Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.
Aus den Entscheidungsgründen: Die Klage ist nur teilweise zulässig.
I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.
II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.
III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.
IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.
V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.
VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.
VII. Im Übrigen ist die Klage zulässig.
B.
Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.
Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.
II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.
1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.
2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.
III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.
1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.
2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.
3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.
a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.
b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.
c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.
d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.
4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.
5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.
6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.
IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“
So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.
V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.
1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.
2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.
3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.
VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.
VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.
Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA erlassen (EU-US Data Privacy Framework).
Die Pressemitteilung der EU-Kommission: Datenschutz: Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA
Die Europäische Kommission hat heute ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.
Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen; so ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben. Der neue Rahmen bringt erhebliche Verbesserungen gegenüber dem im Rahmen des Datenschutzschilds bestehenden Mechanismus mit sich. Stellt das Gericht zur Datenschutzüberprüfung beispielsweise fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Pflichten ergänzen, denen US-Unternehmen, die Daten aus der EU einführen, nachkommen müssen.
Präsidentin Ursula von der Leyen erklärte: „Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich im vergangenen Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stärken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.“
US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
Den EU-Bürgerinnen und -Bürgern werden mehrere Rechtsbehelfe offen stehen, falls ihre Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.
Darüber hinaus sieht der US-Rechtsrahmen bestimmte Garantien in Bezug auf den Zugang von US-Behörden zu innerhalb des Rahmens übermittelten Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu Daten ist auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt.
Einzelpersonen in der EU werden im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden unabhängig untersuchen und beilegen, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen.
Die von den Vereinigten Staaten eingeführten Garantien werden zudem den transatlantischen Datenverkehr generell erleichtern, da sie auch für die Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften gelten.
Nächste Schritte
Die Funktionsweise des Datenschutzrahmens EU-USA soll regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden.
Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.
Hintergrund
Gemäß Artikel 45 Absatz 3 der Datenschutzgrundverordnung (DSGVO) kann die Kommission im Wege eines Durchführungsrechtsakts beschließen, dass ein Drittland ein „angemessenes Schutzniveau“ bietet, das heißt einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) in ein Drittland übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf.
Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche über einen neuen Rahmen auf, in dem die vom Gerichtshof erhobenen Bedenken angegangen wurden.
Im März 2022 gaben Präsidentin von der Leyen und Präsident Biden bekannt, dass sie im Anschluss an die Verhandlungen zwischen Kommissionsmitglied Reynders und US-Handelsministerin Raimondo eine grundsätzliche Einigung über einen neuen transatlantischen Rahmen für den Datenverkehr erzielt haben. Im Oktober 2022 unterzeichnete Präsident Biden ein einschlägiges Dekret („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“), das durch Verordnungen des US-Generalstaatsanwalts Garland ergänzt wurde. Mit diesen beiden Instrumenten wurden die von den Vereinigten Staaten im Rahmen dieser grundsätzlichen Einigung eingegangenen Verpflichtungen in US-amerikanisches Recht umgesetzt und die Pflichten der US-amerikanischen Unternehmen innerhalb des Datenschutzrahmens EU‑USA ergänzt.
Ein wesentliches Element des US-Rechtsrahmens, in dem diese Garantien verankert sind, ist das US-Dekret zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten im Bereich Fernmelde- und elektronische Aufklärung („Enhancing Safeguards for United States Signals Intelligence Activities“), in dem die vom Gerichtshof der Europäischen Union im „Schrems II“-Urteil vom Juli 2020 angeführten Kritikpunkte aufgegriffen werden.
Der Rahmen wird vom US-Handelsministerium verwaltet und überwacht. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Vorschriften durch US-Unternehmen durchsetzen.
Facebook / Meta soll 1,2 Milliarden EURO Bußgeld wegen DSGVO-widriger Übermittlung personenbezogener Daten in die USA zahlen.
Die Pressemitteilung des European Data Protection Board (EDPB): 1.2 billion euro fine for Facebook as a result of EDPB binding decision
Brussels, 22 May - Following the EDPB’s binding dispute resolution decision of 13 April 2023, Meta Platforms Ireland Limited (Meta IE) was issued a 1.2 billion euro fine following an inquiry into its Facebook service, by the Irish Data Protection Authority (IE DPA). This fine, which is the largest GDPR fine ever, was imposed for Meta’s transfers of personal data to the U.S. on the basis of standard contractual clauses (SCCs) since 16 July 2020. Furthermore, Meta has been ordered to bring its data transfers into compliance with the GDPR.
Andrea Jelinek, EDPB Chair, said: “The EDPB found that Meta IE’s infringement is very serious since it concerns transfers that are systematic, repetitive and continuous. Facebook has millions of users in Europe, so the volume of personal data transferred is massive. The unprecedented fine is a strong signal to organisations that serious infringements have far-reaching consequences.”
In its binding decision of 13 April 2023, the EDPB instructed the IE DPA to amend its draft decision and to impose a fine on Meta IE. Given the seriousness of the infringement, the EDPB found that the starting point for calculation of the fine should be between 20% and 100% of the applicable legal maximum. The EDPB also instructed the IE DPA to order Meta IE to bring processing operations into compliance with Chapter V GDPR, by ceasing the unlawful processing, including storage, in the U.S. of personal data of European users transferred in violation of the GDPR, within 6 months after notification of the IE SA’s final decision.
The IE DPA's final decision incorporates the legal assessment expressed by the EDPB in its binding decision, adopted on the basis of Art. 65(1)(a) GDPR after the IE DPA, as lead supervisory authority (LSA), had triggered a dispute resolution procedure concerning the objections raised by several concerned supervisory authorities (CSAs). Among others, CSAs issued objections aiming to include an administrative fine and/or an additional order to bring processing into compliance*.
The final decision taken by the IE DPA is available in the Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
VG Neustadt
Beschluss vom 27.10.2022 3 L 763/22.NW
Das VG Neustadt hat entschieden, dass die Datenerhebung und Datenspeicherung durch das Statistische Landesamt Rheinland-Pfalz im Rahmen des Zensus 2022 rechtmäßig und datenschutzkonform war bzw. ist.
Die Pressemitteilung des Gerichts: Datenerhebung im Rahmen des Zensus 2022 rechtmäßig
Das Statistische Landesamt Rheinland-Pfalz ist berechtigt, im Zuge der Gebäude- und Wohnungszählung (GWZ) im Rahmen des Zensus 2022 die im Gesetz zur Durchführung des Zensus im Jahr 2022 (ZensG 2022) näher bezeichneten, strukturellen Angaben einschließlich sog. statistischer Hilfsmerkmale zu erheben. Dies geht aus einem Beschluss des Verwaltungsgerichts Neustadt/Wstr. vom 27. Oktober 2022 hervor.
Die Antragsteller bewohnen ein Anwesen im Landkreis Kaiserslautern. Der Antragsgegner erinnerte die Antragsteller mit Schreiben vom 27. Juni 2022 an die Beantwortung und Rückleitung der Datenanforderung zur GWZ bis zum 10. Juli 2022, nachdem diese ihrer Erklärungspflicht bis zu diesem Zeitpunkt nicht nachgekommen waren. Mit der Erinnerung wurde den Antragstellern mitgeteilt, dass sie die Fragen Online beantworten oder in Papierform an einen näher bezeichneten privaten Dienstleister senden könnten, der den Papierbogen digitalisiere und zur Geheimhaltung verpflichtet sei.
Am 4. Juli 2022 legten die Antragsteller dagegen Widerspruch ein. Der Widerspruch wurde mit Widerspruchsbescheid vom 4. August 2022 zurückgewiesen. Nach Zustellung des Widerspruchsbescheids erhoben die Antragsteller am 12.9.2022 Klage und suchten um vorläufigen gerichtlichen Rechtsschutz nach, mit der Begründung, dass die einschlägigen Rechtsvorschriften des Zensusgesetzes 2022 und die dort geregelte Behandlung von Hilfsmerkmalen verfassungswidrig seien. Der wirksame Schutz digital gespeicherter Daten könne grundsätzlich nicht gewährleistet werden, eine Deanonymisierung sei nicht ausgeschlossen. Der US-amerikanische IT-Dienstleister, der in den Betrieb der Internetpräsenz „www.zensus2022.de“ eingebunden sei, könne auf technische Daten zugreifen und biete im öffentlichen Teil der Website ein Kontaktformular an, über das Nutzer Statistikämter anschreiben könnten. Hierzu seien persönliche Daten einzugeben, deren Weitergabe an unbefugte Dritte nicht ausgeschlossen werden könne. Das vertraglich zugesicherte Versprechen des Dienstleisters, Daten ausschließlich auf europäischen Servern zu verarbeiten, sei mit Blick auf den „CLOUD Act“ unzureichend. Die Einbindung des Dienstleisters sei damit zugleich unionsrechtswidrig.
Der Antrag wurde mit Beschluss der 3. Kammer vom 27. Oktober 2022 abgelehnt.
