwar stellt ein versuchter Prozessbetrug eine Straftat dar, die auch eine Detektivüberwachung rechtfertigen kann. Hierfür muss jedoch ein berechtigter Anlass vorliegen.
Der Kläger hatte in dem einstweiligen Verfügungsverfahren vor dem Arbeitsgericht Frankfurt am Main 12 Ga 69/19 vorgetragen und an Eides statt versichert, dass er montags bis mittwochs 7:30 Uhr in der Regel seine beiden Kinder betreuen müsse. Nach der mündlichen Verhandlung vor dem Arbeitsgericht am 27. Mai 2019 bemerkte der Prozessbevollmächtigte der Beklagten auf der Heimfahrt im ICE XXX in Richtung B, einen Mann, von dem er in diesem Moment keinen Zweifel hatte, dass es sich hierbei um den Kläger handelte. Der Prozessbevollmächtigte der Beklagten beauftragte daraufhin eine Detektei mit der Observation des Klägers, die sodann ab 11. Juni 2019 an insgesamt 6 Tagen erfolgte.
Für diese Maßnahme bestand kein berechtigter Anlass. Es wäre dem für die Beklagte handelnden Prozessbevollmächtigten ohne weiteres möglich gewesen, die Person, die er spontan für den Kläger hielt, anzusprechen und sich zu vergewissern, ob es sich tatsächlich um den Kläger handelte. Bei dieser Gelegenheit hätte er den Kläger (sofern es sich bei ihm um die betreffende Person gehandelt haben sollte) auch direkt ansprechen können, wie es sein kann, dass er sich an einem Tag, an dem er sich regelmäßig um seine Kinder kümmern muss, in einem Zug Richtung B befindet. Selbst wenn er nicht sofort hieran gedacht haben sollte, war es ihm immer noch möglich, bis zum ersten Halt des Zuges den Wagen abzulaufen, um die betreffende Person zu finden und anzusprechen. Soweit er im Prozess ausführte, seinen Aktenkoffer nicht auf seinem Platz zurücklassen zu wollen, ist zu berücksichtigen, dass er diesen ohne weiteres auf dem kurzen Gang durch den Waggon hätte mitnehmen können. Letztlich hat er auf eine vage Vermutung hin eine Detektei mit der Observation des Klägers beauftragt.
Die Observation verletzte den Kläger auch in seinem allgemeinen Persönlichkeitsrecht. Der Detektiv beobachtete ihn an sechs Tagen in seinem Privatleben (auf dem Balkon seiner Wohnung und im Garten). Einmal lief er ihm sogar bis in den Park hinterher.
Auch wenn anlässlich der Observation keine Video- und Fotoaufnahmen des Klägers und seiner Kinder angefertigt wurden, hält die Kammer einen immateriellen Schadenersatz in Höhe von insgesamt 1500 € (250 € je für jede der 6 Observationen) für angemessen. Dies ergibt sich aus dem Gesichtspunkt der Genugtuung des Opfers sowie der Prävention.
Der Anspruch auf Verzinsung des zugesprochenen Geldbetrags ergibt sich aus §§ 286 Absatz 1, 288 Absatz 1 BGB.
OVG Berlin-Brandenburg
Beschluss vom 04.08.2021
OVG 62 PV 5/20
Das OVG Berlin-Brandenburg hat entschieden, dass die Einrichtung eines Social Media-Auftritts durch eine Behörde bei Facebook, Twitter und Instagram nicht der Mitarbeiterüberwachung dient und nicht mitbestimmungspflichtig ist.
Aus den Entscheidungsgründen:
"Die vom Beteiligten zu verantwortenden Auftritte in den sozialen Medien sind auch im Hinblick auf die den Nutzern ermöglichte Kommentierung nicht gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtig. Nach dieser Vorschrift bestimmt der Personalrat mit, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, über die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Maßgeblich ist eine objektiv-finale Betrachtungsweise: Diejenigen technischen Einrichtungen unterliegen der Mitbestimmung des Personalrats, die nach ihrer Konstruktion oder konkreten Verwendungsweise eine Überwachung von Verhalten oder Leistung der Beschäftigten ermöglichen. Der Mitbestimmungstatbestand erstreckt sich auf solche technischen Einrichtungen, die zur Überwachung objektiv geeignet sind, ohne dass die Dienststellenleitung bei ihrer Einführung und Anwendung die Absicht hat, sie zu diesem Zweck einzusetzen (BVerwG, Beschluss vom 26. September 2006 – 6 PB 10.06 – juris Rn. 4 zur gleichlautenden Vorgängerbestimmung). Daran hat die Gesetzesnovelle nichts geändert (vgl. die BT-Drs 19/26820 vom 19. Februar 2021, insbesondere S. 126 zu Nr. 21).
Die objektive Eignung zur Überwachung unterscheidet eine gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtige technische Einrichtung von anderen technischen Einrichtungen, die sich lediglich zur technischen Hilfe eignen und nicht unter diesen Mitbestimmungstatbestand fallen (vgl. Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>). Beispielhaft seien Kommunikationsmittel (klassisch das Telefon), Arbeitshilfen (Taschenrechner, computergestützte Schreib- und Rechenprogramme) und Archiveinrichtungen (elektronische Akten) genannt. Die sich nach Anwendungsgebieten sowie nach dem Ausmaß ausdehnende Technisierung erweitert die Möglichkeiten und bietet so Rationalisierungschancen, birgt aber auch unterschiedliche Gefahren. Nach dem Schutzzweck des Mitbestimmungstatbestands ist nicht schlechterdings jeder Technisierungsfortschritt mitbestimmungspflichtig. Stattdessen soll das Mitbestimmungsrecht des Personalrats nur sicherstellen, dass die Beeinträchtigungen und Gefahren für den Schutz der Persönlichkeit des Beschäftigten am Arbeitsplatz, die von der Technisierung der Verhaltens- und Leistungskontrolle ausgehen, auf das erforderliche Maß beschränkt bleiben. Ein Beschäftigter, der befürchten muss, während der Arbeit mit Hilfe technischer oder elektronischer Kontrolleinrichtungen jederzeit beobachtet oder in anderer Weise fortlaufend kontrolliert zu werden, kann unter einen Überwachungsdruck geraten, der ihn in der freien Entfaltung der Persönlichkeit behindert, ihn insbesondere unter Anpassungsdruck setzt und ihn in eine erhöhte Abhängigkeit bringt (BVerwG, Beschluss vom 26. September 2006 – 6 PB 10.06 – juris Rn. 4).
