Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.
Aus den Entscheidungsgründen: Die Klage ist nur teilweise zulässig.
I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.
II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.
III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.
IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.
V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.
VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.
VII. Im Übrigen ist die Klage zulässig.
B.
Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.
Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.
II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.
1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.
2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.
III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.
1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.
2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.
3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.
a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.
b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.
c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.
d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.
4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.
5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.
6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.
IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“
So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.
V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.
1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.
2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.
3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.
VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.
VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.
Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA erlassen (EU-US Data Privacy Framework).
Die Pressemitteilung der EU-Kommission: Datenschutz: Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA
Die Europäische Kommission hat heute ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.
Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen; so ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben. Der neue Rahmen bringt erhebliche Verbesserungen gegenüber dem im Rahmen des Datenschutzschilds bestehenden Mechanismus mit sich. Stellt das Gericht zur Datenschutzüberprüfung beispielsweise fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Pflichten ergänzen, denen US-Unternehmen, die Daten aus der EU einführen, nachkommen müssen.
Präsidentin Ursula von der Leyen erklärte: „Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich im vergangenen Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stärken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.“
US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
Den EU-Bürgerinnen und -Bürgern werden mehrere Rechtsbehelfe offen stehen, falls ihre Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.
Darüber hinaus sieht der US-Rechtsrahmen bestimmte Garantien in Bezug auf den Zugang von US-Behörden zu innerhalb des Rahmens übermittelten Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu Daten ist auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt.
Einzelpersonen in der EU werden im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden unabhängig untersuchen und beilegen, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen.
Die von den Vereinigten Staaten eingeführten Garantien werden zudem den transatlantischen Datenverkehr generell erleichtern, da sie auch für die Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften gelten.
Nächste Schritte
Die Funktionsweise des Datenschutzrahmens EU-USA soll regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden.
Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.
Hintergrund
Gemäß Artikel 45 Absatz 3 der Datenschutzgrundverordnung (DSGVO) kann die Kommission im Wege eines Durchführungsrechtsakts beschließen, dass ein Drittland ein „angemessenes Schutzniveau“ bietet, das heißt einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) in ein Drittland übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf.
Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche über einen neuen Rahmen auf, in dem die vom Gerichtshof erhobenen Bedenken angegangen wurden.
Im März 2022 gaben Präsidentin von der Leyen und Präsident Biden bekannt, dass sie im Anschluss an die Verhandlungen zwischen Kommissionsmitglied Reynders und US-Handelsministerin Raimondo eine grundsätzliche Einigung über einen neuen transatlantischen Rahmen für den Datenverkehr erzielt haben. Im Oktober 2022 unterzeichnete Präsident Biden ein einschlägiges Dekret („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“), das durch Verordnungen des US-Generalstaatsanwalts Garland ergänzt wurde. Mit diesen beiden Instrumenten wurden die von den Vereinigten Staaten im Rahmen dieser grundsätzlichen Einigung eingegangenen Verpflichtungen in US-amerikanisches Recht umgesetzt und die Pflichten der US-amerikanischen Unternehmen innerhalb des Datenschutzrahmens EU‑USA ergänzt.
Ein wesentliches Element des US-Rechtsrahmens, in dem diese Garantien verankert sind, ist das US-Dekret zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten im Bereich Fernmelde- und elektronische Aufklärung („Enhancing Safeguards for United States Signals Intelligence Activities“), in dem die vom Gerichtshof der Europäischen Union im „Schrems II“-Urteil vom Juli 2020 angeführten Kritikpunkte aufgegriffen werden.
Der Rahmen wird vom US-Handelsministerium verwaltet und überwacht. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Vorschriften durch US-Unternehmen durchsetzen.
Facebook / Meta soll 1,2 Milliarden EURO Bußgeld wegen DSGVO-widriger Übermittlung personenbezogener Daten in die USA zahlen.
Die Pressemitteilung des European Data Protection Board (EDPB): 1.2 billion euro fine for Facebook as a result of EDPB binding decision
Brussels, 22 May - Following the EDPB’s binding dispute resolution decision of 13 April 2023, Meta Platforms Ireland Limited (Meta IE) was issued a 1.2 billion euro fine following an inquiry into its Facebook service, by the Irish Data Protection Authority (IE DPA). This fine, which is the largest GDPR fine ever, was imposed for Meta’s transfers of personal data to the U.S. on the basis of standard contractual clauses (SCCs) since 16 July 2020. Furthermore, Meta has been ordered to bring its data transfers into compliance with the GDPR.
Andrea Jelinek, EDPB Chair, said: “The EDPB found that Meta IE’s infringement is very serious since it concerns transfers that are systematic, repetitive and continuous. Facebook has millions of users in Europe, so the volume of personal data transferred is massive. The unprecedented fine is a strong signal to organisations that serious infringements have far-reaching consequences.”
In its binding decision of 13 April 2023, the EDPB instructed the IE DPA to amend its draft decision and to impose a fine on Meta IE. Given the seriousness of the infringement, the EDPB found that the starting point for calculation of the fine should be between 20% and 100% of the applicable legal maximum. The EDPB also instructed the IE DPA to order Meta IE to bring processing operations into compliance with Chapter V GDPR, by ceasing the unlawful processing, including storage, in the U.S. of personal data of European users transferred in violation of the GDPR, within 6 months after notification of the IE SA’s final decision.
The IE DPA's final decision incorporates the legal assessment expressed by the EDPB in its binding decision, adopted on the basis of Art. 65(1)(a) GDPR after the IE DPA, as lead supervisory authority (LSA), had triggered a dispute resolution procedure concerning the objections raised by several concerned supervisory authorities (CSAs). Among others, CSAs issued objections aiming to include an administrative fine and/or an additional order to bring processing into compliance*.
The final decision taken by the IE DPA is available in the Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
VG Neustadt
Beschluss vom 27.10.2022 3 L 763/22.NW
Das VG Neustadt hat entschieden, dass die Datenerhebung und Datenspeicherung durch das Statistische Landesamt Rheinland-Pfalz im Rahmen des Zensus 2022 rechtmäßig und datenschutzkonform war bzw. ist.
Die Pressemitteilung des Gerichts: Datenerhebung im Rahmen des Zensus 2022 rechtmäßig
Das Statistische Landesamt Rheinland-Pfalz ist berechtigt, im Zuge der Gebäude- und Wohnungszählung (GWZ) im Rahmen des Zensus 2022 die im Gesetz zur Durchführung des Zensus im Jahr 2022 (ZensG 2022) näher bezeichneten, strukturellen Angaben einschließlich sog. statistischer Hilfsmerkmale zu erheben. Dies geht aus einem Beschluss des Verwaltungsgerichts Neustadt/Wstr. vom 27. Oktober 2022 hervor.
Die Antragsteller bewohnen ein Anwesen im Landkreis Kaiserslautern. Der Antragsgegner erinnerte die Antragsteller mit Schreiben vom 27. Juni 2022 an die Beantwortung und Rückleitung der Datenanforderung zur GWZ bis zum 10. Juli 2022, nachdem diese ihrer Erklärungspflicht bis zu diesem Zeitpunkt nicht nachgekommen waren. Mit der Erinnerung wurde den Antragstellern mitgeteilt, dass sie die Fragen Online beantworten oder in Papierform an einen näher bezeichneten privaten Dienstleister senden könnten, der den Papierbogen digitalisiere und zur Geheimhaltung verpflichtet sei.