Durch die Heranziehung der Antragsteller zu den im Rahmen der GWZ im Zensus 2022 angeforderten Auskünften sei das Recht auf informationelle Selbstbestimmung nicht verletzt. Die Ausgestaltung des Zensus 2022 entspreche den Vorgaben, die das Bundesverfassungsgericht in seinem Urteil vom 19. September 2018 (Az.: 2 BvF 1/15 und 2/15) zum Zensus 2011 sowie in dem zur Volkszählung ergangenen Urteil vom 15. Dezember 1983 (Az.: 1 BvR 209/83 u.a.) gemacht habe. Die rechtlichen Schutzmechanismen des ZensG 2022 blieben dabei nicht hinter denjenigen des Zensusgesetzes 2011 zurück. Der Grundsatz der Verhältnismäßigkeit sei gewahrt. Auch unter Berücksichtigung der Fortentwicklung der statistischen Wissenschaft seien Möglichkeiten einer grundrechtsschonenderen Datenerhebung nicht ersichtlich. Verbleibende Restrisiken der Deanonymisierung und Reidentifizierung seien zwar nicht auszuschließen, als notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik jedoch hinzunehmen. Die Heranziehung zur Auskunftserteilung verstoße auch nicht gegen datenschutzrechtliche Bestimmungen und sei insbesondere mit den Regelungen der Datenschutzgrundverordnung vereinbar. Das Hosting des öffentlichen Bereichs der Zensus 2022-Homepage durch einen US-amerikanischen Dienstleister stehe der Rechtmäßigkeit der Durchführung des Zensus 2022 nicht entgegen. Die Verarbeitung von Hosting-Daten durch den Dienstleister erfolge nur in europäischen Rechenzentren und unter ausschließlicher Nutzung europäisch registrierter IP-Adressen. Befragungsdaten der Auskunftspflichtigen zum Zensus seien von der Verarbeitung nicht umfasst, sondern lediglich allgemein zugängliche Metadaten, wie IP-Adresse des Abrufs, Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs. Der Antragsgegner dürfe auf die vertraglichen Zusagen des Dienstleisters vertrauen. Die Einlassungen der Antragsteller zu einem denkbaren Zugriff US-amerikanischer Sicherheitsbehörden im Rahmen des sog. "CLOUD-Act" blieben spekulativ und stünden einer Datenerhebung durch den Antragsgegner auch deshalb nicht entgegen, weil das Bundesverfassungsgericht verbleibende Restrisiken trotz Anspannung aller zumutbaren Vorkehrungen als grundsätzlich notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik akzeptiert habe. Überdies sei der US-amerikanische IT-Dienstleister nach Auskunft des Bundesbeauftragten für den Datenschutz aufgrund zwischenzeitlich vorgenommener Änderungen beim Aufruf des Online-Fragebogens nicht mehr eingebunden, sodass auch eine Übermittlung von Metadaten nicht mehr erfolge. Damit griffen auch die von dem EuGH (Rechtssache C-311/18 "Schrems II") geäußerten Bedenken gegen eine Übertragung personenbezogener Daten von EU-Bürgern in die Vereinigten Staaten nicht durch. Die Übermittlung der eigentlichen Befragungsdaten erfolge unter Einhaltung der Vorgaben des Zensusvorbereitungsgesetzes 2022 verschlüsselt, womit der Gefahr des Zugriffs unbefugter Dritter wirksam begegnet werde. Dabei stehe es den Antragstellern frei, den Fragebogen in Papierform einzureichen. Die hierfür zur technischen Umsetzung in Gestalt der Digitalisierung eingebundene Firma sei zur Geheimhaltung verpflichtet. Sie habe kein Datenzugriffsrecht und erbringe damit unter datenschutzrechtlichen Aspekten keine Dienstleistung, die einen intensiveren Zugriff auf Daten der Antragsteller erlaube, als beispielsweise die Beauftragung eines privaten Postunternehmens, das mit Übergabe eines Briefs jedenfalls potenziell gleichfalls Zugriff auf die darin enthaltenen Daten habe.
Gegen den Beschluss ist das Rechtsmittel der Beschwerde zum Oberverwaltungsgericht Rheinland-Pfalz zulässig.
Verwaltungsgericht Neustadt, Beschluss vom 27. Oktober 2022 – 3 L 763/22.NW
OLG Karlsruhe
Beschluss vom 07.09.2022 15 Verg 8/22
Das OLG Karlsruhe hat entschieden, dass US-Cloud-Anbieter bzw. deren europäische Tochterunternehmen nicht generell wegen fehlender DSGVO-Konformität von Vergabeverfahren auszuschließen sind.
Aus den Entscheidungsgründen: b) Das Angebot der Beigeladenen ist auch nicht auszuschließen, weil ihr Angebot von den Anforderungen der Antragsgegnerinnen an Datenschutz und IT-Sicherheit abweicht.
aa) Der öffentliche Auftraggeber darf ohne Widerspruch zu § 127 Abs. 4 Satz 1 GWB grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird (OLG Düsseldorf, Beschluss vom 26.08.2018, Verg 23/18, juris Rn. 71; KG, Beschluss vom 21.11.2014, Verg 22/13, juris, Rn. 36). Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu prüfen (OLG Düsseldorf, a.a.O.; KG, a.a.O.; OLG Frankfurt a.M., Beschluss vom 16.06.201, 11 Verg 3/15, juris, Rn. 82; OLG Brandenburg, Beschluss vom 20.11.2012, Verg W 10/12, juris Rn. 21).
bb) Die Vergabeunterlagen verlangten die softwaretechnische Einhaltung des beigefügten DS-GVO-Vertragsentwurfs (4.1.1. lit. c der Vergabeunterlagen). Weiter heißt es, „die Einzelheiten ergeben sich aus dem Leistungsverzeichnis und dem Lastenheft der Vergabeunterlagen.“ Im Lastenheft heißt es unter 2.8 „Erfüllung der Anforderungen aus der DS-GVO und dem BDSG, insbesondere
- Erfüllung der datenschutzrechtlichen Grundsätze, Art. 5, 25 DS-GVO (insbesondere Datenminimierung, Datenschutz durch Technikgestaltung, Datenschutz durch datenschutzfreundliche Voreinstellungen)
- Umsetzung ausreichender technischer und organisatorischer Maßnahmen (Art. 32 DS-GVO) oder anderer geeigneter Garantien (z.B. Zertifizierung nach Art. 42 DS-GVO); Möglichkeit zur Vorortprüfung des Auftragnehmers muss gegeben sein.“
Im Lastenheft weisen die Antragsgegnerinnen darauf hin, dass die Anforderungen an die Leistungen als zum Ausschluss führende A-Kriterien und bewertungsrelevante B-Kriterien ausgestaltet sind. Danach ist allein die softwaretechnische Einhaltung des DS-GVO-Vertragsentwurfs Ausschlusskriterium (Lastenheft lfd. Nr. 19), während die DS-GVO konformen softwaretechnischen Möglichkeiten zur Berechtigungssteuerung (Lastenheft lfd. Nr. 20) und die Vorgabe, wonach die Daten ausschließlich in einem EU-/EWR-Rechenzentrum verarbeitet werden, bei dem kein Subdienstleister / Konzernunternehmen in Drittstaaten ansässig ist (Lastenheft lfd. Nr. 21), als B-Kriterien ausgestaltet.
Durch die Unterzeichnung der von den Antragsgegnerinnen vorgegebenen DS-GVO-Verträgen hat die Beigeladene erklärt, die gemachten Vorgaben einzuhalten. Sie hat zudem ihre Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot im Einzelnen näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben. Sie hat in diesem Zuge zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich an die A. S.à.r.l., L., übermittelt werden und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden. Zudem hat die Beigeladene erklärt, dass die A. S.à.r.l., L. ihr gegenüber zugesichert habe, dass alle Daten der Beigeladenen in Deutschland verarbeitet werden und in der mündlichen Verhandlung vor dem Senat zudem bestätigt, dass sie bis zur Angebotsverwirklichung sämtliche intern notwendigen Verträge mit A. schließen wird, die ihre Zusagen, wie sie im Angebot gemacht werden, umsetzen. Im Sinne einer solchen bindenden Zusicherung haben die Antragsgegnerinnen die Erklärungen der Beigeladenen in den Vergabeunterlagen auch verstanden. Auf dieses Leistungsversprechen dürfen die Antragsgegnerinnen vertrauen.
(1) Zweifel mussten die Antragsgegnerinnen nicht deshalb haben, weil A. Verträge im Allgemeinen unter Einbeziehung der A. DPA abschließt. Die A. DPA waren nicht Gegenstand des Angebots der Beigeladenen. Die Verträge mit A. waren nach den Vergabeunterlagen nicht vorzulegen und lagen dem Angebot auch nicht bei. Folglich bestand für die Antragsgegnerinnen keine Veranlassung, an den im Leistungsversprechen gemachten Zusicherungen zu zweifeln, weil die A. DPA möglicherweise datenschutzrechtliche Defizite aufweisen könnten, wie dies die Vergabekammer aufgezeigt hat oder weil deren Formulierung als dreiseitige Vereinbarung, in die auch die A. Inc., USA, einbezogen ist, Zweifel an der Einhaltung der DS-GVO begründen könnten. Aufgrund des im Angebot beschriebenen Leistungsversprechens und den abgegebenen Garantien in Bezug auf die konkrete Auftragsdurchführung können die Antragsgegnerinnen davon ausgehen, dass die Beigeladene sich hieran hält und ihre Verträge mit A. entsprechend gestaltet, ungeachtet etwaiger Bestimmungen in den als AGB ausgestalteten A. DPA. Die Beigeladene hat folglich dafür Sorge zu tragen, dass sie ihre Leistung entsprechend der abgegebenen Garantien umsetzt und durchführt.
(2) Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.
(3) Die erstmals am Schluss der mündlichen Verhandlung vor dem Vergabesenat von der Antragstellerin erhobene Rüge, die Beigeladene setze C. ein, wobei von A. Daten in die USA übertragen würden, auch werde die IP-Adresse in die USA übertragen, was die Beigeladene bestritten hat, ist wegen des im Vergabenachprüfungsverfahren im Interesse der Auftraggeber und der Allgemeinheit an einer raschen Auftragsvergabe geltenden Beschleunigungsgrundsatzes unbeachtlich. Weshalb die Antragstellerin dies nicht hätte früher rügen können, hat sie nicht nachvollziehbar erklärt. Es ist nicht davon auszugehen, dass die Recherche besonders aufwendig war, denn es genügte eine Eingabe in die R.-APP, um diese Informationen zu erhalten, wie die Antragstellerin erklärt hat. Der behauptete Verstoß gegen die DS-GVO wegen einer Datenübermittlung in die USA war bereits Kernargument des Rügeschreibens der Antragstellerin vom 09.05.2022.
Selbst wenn man den Vortrag als zulässig erachten würde, wird das Leistungsversprechen der Beigeladenen damit nicht in Zweifel gezogen. Denn daraus lässt sich nicht schließen, dass die Verwendung von C. und die Übermittlung der IP-Adresse in die USA Teil der den Antragsgegnerinnen angebotenen Leistung ist.