Einhelliger Auffassung entspricht es, dass ein Überwachungsdruck, der sich durch eine womöglich kleinliche, jedenfalls engmaschige persönliche Kontrolle seitens der Vorgesetzten aufbaut, nach § 80 Abs. 1 Nr. 21 BPersVG unbeachtlich ist (Berg in: Altvater/Baden/Baunack u.a., BPersVG, 10. Aufl. 2019 § 75 Rn. 258). Die Vorschrift dient nicht der Verwirklichung moderner Führungskonzepte. Die Kontrolle muss vielmehr mit Hilfe einer technischen Einrichtung erfolgen. Mit dem Merkmal der Technizität verbindet sich nach einer verbreiteten Ansicht nicht schon jedes Hilfsmittel, das eine den Überwachten verborgene Kontrolle erlaubt, etwa durch eine Beobachtung mittels Fernglas, Türspion oder einer einseitig durchsichtigen Fensterscheibe (Berg in: Altvater/Baden/Baunack u.a., BPersVG, 10. Aufl. 2019 § 75 Rn. 258). Die verdeckte Überwachung mit solchen Hilfsmitteln kann zwar, im Unterschied zur offenen, aufsuchenden Kontrolle durch Vorgesetzte, die Empfindung auslösen, jederzeit beobachtet oder in anderer Weise fortlaufend kontrolliert zu werden. Für den Mitbestimmungstatbestand ist hingegen spezifisch, dass die Überwachung gerade mit Hilfe einer als technisch zu bewertenden Einrichtung erfolgt. Sommer spricht insoweit von einer Kontrolle „durch technische Einrichtungen“, von einer technisierten Ermittlung von Verhaltens- und Leistungsdaten (in: Ilbertz/Widmaier/Sommer, BPersVG, 14. Aufl. 2018, § 75 Rn. 196a). Denn der Gesetzgeber reagierte in den 70er Jahren des vorigen Jahrhunderts mit der Einführung von § 87 Abs. 1 Nr. 6 BetrVG im Jahr 1972 und § 75 Abs. 3 Nr. 17 BPersVG im Jahr 1974 auf das verbreitete Unbehagen der Beschäftigten, das sich vornehmlich an elektronischer Datenverarbeitung festmachte. Die viel ältere Überwachungsmöglichkeit mittels optischer Instrumente stand nicht im Mittelpunkt des öffentlichen Interesses. Es liegt auf dieser Linie, wenn das Bundesverwaltungsgericht die Überwachung „mit Hilfe technischer oder elektronischer Kontrolleinrichtungen“ so interpretiert hat, dass technische Einrichtungen Anlagen oder Geräte seien, die unter Verwendung nicht menschlicher, sondern anderweit erzeugter Energie mit den Mitteln der Technik, insbesondere der Elektronik, eine selbständige Leistung erbrächten; dabei seien Anlagen zur elektronischen Datenverarbeitung dann zur Überwachung geeignet, wenn sie mit einem entsprechenden Programm versehen seien oder werden könnten (BVerwG, Beschluss vom 14. Juni 2011 – 6 P 10.10 – juris Rn. 16; siehe auch Sommer in: Ilbertz/Widmaier/Sommer, BPersVG, 14. Aufl. 2018, § 75 Rn. 201a).
Die selbständige Leistung der technischen Einrichtung kann bei der Erhebung von Daten oder bei deren Auswertung zum Tragen kommen. Es reicht aus, wenn nur die Erhebung durch einen Automaten erfolgt und die Auswertung von Menschen durchgeführt wird (Überwachungskamera; Oberverwaltungsgericht Berlin-Brandenburg, Beschluss vom 28. Februar 2006 – OVG 60 PV 19.05 – juris; unbeanstandet durch den Beschluss des BVerwG vom 26. September 2006 – 6 PB 10.06 – juris; ebenso Kaiser/Annuß in: Richardi/Dörner/Weber, Personalvertretungsrecht, 5. Aufl. 2020, BPersVG § 75 Rn. 538). Umgekehrt lässt eine händische Eingabe den Mitbestimmungstatbestand nicht entfallen, wenn die Auswertung automatisiert ist (BVerwG, Beschluss vom 16. Dezember 1987 – 6 P 32.84 – juris Rn. 23). Dabei würde es für den Senat schon ausreichen, wenn automatisch eine Vorsortierung erfolgt, beispielsweise eine Auswahl von 10 aus 100 Datensätzen nach Schlüsselbegriffen, die von Personen weiter ausgewertet werden müsste. Wird hingegen sowohl die Eingabe leistungs- und verhaltensrelevanter Daten als auch deren Auswertung von Menschen vorgenommen, erbringt die Einrichtung keine selbständige Leistung.
Die selbständige Leistung zur Überwachung wäre nicht schon darin zu sehen, dass die Daten gespeichert werden. Für den Senat bedeutet es keinen Unterschied, ob die erhobenen Daten augenblicklich ausgewertet werden müssten, weil sie nicht gespeichert werden (Beispiel: die in einem mit Personal besetzten Kontrollraum zusammentreffenden Bilder aus laufenden Überwachungskameras), oder im Fall einer dauerhaften Aufzeichnung erst später, etwa nach Bedarf, ausgewertet werden könnten. Denn im Fall der Archivierung von Daten handelt es sich um nicht mehr als eine elektronische Akte (siehe dazu Grimm/Kühne, jM 2017, 330 <333>; Schiller in: Besgen/Prinz, Arbeiten 4.0 - Arbeitsrecht und Datenschutz in der digitalisierten Arbeitswelt, 4. Aufl. 2018, § 10 Arbeitsrechtliche Aspekte zu Social Media, Rn. 78).
Nach diesen Maßstäben sind die hier in Rede stehenden sozialen Medien auch im Hinblick auf die Kommentarfunktion keine technischen Einrichtungen im Sinn des § 80 Abs. 1 Nr. 21 BPersVG, sondern technische Hilfsmittel, weil weder die Datenerhebung noch die Datenauswertung ganz oder teilweise automatisch erfolgt (ebenso Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107> zu § 87 Abs. 1 Nr. 6 BetrVG; so wohl auch Sommer in: Ilbertz/Widmaier/Sommer, BPersVG, 14. Aufl. 2018, § 75 Rn. 212b zum „reinen Betrieb einer Facebook-Seite“). Die womöglich mitbestimmungsrelevanten Daten werden von Nutzern händisch eingegeben. Und die Anbieter der sozialen Medien stellen den Seiteninhabern weder die Möglichkeit einer automatisierten (Teil-)Auswertung der Kommentare bereit noch sehen die Programme den nachträglichen Anschluss eines zur Auswertung bestimmten Programms vor. Es fehlt insgesamt eine selbständige Leistung der Einrichtung, ein datenverarbeitendes Programm im Sinne des Bundesverwaltungsgerichts, das die Dienststelle zur Überwachung von Beschäftigten nutzen könnte. Eine automatisierte Auswertung von Daten durch die Anbieter der sozialen Medien wie auch die Möglichkeit einer Ausspähung durch Geheim- bzw. Nachrichtendienste sind für den Mitbestimmungstatbestand, der allein die Überwachung durch den Dienstherrn bzw. Arbeitgeber der Beschäftigten in den Blick nimmt, unerheblich. Das gilt auch für das Datenschutzrecht (vgl. Ehmann, jurisPR-ArbR 16/2021 Anm. 8 lit. C). Die Kommentarfunktion eröffnet den Nutzern eine niederschwellige Möglichkeit für Eingaben und Nachrichten. Der elektronisch übersandte Kommentar gleicht nach der Versendungsart einer Email (Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>) und nach der Wirkung – bis zur Löschung – einem offenen Brief (Fuhlrott, EWiR 2017, 349 <350>).
Der erkennende Senat weicht insofern von der erstinstanzlichen Entscheidung und vom Beschluss des Bundesarbeitsgerichts vom 13. Dezember 2016 – 1 ABR 7/15 – ab. Das Bundesarbeitsgericht hielt es für genügend, dass die Informationen durch die Nutzer der Facebookseite aufgrund der dort vorhandenen Funktion eingegeben und mittels der von Facebook eingesetzten Software einer dauerhaften Speicherung und zeitlich unbegrenzten Zugriffsmöglichkeit zugeführt würden. Die Abweichung vom Bundesarbeitsgericht erklärt sich nicht dadurch, dass in dem dort entschiedenen Fall allein über die bei Facebook abstellbare Funktion „Besucher-Beiträge“ entschieden wurde und nicht über die unvermeidliche Kommentarfunktion. Bei der Eröffnung von Besucher-Beiträgen handelt es sich um eine attraktivere Kommentarfunktion, die sich in Bezug auf die Möglichkeit von leistungs- und verhaltensrelevanten Mitteilungen nicht von der grundlegenden Kommentarfunktion unterscheidet.