Am 4. Juli 2022 legten die Antragsteller dagegen Widerspruch ein. Der Widerspruch wurde mit Widerspruchsbescheid vom 4. August 2022 zurückgewiesen. Nach Zustellung des Widerspruchsbescheids erhoben die Antragsteller am 12.9.2022 Klage und suchten um vorläufigen gerichtlichen Rechtsschutz nach, mit der Begründung, dass die einschlägigen Rechtsvorschriften des Zensusgesetzes 2022 und die dort geregelte Behandlung von Hilfsmerkmalen verfassungswidrig seien. Der wirksame Schutz digital gespeicherter Daten könne grundsätzlich nicht gewährleistet werden, eine Deanonymisierung sei nicht ausgeschlossen. Der US-amerikanische IT-Dienstleister, der in den Betrieb der Internetpräsenz „www.zensus2022.de“ eingebunden sei, könne auf technische Daten zugreifen und biete im öffentlichen Teil der Website ein Kontaktformular an, über das Nutzer Statistikämter anschreiben könnten. Hierzu seien persönliche Daten einzugeben, deren Weitergabe an unbefugte Dritte nicht ausgeschlossen werden könne. Das vertraglich zugesicherte Versprechen des Dienstleisters, Daten ausschließlich auf europäischen Servern zu verarbeiten, sei mit Blick auf den „CLOUD Act“ unzureichend. Die Einbindung des Dienstleisters sei damit zugleich unionsrechtswidrig.
Der Antrag wurde mit Beschluss der 3. Kammer vom 27. Oktober 2022 abgelehnt.
Durch die Heranziehung der Antragsteller zu den im Rahmen der GWZ im Zensus 2022 angeforderten Auskünften sei das Recht auf informationelle Selbstbestimmung nicht verletzt. Die Ausgestaltung des Zensus 2022 entspreche den Vorgaben, die das Bundesverfassungsgericht in seinem Urteil vom 19. September 2018 (Az.: 2 BvF 1/15 und 2/15) zum Zensus 2011 sowie in dem zur Volkszählung ergangenen Urteil vom 15. Dezember 1983 (Az.: 1 BvR 209/83 u.a.) gemacht habe. Die rechtlichen Schutzmechanismen des ZensG 2022 blieben dabei nicht hinter denjenigen des Zensusgesetzes 2011 zurück. Der Grundsatz der Verhältnismäßigkeit sei gewahrt. Auch unter Berücksichtigung der Fortentwicklung der statistischen Wissenschaft seien Möglichkeiten einer grundrechtsschonenderen Datenerhebung nicht ersichtlich. Verbleibende Restrisiken der Deanonymisierung und Reidentifizierung seien zwar nicht auszuschließen, als notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik jedoch hinzunehmen. Die Heranziehung zur Auskunftserteilung verstoße auch nicht gegen datenschutzrechtliche Bestimmungen und sei insbesondere mit den Regelungen der Datenschutzgrundverordnung vereinbar. Das Hosting des öffentlichen Bereichs der Zensus 2022-Homepage durch einen US-amerikanischen Dienstleister stehe der Rechtmäßigkeit der Durchführung des Zensus 2022 nicht entgegen. Die Verarbeitung von Hosting-Daten durch den Dienstleister erfolge nur in europäischen Rechenzentren und unter ausschließlicher Nutzung europäisch registrierter IP-Adressen. Befragungsdaten der Auskunftspflichtigen zum Zensus seien von der Verarbeitung nicht umfasst, sondern lediglich allgemein zugängliche Metadaten, wie IP-Adresse des Abrufs, Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs. Der Antragsgegner dürfe auf die vertraglichen Zusagen des Dienstleisters vertrauen. Die Einlassungen der Antragsteller zu einem denkbaren Zugriff US-amerikanischer Sicherheitsbehörden im Rahmen des sog. "CLOUD-Act" blieben spekulativ und stünden einer Datenerhebung durch den Antragsgegner auch deshalb nicht entgegen, weil das Bundesverfassungsgericht verbleibende Restrisiken trotz Anspannung aller zumutbaren Vorkehrungen als grundsätzlich notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik akzeptiert habe. Überdies sei der US-amerikanische IT-Dienstleister nach Auskunft des Bundesbeauftragten für den Datenschutz aufgrund zwischenzeitlich vorgenommener Änderungen beim Aufruf des Online-Fragebogens nicht mehr eingebunden, sodass auch eine Übermittlung von Metadaten nicht mehr erfolge. Damit griffen auch die von dem EuGH (Rechtssache C-311/18 "Schrems II") geäußerten Bedenken gegen eine Übertragung personenbezogener Daten von EU-Bürgern in die Vereinigten Staaten nicht durch. Die Übermittlung der eigentlichen Befragungsdaten erfolge unter Einhaltung der Vorgaben des Zensusvorbereitungsgesetzes 2022 verschlüsselt, womit der Gefahr des Zugriffs unbefugter Dritter wirksam begegnet werde. Dabei stehe es den Antragstellern frei, den Fragebogen in Papierform einzureichen. Die hierfür zur technischen Umsetzung in Gestalt der Digitalisierung eingebundene Firma sei zur Geheimhaltung verpflichtet. Sie habe kein Datenzugriffsrecht und erbringe damit unter datenschutzrechtlichen Aspekten keine Dienstleistung, die einen intensiveren Zugriff auf Daten der Antragsteller erlaube, als beispielsweise die Beauftragung eines privaten Postunternehmens, das mit Übergabe eines Briefs jedenfalls potenziell gleichfalls Zugriff auf die darin enthaltenen Daten habe.
Gegen den Beschluss ist das Rechtsmittel der Beschwerde zum Oberverwaltungsgericht Rheinland-Pfalz zulässig.
Verwaltungsgericht Neustadt, Beschluss vom 27. Oktober 2022 – 3 L 763/22.NW
OLG Karlsruhe
Beschluss vom 07.09.2022 15 Verg 8/22
Das OLG Karlsruhe hat entschieden, dass US-Cloud-Anbieter bzw. deren europäische Tochterunternehmen nicht generell wegen fehlender DSGVO-Konformität von Vergabeverfahren auszuschließen sind.
Aus den Entscheidungsgründen: b) Das Angebot der Beigeladenen ist auch nicht auszuschließen, weil ihr Angebot von den Anforderungen der Antragsgegnerinnen an Datenschutz und IT-Sicherheit abweicht.
aa) Der öffentliche Auftraggeber darf ohne Widerspruch zu § 127 Abs. 4 Satz 1 GWB grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird (OLG Düsseldorf, Beschluss vom 26.08.2018, Verg 23/18, juris Rn. 71; KG, Beschluss vom 21.11.2014, Verg 22/13, juris, Rn. 36). Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu prüfen (OLG Düsseldorf, a.a.O.; KG, a.a.O.; OLG Frankfurt a.M., Beschluss vom 16.06.201, 11 Verg 3/15, juris, Rn. 82; OLG Brandenburg, Beschluss vom 20.11.2012, Verg W 10/12, juris Rn. 21).
bb) Die Vergabeunterlagen verlangten die softwaretechnische Einhaltung des beigefügten DS-GVO-Vertragsentwurfs (4.1.1. lit. c der Vergabeunterlagen). Weiter heißt es, „die Einzelheiten ergeben sich aus dem Leistungsverzeichnis und dem Lastenheft der Vergabeunterlagen.“ Im Lastenheft heißt es unter 2.8 „Erfüllung der Anforderungen aus der DS-GVO und dem BDSG, insbesondere
- Erfüllung der datenschutzrechtlichen Grundsätze, Art. 5, 25 DS-GVO (insbesondere Datenminimierung, Datenschutz durch Technikgestaltung, Datenschutz durch datenschutzfreundliche Voreinstellungen)
- Umsetzung ausreichender technischer und organisatorischer Maßnahmen (Art. 32 DS-GVO) oder anderer geeigneter Garantien (z.B. Zertifizierung nach Art. 42 DS-GVO); Möglichkeit zur Vorortprüfung des Auftragnehmers muss gegeben sein.“
Im Lastenheft weisen die Antragsgegnerinnen darauf hin, dass die Anforderungen an die Leistungen als zum Ausschluss führende A-Kriterien und bewertungsrelevante B-Kriterien ausgestaltet sind. Danach ist allein die softwaretechnische Einhaltung des DS-GVO-Vertragsentwurfs Ausschlusskriterium (Lastenheft lfd. Nr. 19), während die DS-GVO konformen softwaretechnischen Möglichkeiten zur Berechtigungssteuerung (Lastenheft lfd. Nr. 20) und die Vorgabe, wonach die Daten ausschließlich in einem EU-/EWR-Rechenzentrum verarbeitet werden, bei dem kein Subdienstleister / Konzernunternehmen in Drittstaaten ansässig ist (Lastenheft lfd. Nr. 21), als B-Kriterien ausgestaltet.