(4) Da die Antragsgegnerinnen folglich nicht davon ausgehen mussten, dass die personenbezogenen Gesundheitsdaten von der Beigeladenen im Rahmen der Vertragserfüllung in ein Drittland übermittelt werden, bedurfte es der Durchführung eines Transfer Impact Assessments nicht. Dessen Fehlen stellt keine Abweichung von den Ausschreibungsbedingungen dar.
(5) Im Hinblick auf das Versprechen der Beigeladenen, dass die Daten ausschließlich in Deutschland verarbeitet werden, kommt es nicht darauf an, ob die Beigeladene begleitende organisatorische und technische Maßnahmen, insbesondere auch im Hinblick auf eine sichere Verschlüsselung, zusagte, die erforderlich sind, damit die Übermittlung von Daten in die USA im Einklang mit den Bestimmungen der DS-GVO steht.
Allerdings weist der Senat darauf hin, dass die Vergabekammer, die einen anderen rechtlichen Ansatz wählte und für die es daher für die Einhaltung der DS-GVO unter anderem auf eine effiziente Verschlüsselungstechnik ankam, die von der Beigeladenen als geheimhaltungsbedürftig gekennzeichneten Angaben nicht hätte unberücksichtigt lassen dürfen. In Fällen, in denen eine Weitergabe von Informationen zum Schutz von Geschäftsgeheimnissen eines der Beteiligten unterbleiben muss, ist dem vielmehr durch eine entsprechende Verfahrensgestaltung (wegen der Einzelheiten: BGH, Beschluss vom 31.01.2017, X ZB 10/16, juris) Rechnung zu tragen.
c) Die Antragsgegnerinnen haben nicht gegen ihre Aufklärungspflicht nach § 60 Abs. 1 VgV verstoßen. Sie haben, weil die Beigeladene im zurückversetzten Verfahren teilweise erheblich günstigere Preise anbot als im ursprünglichen Vergabeverfahren, die Preise aufgeklärt. Die Preisprüfung erstreckt sich darauf, ob der angebotene Gesamtpreis im Verhältnis zur Leistung ungewöhnlich oder unangemessen niedrig ist und zur Leistung in einem Missverhältnis steht (vgl. OLG Düsseldorf, Beschluss vom 08.06. 2016, VII-Verg 57/15, juris). Eine darauf gerichtete Preisprüfung haben die Antragsgegnerinnen vorgenommen. Die Erklärungen der Beigeladenen und die hierzu vorgelegten Unterlagen haben die Antragsgegnerinnen als zufriedenstellend bewertet und dies in den Vergabeunterlagen nachvollziehbar dargestellt und dokumentiert. Ergänzend wird zur Vermeidung von Wiederholungen auf die zutreffenden Ausführungen der Vergabekammer Bezug genommen. Folglich ist das Angebot der Beigeladenen nicht nach § 60 Abs. 3 VgV von der Wertung auszuschließen.
The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.
The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities.
The Trans-Atlantic Data Privacy Framework reflects more than a year of detailed negotiations between the U.S. and E.U. led by Secretary of Commerce Gina Raimondo and Commissioner for Justice Didier Reynders. It will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens' rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises. By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.
The announcement is another demonstration of the strength of the U.S.-EU relationship, in that we continue to deepen our partnership as a community of democracies to ensure both security and respect for privacy and to enable economic opportunities for our companies and citizens. The new Framework will facilitate further U.S.-EU cooperation, including through the Trade and Technology Council and through multilateral fora, such as the Organisation for Economic Cooperation and Development, on digital policies.
The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission's assessment in its future adequacy decision.
Fact Sheet:
The European Commission and the United States reached an agreement in principle for a Trans-Atlantic Data Privacy Framework.
Key principles
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies
• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards
• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court
• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce
• Specific monitoring and review mechanisms
Benefits of the deal
• Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II)
• Safe and secure data flows
• Durable and reliable legal basis
• Competitive digital economy and economic cooperation
• Continued data flows underpinning €900 billion in cross-border commerce every year
Next steps: The agreement in principle will now be translated into legal documents. The U.S.
commitments will be included in an Executive Order that will form the basis of a draft adequacy
decision by the Commission to put in place the new Trans-Atlantic Data Privacy Framework.
Die Beschwerde der Antragsgegnerin gegen den im Tenor genannten Beschluss des Verwaltungsgerichts Wiesbaden vom 1. Dezember 2021 ist zulässig. Sie ist insbesondere statthaft, soweit sich die Antragsgegnerin gegen die erlassene einstweilige Anordnung wendet. Erkennbar greift die Antragsgegnerin den Beschluss vom 1. Dezember 2021 nicht an, soweit damit das erstinstanzliche Eilverfahren teilweise eingestellt worden ist, zumal diese Entscheidung unanfechtbar ist (§ 92 Abs. 3 Satz 2 VwGO). Die so verstandene Beschwerde der Antragsgegnerin ist rechtzeitig gestellt und fristgerecht begründet worden. Der angefochtene Beschluss ist der Antragsgegnerin am Tag seines Erlasses am 1. Dezember 2021 zugestellt worden. Mit dem am 15. Dezember 2021 beim Verwaltungsgericht eingegangenen Beschwerdeschriftsatz vom selben Tag ist daher die Beschwerdefrist von zwei Wochen nach § 147 Abs. 1 Satz 1 VwGO gewahrt worden. Die Beschwerde ist mit am 3. Januar 2022, einem Montag, beim Hessischen Verwaltungsgerichtshof eingegangenem Schriftsatz vom selben Tag begründet worden, so dass auch die einmonatige Begründungsfrist des § 146 Abs. 4 Satz 4 VwGO eingehalten worden ist. Die vorgelegte Begründung genügt auch den hieran zu stellenden gesetzlichen Anforderungen.
Die Beschwerde der Beigeladenen ist ebenfalls zulässig.
Die vom Verwaltungsgericht mit Beschluss vom 14. Dezember 2021 vorgenommene Beiladung der Beigeladenen, die diese mit am 13. Dezember 2021 beim Verwaltungsgericht eingegangenem Schriftsatz vom selben Tag beantragt hatte, ist wirksam. Dies gilt ungeachtet des Umstandes, dass das Verwaltungsgericht zunächst den Schriftsatz der Beigeladenen mit dem Antrag auf Beiladung vom 13. Dezember 2021 am 14. Dezember 2021 den (bisherigen) Beteiligten übermittelt hatte mit Gelegenheit zur Stellungnahme hierzu innerhalb von zwei Tagen, jedoch noch am 14. Dezember 2021 den Beiladungsbeschluss erlassen hat, ohne die von ihm selbst gesetzte Frist abzuwarten. Auch wenn diese Vorgehensweise ungewöhnlich oder gar bedenklich erscheinen mag, ist die Beiladung nicht unwirksam. Der Beiladungsbeschluss ist mit der laut Empfangsbekenntnis (Bl. 764 der Gerichtsakte) am 14. Dezember 2021 erfolgten Zustellung wirksam geworden und zwar unabhängig davon, dass dieser Beschluss entgegen der ausdrücklichen Regelung in § 65 Abs. 4 Satz 1 VwGO den (bisherigen) Beteiligten nicht zugestellt, sondern nur einfach zur Kenntnis gebracht worden ist (vgl. Kopp/Schenke, VwGO, 27. Aufl. 2021, § 65, Rn. 25 und 35). Obwohl zum Zeitpunkt des Erlasses und der Zustellung des Beiladungsbeschlusses am 14. Dezember 2021 der die Instanz abschließende Beschluss des Verwaltungsgerichts Wiesbaden vom 1. Dezember 2021 noch am selben Tag an die (bisherigen) Beteiligten zugestellt worden war (Empfangsbekenntnisse Bl. 728a und 728b der Gerichtsakte), war das erstinstanzliche Verfahren zum Zeitpunkt des Erlasses des Beiladungsbeschlusses am 14. Dezember 2021 mangels Ablaufs der Rechtsmittelfrist noch nicht rechtskräftig abgeschlossen im Sinne von § 65 Abs. 1 VwGO. Das Verfahren war auch noch nicht im Sinne der genannten Vorschrift in der höheren Instanz anhängig. Die Beschwerde der Antragsgegnerin ist erst einen Tag später, am 15. Dezember 2021, beim Verwaltungsgericht eingegangen, so dass frühestens zu diesem Zeitpunkt der Devolutiveffekt der Rechtsmitteleinlegung eingetreten sein kann, wodurch die Zuständigkeit der höheren Instanz begründet und die bisherige Instanz beendet worden ist. Da die Beiladung nach alldem als wirksam anzusehen ist, ist hiermit die Beigeladene Beteiligte des Verfahrens geworden und gem. § 146 Abs. 1 VwGO berechtigt, Beschwerde gegen den angefochtenen Beschluss einzulegen, obwohl sie selbst bis zum Erlass dieses Beschlusses an dem Verfahren nicht beteiligt gewesen ist.
Die Rechtsmittelfrist von zwei Wochen nach § 147 Abs. 1 Satz 1 VwGO lief für die Beigeladene erst ab der zusammen mit dem Beiladungsbeschluss vom 14. Dezember 2021 erfolgter Zustellung des (hier angefochtenen) Beschlusses vom 1. Dezember 2021 an diese am 14. Dezember 2021, so dass mit dem am 19. Dezember 2021 beim Verwaltungsgericht eingegangenen Beschwerdeschriftsatz vom selben Tag die Rechtsmittelfrist gem. § 147 Abs. 1 Satz 1 VwGO durch die Beigeladene gewahrt worden ist. Die Beschwerde ist mit am 14. Januar 2022 beim Hessischen Verwaltungsgerichtshof eingegangenem Schriftsatz vom selben Tag begründet worden, so dass auch die Begründungsfrist von einem Monat (§ 146 Abs. 4 Satz 4 VwGO) eingehalten worden ist. Die Begründung entspricht auch den hieran zu stellenden Anforderungen (§ 146 Abs. 4 Satz 3 VwGO).