Das Bundesarbeitsgericht traf seine Entscheidung zu § 87 Abs. 1 Nr. 6 BetrVG. Diese Vorschrift stimmt im Wortlaut praktisch mit § 80 Abs. 1 Nr. 21 BPersVG überein. Nach der Rechtsprechung des Bundesverwaltungsgerichts sind beide Vorschriften im Wesentlichen gleich auszulegen; die Interessenlage in privaten Betrieben und öffentlichen Behörden gleicht sich insoweit (vgl. BVerwG, Beschluss vom 16. Dezember 1987 – 6 P 32.84 – juris Rn. 19; ähnlich Kaiser/Annuß in: Richardi/Dörner/Weber, Personalvertretungsrecht, 5. Aufl. 2020, BPersVG § 75 Rn. 536). Angesichts dessen wich das Bundesarbeitsgericht im Jahr 2016 von der vorhergehenden Rechtsprechung des Bundesverwaltungsgerichts dadurch ab, dass es nicht auf eine selbstständige Leistung der Einrichtung, auf ein datenverarbeitendes Programm abstellte (vgl. auch Bieder, NZA-RR 2017, 225 <230>). Nach den Besprechungen dieses Beschlusses wich das Bundesarbeitsgericht zudem von seiner eigenen Rechtsprechung ab, insbesondere vom Beschluss vom 10. Dezember 2013 – 1 ABR 43/12 – (juris) zur Verwendung von GoogleMaps bei der Überprüfung von Reisekostenabrechnungen (Wahlers, jurisPR-ITR 11/2017 Anm. 5; Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>; Schiller in: Besgen/Prinz, Arbeiten 4.0 - Arbeitsrecht und Datenschutz in der digitalisierten Arbeitswelt, 4. Aufl. 2018, § 10 Arbeitsrechtliche Aspekte zu Social Media, Rn. 78). Ob der Beschluss vom 13. Dezember 2016 in der Rechtsprechung zum Betriebsverfassungsrecht eine Einzelfallentscheidung bleibt (so die Prognose von Wisskirchen/Schiller/Schwindling, BB 2017, 2105 <2107>), braucht hier allerdings nicht weiter zu beschäftigen.
Die in etlichen Anmerkungen kritisch kommentierte Ausdehnung der bisherigen Rechtsprechung, die letztlich zur Mitbestimmungspflicht bei jedweder Eröffnung elektronischer Kommunikationsmittel durch die Dienststellenleitung führt (Grimm/Kühne, jM 2017, 330 <333>; siehe auch Mues, ArbRB 2017, 174 <175>; Prinz, SAE 2017, 92 <95>; Wahlers, jurisPR-ITR 11/2017 Anm. 5; dem BAG zustimmend Ley, BB 2017, 1213 <1215>; sich dem BAG unkommentiert anschließend Berg in: Altvater/Baden/Baunack u.a., BPersVG, 10. Aufl. 2019 § 75 Rn. 263; Kaiser/Annuß in: Richardi/Dörner/Weber, Personalvertretungsrecht, 5. Aufl. 2020, BPersVG § 75 Rn. 545; Rehak in: Lorenzen/Gerhold/Schlatmann u.a., BPersVG, § 75 Rn. 680), mag das Bundesarbeitsgericht in seiner Facebook-Entscheidung veranlasst haben, seinem abstrakten Rechtssatz Folgendes hinzuzufügen: „Zudem sind diese Daten über die Facebookseite dauerhaft öffentlich zugänglich. Sie sind deshalb nicht – wie das Landesarbeitsgericht meint – mit einem an den Arbeitgeber gerichteten Beschwerdebrief vergleichbar.“ Die Verknüpfung dieser Sätze mit der vorangegangenen Würdigung durch die Konjunktion „zudem“ lässt zwar daran zweifeln, ob es entscheidend auf den zusätzlichen Aspekt ankommen soll oder ob er hinweggedacht werden könnte, ohne am Ergebnis des Bundesarbeitsgerichts etwas zu ändern. Immerhin eignet sich der zusätzliche Aspekt zur Eindämmung einer ansonsten nahezu umfassenden Mitbestimmungspflicht.
Der Aspekt führt allerdings einen neuartigen Gesetzeszweck in die Auslegung des Mitbestimmungstatbestands ein, der sich in der Rechtsprechung des Bundesverwaltungsgerichts noch nicht findet. War bislang von den Gefahren der Technisierung nur der erhöhte Überwachungsdruck relevant, dem die Beschäftigten ausgesetzt sind, kommt nunmehr durch die Prangerwirkung öffentlich zugänglicher, womöglich unberechtigter oder tatsächlich haltloser Beschwerden über Beschäftigte, die einen Shitstorm und ähnlich gravierende Nachteile nach sich ziehen könnten, das allgemeine Persönlichkeitsrecht umfassend in Betracht (vgl. Grimm/Kühne, jM 2017, 330 <333>). Auch wenn sich nach den Mitteilungen des Antragstellers und des Beteiligten seit der Eröffnung der Kommentarfunktionen nichts dergleichen ereignet hat, wären solche Vorkommnisse Anlass für die Dienststelle, im schutzwürdigen Interesse der Beschäftigten auf Abhilfe zu sinnen. Der Senat hält es allerdings für falsch, aus solchen Erwägungen heraus den Gesetzeszweck von § 80 Abs. 1 Nr. 21 BPersVG um einen vom Gesetzgeber nicht vorgesehenen Schutzgegenstand zu erweitern (ebenso Grimm/Kühne, jM 2017, 330 <333> zu § 87 Abs. 1 Nr. 6 BetrVG).
Die Rechtsbeschwerde ist zuzulassen. Der Zulassungsgrund einer entscheidungserheblichen Rechtsfrage von grundsätzlicher Bedeutung (§ 92 Abs. 1 Satz 2 i.V.m. § 72 Abs. 2 Nr. 1 ArbGG) liegt vor."
Das LAG Köln hat entschieden, dass die Einführung vo Microsoft Office 365 der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG unterliegt.
Aus den Entscheidungsgründen:
"2.) Der Hauptantrag und die Hilfsanträge sind nicht begründet, da das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung von Microsoft Office 365 nicht dem Antragsteller, sondern dem Gesamtbetriebsrat der d -d GmbH & Co. KG zusteht, und sich insoweit eine Differenzierung zwischen den einzelnen Modulen verbietet.
a) Die Einführung von Microsoft Office 365 unterliegt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, da es sich um eine technische Einrichtung handelt, die dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dies ist nach der Rechtsprechung des BAG dann der Fall, wenn die Einrichtung objektiv geeignet ist, Verhaltens- oder Leistungsinformationen über den Arbeitnehmer zu erheben und aufzuzeichnen; auf die subjektive Überwachungsabsicht des Arbeitgebers kommt es nicht an (BAG, Beschluss vom 11. Dezember 2018– 1 ABR 13/17, juris Rn. 24).
b) Diese Voraussetzung liegen hier vor, da bei der Verwendung der verschiedenen Module von Microsoft Office 365 das Nutzungsverhalten wie etwa die Nutzungszeit erfasst und Nutzungsanalysen erstellt werden. Auf die diesbezüglichen Ausführungen des Arbeitsgerichts, denen die Kammer sich anschließt, wird Bezug genommen (Bl. 297 d.A.).