Durch die Unterzeichnung der von den Antragsgegnerinnen vorgegebenen DS-GVO-Verträgen hat die Beigeladene erklärt, die gemachten Vorgaben einzuhalten. Sie hat zudem ihre Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot im Einzelnen näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben. Sie hat in diesem Zuge zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich an die A. S.à.r.l., L., übermittelt werden und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden. Zudem hat die Beigeladene erklärt, dass die A. S.à.r.l., L. ihr gegenüber zugesichert habe, dass alle Daten der Beigeladenen in Deutschland verarbeitet werden und in der mündlichen Verhandlung vor dem Senat zudem bestätigt, dass sie bis zur Angebotsverwirklichung sämtliche intern notwendigen Verträge mit A. schließen wird, die ihre Zusagen, wie sie im Angebot gemacht werden, umsetzen. Im Sinne einer solchen bindenden Zusicherung haben die Antragsgegnerinnen die Erklärungen der Beigeladenen in den Vergabeunterlagen auch verstanden. Auf dieses Leistungsversprechen dürfen die Antragsgegnerinnen vertrauen.
(1) Zweifel mussten die Antragsgegnerinnen nicht deshalb haben, weil A. Verträge im Allgemeinen unter Einbeziehung der A. DPA abschließt. Die A. DPA waren nicht Gegenstand des Angebots der Beigeladenen. Die Verträge mit A. waren nach den Vergabeunterlagen nicht vorzulegen und lagen dem Angebot auch nicht bei. Folglich bestand für die Antragsgegnerinnen keine Veranlassung, an den im Leistungsversprechen gemachten Zusicherungen zu zweifeln, weil die A. DPA möglicherweise datenschutzrechtliche Defizite aufweisen könnten, wie dies die Vergabekammer aufgezeigt hat oder weil deren Formulierung als dreiseitige Vereinbarung, in die auch die A. Inc., USA, einbezogen ist, Zweifel an der Einhaltung der DS-GVO begründen könnten. Aufgrund des im Angebot beschriebenen Leistungsversprechens und den abgegebenen Garantien in Bezug auf die konkrete Auftragsdurchführung können die Antragsgegnerinnen davon ausgehen, dass die Beigeladene sich hieran hält und ihre Verträge mit A. entsprechend gestaltet, ungeachtet etwaiger Bestimmungen in den als AGB ausgestalteten A. DPA. Die Beigeladene hat folglich dafür Sorge zu tragen, dass sie ihre Leistung entsprechend der abgegebenen Garantien umsetzt und durchführt.
(2) Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.
(3) Die erstmals am Schluss der mündlichen Verhandlung vor dem Vergabesenat von der Antragstellerin erhobene Rüge, die Beigeladene setze C. ein, wobei von A. Daten in die USA übertragen würden, auch werde die IP-Adresse in die USA übertragen, was die Beigeladene bestritten hat, ist wegen des im Vergabenachprüfungsverfahren im Interesse der Auftraggeber und der Allgemeinheit an einer raschen Auftragsvergabe geltenden Beschleunigungsgrundsatzes unbeachtlich. Weshalb die Antragstellerin dies nicht hätte früher rügen können, hat sie nicht nachvollziehbar erklärt. Es ist nicht davon auszugehen, dass die Recherche besonders aufwendig war, denn es genügte eine Eingabe in die R.-APP, um diese Informationen zu erhalten, wie die Antragstellerin erklärt hat. Der behauptete Verstoß gegen die DS-GVO wegen einer Datenübermittlung in die USA war bereits Kernargument des Rügeschreibens der Antragstellerin vom 09.05.2022.
Selbst wenn man den Vortrag als zulässig erachten würde, wird das Leistungsversprechen der Beigeladenen damit nicht in Zweifel gezogen. Denn daraus lässt sich nicht schließen, dass die Verwendung von C. und die Übermittlung der IP-Adresse in die USA Teil der den Antragsgegnerinnen angebotenen Leistung ist.
(4) Da die Antragsgegnerinnen folglich nicht davon ausgehen mussten, dass die personenbezogenen Gesundheitsdaten von der Beigeladenen im Rahmen der Vertragserfüllung in ein Drittland übermittelt werden, bedurfte es der Durchführung eines Transfer Impact Assessments nicht. Dessen Fehlen stellt keine Abweichung von den Ausschreibungsbedingungen dar.
(5) Im Hinblick auf das Versprechen der Beigeladenen, dass die Daten ausschließlich in Deutschland verarbeitet werden, kommt es nicht darauf an, ob die Beigeladene begleitende organisatorische und technische Maßnahmen, insbesondere auch im Hinblick auf eine sichere Verschlüsselung, zusagte, die erforderlich sind, damit die Übermittlung von Daten in die USA im Einklang mit den Bestimmungen der DS-GVO steht.
Allerdings weist der Senat darauf hin, dass die Vergabekammer, die einen anderen rechtlichen Ansatz wählte und für die es daher für die Einhaltung der DS-GVO unter anderem auf eine effiziente Verschlüsselungstechnik ankam, die von der Beigeladenen als geheimhaltungsbedürftig gekennzeichneten Angaben nicht hätte unberücksichtigt lassen dürfen. In Fällen, in denen eine Weitergabe von Informationen zum Schutz von Geschäftsgeheimnissen eines der Beteiligten unterbleiben muss, ist dem vielmehr durch eine entsprechende Verfahrensgestaltung (wegen der Einzelheiten: BGH, Beschluss vom 31.01.2017, X ZB 10/16, juris) Rechnung zu tragen.
c) Die Antragsgegnerinnen haben nicht gegen ihre Aufklärungspflicht nach § 60 Abs. 1 VgV verstoßen. Sie haben, weil die Beigeladene im zurückversetzten Verfahren teilweise erheblich günstigere Preise anbot als im ursprünglichen Vergabeverfahren, die Preise aufgeklärt. Die Preisprüfung erstreckt sich darauf, ob der angebotene Gesamtpreis im Verhältnis zur Leistung ungewöhnlich oder unangemessen niedrig ist und zur Leistung in einem Missverhältnis steht (vgl. OLG Düsseldorf, Beschluss vom 08.06. 2016, VII-Verg 57/15, juris). Eine darauf gerichtete Preisprüfung haben die Antragsgegnerinnen vorgenommen. Die Erklärungen der Beigeladenen und die hierzu vorgelegten Unterlagen haben die Antragsgegnerinnen als zufriedenstellend bewertet und dies in den Vergabeunterlagen nachvollziehbar dargestellt und dokumentiert. Ergänzend wird zur Vermeidung von Wiederholungen auf die zutreffenden Ausführungen der Vergabekammer Bezug genommen. Folglich ist das Angebot der Beigeladenen nicht nach § 60 Abs. 3 VgV von der Wertung auszuschließen.
The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.
The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities.
The Trans-Atlantic Data Privacy Framework reflects more than a year of detailed negotiations between the U.S. and E.U. led by Secretary of Commerce Gina Raimondo and Commissioner for Justice Didier Reynders. It will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens' rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises. By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.