Randnummer5
Die Beschwerden sind auch begründet. Das Verwaltungsgericht hätte die vom Antragsteller begehrte einstweilige Anordnung nicht erlassen dürfen.
Gemäß § 146 Abs. 4 Satz 1 VwGO ist die Beschwerde gegen Beschlüsse des Verwaltungsgerichts in Verfahren des vorläufigen Rechtsschutzes unter anderem gemäß § 123 VwGO - wie im vorliegenden Fall - innerhalb eines Monats nach Bekanntgabe der Entscheidung zu begründen. Die Begründung muss nach Satz 3 der Vorschrift einen bestimmten Antrag enthalten, die Gründe darlegen, aus denen die Entscheidung abzuändern oder aufzuheben ist, und sich mit der angefochtenen Entscheidung auseinandersetzen. Gemäß § 146 Abs. 4 Satz 6 VwGO prüft das Oberverwaltungsgericht - in Hessen der Hessische Verwaltungsgerichtshof - nur die dargelegten Gründe.
Es bedarf keines abschließenden Eingehens darauf, ob dem Vorbringen der Beigeladenen zu folgen ist, der Antragsteller sei der Verpflichtung im Tenor des angefochtenen Beschlusses, innerhalb von vier Wochen Klage zum Verwaltungsgericht zu erheben, deswegen nicht hinreichend nachgekommen, weil er zwar innerhalb der Frist Klage erhoben habe, diese jedoch einen anderen Gegenstand betreffe, weil der Antragsteller im Rahmen der begehrten einstweilen Anordnung eine Unterlassung der Antragsgegnerin beantragt hatte, während er im Klageverfahren ein Handeln fordere. Damit sei der Beschluss wegen fehlender Klageerhebung unwirksam geworden, so dass er im Beschwerdeverfahren aufzuheben sei. Es bedarf auch keines Eingehens darauf, ob dem Einwand des Antragstellers zu folgen ist, aus der Begründung in der Klageschrift sei hinreichend deutlich zu erkennen, dass er von der dortigen Beklagten - der hiesigen Antragsgegnerin - ein Unterlassen begehre, und bei der Antragsfassung in der Klageschrift handele es sich insofern lediglich um einen Schreibfehler. Allerdings hat der Antragsteller dem Verwaltungsgericht zwar mitgeteilt, er begehre ein Unterlassen, jedoch keine konkrete Korrektur des Klageantrags vorgenommen.
Das Verwaltungsgericht hätte die einstweilige Anordnung bereits deswegen nicht erlassen dürfen, weil der Antragsteller einen Anordnungsgrund im Sinne von § 123 Abs. 3 VwGO i.V.m. § 920 Abs. 2 ZPO nicht glaubhaft gemacht hat. Sowohl die Antragsgegnerin als auch die Beigeladene haben im Rahmen ihres Beschwerdevorbringens geltend gemacht, der angefochtene Beschluss lasse keine Ausführungen zum Anordnungsgrund erkennen. Zudem liege ein Anordnungsgrund nicht vor, weil der Antragsteller nicht auf die Nutzung der Website der Antragsgegnerin angewiesen sei und nicht glaubhaft gemacht habe, dass ihm ohne Nutzung dieser Seite wesentliche Nachteile im Sinne von § 123 Abs. 1 Satz 2 VwGO drohten. Dieser Einwand greift durch.
Gemäß § 123 Abs. 1 Satz 2 VwGO ist eine einstweilige Anordnung zur Regelung eines vorläufigen Zustandes in Bezug auf ein streitiges Rechtsverhältnis zulässig, wenn diese Regelung, vor allem bei dauernden Rechtsverhältnissen, um wesentliche Nachteile abzuwenden oder drohende Gewalt zu verhindern oder aus anderen Gründen nötig erscheint. Gemäß § 123 Abs. 3 ZPO i.V.m. § 920 Abs. 2 ZPO sind der geltend gemachte Anspruch sowie der Anordnungsgrund glaubhaft zu machen. Anordnungsanspruch und Anordnungsgrund sind jeweils eigene Voraussetzungen für den Erlass einer einstweiligen Anordnung. Die Glaubhaftmachung eines Anordnungsanspruchs führt nicht automatisch zur Annahme auch eines Anordnungsgrundes. Für das Vorliegen eines Anordnungsgrundes ist Voraussetzung, dass es dem Antragsteller unter Berücksichtigung seiner Interessen und der öffentlichen Interessen sowie etwaiger Interessen anderer Personen nicht zumutbar ist, die Hauptsacheentscheidung abzuwarten (Hess. VGH, Beschluss vom 5. Februar 1993 – 7 TG 2479/92 –, juris; Kopp/Schenke, a. a. O., § 123 Rn. 26). Nach der Konzeption der Verwaltungsgerichtsordnung wird Rechtsschutz grundsätzlich im Klageverfahren gewährt. Nur ausnahmsweise erscheint es notwendig, bereits vor einer Entscheidung im Hauptsacheverfahren eine Regelung zu treffen, wenn dies aufgrund der in § 123 Abs. 1 VwGO genannten Umstände zwingend notwendig erscheint. Das einstweilige Anordnungsverfahren ist dabei ein eigenständiges „Sicherungsverfahren“ und kein verkürztes oder komprimiertes Hauptsacheverfahren. Die erlassene einstweilige Anordnung steht immer unter dem Vorbehalt einer anderen Entscheidung im Klageverfahren. Dabei gilt grundsätzlich das Verbot der Vorwegnahme der Hauptsache (Kopp/Schenke, a. a. O., § 123 Rn. 13ff.). Ausnahmsweise kommt die Vorwegnahme der Hauptsache im Verfahren des vorläufigen Rechtsschutzes im Betracht, wenn das Abwarten der Hauptsacheentscheidung für den Antragsteller schwere und unzumutbare, nachträglich nicht mehr zu beseitigende Nachteile zur Folge hätte, wobei dem jeweils betroffenen Grundrecht und den Erfordernissen eines effektiven Rechtsschutzes Rechnung zu tragen ist (BVerwG, Beschluss vom 26. November 2013 - 6VR 3/13 -, NVwZ-RR 2014, 558, juris, Rn. 5).
Randnummer10
Gemessen hieran hat der Antragsteller einen Anordnungsgrund nicht glaubhaft gemacht. Er begehrt mit dem Erlass einer einstweiligen Anordnung eine Regelung, die der im Klageverfahren zu erlangenden Regelung gleichkäme, so dass hierin eine jedenfalls zeitweilige Vorwegnahme der Hauptsache zu sehen ist. Die hierfür erforderliche Voraussetzung, dass ein Abwarten der Hauptsacheentscheidung zu nachträglich nicht mehr zu beseitigenden schwerwiegenden Nachteilen auf Seiten des Antragstellers führen könnte, ergibt sich aus seinen Darlegungen nicht.
In seinem Antragsschriftsatz vom 8. Juni 2021 hat der Antragsteller auf Seite 1 vorgetragen, er nutze die Website der Antragstellerin zur Information über Fachliteratur. Auf Seite 14 des Schriftsatzes hat er ausgeführt, ein Anordnungsgrund liege vor, weil die ständige und mehrfache rechtswidrige Erfassung von Surfprofilen (und Übermittlung) an unzuverlässige und undurchsichtige US-amerikanische Unternehmen des Google-Konzerns nebst weiterer Übermittlung an ungenannte Kooperationspartner einen Kontrollverlust seiner Surfprofile bedeute, der irreversibel sei, so dass ein Abwarten der Hauptsacheentscheidung nicht zumutbar sei. Bereits hieraus ergibt sich entgegen seiner Behauptung das Vorliegen eines Anordnungsgrundes nicht.
Mit der begehrten und im angefochtenen Beschluss erlassenen einstweiligen Anordnung wird eine Regelung nur für die Zukunft erreicht. Soweit bereits in der Vergangenheit bei Zugriffen des Antragstellers auf die Website der Antragsgegnerin personenbezogene Daten erfasst, gespeichert und gegebenenfalls verarbeitet und weitergegeben worden sein sollten, würde sich hieran durch die begehrte einstweilige Anordnung nichts ändern. Die Gefahr einer erneuten - eventuell rechtswidrigen - Erfassung, Speicherung und Verarbeitung von Daten des Antragstellers bestünde indessen nur dann, wenn dieser erneut auf die Website der Antragstellerin zugreift und Fragen nach der Verwendung von Cookies beantwortet. Aus seinem Vortrag ist nicht zu entnehmen, dass für ihn auch in Zukunft die Notwendigkeit besteht, auf die Website der Antragsgegnerin zuzugreifen. Er ist nicht Mitglied der Antragsgegnerin - einer Universität - so dass er auf die die Forschung und Lehre betreffenden Inhalte dieser Website nicht zugreifen muss. Zwar mag die fragliche Website auch außenstehenden Internetnutzern zur Verfügung stehen. Jedoch steht es einem Interessenten frei, ob er diese nutzt oder nicht, falls ihm damit verbundene Nutzungsmodalitäten oder dergleichen nicht zusagen und er seine persönlichen Daten als nicht hinreichend geschützt ansieht. Auch der Antragsteller kann aus diesen Gründen den Zugriff auf die Website der Antragsgegnerin unterlassen. Für die vom Antragsteller geltend gemachte Recherche nach Fachliteratur ist er nicht zwingend auf die Nutzung der Website der Antragsgegnerin angewiesen. Vielmehr stehen hierfür zahlreiche Alternativen zur Verfügung, die der Antragsteller nutzen kann. Es ist daher nicht ersichtlich, welche schweren, unzumutbaren und nachträglich nicht mehr rückgängig zu machenden Nachteile dem Antragsteller drohen sollten, wenn er zeitweilig bis zu einer rechtskräftigen Entscheidung in der Hauptsache von etwaigen Zugriffen auf die Website der Antragsgegnerin keinen Gebrauch macht, was er vermutlich auch weiterhin machen würde, sollte er im Hauptsacheverfahren unterliegen. Zutreffend macht daher die Antragsgegnerin geltend, der Antragsteller habe nicht dargelegt und glaubhaft gemacht, dass die Nutzung der Website der Antragsgegnerin für seine Berufsausübung oder sonstige Grundrechtsausübung notwendig sei. Dies gilt erst recht, wenn der Vortrag der Antragsgegnerin auf Seite 12 des Begründungsschriftsatzes zutreffen sollte, deren Richtigkeit der Antragsteller allerdings in Abrede stellt, bei Befolgung der erlassenen einstweiligen Anordnung müsse sie letztlich die Website in Gänze abschalten. Unter diesen Umständen könnte auch der Antragsteller diese nicht mehr nutzen, so dass er auch keine Vorteile aus dieser Website mehr ziehen könnte. In diesem Fall hätte er mit der erlassenen einstweiligen Anordnung nicht eine datenschutzrechtlich konforme Möglichkeit erlangt, auf die Website der Antragsgegnerin zuzugreifen, sondern hätte gar keine Möglichkeit mehr zu einem Zugriff.
