Das vergangene Jahr war in jeder Hinsicht von der Corona-Pandemie und ihren Auswirkungen geprägt. Dies zeigte sich auch im Bereich des Datenschutzrechts, wobei sich hier auch viele Themen unabhängig von der Pandemie weiterentwickeln konnten.
Homeoffice, Remote Work und Arbeitszeiterfassung
Im Zusammenhang mit der Coronakrise wurde im Bereich des Arbeitsrechts einmal mehr deutlich, welch eine große Rolle eine digitalisierte Arbeitswelt spielen kann. Dennoch bringt die Leistungserbringung von zuhause aus unter anderem auch datenschutzrechtliche Schwierigkeiten mit sich. Neben dem erhöhten Schwierigkeitsgrad bei der Geheimhaltung von betriebsbezogenen Daten gegenüber Dritten – wie anderen Haushaltsmitgliedern – bedeutet eine Stelle im Homeoffice, dass der Arbeitgeber für die Arbeitszeitnachweiserbringung den Arbeitnehmer noch intensiver überwachen muss.
Diskutiert wird hier, ob bei der Arbeitszeiterfassung über § 16 Abs. 2 ArbZG hinausgehend die europarechtlichen Vorgaben umgesetzt werden können. Einerseits wird der Gesetzgeber dabei zwingend zum Handeln aufgerufen, andererseits wird das europäische Recht ohnehin bereits als de facto in Kraft angesehen. Allein zur Klarstellung dieser Diskussion ist eine Anpassung der Arbeitszeitregelung daher von Vorteil.[1]
Eine weitere Entwicklung stellte außerdem das neue Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz TTDG, dar, das ab dem 01.12.2021 gelten wird.[2] Damit sollen die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) sowie des Telemediengesetzes (TMG) an die DSGVO angepasst sowie die e-Privacy-Richtlinie RL 2002/58/EG endlich umgesetzt werden. Die Gesetzesänderung soll die Rechtsunsicherheit beseitigen, die durch das bisherige Nebeneinanderbestehen von DSGVO, TMG und TKG vorlag. Die Bestimmungen von TMG und TKG sind dementsprechend in nun einem Gesetz zusammengefasst.[3]
Datenschutzaufsicht: Nicht nur federführende Behörde zuständig
Eine im Juni 2021 verkündete Entscheidung des EuGH[4] hat das Potenzial, die Arbeit der Datenschutzaufsichtsbehörden auf ein neues Niveau zu heben: Im Rahmen eines Rechtsstreits zwischen der belgischen Datenschutzbehörde (als Nachfolgerin des Präsidenten des belgischen Ausschusses für den Schutz des Privatlebens) und Facebook entschied das Gericht unter anderem, dass nationale Datenschutzaufsichtsbehörden auch dann gegen DSGVO-Verstöße vorgehen dürfen, wenn sie selbst nicht die federführende Behörde sind.[5] Voraussetzung dafür ist, dass die DSGVO der Behörde die Zuständigkeit für die betreffende Entscheidung, dass die Verarbeitung datenschutzrechtswidrig ist, verleiht und diese Befugnis unter Beachtung der in der DSGVO vorgesehenen Verfahren der Zusammenarbeit und Kohärenz ausgeübt wird.
Der EuGH folgte damit dem EuGH-Generalanwalt Michal Bobak, der sich für eine Befugnis der „anderen betroffenen nationalen Datenschutzbehörden […], in Situationen, in denen es ihnen die Datenschutz-Grundverordnung spezifisch gestatte, derartige Verfahren in ihren jeweiligen Mitgliedstaaten einzuleiten“, aussprach.[6] Sofern die Ausübung der Befugnis in den räumlichen Anwendungsbereich der DSGVO fällt, ist eine (Haupt-)Niederlassung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in jenem Mitgliedstaat ausdrücklich nicht vorauszusetzen. Es genügt, wenn der Verantwortliche über eine Niederlassung im Gebiet der Union verfügt. Die Zuständigkeit einer anderen als der federführenden Behörde kann sich dabei aus Art. 65 Abs. 2, Art. 66 DSGVO ergeben und umfasst – entgegen der Ansicht von Facebook – auch die Befugnis, Gerichtsverfahren einzuleiten.