The announcement is another demonstration of the strength of the U.S.-EU relationship, in that we continue to deepen our partnership as a community of democracies to ensure both security and respect for privacy and to enable economic opportunities for our companies and citizens. The new Framework will facilitate further U.S.-EU cooperation, including through the Trade and Technology Council and through multilateral fora, such as the Organisation for Economic Cooperation and Development, on digital policies.
The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission's assessment in its future adequacy decision.
Fact Sheet:
The European Commission and the United States reached an agreement in principle for a Trans-Atlantic Data Privacy Framework.
Key principles
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies
• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards
• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court
• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce
• Specific monitoring and review mechanisms
Benefits of the deal
• Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II)
• Safe and secure data flows
• Durable and reliable legal basis
• Competitive digital economy and economic cooperation
• Continued data flows underpinning €900 billion in cross-border commerce every year
Next steps: The agreement in principle will now be translated into legal documents. The U.S.
commitments will be included in an Executive Order that will form the basis of a draft adequacy
decision by the Commission to put in place the new Trans-Atlantic Data Privacy Framework.
Die Beschwerde der Antragsgegnerin gegen den im Tenor genannten Beschluss des Verwaltungsgerichts Wiesbaden vom 1. Dezember 2021 ist zulässig. Sie ist insbesondere statthaft, soweit sich die Antragsgegnerin gegen die erlassene einstweilige Anordnung wendet. Erkennbar greift die Antragsgegnerin den Beschluss vom 1. Dezember 2021 nicht an, soweit damit das erstinstanzliche Eilverfahren teilweise eingestellt worden ist, zumal diese Entscheidung unanfechtbar ist (§ 92 Abs. 3 Satz 2 VwGO). Die so verstandene Beschwerde der Antragsgegnerin ist rechtzeitig gestellt und fristgerecht begründet worden. Der angefochtene Beschluss ist der Antragsgegnerin am Tag seines Erlasses am 1. Dezember 2021 zugestellt worden. Mit dem am 15. Dezember 2021 beim Verwaltungsgericht eingegangenen Beschwerdeschriftsatz vom selben Tag ist daher die Beschwerdefrist von zwei Wochen nach § 147 Abs. 1 Satz 1 VwGO gewahrt worden. Die Beschwerde ist mit am 3. Januar 2022, einem Montag, beim Hessischen Verwaltungsgerichtshof eingegangenem Schriftsatz vom selben Tag begründet worden, so dass auch die einmonatige Begründungsfrist des § 146 Abs. 4 Satz 4 VwGO eingehalten worden ist. Die vorgelegte Begründung genügt auch den hieran zu stellenden gesetzlichen Anforderungen.
Die Beschwerde der Beigeladenen ist ebenfalls zulässig.
Die vom Verwaltungsgericht mit Beschluss vom 14. Dezember 2021 vorgenommene Beiladung der Beigeladenen, die diese mit am 13. Dezember 2021 beim Verwaltungsgericht eingegangenem Schriftsatz vom selben Tag beantragt hatte, ist wirksam. Dies gilt ungeachtet des Umstandes, dass das Verwaltungsgericht zunächst den Schriftsatz der Beigeladenen mit dem Antrag auf Beiladung vom 13. Dezember 2021 am 14. Dezember 2021 den (bisherigen) Beteiligten übermittelt hatte mit Gelegenheit zur Stellungnahme hierzu innerhalb von zwei Tagen, jedoch noch am 14. Dezember 2021 den Beiladungsbeschluss erlassen hat, ohne die von ihm selbst gesetzte Frist abzuwarten. Auch wenn diese Vorgehensweise ungewöhnlich oder gar bedenklich erscheinen mag, ist die Beiladung nicht unwirksam. Der Beiladungsbeschluss ist mit der laut Empfangsbekenntnis (Bl. 764 der Gerichtsakte) am 14. Dezember 2021 erfolgten Zustellung wirksam geworden und zwar unabhängig davon, dass dieser Beschluss entgegen der ausdrücklichen Regelung in § 65 Abs. 4 Satz 1 VwGO den (bisherigen) Beteiligten nicht zugestellt, sondern nur einfach zur Kenntnis gebracht worden ist (vgl. Kopp/Schenke, VwGO, 27. Aufl. 2021, § 65, Rn. 25 und 35). Obwohl zum Zeitpunkt des Erlasses und der Zustellung des Beiladungsbeschlusses am 14. Dezember 2021 der die Instanz abschließende Beschluss des Verwaltungsgerichts Wiesbaden vom 1. Dezember 2021 noch am selben Tag an die (bisherigen) Beteiligten zugestellt worden war (Empfangsbekenntnisse Bl. 728a und 728b der Gerichtsakte), war das erstinstanzliche Verfahren zum Zeitpunkt des Erlasses des Beiladungsbeschlusses am 14. Dezember 2021 mangels Ablaufs der Rechtsmittelfrist noch nicht rechtskräftig abgeschlossen im Sinne von § 65 Abs. 1 VwGO. Das Verfahren war auch noch nicht im Sinne der genannten Vorschrift in der höheren Instanz anhängig. Die Beschwerde der Antragsgegnerin ist erst einen Tag später, am 15. Dezember 2021, beim Verwaltungsgericht eingegangen, so dass frühestens zu diesem Zeitpunkt der Devolutiveffekt der Rechtsmitteleinlegung eingetreten sein kann, wodurch die Zuständigkeit der höheren Instanz begründet und die bisherige Instanz beendet worden ist. Da die Beiladung nach alldem als wirksam anzusehen ist, ist hiermit die Beigeladene Beteiligte des Verfahrens geworden und gem. § 146 Abs. 1 VwGO berechtigt, Beschwerde gegen den angefochtenen Beschluss einzulegen, obwohl sie selbst bis zum Erlass dieses Beschlusses an dem Verfahren nicht beteiligt gewesen ist.
Die Rechtsmittelfrist von zwei Wochen nach § 147 Abs. 1 Satz 1 VwGO lief für die Beigeladene erst ab der zusammen mit dem Beiladungsbeschluss vom 14. Dezember 2021 erfolgter Zustellung des (hier angefochtenen) Beschlusses vom 1. Dezember 2021 an diese am 14. Dezember 2021, so dass mit dem am 19. Dezember 2021 beim Verwaltungsgericht eingegangenen Beschwerdeschriftsatz vom selben Tag die Rechtsmittelfrist gem. § 147 Abs. 1 Satz 1 VwGO durch die Beigeladene gewahrt worden ist. Die Beschwerde ist mit am 14. Januar 2022 beim Hessischen Verwaltungsgerichtshof eingegangenem Schriftsatz vom selben Tag begründet worden, so dass auch die Begründungsfrist von einem Monat (§ 146 Abs. 4 Satz 4 VwGO) eingehalten worden ist. Die Begründung entspricht auch den hieran zu stellenden Anforderungen (§ 146 Abs. 4 Satz 3 VwGO).
Randnummer5
Die Beschwerden sind auch begründet. Das Verwaltungsgericht hätte die vom Antragsteller begehrte einstweilige Anordnung nicht erlassen dürfen.
Gemäß § 146 Abs. 4 Satz 1 VwGO ist die Beschwerde gegen Beschlüsse des Verwaltungsgerichts in Verfahren des vorläufigen Rechtsschutzes unter anderem gemäß § 123 VwGO - wie im vorliegenden Fall - innerhalb eines Monats nach Bekanntgabe der Entscheidung zu begründen. Die Begründung muss nach Satz 3 der Vorschrift einen bestimmten Antrag enthalten, die Gründe darlegen, aus denen die Entscheidung abzuändern oder aufzuheben ist, und sich mit der angefochtenen Entscheidung auseinandersetzen. Gemäß § 146 Abs. 4 Satz 6 VwGO prüft das Oberverwaltungsgericht - in Hessen der Hessische Verwaltungsgerichtshof - nur die dargelegten Gründe.