Aufgrund dieser Überlegungen liegen im vorliegenden Fall auch die Voraussetzungen nicht vor, unter denen das Bundesverfassungsgericht angenommen hat, das Vorliegen eines Anordnungsgrundes sei von Verfassungs wegen durch die Rechtsweggarantie des Art. 19 Abs. 4 GG indiziert. Dies ist nach dieser Rechtsprechung nämlich nur dann der Fall, wenn zum einen eine hohe Wahrscheinlichkeit für einen Erfolg des Antragstellers im Hauptsacheverfahren angenommen werden kann, und bei Versagung des vorläufigen Rechtsschutzes die Gefahr fortschreitender Rechtsvereitelung von Grundrechtspositionen besteht (BVerfG, Kammerbeschluss vom 28. September 2009 – 1 BvR 1702/09 – juris, Rn. 24). Ohne dass Veranlassung besteht, den Grad der Wahrscheinlichkeit des Obsiegens des Antragstellers im Hauptsacheverfahren näher zu prüfen, besteht hier eine solche Gefahr fortschreitender Rechtsvereitelung nicht. Die Antragsgegnerin erfasst, speichert oder verarbeitet im vorliegenden Fall keine persönlichen Daten des Antragstellers ohne dessen Zutun, sondern allenfalls, wenn dieser bewusst und gewollt auf ihre Website zugreift. Wie bereits ausgeführt ist nicht ersichtlich, dass der Antragsteller darauf angewiesen sein könnte, ohne schwerwiegende Nachteile zu erleiden, auch in Zukunft auf die Website der Antragsgegnerin zuzugreifen, so dass es ihm zuzumuten ist, hierauf zeitweilig zu verzichten.
Die Ausführungen des Antragstellers in seinem Beschwerdeerwiderungsschriftsatz vom 5. Januar 2022 zum Vorliegen eines Anordnungsgrundes auf Seite 31 bis 35 des Schriftsatzes rechtfertigen keine andere Entscheidung. Der Antragsteller trägt auch hier nicht vor, aufgrund welcher Erwägungen er auf die Nutzung der Website der Antragsgegnerin und der hierin enthaltenen Informationen über deren Universitätsbibliothek zwingend angewiesen sein soll oder zumindest ihrer so dringend bedarf, dass für ihn bei zeitweiliger Nichtnutzung der Website erhebliche und nicht anderweitig zu behebende und nicht wiedergutzumachende Nachteile entstünden. Der Antragsteller macht vielmehr Ausführungen, die allenfalls einen Anordnungsanspruch zu begründen geeignet sind. Hieraus ergibt sich jedoch kein Anordnungsgrund, da dieser – wie oben bereits gesagt – eigene Voraussetzungen hat, die selbstständig darzulegen und zu prüfen sind.
So trägt er etwa vor, es sei daran zu erinnern, dass schon bei der Vorratsdatenspeicherung trotz der dort weniger sensiblen Datenarten der einstweilige Rechtsschutzantrag erfolgreich gewesen sei, und verweist insofern auf einen Beschluss des Bundesverfassungsgerichts vom 4. April 2008 mit dem Az. 1 BvR 256/08. In juris findet sich mit dem vom Antragsteller angegebene Aktenzeichen keine Entscheidung des Bundesverfassungsgerichts unter dem von dem Antragsteller genannten Datum 4. April 2008, jedoch ein Beschluss vom 11. März 2008, den der Antragsteller vermutlich meint. Dort hat zwar das Bundesverfassungsgericht mehreren Verfassungsbeschwerden teilweise stattgegeben. Jedoch lag dem eine andere Fallgestaltung als vorliegend zu Grunde, da die Vorratsdatenspeicherung, die Gegenstand der dortigen Entscheidung gewesen ist, erfolgte, ohne dass die eigentlichen Inhaber der gespeicherten Daten hierauf Einfluss hatten. Gleiches gilt für die vom Antragsteller aufgeführte Entscheidung des OVG Nordrhein-Westfalen (Beschluss vom 22. Juni 2017 – 13 B 238/17 -, NVwZ-RR 2018, 43, juris, Rn. 16). Antragstellerin dort war zudem ein IT-Unternehmen, das für rund 1.200 Geschäftskunden aus Deutschland und andere Mitgliedstaaten der Europäischen Union Internetdienstleistungen einschließlich Internetzugangsleistungen erbringt. Dieses Unternehmen war durch Regelungen des Telekommunikationsgesetzes zur Vorratsdatenspeicherung verpflichtet worden, wogegen es sich gewandt hatte. Dieser Verpflichtung zur Datenspeicherung konnte sich die dortige Antragstellerin somit nicht auf anderem Wege entziehen. Im vorliegenden Fall kann der Antragsteller jedoch insofern auf die Erfassung und Speicherung seiner Daten Einfluss nehmen, als er den Zugriff auf die Website der Antragsgegnerin unterlässt. Ohne einen solchen Zugriff werden seine persönlichen Daten nicht erfasst und auch nicht weitergegeben. Dass ihm ein solches Unterlassen jedenfalls für den begrenzten Zeitraum bis zu einer rechtskräftigen Entscheidung im Hauptsacheverfahren nicht möglich oder auch nur unzumutbar wäre, hat er nicht glaubhaft gemacht.
Auch der Hinweis des Antragstellers darauf, im Hinblick auf die Drittlandsübermittlung und sonstige Verarbeitung sei eine unionrechtskonforme Auslegung von § 123 VwGO und Art. 19 Abs. 4 GG geboten, weil der EuGH in einer näher bezeichneten Entscheidung dahingehend erkannt habe, dass eine Datenschutz-Aufsichtsbehörde nach Art. 58 Datenschutzgrundverordnung unzulässige Drittlandsübermittlungen unterbinden müsse, wenn die Erfordernisse der Art. 45 und 46 Datenschutzgrundverordnung nicht anderweitig sichergestellt werden könnten, greift schon deswegen nicht durch, weil eine Aufsichtsbehörde im vorliegenden Fall nicht beteiligt ist, so dass auch etwaige Pflichten einer solchen Behörde hier nicht zum Tragen kommen können. Entgegen der Annahme des Antragstellers kann auch keine Rede davon sein, dass durch fragwürdige Auslegungen deutschen Rechts die Durchsetzung des Vorrangs europäischen Verordnungsrechts in unzulässiger Weise behindert werde. Diesem Aspekt kann nämlich im Hauptsacheverfahren hinreichend Rechnung getragen werden, ohne dass es insofern einer vorläufigen Regelung in einem Verfahren einstweiligen Rechtsschutzes bedarf. Vorläufiger Rechtsschutz ist nur ausnahmsweise zu gewähren, wenn sonst ein irreparabler Rechtsverlust durch eine Hauptsacheentscheidung nicht mehr verhindert werden könnte, wie der Antragsteller selbst auf Seite 35, letzter Absatz, seines Schriftsatzes vom 5. Januar 2022 vorträgt. Dies ist jedoch hier deswegen nicht zu gewärtigen, weil nicht vorgetragen und ersichtlich ist, dass der Antragsteller notwendigerweise auf die Nutzung der Website der Antragsgegnerin angewiesen ist und hierauf auch nicht zeitweilig bis zum rechtskräftigen Abschluss des Verfahrens verzichten könnte, ohne wesentliche Nachteile zu erleiden.
Auch der Hinweis des Antragstellers darauf, der Europäische Gerichtshof habe in einer näher bezeichneten Entscheidung dahingehend erkannt, dass es einem nationalen Verfassungsgericht aufgrund des Vorrangs des Unionsrechts versagt sei, im einstweiligen Rechtsschutz jedenfalls bei anhängiger EuGH-Vorlage eine einstweilige nicht grundrechtskonforme Regelung zu treffen und den EuGH auch nur zeitweise zu präjudizieren, gebietet keine andere Entscheidung. Im vorliegenden Fall geht es nicht um eine den europarechtlichen Regelungen widersprechende Rechtslage, die vorläufig aufrechterhalten werden soll. Vielmehr ist im Streit, ob die Handlungsweise der Antragsgegnerin mit den Regelungen und Vorgaben der Datenschutzgrundverordnung in Einklang stehen und ob und in welchem Umfang sich gegebenenfalls Abwehr- oder Unterlassungsansprüche des Antragstellers ergeben können. Von der auch nur zeitweilig erfolgenden „Aufrechterhaltung entgegenstehenden nationalen Rechts“ kann daher hier keine Rede sein.
Zu Unrecht wendet sich der Antragsteller auch gegen die Auffassung der Beigeladenen, im Verfahren des vorläufigen Rechtsschutzes sei nur eine summarische Prüfung angezeigt, so dass eine komplexe Rechtslage in einem Verfahren des vorläufigen Rechtsschutzes nicht geklärt werden könne. Diese Auffassung der Beigeladenen trifft vielmehr zu. Allein der Umfang der von den Beteiligten eingereichten Schriftsätze und ihre Anlagen sowie die Vielzahl der infrage stehenden tatsächlichen und rechtlichen Fragen sprechen deutlich gegen die Geeignetheit einer Klärung in einem Verfahren des vorläufigen Rechtsschutzes. Erneut sei darauf hingewiesen, dass es sich hierbei nur um ein Sonderverfahren zur Sicherung der Rechte der Beteiligten handelt, und um kein abgekürztes Hauptsacheverfahren.
