EuGH kippt Privacy Shield – Was Unternehmen nun beachten müssen

Von |2020-07-31T12:43:18+02:00Juli 31st, 2020|Blog, Datenschutz, Privacy Shield, Urteile|

Nun ist es offiziell,

der Europäische Gerichtshof (EuGH) erklärte mit Urteil vom 16.07.2020 das im Jahr 2016 als Nachfolger des sog. Safe-Harbor-Abkommen beschlossene EU-US Privacy-Shield, welches  eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA sicherstellen sollte, für ungültig. Das Urteil, sowie weiterhin mögliche Alternativen für die Übermittlung personenbezogener Daten außerhalb der EU bzw. EWR, sollen im Folgenden kurz umrissen werden.

(mehr …)

Facebook Fanpages – Datenschutzbehörden dürfen den Betrieb untersagen

Von |2019-09-13T08:26:40+02:00September 12th, 2019|Blog, Datenschutz, Urteile|

Social Media hat sich für viele Firmen in den letzten Jahren zu einem der wichtigsten Marketingwerkzeuge entwickelt. Z. B. kann sich ein Unternehmen auf Facebook  durch eine sog. “Fanpage” der Öffentlichkeit präsentieren und auf diese Weise (potentielle) Kunden erreichen. Allerdings stand der Betrieb einer solchen Fanpage aufgrund datenschutzrechtlicher Bedenken immer wieder in der Kritik von Datenschützern. Nun hat das Bundesverwaltungsgericht (BVerwG) entschieden, dass die Aufsichtsbehörden für den Datenschutz Unternehmen das Unterhalten einer solchen Seite sogar untersagen können.

(mehr …)

Datenschutz – Ist nun die Zeit der Abmahnungen gekommen?

Von |2019-08-20T22:06:53+02:00August 20th, 2019|Allgemein|

Der EuGH hat am 29.07.2019 entschieden, dass bei der Verwendung von Cookies und Analysetools auf gewerblichen Homepages zuvor die Einwilligung der Nutzer einzuholen ist, da hier personenbezogene Daten der Nutzer erhoben und verarbeitet werden. Daher ist es durchaus möglich, dass in Zukunft einige Anwälte dieses Urteil als Grundlage zur Verhängung von Abmahnungen verwenden werden.

(mehr …)

Neues EuGH-Urteil / neue Haftungsrisiken: Gemeinsame Verantwortlichkeit bei Datenübermittlung sowie Verwendung von Social Media-Plugins, Cookies und Analysetools

Von |2019-08-19T13:53:27+02:00August 19th, 2019|Blog, Datenschutz, Urteile|

Neues EuGH-Urteil / neue Haftungsrisiken: Gemeinsame Verantwortlichkeit bei Datenübermittlung sowie Verwendung von Social Media-Plugins, Cookies und Analysetools

Der Europäische Gerichtshof (EuGH) hat am 29. Juli 2019 entschieden, dass es gegen das Datenschutzrecht verstößt, wenn personenbezogene Daten von Nutzern einer Webseite an Dritte (hier Facebook) übermittelt werden, ohne zuvor eine Einwilligung der betroffenen Nutzer einzuholen. Hierbei ergibt sich aus der Urteilbegründung, dass Betreiber einer Webseite mitverantwortlich für eine solche Datenverarbeitung / -weitergabe sind, auch wenn diese die Daten selbst nicht erhalten bzw. nicht aktiv weitergeben.

Diese sog. „gemeinsame Verantwortlichkeit“ galt gem. Art. 26 DSGVO nur für die Vorgänge der Datenverarbeitung, für welche der Webseitenbetreiber und Facebook auch gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden. Dies ist in diesem Fall nur bei der Erhebung sowie der Weitergabe der Daten der Fall, da der Webseitenbetreiber auf die Weiterverarbeitung keinen weiteren Einfluss hat und die Verarbeitung hierbei ausschließlich durch Facebook geschieht.