Es bedarf keines abschließenden Eingehens darauf, ob dem Vorbringen der Beigeladenen zu folgen ist, der Antragsteller sei der Verpflichtung im Tenor des angefochtenen Beschlusses, innerhalb von vier Wochen Klage zum Verwaltungsgericht zu erheben, deswegen nicht hinreichend nachgekommen, weil er zwar innerhalb der Frist Klage erhoben habe, diese jedoch einen anderen Gegenstand betreffe, weil der Antragsteller im Rahmen der begehrten einstweilen Anordnung eine Unterlassung der Antragsgegnerin beantragt hatte, während er im Klageverfahren ein Handeln fordere. Damit sei der Beschluss wegen fehlender Klageerhebung unwirksam geworden, so dass er im Beschwerdeverfahren aufzuheben sei. Es bedarf auch keines Eingehens darauf, ob dem Einwand des Antragstellers zu folgen ist, aus der Begründung in der Klageschrift sei hinreichend deutlich zu erkennen, dass er von der dortigen Beklagten - der hiesigen Antragsgegnerin - ein Unterlassen begehre, und bei der Antragsfassung in der Klageschrift handele es sich insofern lediglich um einen Schreibfehler. Allerdings hat der Antragsteller dem Verwaltungsgericht zwar mitgeteilt, er begehre ein Unterlassen, jedoch keine konkrete Korrektur des Klageantrags vorgenommen.
Das Verwaltungsgericht hätte die einstweilige Anordnung bereits deswegen nicht erlassen dürfen, weil der Antragsteller einen Anordnungsgrund im Sinne von § 123 Abs. 3 VwGO i.V.m. § 920 Abs. 2 ZPO nicht glaubhaft gemacht hat. Sowohl die Antragsgegnerin als auch die Beigeladene haben im Rahmen ihres Beschwerdevorbringens geltend gemacht, der angefochtene Beschluss lasse keine Ausführungen zum Anordnungsgrund erkennen. Zudem liege ein Anordnungsgrund nicht vor, weil der Antragsteller nicht auf die Nutzung der Website der Antragsgegnerin angewiesen sei und nicht glaubhaft gemacht habe, dass ihm ohne Nutzung dieser Seite wesentliche Nachteile im Sinne von § 123 Abs. 1 Satz 2 VwGO drohten. Dieser Einwand greift durch.
Gemäß § 123 Abs. 1 Satz 2 VwGO ist eine einstweilige Anordnung zur Regelung eines vorläufigen Zustandes in Bezug auf ein streitiges Rechtsverhältnis zulässig, wenn diese Regelung, vor allem bei dauernden Rechtsverhältnissen, um wesentliche Nachteile abzuwenden oder drohende Gewalt zu verhindern oder aus anderen Gründen nötig erscheint. Gemäß § 123 Abs. 3 ZPO i.V.m. § 920 Abs. 2 ZPO sind der geltend gemachte Anspruch sowie der Anordnungsgrund glaubhaft zu machen. Anordnungsanspruch und Anordnungsgrund sind jeweils eigene Voraussetzungen für den Erlass einer einstweiligen Anordnung. Die Glaubhaftmachung eines Anordnungsanspruchs führt nicht automatisch zur Annahme auch eines Anordnungsgrundes. Für das Vorliegen eines Anordnungsgrundes ist Voraussetzung, dass es dem Antragsteller unter Berücksichtigung seiner Interessen und der öffentlichen Interessen sowie etwaiger Interessen anderer Personen nicht zumutbar ist, die Hauptsacheentscheidung abzuwarten (Hess. VGH, Beschluss vom 5. Februar 1993 – 7 TG 2479/92 –, juris; Kopp/Schenke, a. a. O., § 123 Rn. 26). Nach der Konzeption der Verwaltungsgerichtsordnung wird Rechtsschutz grundsätzlich im Klageverfahren gewährt. Nur ausnahmsweise erscheint es notwendig, bereits vor einer Entscheidung im Hauptsacheverfahren eine Regelung zu treffen, wenn dies aufgrund der in § 123 Abs. 1 VwGO genannten Umstände zwingend notwendig erscheint. Das einstweilige Anordnungsverfahren ist dabei ein eigenständiges „Sicherungsverfahren“ und kein verkürztes oder komprimiertes Hauptsacheverfahren. Die erlassene einstweilige Anordnung steht immer unter dem Vorbehalt einer anderen Entscheidung im Klageverfahren. Dabei gilt grundsätzlich das Verbot der Vorwegnahme der Hauptsache (Kopp/Schenke, a. a. O., § 123 Rn. 13ff.). Ausnahmsweise kommt die Vorwegnahme der Hauptsache im Verfahren des vorläufigen Rechtsschutzes im Betracht, wenn das Abwarten der Hauptsacheentscheidung für den Antragsteller schwere und unzumutbare, nachträglich nicht mehr zu beseitigende Nachteile zur Folge hätte, wobei dem jeweils betroffenen Grundrecht und den Erfordernissen eines effektiven Rechtsschutzes Rechnung zu tragen ist (BVerwG, Beschluss vom 26. November 2013 - 6VR 3/13 -, NVwZ-RR 2014, 558, juris, Rn. 5).
Randnummer10
Gemessen hieran hat der Antragsteller einen Anordnungsgrund nicht glaubhaft gemacht. Er begehrt mit dem Erlass einer einstweiligen Anordnung eine Regelung, die der im Klageverfahren zu erlangenden Regelung gleichkäme, so dass hierin eine jedenfalls zeitweilige Vorwegnahme der Hauptsache zu sehen ist. Die hierfür erforderliche Voraussetzung, dass ein Abwarten der Hauptsacheentscheidung zu nachträglich nicht mehr zu beseitigenden schwerwiegenden Nachteilen auf Seiten des Antragstellers führen könnte, ergibt sich aus seinen Darlegungen nicht.
In seinem Antragsschriftsatz vom 8. Juni 2021 hat der Antragsteller auf Seite 1 vorgetragen, er nutze die Website der Antragstellerin zur Information über Fachliteratur. Auf Seite 14 des Schriftsatzes hat er ausgeführt, ein Anordnungsgrund liege vor, weil die ständige und mehrfache rechtswidrige Erfassung von Surfprofilen (und Übermittlung) an unzuverlässige und undurchsichtige US-amerikanische Unternehmen des Google-Konzerns nebst weiterer Übermittlung an ungenannte Kooperationspartner einen Kontrollverlust seiner Surfprofile bedeute, der irreversibel sei, so dass ein Abwarten der Hauptsacheentscheidung nicht zumutbar sei. Bereits hieraus ergibt sich entgegen seiner Behauptung das Vorliegen eines Anordnungsgrundes nicht.