Schließlich ist auch der Hinweis des Antragstellers auf Seite 35 seines Schriftsatzes vom 5. Januar 2022, eine Regelung eines vorläufigen Zustandes sei nach § 123 Abs. 1 VwGO ausdrücklich auch schon vor Klageerhebung vorgesehen, nicht geeignet, eine für ihn günstigere Entscheidung herbeizuführen. Diese Regelung bedeutet lediglich, dass das Verwaltungsgericht bereits dann eine Sicherungsanordnung nach § 123 Abs. 1 Satz 1 VwGO oder auch eine Regelungsanordnung nach Satz 2 der Vorschrift treffen kann, wenn ein Hauptsacheverfahren noch nicht anhängig ist, so dass es an einer „Hauptsache“ im Sinne von § 123 Abs. 2 Satz 1 VwGO (noch) fehlt. Dies bedeutet jedoch nicht, dass die sonstigen spezifischen gesetzlichen Voraussetzungen für den Erlass einer einstweiligen Anordnung unbeachtet gelassen werden könnten. Vielmehr kann eine einstweilige Anordnung nur unter den mit Absicht und zu Recht sehr enggefassten gesetzlichen Voraussetzungen des § 123 Abs. 1 VwGO ergehen, die nach den obigen Ausführungen hier nicht erkennbar sind und sich insbesondere nicht aus dem Vortrag des Antragstellers ergeben.
Auf die zulässigen Beschwerden ist daher der angefochtene Beschluss aufzuheben, ohne dass es eines Eingehens auf die übrigen Einwendungen der Antragsgegnerin und der Beigeladenen bedarf. Dabei sind allerdings die Einstellungsentscheidung in Satz 1 des Tenors sowie die Streitwertfestsetzung im letzten Satz des Tenors hiervon auszunehmen. Die Anträge der Antragsgegnerin und der Beigeladenen auf Aussetzung der Vollziehung des angefochtenen Beschlusses sind damit ebenfalls erledigt.
Über die Kosten des Verfahrens beider Rechtszüge ist hier zu entscheiden (§ 161 Abs. 1 VwGO). Die Kosten fallen grundsätzlich nach § 154 Abs. 1 VwGO dem Antragsteller als unterliegendem Teil zur Last. Dabei ist jedoch zu berücksichtigen, dass die Einstellungsentscheidung hinsichtlich des von den (ursprünglichen) Beteiligten im Termin vor der Kammer des Verwaltungsgerichts für erledigt erklärten Teils des Verfahrens unanfechtbar ist und auch nicht angefochten worden ist. Von der Unanfechtbarkeit ist nach § 158 Abs. 2 VwGO auch die diesen Teil betreffende Kostenentscheidung umfasst. Das Verwaltungsgericht hat in den Gründen des angefochtenen Beschlusses ausgeführt, dass die Kosten des erledigten Teils dem Antragsteller zur Last fielen und die Kosten des verbliebenen Teils, der zu seinen Gunsten entschieden worden ist, der Antragsgegnerin aufzuerlegen seien. Es hat daher unter Annahme einer kostenmäßigen Gleichwertigkeit beider Teile die Kosten des Verfahrens insgesamt gegeneinander aufgehoben. Dies hat zur Folge, dass die Gerichtskosten jedem der Beteiligten zur Hälfte zur Last fallen (§ 155 Abs. 1 Satz 2 VwGO) und beide Beteiligte ihre außergerichtlichen Kosten selbst tragen. Nach der Aufhebung der erlassenen einstweiligen Anordnung hat der Antragsteller auch die hierauf entfallenden Gerichtskosten zu tragen. Gleiches gilt für die Gerichtskosten des Beschwerdeverfahrens, so dass ihm die Gerichtskosten des gesamten Verfahrens beider Instanzen aufzuerlegen sind. Die Hälfte der außergerichtlichen Kosten der Antragsgegnerin im erstinstanzlichen Verfahren müssen jedoch bei ihr verbleiben, weil insofern die Entscheidung des Verwaltungsgerichts über die gegenseitige Aufhebung der Kosten aufrechtzuerhalten ist. Dem Antragsteller können daher von den außergerichtlichen Kosten der Antragsgegnerin im erstinstanzlichen Verfahren nur die Hälfte auferlegt werden, die sich auf den hier noch streitigen Teil des erstinstanzlichen Verfahrens bezogen haben. Hingegen hat er die außergerichtlichen Kosten der Antragsgegnerin im Beschwerdeverfahren in vollem Umfang zu tragen. Die außergerichtlichen Kosten der Beigeladenen sind unter Anwendung von § 162 Abs. 3 VwGO ebenfalls dem Antragsteller aufzuerlegen, zumal sich die Beigeladene durch Einlegung des Rechtsmittels und Stellung eines Antrags selbst in ein Kostenrisiko begeben hat (§ 154 Abs. 3 Satz 1 VwGO).
Die Streitwertfestsetzung beruht auf § 47 Abs. 1 Satz 1, Abs. 2 Satz 1 i.V.m. § 53 Abs. 2 Nr. 1 und § 52 Abs. 1 und Abs. 2 GKG. Wegen der Vorläufigkeit der Entscheidung im einstweiligen Rechtsschutz ist der Auffangwert des § 52 Abs. 2 VwGO in Anlehnung an die Empfehlung in Nr. 1.5 des Streitwertkatalogs für die Verwaltungsgerichtsbarkeit um die Hälfte zu reduzieren. Im vorliegenden Beschwerdeverfahren war nur noch ein ursprünglich vom Antragsteller verfolgter Antragsteil Beschwerdegegenstand, so dass nur vom einfachen Auffangwert des § 52 Abs. 2 VwGO auszugehen und dieser zu halbieren ist.
VG Wiesbaden
Beschluss vom 01.12.2021 6 L 738/21.WI
Das VG Wiesbaden hat entschieden, dass die Verwendung des Cookie-Consent-Tools Cookiebot gegen die DSGVO verstößt, da eine rechtswidrige Übermittlung personenbezogener Daten in die USA erfolgt.
Hochschule RheinMain darf auf ihrer Webseite nicht den Dienst „Cookiebot“ nutzen
Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden. „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.
Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.
Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.
Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.
„Cookiebot“ verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.
Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Dienst „Cookiebot“ erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.
Gegen den Beschluss (Az.: 6 L 738/21.WI) kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.
Anhang:
Artikel 44 DS-GVO (Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)
Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]
Art. 48 DS-GVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.
Art 49 DS-GVO – Ausnahmen für bestimmte Fälle
[1] Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, […]
Die EU-Kommission hat die Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung angenommen:
Datenschutz: Kommission nimmt Angemessenheitsbeschlüsse zum Vereinigten Königreich an
Die Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen - einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Beide Beschlüsse treten heute in Kraft. Personenbezogene Daten können nun ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wo für sie dort ein Schutzniveau gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist Die beiden Angemessenheitsbeschlüsse erleichtern zudem die ordnungsgemäße Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich, welches den Austausch personenbezogener Daten (beispielsweise im Rahmen der justiziellen Zusammenarbeit) vorsieht. Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen. Beide Angemessenheitsbeschlüsse enthalten starke Garantien für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die ihre jeweilige Geltungsdauer auf vier Jahre begrenzt wird.
Věra Jourová (Vizepräsidentin für Werte und Transparenz) erklärte dazu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen. Zugleich haben wir die Bedenken, die vom Parlament, von den Mitgliedstaaten und vom Europäischen Datenschutzausschuss unter anderem hinsichtlich möglicher künftiger Abweichungen von unseren Standards im Datenschutzrahmen des Vereinigten Königreichs geäußert worden sind, sehr aufmerksam zur Kenntnis genommen. Es geht hier um ein Grundrecht der EU-Bürgerinnen und -Bürger, das wir schützen müssen. Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen.“
Didier Reynders (Kommissar für Justiz) fügte hinzu: „Nach monatelanger sorgfältiger Prüfung können wir den EU-Bürgerinnen und -Bürgern heute die Gewissheit geben, dass ihre personenbezogenen Daten bei Übermittlungen in das Vereinigte Königreich geschützt sind. Dies ist ein wesentlicher Bestandteil unserer neuen Beziehungen zum Vereinigten Königreich. Er ist wichtig für einen reibungslosen Handel und eine wirksame Kriminalitätsbekämpfung. Die Kommission wird eng verfolgen, wie sich das System des Vereinigten Königreichs künftig entwickelt. Um dies zu ermöglichen und gegebenenfalls eingreifen zu können, haben wir unsere Beschlüsse verstärkt. Die EU hat die höchsten Standards auf dem Gebiet des Schutzes personenbezogener Daten, und diese dürfen nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übermittelt werden.“
Wichtigste Elemente der Angemessenheitsbeschlüsse
Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war. Das Vereinigte Königreich hat die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vollumfänglich in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen.
In Bezug auf den Zugriff auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit) sieht das System des Vereinigten Königreichs starke Garantien vor. Insbesondere die Datenerhebungen durch Nachrichtendienste unterliegen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Alle Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein. Wer sich unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sieht, kann Klage beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse) einreichen. Das Vereinigte Königreich unterliegt zudem der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen sind ein wesentlicher Bestandteil des in den beiden Angemessenheitsbeschlüssen bewerteten Rechtsrahmens.
Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus. Danach könnten sie erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsbeschlüsse zu erneuern, würde der Annahmeprozess erneut eingeleitet.
Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen, um einer unlängst ergangenen Entscheidung des Berufungsgerichts von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen der Datenschutzrechte in diesem Bereich Rechnung zu tragen. Sobald diese Situation nach dem Recht des Vereinigten Königreichs geklärt ist, wird die Kommission die Notwendigkeit dieses Ausschlusses neu prüfen.