Schrems II – EuGH kippt EU-US-Privacy Shield
Ein weiteres wichtiges Urteil in Bezug auf internationale Datentransfers aus dem Jahr 2020, das sich auch 2021 auswirkte, war die Schrems-II-Entscheidung vom 16.07.2020.[7] Dessen Ausgangspunkt war eine Beschwerde des österreichischen Datenschutzaktivisten Maximilian Schrems, in welcher er die Datenübermittlung der Facebook Ireland Ltd an die Facebook Inc. in den USA beklagte. Seine preisgegebenen Nutzerdaten waren nach den bisher geltenden Bestimmungen zu transatlantischen Datentransfers und in den USA geltenden Sicherheitsgesetzen auch für Behörden weitreichend zugänglich.[8] Im Laufe des Prozesses änderte Schrems seine Beschwerde und klagte nunmehr gegen die von Facebook verwendeten Standarddatenschutzklauseln und das US Privacy Shield.[9] In der Folge legte der Irish High Court dem EuGH die Frage vor, ob das Privacy Shield, Nachfolger des Safe-Harbour-Abkommens, wirksam sei.[10] Dieser stellte zunächst klar, dass das EU-Datenschutzrecht bei der gesamten Datenübermittlung in ein Drittland einschließlich dortiger Verarbeitungsprozesse als Bewertungsmaßstab zu berücksichtigen ist, selbst wenn die übermittelten Daten dort für Zwecke der nationalen Sicherheit verwendet werden. Ein angemessenes Datenschutzniveau ist durchgehend zu gewährleisten und muss dem Schutzniveau der EU-DSGVO sowie der Grundrechtecharta entsprechen.[11] Die Sicherheitsgesetze der USA räumen den zuständigen Behörden weitreichende Befugnisse für den Zugriff auf personenbezogene Daten ein, während die europäischen Bürger, die davon betroffen sind, keine diesbezüglichen gerichtlichen Kontrollen durchsetzen können. Dies stelle Eingriffe in die Achtung auf Privatsphäre, den Schutz personenbezogener Daten und den effektiven gerichtlichen Rechtsschutz und damit in die Art. 7, 8 und 47 der EU-Grundrechtecharta dar. Die Regeln des Privacy Shields gewährten so den US-Sicherheitsgesetzen den Vorrang gegenüber den Rechten der Betroffenen.[12] Davon ausgehend entschied der EuGH, dass das Privacy Shield kein angemessenes Schutzniveau biete und demensprechend keine geeignete Grundlage für die Datentransfers in die USA darstelle.[13]
Überarbeitungsbedürftige Standardvertragsklauseln
Demgegenüber bewertete der EuGH die Standarddatenschutzklauseln als gültig. Begründet wurde dies damit, dass sie wirksame Schutzmechanismen enthalten, die sicherstellen, dass das erforderliche Schutzniveau eingehalten wird. Der Datenempfänger versichert dadurch, keinen Gesetzen des Drittlandes zu unterliegen, die dem Einhalten seiner Pflichten aus den Standarddatenschutzklauseln entgegenstehen. Als Einschränkung stellte das Gericht jedoch fest, dass Unternehmen beim Einsatz solcher Klauseln umfangreiche Pflichten haben. Bei jeder Datenübermittlung sei eine Einzelfallprüfung vorzunehmen, ob das geforderte Schutzniveau im Drittland tatsächlich eingehalten wurde. Gibt es im Drittland nationale Sicherheitsgesetze, die es dem Empfänger unmöglich machen, seine Pflichten aus den Klauseln zu erfüllen, weil er entgegen der dortigen Garantien Daten offenlegen muss, ist das Schutzniveau nicht eingehalten worden. Die Datenübermittlung ist in diesem Fall zu unterlassen oder abzubrechen. Dieselbe Prüfpflicht gilt im Übrigen auch für Datenschutzbehörden.
Die bestehenden Standardvertragsklauseln boten in dieser Hinsicht keine ausreichende Sicherheit für die personenbezogenen Daten von Betroffenen. Unter Berücksichtigung der Schrems II-Rechtsprechung wurden deshalb im Juni 2021 neue Standardvertragsklauseln beschlossen, welche den neuen Anforderungen Rechnung tragen.[14]
Noch immer viele DSGVO-widrige Cookie-Banner im Netz
In Bezug auf Cookie-Banner war die von Schrems mitgegründete Datenschutzorganisation noyb ebenfalls fleißig. Mit mehr als 500 Beschwerden wegen rechtswidriger Cookie-Banner starteten die Datenschutzaktivisten im Mai 2021 die „größte Beschwerdewelle seit dem Inkrafttreten der DSGVO vor drei Jahren“.[15] Kritisiert werden insbesondere die „Klick-Labyrinthe“, die Nutzerinnen und Nutzern eine – weder als informiert noch als tatsächlich freiwillig anzusehende – Einwilligungen abnötigen. Mithilfe eines Systems werden automatisch verschiedene Arten von Verstößen aufdeckt, eine entsprechende DSGVO-Beschwerde generiert und an das jeweilige Unternehmen verschickt. Reagiert dieses nicht, leitet noyb die Beschwerde an die zuständige Behörde weiter, die ein hohes Bußgeld verhängen kann. Im Fokus sind dabei nicht nur „Dark Patterns“ und komplizierte Einwilligungsformulare, sondern auch jene Banner, die lediglich über den Einsatz von Cookies informieren und ein bloßes Weiternutzen der Website als Einwilligung auslegen wollen.