c) Zuständig für die Ausübung des Mitbestimmungsrechtes nach § 87 Abs. 1Nr. 6 BetrVG ist gemäß § 50 Abs. 1 Satz 1 BetrVG der Gesamtbetriebsrat der d -d GmbH & Co. KG, da es sich bei der unternehmensweiten Einführung von Microsoft Office 365 um eine Angelegenheit handelt, die das Gesamtunternehmen oder mehrere Betriebe der d -d GmbH & Co. KG betrifft und nicht durch die einzelnen Betriebsräte innerhalb ihrer Betriebe geregelt werden kann, weil objektiv ein zwingendes Erfordernis für eine unternehmenseinheitliche oder betriebsübergreifende Regelung besteht (vgl. BAG, Beschluss vom 18. Juli 2017 – 1 ABR 59/15, BAGE 159, 360-367, juris Rn. 19). Diese Zuständigkeitsregelung ist zwingend (Fitting, 30. Aufl. 2020, § 50 BetrVG, Rn. 3) und kann weder durch einen Tarifvertrag noch durch eine Betriebsvereinbarung und erst recht nicht durch eine Regelungsabrede, wie sie der Antragsteller behauptet hat, abgedungen werden
aa) Das Vorliegen eines zwingenden Erfordernisses bestimmt sich nach Inhalt und Zweck des Mitbestimmungstatbestands, der einer zu regelnden Angelegenheit zu Grunde liegt. Maßgeblich sind stets die konkreten Umstände des Unternehmens und der einzelnen Betriebe (BAG, Beschluss vom 18. Juli 2017 – 1 ABR 59/15, BAGE 159, 360-367, juris Rn. 19). Dieses Erfordernis kann sich aus technischen oder rechtlichen Gründen ergeben (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161, juris Rn. 22). Eine technische Notwendigkeit zu einer betriebsübergreifenden Regelung kann ua. dann bestehen, wenn im Wege der elektronischen Datenverarbeitung in mehreren Betrieben Daten erhoben und verarbeitet werden, die auch zur Weiterverwendung in anderen Betrieben bestimmt sind (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161 Rn. 30). In einem solchen Fall kann es aus arbeitstechnischen Gründen erforderlich sein, in den Betrieben auf den dortigen Rechnern dieselbe Software zu implementieren. Die Verwendung derselben Programme, Eingabemasken und Formate sorgt in solchen Fällen dafür, dass die in den Betrieben erhobenen und verarbeiteten Daten exportiert und importiert und sodann in anderen Betrieben ohne zusätzlichen technischen Aufwand genutzt werden können. Dies gilt auch dann, wenn die Betriebe nicht unmittelbar miteinander vernetzt sind, sondern der Datentransfer über einen gemeinsamen Server stattfindet. In einem solchen Fall ist eine unterschiedliche Ausgestaltung des elektronischen Datenverarbeitungssystems in den einzelnen Betrieben mit dessen einheitlicher Funktion nicht vereinbar (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161 Rn. 30). Ein zwingendes Erfordernis für eine unternehmensübergreifende Regelung aus technischen Gründen liegt auch dann vor, wenn wegen der bestehenden zentralen Nutzungs- und Überwachungsmöglichkeiten eine betriebsindividuelle Regelung ausscheidet (vgl. zum Konzernbetriebsrat BAG, Beschluss vom 25. September 2012 – 1 ABR 45/11, juris Rn. 26). Dies ist der Fall, wenn die technische Einrichtung erhobene Daten betriebsübergreifend verknüpfen kann und hierdurch die von den Arbeitnehmern erhobenen Leistungs- und Verhaltensdaten unternehmensweit erhoben, gefiltert und sortiert werden können (vgl. zum Konzernbetriebsrat BAG, Beschluss vom25. September 2012 – 1 ABR 45/11, juris Rn. 27). Eine technische Notwendigkeit liegt hingegen dann nicht vor, wenn keine Weitergabe erhobener Daten an andere Betriebe erfolgt und unternehmensübergreifende Nutzungs- und Überwachungsmöglichkeiten fehlen (vgl. BAG, Beschluss vom 26.01.2016 – 1 ABR 68/13, juris Rn. 26). Das ist hier aber nicht der Fall.
bb) Wie das Arbeitsgericht zutreffend erkannt hat, kann der Einsatz von Microsoft Office 365 auf Grund der Datenspeicherung auf einer sog. cloud und der zentralen Administration des Systems durch in K ansässige Administratoren aus technischen Gründen nur unternehmenseinheitlich geregelt werden. Es handelt sich insofern um eine zentrale Datenverarbeitung, weil die Administratoren am Standort K über Zugriffs- und Auswertungsmöglichkeiten in Bezug auf die für Arbeitnehmer anderer Betriebe erfassten Daten verfügen. Die zentrale Administra-tion stellt keine Beeinflussung der Zuständigkeitsebene durch die Arbeitgeberseite dar. Die zentrale Vergabe von Administrationsrechten ist der Entscheidung für die 1-Tenant-Lösung geschuldet, die von Seiten des Systems eine zentrale Administration vorsieht. Die Entscheidung für die 1-Tenant-Lösung wurde aber nicht durch die Arbeitgeberinnen alleine, sondern auf Grund der Verwerfung der Multi-Tenant-Lösung in der 1. Sitzung der Einigungsstelle gemeinsam mit dem Antragsteller getroffen. Zudem besteht keine Möglichkeit, die verschiedenen Module von Microsoft Office 365 derart unterschiedlich zu administrieren, dass das technisch zwingende Erfordernis einer unternehmenseinheitlichen Regelung entfiele.
cc) Im Hinblick auf die Module Yammer, Sway, Planner und PowerApps besteht bereits nach dem Vortrag des Antragstellers lediglich die Möglichkeit, diese für verschiedene Nutzergruppen durch den zentralen Administrator ein- oder auszuschalten, wodurch eine örtliche Regelbarkeit entfällt.
dd) Auch hinsichtlich der Module Teams, Office ProPlus, Stream und ToDo bestehen keine unterschiedlichen Administrationsmöglichkeiten, die das technisch zwingende Erfordernis einer unternehmenseinheitlichen Regelung entfallen ließen.
(1) Für das Modul Teams besteht zwar die Möglichkeit, unterschiedliche Einstellungen für unterschiedliche Gruppen vorzunehmen, indem diesbezüglich Richtlinien definiert werden. Auch diese können jedoch auf Grund der zentralen Administrierung nicht durch Einräumung von Administrationsrechten gegenüber dem lokalen Anwender erstellt werden, sondern müssen durch die zentralen Administratoren definiert und einzelnen Benutzern oder Gruppen zugewiesen werden. Die Einstellungsmöglichkeit zur Bildung von Nutzergruppen führt nicht dazu, dass die dabei entstehenden Daten im lokalen Betrieb verbleiben, weil die Speicherung und Verarbeitung über die cloud erfolgt, sodass weiterhin Zugriffs- und Auswertungsmöglichkeiten für die Administratoren in K bestehen.
(2) Gleiches gilt im Ergebnis hinsichtlich der Module Office ProPlus, ToDo und Stream. Zwar können diese Module nach Download aus der cloud und lokaler Installation grundsätzlich auch unabhängig von der cloud genutzt werden. Eine betriebsübergreifende Zugriffs- und Überwachungsmöglichkeit würde dann nicht mehr bestehen. Dies ist aber für die Frage nach der Zuständigkeit für die Ausübung des Mitbestimmungsrechtes unerheblich, weil hier nicht die Zuständigkeit im Hinblick auf die einzelnen Module und ihre unterschiedlichen Einsatzmöglichkeiten in Frage steht, sondern die Zuständigkeit im Hinblick auf die Einführung von Microsoft Office 365 als Gesamtpaket einschließlich der damit verbundenen cloud -Nutzung. Die Tatsache, dass einzelne Module auch separat auf dem Markt angeboten und in dieser Form erworben bzw. genutzt werden können, ist insofern für den hier vorliegenden Fall der cloud-basierten Nutzung als Gesamtsystem ohne Belang. Denn es handelt sich um unterschiedliche Produkte und damit auch unterschiedliche Mitbestimmungsgegenstände. Das fehlende technisch zwingende Erfordernis kann nicht damit begründet werden, dass eine andere technische Einrichtung keine Zugriffs- und Überwachungsmöglichkeiten bietet. Gleiches gilt für die durch den Antragsteller vorgeschlagenen Möglichkeiten zur Nutzung von betriebslokalen Exchange Servern und der Anmietung weiterer Tenants.
ee) Dem steht nicht entgegen, dass das zwingende Erfordernis nicht durch das reine Interesse an einer unternehmenseinheitlichen Lösung begründet werden darf. Im Vordergrund steht, dass die Arbeitgeberinnen ein cloud-basiertes System unternehmensweit einführen wollen. Diesem Regelungsgegenstand ist auf Grund der damit verbundenen Zugriffs- und Überwachungsmöglichkeiten das Erfordernis einer unternehmenseinheitlichen Einführung inhärent. Insoweit kann der Antragsteller der Zuständigkeit des Gesamtbetriebsrates nicht entgegenhalten, dass das Vorliegen eines technischen Erfordernisses lediglich im Hinblick auf einzelne Module bestehe und der Arbeitgeberseite die Möglichkeit eröffnet werde, die Zuständigkeit der örtlichen Betriebsräte durch die Verknüpfung unterschiedlicher IT-Module auszuschließen. Denn der Mitbestimmungstatbestand ist einheitlich zu betrachten. Eine Aufteilung kommt insofern nicht in Betracht.