Hintergrund
Die Kommission hat am 19. Februar zwei Entwürfe von Angemessenheitsbeschlüssen veröffentlicht und das Verfahren zu ihrer Annahme eingeleitet. In den vergangenen Monaten hat die Kommission die Rechtsvorschriften und die Praktiken des Vereinigten Königreichs auf dem Gebiet des Schutzes personenbezogener Daten einschließlich der Bestimmungen über den Datenzugriff von Behörden im Vereinigten Königreich gründlich bewertet. Die Kommission stand in engem Kontakt mit dem Europäischen Datenschutzausschuss, der seine einschlägige Stellungnahme am 13. April abgegeben hat, mit dem Europäischen Parlament und mit den Mitgliedstaaten. Nach dieser gründlichen Prüfung holte die Europäische Kommission im Rahmen des sogenannten Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten zu den beiden Angemessenheitsbeschlüssen ein. Die heute erfolgte, an die Zustimmung der Vertreter der Mitgliedstaaten anschließende Annahme der Beschlüsse war der letzte Schritt dieses Verfahrens. Die beiden Angemessenheitsbeschlüsse treten heute in Kraft.
Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich enthält eine Selbstverpflichtung der EU und des Vereinigten Königreichs zur Aufrechterhaltung hoher Datenschutzstandards. Das Abkommen sieht zudem vor, dass jede im Zuge seiner Umsetzung durchzuführende Datenübermittlung im Einklang mit den maßgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei (im Falle der EU sind dies die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung) stehen müssen. Die Annahme der beiden einseitigen und eigenständigen Angemessenheitsbeschlüsse ist eine wichtige Maßnahme zur Sicherstellung der ordnungsgemäßen Anwendung und des reibungslosen Funktionierens des Abkommens. Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich sieht ferner eine bedingte Übergangsregelung vor, in deren Rahmen Daten ungehindert aus der EU in das Vereinigte Königreich übermittelt werden können. Der Übergangszeitraum endet am 30. Juni 2021.
Die EU-Kommission hat die neuen Standardvertragsklauseln angenommen. Ob diese den strengen rechtliche Anforderungen genügen, ist nach wie vor sehr fraglich.
European Commission adopts new tools for safe exchanges of personal data
Today, the European Commission adopted two sets of standard contractual clauses, one for use between controllers and processors and one for the transfer of personal data to third countries. They reflect new requirements under the General Data Protection Regulation (GDPR) and take into account the Schrems II judgement of the Court of Justice, ensuring a high level of data protection for citizens. These new tools will offer more legal predictability to European businesses and help, in particular, SMEs to ensure compliance with requirements for safe data transfers, while allowing data to move freely across borders, without legal barriers.
The new standard contractual clauses take into account the joint opinion of the European Data Protection Board and the European Data Protection Supervisor, feedback from stakeholders during a broad public consultation and the opinion of Member States' representatives.
Vice-President for Values and Transparency, Vera Jourová said: “In Europe, we want to remain open and allow data to flow, provided that the protection flows with it. The modernised Standard Contractual Clauses will help to achieve this objective: they offer businesses a useful tool to ensure they comply with data protection laws, both for their activities within the EU and for international transfers. This is a needed solution in the interconnected digital world where transferring data takes a click or two.”
Commissioner for Justice, Didier Reynders, said: “In our modern digital world, it is important that data can be shared with the necessary protection - inside and outside the EU. With these reinforced clauses, we are giving more safety and legal certainty to companies for data transfers. After the Schrems II ruling, it was our duty and priority to come up with user-friendly tools, which companies can fully rely on. This package will significantly help companies to comply with the GDPR.”
Main Innovations
The standard contractual clauses published today reflect new requirements under the General Data Protection Regulation and address the realities faced by modern business. Thanks to their standardisation and pre-approval, the SCCs provide companies with an easy-to-implement template. Companies know that when they use this template they meet data protection requirements.
Main innovations of the new standard contractual clauses:
Update in line with the General Data Protection Regulation (GDPR);
One single entry-point covering a broad range of transfer scenarios, instead of separate sets of clauses;
More flexibility for complex processing chains, through a ‘modular approach' and by offering the possibility for more than two parties to join and use the clauses;
Practical toolbox to comply with the Schrems II judgment; i.e. an overview of the different steps companies have to take to comply with the Schrems II judgment as well as examples of possible ‘supplementary measures', such as encryption, that companies may take if necessary
For controllers and processors that are currently using previous sets of standard contractual clauses, a transition period of 18 months is provided.
These standard contractual clauses are adopted at a moment where a number of regional organisations and third countries are developing or have issued their own standard contractual clauses on the basis of converging principles. The Commission will intensify its cooperation with these international partners to further facilitate data transfers between different regions of the world.
Background
The General Data Protection Regulation (GDPR) entered into force on 24 May 2016 and became applicable on 25 May 2018. The standard contractual clauses are standardised and pre-approved model data protection clauses that can be incorporated into contractual arrangements on a voluntary basis, providing an easy-to-implement tool to comply with data protection requirements.
The Commission can adopt standard contractual clauses for the relationship between controllers and processors, as a tool to help to demonstrate compliance with the GDPR. In addition, the Commission can adopt standard contractual clauses providing data protection safeguards for data to be transferred internationally.
On July 16, 2020, the Court of Justice confirmed the validity of the EU Standard Contractual Clauses for the transfer of personal data to processors outside the EU/EEA ("SCCs"), while invalidating the EU–U.S. Privacy Shield. Thus, the Court has ruled that international data flows under the European Union's comprehensive data protection regime, the General Data Protection Regulation (GDPR), can continue to be based on EU Standard Contractual Clauses, while also further clarifying the conditions under which they can be used.
LAG Baden-Württemberg
Urteil vom 25.2.2021 17 Sa 37/20
Das LAG Baden-Württemberg hat entschieden, dass einem Betroffenen keine Geldentschädigung nach Art. 82 DSGVO für den Verstoß gegen die Vorgaben der DSGVO durch Datenübermittlung in die USA oder ein anderes Drittland zusteht, sofern kein konkreter Schaden entstanden ist.
Aus den Entscheidungsgründen: III. Die Klage ist unbegründet. Dem Kläger steht kein Anspruch gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter der Beklagten in den USA nach Art. 82 DSGVO zu.
1. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsdatenverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO. Art. 82 DSGVO normiert damit einen Schadensersatzanspruch zugunsten der von der Datenverarbeitung betroffenen Person gegen die für die Datenverarbeitung verantwortlichen Stelle für den Fall, dass die Datenverarbeitung gegen Vorgaben der Datenschutzgrundverordnung verstößt (vgl. EU-ArbR/Franzen 3. Aufl. Art. 82 DSGVO Rn. 1).
2. Die Voraussetzungen für eine Schadensersatzverpflichtung in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen danach nicht vor. Dem Kläger oblag es dabei darzulegen, dass die Beklagte als in Anspruch genommene Person als Verantwortlicher (oder Auftragsdatenverarbeiter) an der Datenverarbeitung beteiligt war, dass die Datenverarbeitung gegen Vorschriften der Datenschutzgrundverordnung oder anderer relevanter mitgliedstaatlicher Bestimmungen verstoßen hat, und dass dieser Verstoß kausal war für einen Schaden welcher der betroffenen Person entstanden ist (vgl. EU-ArbR/Franzen Art. 82 DSGVO Rn. 15). Dies ist ihm nicht gelungen.
a) Der Kläger ist nach Art. 82 Abs. 1 DSGVO Anspruchsberechtigter. Die DSGVO enthält nach Art. 1 Abs. 1 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Was „personenbezogene Daten“ im Sinne der Verordnung sind, bestimmt Art. 4 Abs. 1 DSGVO mit allen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Anspruchsberechtigt sind damit natürliche Personen, wobei Art. 82 Abs. 1 DSGVO ausdrücklich von „jeder Person“ spricht. Nachdem personenbezogene Daten des Klägers unstreitig verarbeitet wurden, er also sogar die „betroffene Person“ iSv. Art. 4 Nr. 1 DSGVO ist, gehört der Kläger in jedem Fall zum anspruchsberechtigten Personenkreis.
b) Die Beklagte ist mögliches Haftungssubjekt des vom Kläger geltend gemachten Anspruchs. Nach Art. 82 Abs. 2 Satz 1 DSGVO ist Haftungssubjekt jeder an einer Verarbeitung beteiligte Verantwortliche. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Beklagte als juristische Person und Arbeitgeberin verarbeitet personenbezogene Daten der bei ihr beschäftigten Arbeitnehmer und entscheidet (ob, wofür und wieweit der Datenverarbeitung; vgl. Hartung in: Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13) - ggf. mitbestimmt - über die Zwecke und Mittel der Verarbeitung personenbezogener Daten; ihr sind die datenschutzrechtlichen Handlungen innerhalb ihrer Organisation zuzurechnen, weshalb sie Verantwortliche nach Art. 4 Nr. 7 DSGVO ist.
[...]
e) Gleichwohl steht dem Kläger ein Anspruch auf Ersatz des von ihm geltend gemachten immateriellen Schadens deshalb nicht zu, weil der vom Kläger geltend gemachte Schaden nicht dem festgestellten Verordnungsverstoß zugeordnet werden kann bzw. tatsächlich nicht eingetreten ist, dh. nicht „erlitten“ wurde.
aa) Der Verstoß muss für den Schaden kausal sein. Der Schaden muss gerade durch den Rechtsverstoß entstanden sein. Es genügt nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es (irgendwann) zu einem Rechtsverstoß gekommen ist. Wenn der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, kann nicht davon ausgegangen werden, dass bspw. ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 42). Allenfalls dann, wenn durch den Verstoß die gesamte Datenverarbeitung rechtswidrig wird, kann angenommen werden, dass es keiner Zuordnung des Schadens zu einem konkreten Verordnungsverstoß bedarf (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO aaO). Zudem ist auch unionsrechtlich anerkannt, dass die Kausalitätsprüfung verhindern soll, dass es zu einer uferlosen Schadensersatzpflicht für alle möglichen, noch so entfernten Schäden kommt, für die ein rechtswidriges Verhalten eine Ursache iSe „conditio sine qua non“ gesetzt hat (vgl. zu einer kartellrechtlichen Fragestellung: Kokott Schlussanträge in der Rechtssache - C-557/12 - Rn. 33, 30. Januar 2014, juris). Eine alleinige Kausalität ist aber nicht gefordert, es genügt eine Mitursächlichkeit des Verstoßes für den Schaden, wobei ein hinreichend unmittelbarer Zusammenhang zu fordern ist (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 44 f.) und der Schaden muss für den Schädiger vorhersehbar gewesen sein (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 45).
bb) Danach hat der Kläger keinen durch die Beklagte infolge eines Verordnungsverstoßes verursachten immateriellen Schaden erlitten.