(mehr …)

Google veröffentlicht neuen Vertrag zur Auftragsdatenverarbeitung

Von |2017-01-22T22:36:49+01:00September 25th, 2016|Blog, Datenschutz|

Durch das Safe Harbor-Urteil des Europäischen Gerichtshofes im Oktober 2015 war auch der Vertrag zur Auftragsdatenverarbeitung, den Google für seinen Webanalysedienst Google Analytics für deutsche Unternehmen zur Verfügung stellte, betroffen, da in ihm unter Punkt 4.7 auf die Grundsätze des Safe Harbor-Abkommens verwiesen wurde:

Google ist an die US Safe Harbor-Grundsätze zum Schutz der Privatsphäre gebunden.

Da das Abkommen durch die Entscheidung des EuGH nunmehr nicht mehr als Grundlage für den Transfer personenbezogener Daten auf Server in die USA dienen konnte, hat Google, nachdem sich das Unternehmen selbst nach dem Safe Harbor Nachfolger Privacy Shield zertifiziert hat, jetzt eine neue Version seines Vertrages zur Auftragsdatenverarbeitung bereitgestellt, in dem die Ausführungen zu Safe Harbor nicht mehr enthalten sind und von jetzt an Verwendung finden sollte. (mehr …)

Safe Harbor ist Geschichte – und jetzt?

Von |2016-12-08T21:50:48+01:00Oktober 17th, 2015|Blog, Safe Harbor|

Wie den Meisten kaum entgangen sein dürfte, hat der EuGH am 06.10.2015 das ohnehin bereits scheintote “Safe Harbor”-Abkommen endgültig beerdigt und entschieden, dass transatlantische Datentransfers nicht mehr aufgrund dieses Abkommens erfolgen dürfen (C-362/14, siehe hierzu die Pressemeldung oder für diejenigen, die es genau wissen wollen auch gerne die Entscheidung im Volltext). (mehr …)

EuGH entscheidet über Auskunftsanspruch bei Filesharing

Von |2016-12-08T21:50:52+01:00April 20th, 2012|Urteile|

In seinem Urteil vom 19.04.12 urteilte der Europäische Gerichtshof, dass Daten, die aus der Vorratsdatenspeicherung gewonnen wurde, grundsätzlich auch bei Verfahren angefordert werden dürfen, die illegales Filesharing betreffen.

Da der EuGH nicht direkt über Verfahren in den Mitgliedsstaaten entscheiden darf, haben die nationalen Gerichte im Wege eines Vorabentscheidungsverfahrens gem. Art. 267 AEUV dem EuGH die in ihrem Verfahren streitige Rechtsfrage abstrakt vorzulegen. Das nationale Verfahren ist dann bis zur Entscheidung der Rechtsfrage durch den Gerichtshof auszusetzen.

Die Frage

betrifft die Auslegung der Art. 3 bis 5 und 11 der Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG sowie von Art. 8 der Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums.

Denn in Artikel 4 der Richtlinie zur Vorratsdatenspeicherung heißt es

Artikel 4 – Zugang zu Daten

Die Mitgliedstaaten erlassen Maßnahmen, um sicherzustellen, dass die gemäß dieser Richtlinie auf Vorrat gespeicherten Daten nur in bestimmten Fällen und in Übereinstimmung mit dem innerstaatlichen Recht an die zuständigen nationalen Behörden weitergegeben werden.

Das Schwedische Gericht hatte hier auf Grund eines nationalen Verfahrens die Frage vorgelegt,

ob die Richtlinie 2006/24 der Anwendung einer nationalen Vorschrift entgegensteht, die auf der Grundlage von Art. 8 der Richtlinie 2004/48 erlassen wurde und nach der einem Internetdienstleister zu dem Zweck, einen bestimmten Internetteilnehmer oder -nutzer identifizieren zu können, aufgegeben werden kann, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Namen und die Adresse eines Teilnehmers zu geben, dem der Internetdienstleister eine bestimmte IP?Adresse zugeteilt hat, von der aus die Verletzung begangen worden sein soll.