Mit der begehrten und im angefochtenen Beschluss erlassenen einstweiligen Anordnung wird eine Regelung nur für die Zukunft erreicht. Soweit bereits in der Vergangenheit bei Zugriffen des Antragstellers auf die Website der Antragsgegnerin personenbezogene Daten erfasst, gespeichert und gegebenenfalls verarbeitet und weitergegeben worden sein sollten, würde sich hieran durch die begehrte einstweilige Anordnung nichts ändern. Die Gefahr einer erneuten - eventuell rechtswidrigen - Erfassung, Speicherung und Verarbeitung von Daten des Antragstellers bestünde indessen nur dann, wenn dieser erneut auf die Website der Antragstellerin zugreift und Fragen nach der Verwendung von Cookies beantwortet. Aus seinem Vortrag ist nicht zu entnehmen, dass für ihn auch in Zukunft die Notwendigkeit besteht, auf die Website der Antragsgegnerin zuzugreifen. Er ist nicht Mitglied der Antragsgegnerin - einer Universität - so dass er auf die die Forschung und Lehre betreffenden Inhalte dieser Website nicht zugreifen muss. Zwar mag die fragliche Website auch außenstehenden Internetnutzern zur Verfügung stehen. Jedoch steht es einem Interessenten frei, ob er diese nutzt oder nicht, falls ihm damit verbundene Nutzungsmodalitäten oder dergleichen nicht zusagen und er seine persönlichen Daten als nicht hinreichend geschützt ansieht. Auch der Antragsteller kann aus diesen Gründen den Zugriff auf die Website der Antragsgegnerin unterlassen. Für die vom Antragsteller geltend gemachte Recherche nach Fachliteratur ist er nicht zwingend auf die Nutzung der Website der Antragsgegnerin angewiesen. Vielmehr stehen hierfür zahlreiche Alternativen zur Verfügung, die der Antragsteller nutzen kann. Es ist daher nicht ersichtlich, welche schweren, unzumutbaren und nachträglich nicht mehr rückgängig zu machenden Nachteile dem Antragsteller drohen sollten, wenn er zeitweilig bis zu einer rechtskräftigen Entscheidung in der Hauptsache von etwaigen Zugriffen auf die Website der Antragsgegnerin keinen Gebrauch macht, was er vermutlich auch weiterhin machen würde, sollte er im Hauptsacheverfahren unterliegen. Zutreffend macht daher die Antragsgegnerin geltend, der Antragsteller habe nicht dargelegt und glaubhaft gemacht, dass die Nutzung der Website der Antragsgegnerin für seine Berufsausübung oder sonstige Grundrechtsausübung notwendig sei. Dies gilt erst recht, wenn der Vortrag der Antragsgegnerin auf Seite 12 des Begründungsschriftsatzes zutreffen sollte, deren Richtigkeit der Antragsteller allerdings in Abrede stellt, bei Befolgung der erlassenen einstweiligen Anordnung müsse sie letztlich die Website in Gänze abschalten. Unter diesen Umständen könnte auch der Antragsteller diese nicht mehr nutzen, so dass er auch keine Vorteile aus dieser Website mehr ziehen könnte. In diesem Fall hätte er mit der erlassenen einstweiligen Anordnung nicht eine datenschutzrechtlich konforme Möglichkeit erlangt, auf die Website der Antragsgegnerin zuzugreifen, sondern hätte gar keine Möglichkeit mehr zu einem Zugriff.
Aufgrund dieser Überlegungen liegen im vorliegenden Fall auch die Voraussetzungen nicht vor, unter denen das Bundesverfassungsgericht angenommen hat, das Vorliegen eines Anordnungsgrundes sei von Verfassungs wegen durch die Rechtsweggarantie des Art. 19 Abs. 4 GG indiziert. Dies ist nach dieser Rechtsprechung nämlich nur dann der Fall, wenn zum einen eine hohe Wahrscheinlichkeit für einen Erfolg des Antragstellers im Hauptsacheverfahren angenommen werden kann, und bei Versagung des vorläufigen Rechtsschutzes die Gefahr fortschreitender Rechtsvereitelung von Grundrechtspositionen besteht (BVerfG, Kammerbeschluss vom 28. September 2009 – 1 BvR 1702/09 – juris, Rn. 24). Ohne dass Veranlassung besteht, den Grad der Wahrscheinlichkeit des Obsiegens des Antragstellers im Hauptsacheverfahren näher zu prüfen, besteht hier eine solche Gefahr fortschreitender Rechtsvereitelung nicht. Die Antragsgegnerin erfasst, speichert oder verarbeitet im vorliegenden Fall keine persönlichen Daten des Antragstellers ohne dessen Zutun, sondern allenfalls, wenn dieser bewusst und gewollt auf ihre Website zugreift. Wie bereits ausgeführt ist nicht ersichtlich, dass der Antragsteller darauf angewiesen sein könnte, ohne schwerwiegende Nachteile zu erleiden, auch in Zukunft auf die Website der Antragsgegnerin zuzugreifen, so dass es ihm zuzumuten ist, hierauf zeitweilig zu verzichten.
Die Ausführungen des Antragstellers in seinem Beschwerdeerwiderungsschriftsatz vom 5. Januar 2022 zum Vorliegen eines Anordnungsgrundes auf Seite 31 bis 35 des Schriftsatzes rechtfertigen keine andere Entscheidung. Der Antragsteller trägt auch hier nicht vor, aufgrund welcher Erwägungen er auf die Nutzung der Website der Antragsgegnerin und der hierin enthaltenen Informationen über deren Universitätsbibliothek zwingend angewiesen sein soll oder zumindest ihrer so dringend bedarf, dass für ihn bei zeitweiliger Nichtnutzung der Website erhebliche und nicht anderweitig zu behebende und nicht wiedergutzumachende Nachteile entstünden. Der Antragsteller macht vielmehr Ausführungen, die allenfalls einen Anordnungsanspruch zu begründen geeignet sind. Hieraus ergibt sich jedoch kein Anordnungsgrund, da dieser – wie oben bereits gesagt – eigene Voraussetzungen hat, die selbstständig darzulegen und zu prüfen sind.
So trägt er etwa vor, es sei daran zu erinnern, dass schon bei der Vorratsdatenspeicherung trotz der dort weniger sensiblen Datenarten der einstweilige Rechtsschutzantrag erfolgreich gewesen sei, und verweist insofern auf einen Beschluss des Bundesverfassungsgerichts vom 4. April 2008 mit dem Az. 1 BvR 256/08. In juris findet sich mit dem vom Antragsteller angegebene Aktenzeichen keine Entscheidung des Bundesverfassungsgerichts unter dem von dem Antragsteller genannten Datum 4. April 2008, jedoch ein Beschluss vom 11. März 2008, den der Antragsteller vermutlich meint. Dort hat zwar das Bundesverfassungsgericht mehreren Verfassungsbeschwerden teilweise stattgegeben. Jedoch lag dem eine andere Fallgestaltung als vorliegend zu Grunde, da die Vorratsdatenspeicherung, die Gegenstand der dortigen Entscheidung gewesen ist, erfolgte, ohne dass die eigentlichen Inhaber der gespeicherten Daten hierauf Einfluss hatten. Gleiches gilt für die vom Antragsteller aufgeführte Entscheidung des OVG Nordrhein-Westfalen (Beschluss vom 22. Juni 2017 – 13 B 238/17 -, NVwZ-RR 2018, 43, juris, Rn. 16). Antragstellerin dort war zudem ein IT-Unternehmen, das für rund 1.200 Geschäftskunden aus Deutschland und andere Mitgliedstaaten der Europäischen Union Internetdienstleistungen einschließlich Internetzugangsleistungen erbringt. Dieses Unternehmen war durch Regelungen des Telekommunikationsgesetzes zur Vorratsdatenspeicherung verpflichtet worden, wogegen es sich gewandt hatte. Dieser Verpflichtung zur Datenspeicherung konnte sich die dortige Antragstellerin somit nicht auf anderem Wege entziehen. Im vorliegenden Fall kann der Antragsteller jedoch insofern auf die Erfassung und Speicherung seiner Daten Einfluss nehmen, als er den Zugriff auf die Website der Antragsgegnerin unterlässt. Ohne einen solchen Zugriff werden seine persönlichen Daten nicht erfasst und auch nicht weitergegeben. Dass ihm ein solches Unterlassen jedenfalls für den begrenzten Zeitraum bis zu einer rechtskräftigen Entscheidung im Hauptsacheverfahren nicht möglich oder auch nur unzumutbar wäre, hat er nicht glaubhaft gemacht.