(1) Kein Anknüpfungspunkt für den Schaden können (überschießende) Datenübermittlungen (Datentransfer auf die Sharepoint-Seite der Konzernmutter) sein, denn diese Datenübermittlung hat stattgefunden als die DSGVO noch nicht in Geltung war. Insoweit ist es völlig unerheblich, wie sich das Datenschutzniveau in den USA gestaltet, da jedenfalls die Beklagte nicht für die Datenübermittlung in die USA nach der DSGVO in Anspruch genommen werden kann. Die Beklagte hat nicht gegen die Art. 44 ff. DSGVO verstoßen. Jedwede Begründung eines Schadens mit der Datenübermittlung in die USA (bspw. Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) kann einem DSGVO-Verstoß nicht zugeordnet werden. Die Beklagte hat nicht gegen Vorschriften des Kapitels V der DSGVO verstoßen.
(2) Ebenso wenig kann Anknüpfungspunkt der Umstand sein, dass die Beklagte zum Zeitpunkt des Geltungsbeginns der DSGVO (25. Mai 2018) als Verantwortliche personenbezogene Daten bei der Konzernmutter als Auftragsverarbeiterin hat speichern lassen. Die Auftragsdatenverarbeitung erfolgte auf einer ausreichenden vertraglichen Grundlage iSd. Art. 46 Abs. 2 Buchst. c, Abs. 5 DSGVO, welche zudem auch den Anforderungen für eine Auftragsdatenverarbeitung nach Art. 28 DSGVO gerecht wurde. Die Beklagte hat nicht gegen Art. 28 DSGVO verstoßen. Daher kann die behauptete permanente Unsicherheit, dass „unbefugte Dritte“ auf Daten des Klägers Zugriff nehmen, nicht einem Verstoß gegen die DSGVO zugeordnet werden. Die Beklagte hat alle Erfordernisse der DSGVO eingehalten, um eine sichere Auftragsdatenverarbeitung bei ihrer Konzernmutter zu gewährleisten. Dem Kläger wiederum standen bzw. stehen im Verhältnis zur auftragsverarbeitenden Konzernmutter alle Rechte, wie sie nach der DSGVO gegenüber der Beklagten bestehen, zu.
(3) Der einzige Verstoß, welcher der Beklagten vorzuhalten ist, ist die überschießende Datenverarbeitung in Workday vor Einführung von Workday (durch die BV Workday vom 23. Januar 2019), wobei sich diese Datenverarbeitung in Workday auf Daten bezieht, welche die Beklagte rechtmäßig in SAP - auf der Grundlage einer Betriebsvereinbarung zur Nutzung von SAP - bzw. sonst rechtmäßig nach § 26 BDSG zu anderen Zwecken verarbeitete. Die Datenverarbeitung in Workday war nur deshalb nicht rechtmäßig, weil Workday bis zur Einführung nicht produktiv genutzt wurde und es deshalb an der Erforderlichkeit der Datenverarbeitung iSv. § 26 Abs. 1 BDSG bzw. noch an einer Betriebsvereinbarung zur Einführung fehlte. Die Beklagte bedurfte daher der Duldungs-BV als Rechtsgrundlage, um die nach § 26 Abs. 1 BDSG nicht erforderliche Datenverarbeitung nach § 26 Abs. 4 BDSG zu den normierten Testzwecken zu legitimieren. Die Duldungs-BV berechtigte zur Datenverarbeitung der in der Anlage 2 genannten Datenkategorien in dem durch die Betriebsvereinbarung normierten Umfang (§§ 2, 3 Duldungs-BV). Allerdings berechtigte auch die Duldungs-BV nicht dazu, Daten, die nicht in der Anlage 2 genannt sind, zu verarbeiten (betrifft insb. Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers). Diese Daten wiederum durfte die Beklagte aber - unstreitig - außerhalb der Plattform Workday, insb. in SAP zu anderen Zwecken verarbeiten, da die Verarbeitung dieser Daten nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Einen „erlittenen“ Schaden, der allein auf der überschießenden Datenverarbeitung in Workday oder für (Test-)Zwecke von Workday - bei gleichzeitig rechtmäßiger Datenverarbeitung in SAP zu anderen Zwecken - fußt, macht der Kläger nicht geltend und ein solcher „Schaden“ ist auch nicht ersichtlich (die Duldungs-BV schließt insb. eine Nutzung/Verwertung der zu Testzwecken verarbeiteten Daten für Zwecke der Durchführung des Arbeitsverhältnisses gerade aus), vielmehr liegt insoweit nur ein Verordnungsverstoß ohne zuordenbaren Schaden vor. Eine Nutzung der überschießend gespeicherten Daten für andere als die normierten Testzwecke gem. Duldungs-BV ist nicht ersichtlich. Allein der Umstand, dass Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers auch in Workday gespeichert und zu Testzwecken verarbeitet wurden, löst nach Auffassung der Kammer keinen Schaden aus. Auch der Kläger behauptet einen solchen nicht. Die Speicherung der Daten in Workday bei der Konzernmutter stellt keinen Datenabfluss dar, sondern erfolgte auf der Grundlage einer rechtmäßigen Auftragsverarbeitung nach Art. 28 DSGVO. Auch wenn die Daten in Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet wurden, so hat die Beklagte doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter sicherzustellen. Soweit der Kläger darüber spekuliert, dass es die Daten unbefugt nach Speicherung in Workday hätten verwendet werden könnten, fehlt es an jedem tatsächlichen Anhaltspunkt hierfür, vor allem aber an einem zuordenbaren Verordnungsverstoß („wegen“). Vielmehr ergibt sich aus den vertraglichen Garantien iSv. Art. 28 DSGVO, die es auch einschließen, dass sämtliche Konzernunternehmen die Bestimmungen des GDPA einzuhalten haben (insb. auch: D. Corporation Global Data Protection Agreement Protocol and Power of Attorney) und damit auch der Ausschluss von Missbrauch durch Konzerngesellschaften. Jedenfalls hat die Beklagte sich verordnungskonform verhalten, um jedweden Missbrauch auszuschließen. In diesem Zusammenhang ist auch ein Kontrollverlust nicht ersichtlich, da die mit der Konzernmutter getroffenen Vereinbarungen gerade sicherstellen, dass dem Kläger alle Rechte, die er gegenüber der Beklagten hat, auch im Rahmen der Auftragsverarbeitung zustehen. Der Kläger konnte daher seine Daten insb. auch löschen lassen, was die Beklagte auch tatsächlich im Verlaufe des Rechtsstreits bzgl. der nach der BV Workday in Workday nicht zu speichernden Daten - trotz Auftragsverarbeitung - veranlasst hat. Der Kläger macht einen verordnungswidrigen Zustand mit Abschluss der BV Workday und BV IT auch nicht geltend; mit anderen Worten: der Kläger war tatsächlich in der Lage, seine überschießend übermittelten Daten löschen zu lassen und konnte sie insoweit kontrollieren. Dabei kann auch nicht davon ausgegangen werden, der tatsächliche Verordnungsverstoß (im Verhältnis zur Duldungs-BV überschießende Datenspeicherung in Workday) habe den gesamten Datenverarbeitungsvorgang „infiziert“, so dass die Beklagte für jeden Schaden in Anspruch genommen werden könnte. Dergleichen könnte allenfalls dann angenommen werden, wenn jede Datenverarbeitung von personenbezogenen Daten des Klägers in Workday verordnungswidrig gewesen wäre. Infolge der Regelungen der Duldungs-BV durfte die Beklagte allerdings diejenigen Datenkategorien der Anlage 2 und damit auch die entsprechenden personenbezogenen Daten des Klägers verarbeiten. Es verbleibt damit dabei, dass die gegenüber der Anlage 2 der Duldungs-BV überschießende Datenverarbeitung von ansonsten rechtmäßig verarbeiteten Daten zu anderen (Test-)Zwecken beim Kläger keinen Schaden ausgelöst hat, der einem der Beklagten zurechenbaren Verordnungsverstoß zugeordnet werden könnte. Bloße Befürchtungen, ein Schaden könnte eintreten, stellen keinen Schaden dar.
(4) Ob dem Kläger ein Schadensersatz nach Art. 82 DSGVO deshalb zusteht, weil die Beklagte ggf. gegen Bestimmungen der DSGVO bei der Auskunftserteilung verstoßen hat (vgl. dazu etwa: ArbG Neumünster 11. August 2020 - 1 Ca 247 c/20 - Rn. 36 ff., ReckRS 2020, 29998; ArbG Düsseldorf 5. März 2020 - 9 Ca 6557/18 - Rn. 94 ff., NZA-RR 2020, 409), hatte die Berufungskammer nicht zu entscheiden.
EuGH
Urteil vom 16.07.2020 C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland
Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzschild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig
Die Pressemitteilung des EuGH
Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig
Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig
Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.
Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).
Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.
Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.
Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.
Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.
Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.
Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.
In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.
EuGH-Generalanwalt
Schlussanträge vom 19.12.2019 C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems
Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig
Die Pressemitteilung des EuGH:
Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig
Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.
Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits
Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.
Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.
Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.
Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.
Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.
In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.
Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.
In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.
Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.
Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.
Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.
Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.
Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.
Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.
Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.