Kurz zusammengefasst ging es darum, ob Daten, die auf Grund der durch die EU-Richtlinie angeordneten Vorratsdatenspeicherung erfasst worden sind auch in Urheberrrechtsverfahren bezüglich illegalem Filesharing angefordert und verwendet werden dürfen.

Daraufhin befasste sich der EuGH erst einmal mit dem Anwendungsbereich der Vorratsdatenspeicherungsrichtlinie und kam zu dem Ergebnis, dass diese in der hier gestellten Rechtsfrage überhaupt nicht anwendbar sei, da nicht der Staat die erfassten Daten begehre, sondern eine Privatperson.

Allerdings liegt dem Ausgangsrechtsstreit ein zivilrechtliches Verfahren zugrunde, und die Daten werden nicht von einer zuständigen nationalen Behörde, sondern von Privatpersonen begehrt. Meines Erachtens fällt das Ausgangsverfahren somit nicht in den sachlichen Anwendungsbereich der Richtlinie 2006/24, auch wenn die Daten, die für nach dieser Richtlinie zulässige Zwecke auf Vorrat gespeichert worden sind, insoweit von den Richtlinien über den Schutz personenbezogener Daten erfasst würden, als der Anbieter sie für andere Zwecke gespeichert hat.

Daraus folgt, dass die Vorlagefrage überhaupt nicht von der Richtlinie erfasst ist und somit nationales Recht zur Anwendung kommt.
Soweit zur Prüfungspflicht des Gerichtshofes. Anstatt nun aber mit der Prüfung aufzuhören, äußerte er sich darüber hinaus noch zu einer grundsätzlichen Frage, nämlich ob die Herausgabe der durch die Vorratsdatenspeicherung erhobenen Daten überhaupt mit den europäischen Grundrechten vereinbar ist.

Hierzu führt er aus, dass

für die Grundrechte im Bereich des Schutzes personenbezogener Daten und des Privatlebens einerseits sowie im Bereich des Schutzes des geistigen Eigentums andererseits der gleiche Schutz zu gelten hat. Inhaber von Rechten des geistigen Eigentums dürfen somit nicht dadurch privilegiert werden, dass sie auf personenbezogene Daten zurückgreifen können, die rechtmäßig für Zwecke, die mit dem Schutz ihrer Rechte nichts zu tun haben, erhoben oder auf Vorrat gespeichert worden sind. Diese Daten können nach den für den Schutz personenbezogener Daten geltenden unionsrechtlichen Bestimmungen zu derartigen Zwecken nur erhoben und verwendet werden, wenn der nationale Gesetzgeber im Einklang mit Art. 15 der Richtlinie 2002/58 im Voraus detaillierte Vorschriften für diesen Fall erlassen hat.

Das bedeutet nichts anderes, als dass die Herausgabe der durch die Vorratsdatenspeicherung erhobenen Daten bei Urheberrechtsverstößen grundsätzlich nicht verboten, aber nur zulässig ist, wenn die Mitgliedsstaaten vorher bereits Regelungen hierzu erlassen haben.
Das müssen die Mitgliedsstaaten nicht tun, können es aber.
Die so geschaffenen Regelungen müssen dann aber ein angemessenes Gleichgewicht zwischen dem Grundrecht auf Schutz des geistigen Eigentums (Art. 17 der Grundrechtecharte) und dem Schutz personenbezogener Daten gewährleisten (Art. 7, 8 der Grundrechtecharta).

Auswirkungen auf das deutsche Recht hat das Urteil des EuGH zwar nicht unmittelbar, allerdings sind die Ausführungen zur Zulässigkeit von Auskunftsverfahren bei Prozessen, die Urheberrechtsverstöße zum Gegenstand haben sehr interessant.

Wie der Gerichtshof ausführt, sind solche grundsätzlich zulässig, die nationalen Regelungen dabei aber ein angemessenes Gleichgewicht zwischen den Grundrechten gewährleisten.

Ob das in Deutschland in Zeiten der automatisierten Massenabmahnungen der Fall ist, kann jeder für sich selbst beantworten.

Quelle: EuGH C-461/10