Auch der Hinweis des Antragstellers darauf, im Hinblick auf die Drittlandsübermittlung und sonstige Verarbeitung sei eine unionrechtskonforme Auslegung von § 123 VwGO und Art. 19 Abs. 4 GG geboten, weil der EuGH in einer näher bezeichneten Entscheidung dahingehend erkannt habe, dass eine Datenschutz-Aufsichtsbehörde nach Art. 58 Datenschutzgrundverordnung unzulässige Drittlandsübermittlungen unterbinden müsse, wenn die Erfordernisse der Art. 45 und 46 Datenschutzgrundverordnung nicht anderweitig sichergestellt werden könnten, greift schon deswegen nicht durch, weil eine Aufsichtsbehörde im vorliegenden Fall nicht beteiligt ist, so dass auch etwaige Pflichten einer solchen Behörde hier nicht zum Tragen kommen können. Entgegen der Annahme des Antragstellers kann auch keine Rede davon sein, dass durch fragwürdige Auslegungen deutschen Rechts die Durchsetzung des Vorrangs europäischen Verordnungsrechts in unzulässiger Weise behindert werde. Diesem Aspekt kann nämlich im Hauptsacheverfahren hinreichend Rechnung getragen werden, ohne dass es insofern einer vorläufigen Regelung in einem Verfahren einstweiligen Rechtsschutzes bedarf. Vorläufiger Rechtsschutz ist nur ausnahmsweise zu gewähren, wenn sonst ein irreparabler Rechtsverlust durch eine Hauptsacheentscheidung nicht mehr verhindert werden könnte, wie der Antragsteller selbst auf Seite 35, letzter Absatz, seines Schriftsatzes vom 5. Januar 2022 vorträgt. Dies ist jedoch hier deswegen nicht zu gewärtigen, weil nicht vorgetragen und ersichtlich ist, dass der Antragsteller notwendigerweise auf die Nutzung der Website der Antragsgegnerin angewiesen ist und hierauf auch nicht zeitweilig bis zum rechtskräftigen Abschluss des Verfahrens verzichten könnte, ohne wesentliche Nachteile zu erleiden.
Auch der Hinweis des Antragstellers darauf, der Europäische Gerichtshof habe in einer näher bezeichneten Entscheidung dahingehend erkannt, dass es einem nationalen Verfassungsgericht aufgrund des Vorrangs des Unionsrechts versagt sei, im einstweiligen Rechtsschutz jedenfalls bei anhängiger EuGH-Vorlage eine einstweilige nicht grundrechtskonforme Regelung zu treffen und den EuGH auch nur zeitweise zu präjudizieren, gebietet keine andere Entscheidung. Im vorliegenden Fall geht es nicht um eine den europarechtlichen Regelungen widersprechende Rechtslage, die vorläufig aufrechterhalten werden soll. Vielmehr ist im Streit, ob die Handlungsweise der Antragsgegnerin mit den Regelungen und Vorgaben der Datenschutzgrundverordnung in Einklang stehen und ob und in welchem Umfang sich gegebenenfalls Abwehr- oder Unterlassungsansprüche des Antragstellers ergeben können. Von der auch nur zeitweilig erfolgenden „Aufrechterhaltung entgegenstehenden nationalen Rechts“ kann daher hier keine Rede sein.
Zu Unrecht wendet sich der Antragsteller auch gegen die Auffassung der Beigeladenen, im Verfahren des vorläufigen Rechtsschutzes sei nur eine summarische Prüfung angezeigt, so dass eine komplexe Rechtslage in einem Verfahren des vorläufigen Rechtsschutzes nicht geklärt werden könne. Diese Auffassung der Beigeladenen trifft vielmehr zu. Allein der Umfang der von den Beteiligten eingereichten Schriftsätze und ihre Anlagen sowie die Vielzahl der infrage stehenden tatsächlichen und rechtlichen Fragen sprechen deutlich gegen die Geeignetheit einer Klärung in einem Verfahren des vorläufigen Rechtsschutzes. Erneut sei darauf hingewiesen, dass es sich hierbei nur um ein Sonderverfahren zur Sicherung der Rechte der Beteiligten handelt, und um kein abgekürztes Hauptsacheverfahren.
Schließlich ist auch der Hinweis des Antragstellers auf Seite 35 seines Schriftsatzes vom 5. Januar 2022, eine Regelung eines vorläufigen Zustandes sei nach § 123 Abs. 1 VwGO ausdrücklich auch schon vor Klageerhebung vorgesehen, nicht geeignet, eine für ihn günstigere Entscheidung herbeizuführen. Diese Regelung bedeutet lediglich, dass das Verwaltungsgericht bereits dann eine Sicherungsanordnung nach § 123 Abs. 1 Satz 1 VwGO oder auch eine Regelungsanordnung nach Satz 2 der Vorschrift treffen kann, wenn ein Hauptsacheverfahren noch nicht anhängig ist, so dass es an einer „Hauptsache“ im Sinne von § 123 Abs. 2 Satz 1 VwGO (noch) fehlt. Dies bedeutet jedoch nicht, dass die sonstigen spezifischen gesetzlichen Voraussetzungen für den Erlass einer einstweiligen Anordnung unbeachtet gelassen werden könnten. Vielmehr kann eine einstweilige Anordnung nur unter den mit Absicht und zu Recht sehr enggefassten gesetzlichen Voraussetzungen des § 123 Abs. 1 VwGO ergehen, die nach den obigen Ausführungen hier nicht erkennbar sind und sich insbesondere nicht aus dem Vortrag des Antragstellers ergeben.
Auf die zulässigen Beschwerden ist daher der angefochtene Beschluss aufzuheben, ohne dass es eines Eingehens auf die übrigen Einwendungen der Antragsgegnerin und der Beigeladenen bedarf. Dabei sind allerdings die Einstellungsentscheidung in Satz 1 des Tenors sowie die Streitwertfestsetzung im letzten Satz des Tenors hiervon auszunehmen. Die Anträge der Antragsgegnerin und der Beigeladenen auf Aussetzung der Vollziehung des angefochtenen Beschlusses sind damit ebenfalls erledigt.
Über die Kosten des Verfahrens beider Rechtszüge ist hier zu entscheiden (§ 161 Abs. 1 VwGO). Die Kosten fallen grundsätzlich nach § 154 Abs. 1 VwGO dem Antragsteller als unterliegendem Teil zur Last. Dabei ist jedoch zu berücksichtigen, dass die Einstellungsentscheidung hinsichtlich des von den (ursprünglichen) Beteiligten im Termin vor der Kammer des Verwaltungsgerichts für erledigt erklärten Teils des Verfahrens unanfechtbar ist und auch nicht angefochten worden ist. Von der Unanfechtbarkeit ist nach § 158 Abs. 2 VwGO auch die diesen Teil betreffende Kostenentscheidung umfasst. Das Verwaltungsgericht hat in den Gründen des angefochtenen Beschlusses ausgeführt, dass die Kosten des erledigten Teils dem Antragsteller zur Last fielen und die Kosten des verbliebenen Teils, der zu seinen Gunsten entschieden worden ist, der Antragsgegnerin aufzuerlegen seien. Es hat daher unter Annahme einer kostenmäßigen Gleichwertigkeit beider Teile die Kosten des Verfahrens insgesamt gegeneinander aufgehoben. Dies hat zur Folge, dass die Gerichtskosten jedem der Beteiligten zur Hälfte zur Last fallen (§ 155 Abs. 1 Satz 2 VwGO) und beide Beteiligte ihre außergerichtlichen Kosten selbst tragen. Nach der Aufhebung der erlassenen einstweiligen Anordnung hat der Antragsteller auch die hierauf entfallenden Gerichtskosten zu tragen. Gleiches gilt für die Gerichtskosten des Beschwerdeverfahrens, so dass ihm die Gerichtskosten des gesamten Verfahrens beider Instanzen aufzuerlegen sind. Die Hälfte der außergerichtlichen Kosten der Antragsgegnerin im erstinstanzlichen Verfahren müssen jedoch bei ihr verbleiben, weil insofern die Entscheidung des Verwaltungsgerichts über die gegenseitige Aufhebung der Kosten aufrechtzuerhalten ist. Dem Antragsteller können daher von den außergerichtlichen Kosten der Antragsgegnerin im erstinstanzlichen Verfahren nur die Hälfte auferlegt werden, die sich auf den hier noch streitigen Teil des erstinstanzlichen Verfahrens bezogen haben. Hingegen hat er die außergerichtlichen Kosten der Antragsgegnerin im Beschwerdeverfahren in vollem Umfang zu tragen. Die außergerichtlichen Kosten der Beigeladenen sind unter Anwendung von § 162 Abs. 3 VwGO ebenfalls dem Antragsteller aufzuerlegen, zumal sich die Beigeladene durch Einlegung des Rechtsmittels und Stellung eines Antrags selbst in ein Kostenrisiko begeben hat (§ 154 Abs. 3 Satz 1 VwGO).