f) Unerheblich für die Zuständigkeit für die Ausübung des Mitbestimmungsrechtes ist hingegen die von den Arbeitgeberinnen vorgebrachte Befürchtung, dass separate Nutzungsverweigerungen in einem Betrieb einen Nachteil der Mitarbeiterinnen dieses Betriebs gegenüber den Mitarbeiterinnen aller anderen Betriebe darstellen würden. Denn der Gleichbehandlungsgrundsatz bestimmt die Regelungsmacht der Betriebsparteien bei der Ausübung der Mitbestimmungsrechte, er hat jedoch keinen Einfluss auf die gesetzliche Zuständigkeitsverteilung zwischen den Betriebsverfassungsorganen (BAG, Beschluss vom 23. August 2016 – 1 ABR 43/14, juris Rn. 21; BAG, Beschluss vom 23. März 2010 – 1 ABR 82/08, BAGE 133, 373-379 Rn. 17). Es handelt sich um eine reine Zweckmäßigkeitserwägung des Arbeitgebers (BAG, Beschluss vom 23. August 2016 – 1 ABR 43/14, juris Rn. 21). Die Verpflichtung zur Gleichbehandlung ist vielmehr kompetenzakzessorisch. Erst die jeweiligen Betriebsvereinbarungen sind am Maßstab des Gleichbehandlungsgrundsatzes des § 75 Abs. 1 BetrVG zu messen (Beschluss vom 23. März 2010 – 1 ABR 82/08, BAGE 133, 373-379 Rn. 17). Ob separate Nutzungsverweigerungen in einem Betrieb einen Nachteil der Mitarbeiterinnen dieses Betriebs gegenüber den Mitarbeiterinnen aller anderen Betriebe darstellen, ist insofern erst bei der Ausübung des Mitbestimmungsrechts durch den zuständigen Gesamtbetriebsrat erheblich. Auf die dieser vorgelagerten Zuständigkeitsfrage haben etwaige Ungleichbehandlungen ebenso wenig Einfluss wie die datenschutzrechtlichen Bedenken des Betriebsrats, welche die Frage betreffen, ob der zuständige Gesamtbetriebsrat der d -d GmbH & Co. KG sein Mitbestimmungsrecht wirksam ausgeübt hat.
d) Hingegen kann der Gesamtbetriebsrat der d T GmbH für die Einführung von Microsoft Office 365 in dem Betrieb des Antragstellers nicht zuständig sein. Für einen Gemeinschaftsbetrieb, wie es zwischen der d -d GmbH & Co. KG und der d T GmbH bestand, können zwar auf Grund der Verpflichtung der Unternehmen zur Bildung jeweils betriebsübergreifender Gesamtbetriebsräte ggf. mehrere Gesamtbetriebsräte zuständig sein, wobei diese jeweils ausschließlich für die Arbeitnehmer desjenigen Unternehmens Regelungen treffen können, für die der Gesamtbetriebsrat gebildet wurde (so Hoffmann/Alles NZA 2014, 757, 758). Eine Zuständigkeit des Gesamtbetriebsrates der d T GmbH kommt für den Betrieb des Antragstellers aber nicht mehr in Betracht, nachdem die d T GmbH im Juni 2020 eine eigene selbstständige Betriebsstätte in W eröffnet hat, für die unangefochten ein eigener Betriebsrat gewählt wurde. Die Zuständigkeit des Gesamtbetriebsrats der d -d markt GmbH & Co. KG für die Einführung von Microsoft Office 365 besteht zudem unabhängig davon, ob in ihn unternehmensfremde Betriebsräte eines Gemeinschaftsbetriebs entsandt sind. Denn die Frage nach der gesetzlichen Zuständigkeit ist von der der Thematik der wirksamen Bildung des Mitbestimmungsorgans zu trennen."
Die EU-Kommission hat die Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung angenommen:
Datenschutz: Kommission nimmt Angemessenheitsbeschlüsse zum Vereinigten Königreich an
Die Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen - einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Beide Beschlüsse treten heute in Kraft. Personenbezogene Daten können nun ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wo für sie dort ein Schutzniveau gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist Die beiden Angemessenheitsbeschlüsse erleichtern zudem die ordnungsgemäße Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich, welches den Austausch personenbezogener Daten (beispielsweise im Rahmen der justiziellen Zusammenarbeit) vorsieht. Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen. Beide Angemessenheitsbeschlüsse enthalten starke Garantien für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die ihre jeweilige Geltungsdauer auf vier Jahre begrenzt wird.
Věra Jourová (Vizepräsidentin für Werte und Transparenz) erklärte dazu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen. Zugleich haben wir die Bedenken, die vom Parlament, von den Mitgliedstaaten und vom Europäischen Datenschutzausschuss unter anderem hinsichtlich möglicher künftiger Abweichungen von unseren Standards im Datenschutzrahmen des Vereinigten Königreichs geäußert worden sind, sehr aufmerksam zur Kenntnis genommen. Es geht hier um ein Grundrecht der EU-Bürgerinnen und -Bürger, das wir schützen müssen. Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen.“
Didier Reynders (Kommissar für Justiz) fügte hinzu: „Nach monatelanger sorgfältiger Prüfung können wir den EU-Bürgerinnen und -Bürgern heute die Gewissheit geben, dass ihre personenbezogenen Daten bei Übermittlungen in das Vereinigte Königreich geschützt sind. Dies ist ein wesentlicher Bestandteil unserer neuen Beziehungen zum Vereinigten Königreich. Er ist wichtig für einen reibungslosen Handel und eine wirksame Kriminalitätsbekämpfung. Die Kommission wird eng verfolgen, wie sich das System des Vereinigten Königreichs künftig entwickelt. Um dies zu ermöglichen und gegebenenfalls eingreifen zu können, haben wir unsere Beschlüsse verstärkt. Die EU hat die höchsten Standards auf dem Gebiet des Schutzes personenbezogener Daten, und diese dürfen nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übermittelt werden.“
Wichtigste Elemente der Angemessenheitsbeschlüsse
Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war. Das Vereinigte Königreich hat die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vollumfänglich in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen.
In Bezug auf den Zugriff auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit) sieht das System des Vereinigten Königreichs starke Garantien vor. Insbesondere die Datenerhebungen durch Nachrichtendienste unterliegen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Alle Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein. Wer sich unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sieht, kann Klage beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse) einreichen. Das Vereinigte Königreich unterliegt zudem der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen sind ein wesentlicher Bestandteil des in den beiden Angemessenheitsbeschlüssen bewerteten Rechtsrahmens.
Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus. Danach könnten sie erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsbeschlüsse zu erneuern, würde der Annahmeprozess erneut eingeleitet.
Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen, um einer unlängst ergangenen Entscheidung des Berufungsgerichts von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen der Datenschutzrechte in diesem Bereich Rechnung zu tragen. Sobald diese Situation nach dem Recht des Vereinigten Königreichs geklärt ist, wird die Kommission die Notwendigkeit dieses Ausschlusses neu prüfen.
Hintergrund
Die Kommission hat am 19. Februar zwei Entwürfe von Angemessenheitsbeschlüssen veröffentlicht und das Verfahren zu ihrer Annahme eingeleitet. In den vergangenen Monaten hat die Kommission die Rechtsvorschriften und die Praktiken des Vereinigten Königreichs auf dem Gebiet des Schutzes personenbezogener Daten einschließlich der Bestimmungen über den Datenzugriff von Behörden im Vereinigten Königreich gründlich bewertet. Die Kommission stand in engem Kontakt mit dem Europäischen Datenschutzausschuss, der seine einschlägige Stellungnahme am 13. April abgegeben hat, mit dem Europäischen Parlament und mit den Mitgliedstaaten. Nach dieser gründlichen Prüfung holte die Europäische Kommission im Rahmen des sogenannten Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten zu den beiden Angemessenheitsbeschlüssen ein. Die heute erfolgte, an die Zustimmung der Vertreter der Mitgliedstaaten anschließende Annahme der Beschlüsse war der letzte Schritt dieses Verfahrens. Die beiden Angemessenheitsbeschlüsse treten heute in Kraft.
Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich enthält eine Selbstverpflichtung der EU und des Vereinigten Königreichs zur Aufrechterhaltung hoher Datenschutzstandards. Das Abkommen sieht zudem vor, dass jede im Zuge seiner Umsetzung durchzuführende Datenübermittlung im Einklang mit den maßgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei (im Falle der EU sind dies die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung) stehen müssen. Die Annahme der beiden einseitigen und eigenständigen Angemessenheitsbeschlüsse ist eine wichtige Maßnahme zur Sicherstellung der ordnungsgemäßen Anwendung und des reibungslosen Funktionierens des Abkommens. Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich sieht ferner eine bedingte Übergangsregelung vor, in deren Rahmen Daten ungehindert aus der EU in das Vereinigte Königreich übermittelt werden können. Der Übergangszeitraum endet am 30. Juni 2021.
Die EU-Kommission hat die neuen Standardvertragsklauseln angenommen. Ob diese den strengen rechtliche Anforderungen genügen, ist nach wie vor sehr fraglich.
European Commission adopts new tools for safe exchanges of personal data
Today, the European Commission adopted two sets of standard contractual clauses, one for use between controllers and processors and one for the transfer of personal data to third countries. They reflect new requirements under the General Data Protection Regulation (GDPR) and take into account the Schrems II judgement of the Court of Justice, ensuring a high level of data protection for citizens. These new tools will offer more legal predictability to European businesses and help, in particular, SMEs to ensure compliance with requirements for safe data transfers, while allowing data to move freely across borders, without legal barriers.
The new standard contractual clauses take into account the joint opinion of the European Data Protection Board and the European Data Protection Supervisor, feedback from stakeholders during a broad public consultation and the opinion of Member States' representatives.
Vice-President for Values and Transparency, Vera Jourová said: “In Europe, we want to remain open and allow data to flow, provided that the protection flows with it. The modernised Standard Contractual Clauses will help to achieve this objective: they offer businesses a useful tool to ensure they comply with data protection laws, both for their activities within the EU and for international transfers. This is a needed solution in the interconnected digital world where transferring data takes a click or two.”
Commissioner for Justice, Didier Reynders, said: “In our modern digital world, it is important that data can be shared with the necessary protection - inside and outside the EU. With these reinforced clauses, we are giving more safety and legal certainty to companies for data transfers. After the Schrems II ruling, it was our duty and priority to come up with user-friendly tools, which companies can fully rely on. This package will significantly help companies to comply with the GDPR.”
Main Innovations
The standard contractual clauses published today reflect new requirements under the General Data Protection Regulation and address the realities faced by modern business. Thanks to their standardisation and pre-approval, the SCCs provide companies with an easy-to-implement template. Companies know that when they use this template they meet data protection requirements.
Main innovations of the new standard contractual clauses:
Update in line with the General Data Protection Regulation (GDPR);
One single entry-point covering a broad range of transfer scenarios, instead of separate sets of clauses;
More flexibility for complex processing chains, through a ‘modular approach' and by offering the possibility for more than two parties to join and use the clauses;
Practical toolbox to comply with the Schrems II judgment; i.e. an overview of the different steps companies have to take to comply with the Schrems II judgment as well as examples of possible ‘supplementary measures', such as encryption, that companies may take if necessary
For controllers and processors that are currently using previous sets of standard contractual clauses, a transition period of 18 months is provided.
These standard contractual clauses are adopted at a moment where a number of regional organisations and third countries are developing or have issued their own standard contractual clauses on the basis of converging principles. The Commission will intensify its cooperation with these international partners to further facilitate data transfers between different regions of the world.
Background
The General Data Protection Regulation (GDPR) entered into force on 24 May 2016 and became applicable on 25 May 2018. The standard contractual clauses are standardised and pre-approved model data protection clauses that can be incorporated into contractual arrangements on a voluntary basis, providing an easy-to-implement tool to comply with data protection requirements.
The Commission can adopt standard contractual clauses for the relationship between controllers and processors, as a tool to help to demonstrate compliance with the GDPR. In addition, the Commission can adopt standard contractual clauses providing data protection safeguards for data to be transferred internationally.
On July 16, 2020, the Court of Justice confirmed the validity of the EU Standard Contractual Clauses for the transfer of personal data to processors outside the EU/EEA ("SCCs"), while invalidating the EU–U.S. Privacy Shield. Thus, the Court has ruled that international data flows under the European Union's comprehensive data protection regime, the General Data Protection Regulation (GDPR), can continue to be based on EU Standard Contractual Clauses, while also further clarifying the conditions under which they can be used.
BGH
Beschluss vom 28.04.2021 2 BJs 366/19-9 VS-NfD
Der BGH hat entschieden, dass Bder E-Mail-Anbieter Tutanota den Ermittlungsbehörden nach 100a Abs. 1 Satz 1, Abs. 4 StPO die Möglichkeit zur Überwachung von zwei verschlüsselten E-Mail-Postfächern einräumen muss.
Das LG Frankenthal hat entschieden, dass die Überwachungskamera auf einem Grundstück das allgemeine Persönlichkeitsrecht Dritter verletzen kann, wenn die Überwachung Dritter objektiv ernsthaft zu befürchten ist
Aus den Entscheidungsgründen: I. Zutreffend hat das Amtsgericht die Erledigung des Rechtsstreits im Hinblick auf die im Laufe des Verfahrens jeweils abmontierten Kameras an der Giebelwand festgestellt.
Zu Recht hat das Erstgericht angenommen, dass die Kläger einen Anspruch gemäß §§ 823, 1004 BGB analog i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG auf Beseitigung der unter dem Giebelfenster des Beklagtenanwesens befestigten Kamera hatten - und auch einen Anspruch auf Unterlassung einer Videoüberwachung haben -, da die Installation der Kamera das Persönlichkeitsrecht der Kläger beeinträchtigt hat.
1. Die Herstellung von Bildnissen einer Person, insbesondere die Filmaufzeichnung mittels einer Videokamera, auch in der Öffentlichkeit zugänglichen Bereichen, kann einen unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen darstellen, selbst wenn keine Verbreitungsabsicht besteht; dabei kann die Frage, ob ein derartiger rechtswidriger Eingriff anzunehmen ist, nur unter Würdigung aller Umstände des Einzelfalls und durch Vornahme einer die (verfassungs-) rechtlich geschützten Positionen der Beteiligten berücksichtigenden Güter- und Interessenabwägung beantwortet werden (BGH, Urt. v. 16.03.2010 - Az. VI ZR 176/09, Rn. 11; Urt. v. 25.04.1995 - VI ZR 272/94, zit. n. Juris).
Grundsätzlich ist eine Überwachung auf das eigene Grundstück zu beschränken. Nur bei das Persönlichkeitsrecht des Betroffenen überwiegenden Interessen des Betreibers der Videoüberwachungsanlage dürfen auch öffentliche Verkehrsflächen und Zugänge zu fremden Grundstücken erfasst werden (BGH, Urt. v. 16.03.2010 - VI ZR 176/09, Rn. 11, zit. n. Juris).
2. Ein Eingriff in das Persönlichkeitsrecht Dritter liegt vor, wenn diese durch die Überwachung tatsächlich betroffen sind. Kann dies festgestellt werden und ergibt die erforderliche Abwägung, dass das Interesse des Betreibers der Anlage das Persönlichkeitsrecht der Betroffenen nicht überwiegt, ist der Unterlassungsanspruch begründet (BGH, Urt. v. 16.03.2010 - VI ZR 176/09, Rn. 12, zit. n. Juris).
Vorliegend steht allerdings nicht fest, dass der Erfassungswinkel der Kamera in der Vergangenheit tatsächlich auf das Grundstück der Kläger gerichtet war.
3. Allerdings kann auch bei der Ausrichtung von Überwachungskameras allein auf das eigene Grundstück des Grundstückseigentümers das Persönlichkeitsrecht Dritter beeinträchtigt sein. Ein Unterlassungsanspruch kann nämlich, wie das Amtsgericht zutreffend ausführt, auch bestehen, wenn Dritte eine Überwachung durch Überwachungskameras objektiv ernsthaft befürchten müssen ("Überwachungsdruck", vgl. BGH, Urt. v. 16.03.2010 - VI ZR 176/09, Rn. 13, zit. n. Juris).