Die Streitwertfestsetzung beruht auf § 47 Abs. 1 Satz 1, Abs. 2 Satz 1 i.V.m. § 53 Abs. 2 Nr. 1 und § 52 Abs. 1 und Abs. 2 GKG. Wegen der Vorläufigkeit der Entscheidung im einstweiligen Rechtsschutz ist der Auffangwert des § 52 Abs. 2 VwGO in Anlehnung an die Empfehlung in Nr. 1.5 des Streitwertkatalogs für die Verwaltungsgerichtsbarkeit um die Hälfte zu reduzieren. Im vorliegenden Beschwerdeverfahren war nur noch ein ursprünglich vom Antragsteller verfolgter Antragsteil Beschwerdegegenstand, so dass nur vom einfachen Auffangwert des § 52 Abs. 2 VwGO auszugehen und dieser zu halbieren ist.
VG Wiesbaden
Beschluss vom 01.12.2021 6 L 738/21.WI
Das VG Wiesbaden hat entschieden, dass die Verwendung des Cookie-Consent-Tools Cookiebot gegen die DSGVO verstößt, da eine rechtswidrige Übermittlung personenbezogener Daten in die USA erfolgt.
Hochschule RheinMain darf auf ihrer Webseite nicht den Dienst „Cookiebot“ nutzen
Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden. „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.
Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.
Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.
Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.
„Cookiebot“ verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.
Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Dienst „Cookiebot“ erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.
Gegen den Beschluss (Az.: 6 L 738/21.WI) kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.
Anhang:
Artikel 44 DS-GVO (Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)
Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]
Art. 48 DS-GVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.
Art 49 DS-GVO – Ausnahmen für bestimmte Fälle
[1] Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, […]
Die EU-Kommission hat die Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung angenommen:
Datenschutz: Kommission nimmt Angemessenheitsbeschlüsse zum Vereinigten Königreich an
Die Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen - einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Beide Beschlüsse treten heute in Kraft. Personenbezogene Daten können nun ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wo für sie dort ein Schutzniveau gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist Die beiden Angemessenheitsbeschlüsse erleichtern zudem die ordnungsgemäße Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich, welches den Austausch personenbezogener Daten (beispielsweise im Rahmen der justiziellen Zusammenarbeit) vorsieht. Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen. Beide Angemessenheitsbeschlüsse enthalten starke Garantien für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die ihre jeweilige Geltungsdauer auf vier Jahre begrenzt wird.
Věra Jourová (Vizepräsidentin für Werte und Transparenz) erklärte dazu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen. Zugleich haben wir die Bedenken, die vom Parlament, von den Mitgliedstaaten und vom Europäischen Datenschutzausschuss unter anderem hinsichtlich möglicher künftiger Abweichungen von unseren Standards im Datenschutzrahmen des Vereinigten Königreichs geäußert worden sind, sehr aufmerksam zur Kenntnis genommen. Es geht hier um ein Grundrecht der EU-Bürgerinnen und -Bürger, das wir schützen müssen. Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen.“
Didier Reynders (Kommissar für Justiz) fügte hinzu: „Nach monatelanger sorgfältiger Prüfung können wir den EU-Bürgerinnen und -Bürgern heute die Gewissheit geben, dass ihre personenbezogenen Daten bei Übermittlungen in das Vereinigte Königreich geschützt sind. Dies ist ein wesentlicher Bestandteil unserer neuen Beziehungen zum Vereinigten Königreich. Er ist wichtig für einen reibungslosen Handel und eine wirksame Kriminalitätsbekämpfung. Die Kommission wird eng verfolgen, wie sich das System des Vereinigten Königreichs künftig entwickelt. Um dies zu ermöglichen und gegebenenfalls eingreifen zu können, haben wir unsere Beschlüsse verstärkt. Die EU hat die höchsten Standards auf dem Gebiet des Schutzes personenbezogener Daten, und diese dürfen nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übermittelt werden.“
Wichtigste Elemente der Angemessenheitsbeschlüsse
Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war. Das Vereinigte Königreich hat die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vollumfänglich in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen.
In Bezug auf den Zugriff auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit) sieht das System des Vereinigten Königreichs starke Garantien vor. Insbesondere die Datenerhebungen durch Nachrichtendienste unterliegen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Alle Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein. Wer sich unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sieht, kann Klage beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse) einreichen. Das Vereinigte Königreich unterliegt zudem der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen sind ein wesentlicher Bestandteil des in den beiden Angemessenheitsbeschlüssen bewerteten Rechtsrahmens.
Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus. Danach könnten sie erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsbeschlüsse zu erneuern, würde der Annahmeprozess erneut eingeleitet.
Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen, um einer unlängst ergangenen Entscheidung des Berufungsgerichts von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen der Datenschutzrechte in diesem Bereich Rechnung zu tragen. Sobald diese Situation nach dem Recht des Vereinigten Königreichs geklärt ist, wird die Kommission die Notwendigkeit dieses Ausschlusses neu prüfen.
Hintergrund
Die Kommission hat am 19. Februar zwei Entwürfe von Angemessenheitsbeschlüssen veröffentlicht und das Verfahren zu ihrer Annahme eingeleitet. In den vergangenen Monaten hat die Kommission die Rechtsvorschriften und die Praktiken des Vereinigten Königreichs auf dem Gebiet des Schutzes personenbezogener Daten einschließlich der Bestimmungen über den Datenzugriff von Behörden im Vereinigten Königreich gründlich bewertet. Die Kommission stand in engem Kontakt mit dem Europäischen Datenschutzausschuss, der seine einschlägige Stellungnahme am 13. April abgegeben hat, mit dem Europäischen Parlament und mit den Mitgliedstaaten. Nach dieser gründlichen Prüfung holte die Europäische Kommission im Rahmen des sogenannten Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten zu den beiden Angemessenheitsbeschlüssen ein. Die heute erfolgte, an die Zustimmung der Vertreter der Mitgliedstaaten anschließende Annahme der Beschlüsse war der letzte Schritt dieses Verfahrens. Die beiden Angemessenheitsbeschlüsse treten heute in Kraft.
Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich enthält eine Selbstverpflichtung der EU und des Vereinigten Königreichs zur Aufrechterhaltung hoher Datenschutzstandards. Das Abkommen sieht zudem vor, dass jede im Zuge seiner Umsetzung durchzuführende Datenübermittlung im Einklang mit den maßgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei (im Falle der EU sind dies die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung) stehen müssen. Die Annahme der beiden einseitigen und eigenständigen Angemessenheitsbeschlüsse ist eine wichtige Maßnahme zur Sicherstellung der ordnungsgemäßen Anwendung und des reibungslosen Funktionierens des Abkommens. Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich sieht ferner eine bedingte Übergangsregelung vor, in deren Rahmen Daten ungehindert aus der EU in das Vereinigte Königreich übermittelt werden können. Der Übergangszeitraum endet am 30. Juni 2021.