Eine solche Befürchtung ist dann gerechtfertigt, wenn sie aufgrund konkreter Umstände als nachvollziehbar und verständlich erscheint, etwa im Hinblick auf einen eskalierenden Nachbarstreit oder aufgrund objektiv Verdacht erregender Umstände. Allein die hypothetische Möglichkeit einer Überwachung durch eine Videokamera beeinträchtigt das allgemeine Persönlichkeitsrecht derjenigen, die dadurch betroffen sein könnten, nicht. Es kommt auf die Umstände des Einzelfalles an (BGH, Urt. v. 21.10.2011 - 265/10, Rn. 9 ff.; Urt. v. 16.03.2010 - VI ZR 176/09, Rn. 13, zit. n. Juris).
Selbst wenn sich hier nicht feststellen lässt, dass der Erfassungswinkel der Kamera in der Vergangenheit tatsächlich auf das Grundstück der Kläger gerichtet war, ist mit dem Amtsgericht im konkreten Fall eine Beeinträchtigung des Persönlichkeitsrechts zu bejahen. Denn die Kläger mussten aufgrund der Umstände objektiv ernsthaft befürchten, künftig in den Überwachungsbereich der am Giebel des Anwesens der Beklagten einbezogen zu werden.
a) Es bestand zum einen aufgrund der nachvollziehbaren Darlegungen des Sachverständigen in seinem Gutachten vom 19.09.2018 bei beiden nacheinander am Giebel des Beklagtenanwesens installierten Kameras die Möglichkeit, diese so auszurichten, dass der Erfassungswinkel das gesamte Gartengrundstück der Kläger (erste Kamera) oder einen Teil des Gartens erfasste, und zwar den, in dem die Kläger gewöhnlich ihre Liegestühle aufstellen (zweite Kamera). Der Sachverständige hat dies mit Lichtbildern von den jeweils möglichen Einstellwinkeln und von den Erfassungsbereichen der Kameras, wenn sie zum Klägergrundstück gedreht sind, anschaulich gemacht (zur ursprünglich angebrachten Kamera s. Lichtbild 19 S.12 des Gutachtens, zur später angebrachten Kamera s. Lichtbild 14, S. 10 des Gutachtens).
Dass auch die zunächst angebrachte Kamera zur Seite drehbar war, macht weiter ein von den Klägern mit Schriftsatz vom 24.11.2018 vorgelegtes Lichtbild (Bl. 164 d.A.) deutlich.
Ohne Erfolg rügt der Berufungskläger, dass das Amtsgericht dem erstinstanzlich mit Schriftsatz vom 13.11.2018 (Bl. 159 d.A.) vorgebrachten Antrag auf mündliche Erläuterung des schriftlichen Sachverständigengutachtens nicht nachgegangen ist.
Zwar ist die mündliche Erläuterung des schriftlichen Gutachtens auf Antrag einer Partei stets geboten nach § 402 i.V.m. § 397 (BGHZ 6, 398; BGH NJW 98, 162; BGH MDR 2019, 1013). Die Nichtbeachtung verletzt grundsätzlich das rechtliche Gehör (BVerfG NJW 98, 2273; NJW 2012, 1346; NJW 2018, 3097). Grundsätzlich gilt, dass der Partei Gelegenheit gegeben werden muss, Fragen zur Erläuterung u Ergänzung zu stellen. Ein Antrag kann jedoch zurückgewiesen werden, wenn das schriftliche Gutachten vollständig und überzeugungsfähig ist, der Antrag aber gleichwohl nicht konkret begründet wird (BGHZ 24, 9, 14; BAG MDR 68, 529; Rixecker NJW 84, 2135, 2137; Ankermann NJW 85, 1204, 1205) oder in seiner Begründung die Ankündigung abwegiger, bereits eindeutig beantworteter oder beweisunerheblicher Fragen enthält (OLGR Saarbrücken 2004, 379; OLGR Oldenburg 98, 17; Hamm MDR 85, 593; Zöller-Greger, ZPO, 33. Aufl. 2020, § 411 Rn. 5). Vorliegend sind die Fragen des Berufungsklägers bereits im Sachverständigengutachten eindeutig beantwortet worden, sodass es einer Anhörung des Sachverständigen nicht bedurfte. In seinem Gutachten vom 19.09.2018 (Bl. 114 ff. d.A.) hat der Sachverständige genau das festgestellt, was der Berufungskläger behauptet. So ergibt das Gutachten im Hinblick auf die erste, bei Klageerhebung angebrachte Kamera, die im Laufe des Rechtsstreits entfernt wurde, dass, wie auch der Berufungskläger geltend macht, die Kamera ausweislich der Bedienungsanleitung durch eine Schraube fixiert werden konnte. Ausweislich des Gutachtens musste die Schraube an der Seite gelockert werden, um die Halterung um 90° zu schwenken. Hinsichtlich der zweiten, erst im Laufe des Rechtsstreits an der Giebelwand angebrachten und von dem Sachverständigen auch tatsächlich vorgefundenen Kamera, moniert der Berufungskläger, dass der Sachverständige bei der Besichtigung die Kamera zwar auch ohne Lösen der Schraube habe drehen können, dafür sei jedoch ein erheblicher Kraftaufwand erforderlich gewesen, und dies sei nicht bestimmungsgemäß. Hierzu ist festzuhalten, dass der Sachverständige in seinem Gutachten klar festgehalten hat, dass bei der zweiten Kamera ein Schwenken nicht möglich sei. Sie habe aber eine seitliche Drehmöglichkeit nach links und rechts (S. 11 des Gutachtens). Diese ist auf Lichtbild 12 (S. 9 des Gutachtens) gut erkennbar. Der Sachverständige hat zudem ausdrücklich festgestellt, dass er eine Fixierung, die das Drehen verhindere, nicht vorgefunden habe. Damit ist auch die Frage, ob eine Fixierung der zweiten Kamera durch eine Schraube vorhanden war, eindeutig beantwortet. Auf den Lichtbildern im Sachverständigengutachten (s. Lichtbilder 12, 15, 16) ist zudem deutlich erkennbar, dass die Kamera nach rechts und links drehbar war.
b) Vorliegend war darüber hinaus die Befürchtung einer Überwachung durch die Kameras gerechtfertigt, weil sie im Hinblick auf den eskalierenden Nachbarschaftsstreit zwischen den Parteien nachvollziehbar und verständlich erscheint. Es liegen konkrete objektive Umstände vor, die einen entsprechenden Überwachungsverdacht rechtfertigen. Die Parteien sind, wie die Klägerin unbestritten vorgetragen haben, seit Längerem miteinander verfeindet und führen seit geraumer Zeit einen erbitterten Nachbarstreit, der in den Monaten vor Klageerhebung mehr und mehr eskalierte. Dies führte unter anderem dazu, dass die ehemalige Beklagte und ihr Ehemann mit Rechtsanwaltsschreiben vom 08.06.2016 den Klägern jegliche Kontaktaufnahme verbieten ließen. Auch wurde ein Hausverbot gegen über den Klägern ausgesprochen, verbunden mit dem Hinweis, dass bei Nichtbeachtung Strafanzeige wegen Hausfriedensbruchs erstattet würde (vgl. Anl. K 3, Bl. 13 d.A.). Mit Rechtsanwaltsschreiben vom 13.06.2016 erteilten sodann die Kläger der Beklagten und ihrem Ehemann ebenfalls Hausverbot und warfen der ehemaligen Beklagten zugleich einen Überbau vor (vgl. Anl. K 4, Bl. 15 d.A.). Die Beklagtenseite macht die Kläger dafür verantwortlich, dass der Sockelbereich ihres Anwesens Feuchtigkeitsschäden erlitten habe, weil die Kläger an der Außenfassade des Anwesens der Beklagten eine Noppenfolie angebracht hätten (vgl. Anl. K 5, Bl. 18 d.A.), was Gegenstand eines selbständigen Beweisverfahrens wurde. Weiter werfen die Kläger der Beklagtenseite vor, unzulässigerweise Niederschlagswasser auf ihr Grundstück abzuleiten (vgl. Anl. K 6, Bl. 20 d.A.). Die Beklagtenseite wirft der Klägerin vor, in den Jahren 1998, 1999 und 2000 mehrfach unberechtigt über den Zaun gestiegen zu sein, um die Beklagte einzuschüchtern. Sie begründet genau damit auch die Anbringung der Überwachungskameras auf ihrem Grundstück.
Bekräftigt wird die Sorge der Kläger vor einer Überwachung zudem dadurch, dass, wie das Erstgericht unangegriffen festgestellt hat, der Beklagte nach Ende der Sitzung in äußerst aggressivem Ton darauf beharrt hat, er müsse sich vor den Klägern schützen, er werfe ihnen Bedrohung und Hausfriedensbruch vor, und er wolle daher sein Grundstück vor Beeinträchtigungen von außen schützen. Nach den Ausführungen des Beklagten in der Berufung haben sich die Parteien seit Jahren zerstritten und es „werde ein begründetes Misstrauen einander entgegengebracht“. Unmittelbar in diesem Zusammenhang führt er weiter an, dass sich immer wieder zerstörte Pflanzen und tote Tiere auf seinem Grundstück befänden und er daher sein Grundstück vor Beeinträchtigungen von außen schützen wolle. Mit einem im Rahmen eines Schiedstermins vom 01.12.2016 erörterten Vorschlag, die Kamera so zu platzieren, dass sie das klägerische Grundstück nicht mehr erfassen könne, war der Beklagte nicht einverstanden.
Aus alledem wird deutlich, dass die Anbringung der Kameras von Anfang an gegen die Kläger gerichtet war und dass der bereits zuvor andauernde Streit zwischen den Parteien und das tiefe Misstrauen, dass der Beklagte mit seinen Äußerungen gegenüber dem Gericht deutlich bekräftigt hat, durchaus die Befürchtung rechtfertigen und von Anfang an gerechtfertigt haben, dass die Beklagtenseite die Kameras zu einer Überwachung der Kläger einsetzen würden.
c) Ein objektiv ernsthafter Überwachungsverdacht ist auch nicht deshalb zu verneinen, weil der Aufnahmewinkel der beiden Kameras, die unter dem Giebelfenster angebracht waren, nicht ohne einen gewissen Aufwand so ausgerichtet werden konnte, dass jedenfalls teilweise das klägerische Grundstück erfasst wurde.
In der Rechtsprechung wird teilweise ein Anspruch auf Unterlassung des Betriebs solcher Videokameras, die auf das Nachbargrundstück lediglich ausrichtbar sind, verneint, wenn der Nachbar die Anfertigung von Aufnahmen lediglich befürchtet und die Kameras nur mit erheblichem und äußerlich wahrnehmbarem Aufwand, also nicht etwa nur durch das Betätigen einer Steuerungsanlage, auf sein Grundstück gerichtet werden können (vgl. LG Bielefeld, NJW-RR 2008, 327 f.; LG Itzehoe, NJW-RR 1999, 1394 f.). Aus dem Sachverständigengutachten folgt, dass die zuletzt installierte Kamera zwar nicht nach vorne geschwenkt werden konnte, jedoch nach links und rechts zu drehen war. Bei Drehung der Kamera in Richtung des klägerischen Grundstücks konnte ein Teil des Gartens beobachtet werden. Eine entsprechende Drehung der Kamera war auch mit geringem Aufwand möglich. Wie der Sachverständige in seinem Gutachten ausführt, war eine Fixierung, die das Drehen verhinderte, nicht vorhanden.
Aber selbst wenn man das Vorbringen der Beklagtenseite als wahr unterstellt, dass auch diese Kamera nur gedreht werden konnte, wenn man eine Schraube löste, ändert dies nichts daran, dass auch dies nur als geringer Aufwand einzustufen ist. Das Verstellen des Kamerawinkels durch Lösen einer Schraube mag zwar ein äußerlich wahrnehmbarer Vorgang sein. Dies allein rechtfertigt jedoch nicht die Annahme einer lediglich theoretischen Möglichkeit der Veränderung des Kamerawinkels (vergleiche den Fall BGH Urt. v. 21.10.2011 - V ZR 265/10, zit. n. Juris, in dem die Kameras in einer Höhe von sieben und neun Metern an dem Haus angebracht waren und ihr Aufnahmewinkel daher nur unter Zuhilfenahme einer langen Leiter verändert werden konnte. Laut BGH war deshalb ein objektiv ernsthafter Überwachungsverdacht nicht zu verneinen, da es ohne Weiteres möglich sei, die Leiter zu einem Zeitpunkt an das Haus anzustellen, zu dem die beiden Nachbarn gerade nicht zu Hause sind, zumal ein solcher Vorgang nicht sehr zeitaufwendig sei)). Eine entsprechende Veränderung war daher m Falle beider Kameras recht einfach und ohne erheblichen Aufwand möglich. Zudem konnte der Sachverständige im Fall der zuletzt montierten Kamera dies - wenn es auch nicht der Bedienungsanleitung entsprochen haben mag - sogar per Hand und ohne Lösen der Schraube bewerkstelligen.
4. Der Eingriff in das allgemeine Persönlichkeitsrecht der Kläger ist auch rechtswidrig. Soweit der Beklagte ein berechtigtes Interesse an der Überwachung seines Grundstücks geltend macht, hat dieses Vorbringen keinen Erfolg. Ein berechtigtes Interesse rechtfertigt allenfalls die Überwachung des eigenen Grundstücks, nicht fremder Grundstücksteile (vgl. BGH, a.a.O., Urt. v. 21.10.2011 - V ZR 265/10 Rn. 9,13, zit. n. Juris). Dann nämlich müssen die berechtigten Interessen der von den Videoaufnahmen betroffenen Dritten, hier der Kläger, ebenfalls Berücksichtigung finden. Insofern kann eine Überwachung von Dritten nur ganz ausnahmsweise und bei einer konkreten, schwerwiegenden Rechtsverletzung in Betracht kommen. Soweit sich die Beklagtenseite darauf beruft, die Klägerin sei in den Jahren 1998,1999 und 2000 mehrfach unberechtigt über den Zaun zwischen den Grundstücken gestiegen, um die frühere Beklagte einzuschüchtern, handelt es sich selbst unter Zugrundelegung des Beklagtenvorbringens um Einwirkungen geringerer Qualität, die eine Kameraüberwachung der Kläger nicht rechtfertigen. Auch das Vorbringen des Beklagten in der Berufung, dass sich immer wieder zerstörte Pflanzen und tote Tiere auf seinem Grundstück befänden und er sein Grundstück daher vor Beeinträchtigungen von außen schützen wolle, führt nicht dazu, dass die Kläger die Beeinträchtigung ihres Persönlichkeitsrechts hinnehmen müssten.
Das VG Berlin hat entschieden, dass der Personalrat ein Mitbestimmungsrecht hat, wenn Kommentarfunktion in sozialen Netzwerken Facebook, Instagram oder Twitter genutzt werden soll
In Ausgabe 11/20, S. 48-49 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Wenn der Datenschützer klingelt". Der Beitrag gibt Tipps und Hinweise zum Umgang mit datenschutzrechtlichen Aufsichtsverfahren durch die Landesdatenschutzbehörden.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat gegen H&M ein Bußgeld in Höhe von 35,3 Millionen Euro wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M verhängt.
35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M
Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.
Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.
Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.
Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.
Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.
Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“
EuGH
Urteil vom 16.07.2020 C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland
Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzschild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig
Die Pressemitteilung des EuGH
Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig
Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig
Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.
Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).
Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.
Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.
Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.
Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.
Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.
Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.
In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.
EuGH-Generalanwalt
Schlussanträge vom 19.12.2019 C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems
Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig
Die Pressemitteilung des EuGH:
Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig
Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.
Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits
Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.
Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.
Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.
Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.
Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.
In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.
Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.
In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.
Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.
Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.
Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.
Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.
Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.
Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.
Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.