Gerade letzteres ist aus Sicht des LG Köln unzulässig, weil die Anforderungen des § 15 Abs. 3 TMG nicht erfüllt werden – eine ausdrückliche Einwilligung in zielgerichtete Werbung erfordere mehr als nur die konkludente weitere Nutzung der Seite.[16] Das Erfordernis einer ausdrücklichen Einwilligung hatte auch der EuGH in seiner vielbeachteten Planet49-Entscheidung Ende 2019 klargestellt.[17]
Auch hinsichtlich der besonders von Online-Zeitungen gern genutzten „Cookie-Paywalls“, die für das Aufrufen von Beiträgen entweder eine umfassende Werbeeinwilligung oder ein kostenpflichtiges „PUR“-Abonnement verlangen, reichte noyb eine Reihe von Beschwerden ein. Die Datenschützer monieren, dass bei diesem Vorgehen nicht nur ein klares Ungleichgewicht missbräuchlich ausgenutzt werde, auch stelle die so eingeholte Erklärung einen Verstoß gegen das Koppelungsverbot dar, weil die Datenverarbeitung zur Erbringung der Leistung nicht erforderlich sei.[18]
Schrems III steht noch aus
Im Juli 2021 lieferte der gegen Facebook geführte Prozess durch Schrems eine weitere Frage für den EuGH, die der Oberste Gerichtshof in Österreich dem EuGH auf Grundlage des Prozesses stellt: Es soll geklärt werden, auf welcher rechtlichen Grundlage soziale Netzwerke generell die persönlichen Daten ihrer Nutzer verarbeiten dürfen. Facebook nutzt die Daten der Nutzer neben dem Betreiben des sozialen Netzwerkes auch für personalisierte Werbung, was das rechtliche Verhältnis zwischen dem Unternehmen und den Nutzern in Frage stellt. Seit der DSGVO-Reform existiert keine direkte Einwilligung der Nutzer in die Dateneingriffe des Unternehmens mehr, was Facebook damit rechtfertigt, dass zwischen den Parteien ein Vertrag bestehe und so keine Einwilligung bezüglich der Daten erforderlich sei. Nach der DSGVO müssen Nutzer ihre Einwilligung jedoch jederzeit widerrufen können, was Nutzenden erlauben würde, ihre Zustimmung zur Datennutzung für Werbung rückwirkend zurückzunehmen. Die datenschutzrechtliche Einwilligung ist ein immer wiederkehrendes Diskussionsthema: Der EuGH ist grundsätzlich der Ansicht, dass der für die Datenverarbeitung Verantwortliche nachzuweisen hat, dass eine „aktive“ Einwilligung der Betroffenen hierzu vorliegt.[19] Im Fall einer Niederlage Facebooks vor dem EuGH würden so nicht nur zahlreiche Daten gelöscht werden müssen, sondern das Unternehmen hätte auch Schadensersatzzahlungen an Millionen von Nutzerinnen und Nutzern zu leisten.[20]
Eine zusätzliche Frage im Rahmen des Prozesses ist unter anderem im Rahmen von Werbe-Targeting, ob Facebook zu Werbezwecken die Nutzerdaten nach sensiblen Bereichen wie politischer Überzeugung, sexueller Orientierung etc. gezielt filtern darf. Schrems kann für sich bereits einen Erfolg verbuchen: Ihm wurden 500 Euro Schadensersatz gegen Facebook zugesprochen, da das Unternehmen ihm keinen Zugang zu von ihm gespeicherten Daten gewährt hat.[21] Der Oberste Gerichtshof in Österreich soll hierbei von einer unnötig komplizierten „Ostereiersuche“ gesprochen haben. Das Teilurteil stieß auf ein enormes Medienecho, da sich dadurch für eine Vielzahl anderer Nutzerinnen und Nutzer die Möglichkeit eröffnet, Schadensersatz (beispielsweise wegen einer nicht ordnungsgemäßen Datenschutzauskunft) zu fordern.
Fazit
Die DSGVO feierte im Mai 2021 ihren dritten Geburtstag[22] – mit wegweisenden Entscheidungen und Bußgeldrekorden, aber auch mit allerlei Kritik und Rufen nach Reformen. Das Urteil des EuGH vom Juni 2021 dürfte es Tech-Unternehmen, sich mit einer Hauptniederlassung in Irland der dortigen Aufsichtsbehörde DPC – die für ihre schleppende und vergleichsweise wenig nachdrückliche Vorgehensweise berüchtigt ist[23] – zu unterwerfen, in einigen Fällen zudem künftig schwerer machen, in Datenschutzfragen forum shopping, d.h. ein systematisches Ausnutzen von Zuständigkeitsregeln, zu betreiben. Die Cookie-Banner-Beschwerdeaktion von noyb zeigte erste Erfolge: 42 Prozent der Verstöße wurden nach dem „ersten Durchlauf“ behoben, doch insgesamt 82 Prozent aller Unternehmen handeln weiter DSGVO-widrig.[24] Die Datenschutzorganisation reichte konsequenterweise 422 Datenschutzbeschwerden bei den Aufsichtsbehörden ein. Wie sich der Schrems III-Prozess für Facebook weiterentwickeln wird, bleibt vorerst abzuwarten. Es dürfte in jedem Fall eine weitere aufsehenerregende Entscheidung im ewigen Rechtsstreit zwischen Europas wohl bekanntestem Datenschützer und Zuckerbergs Social-Network-Imperium werden.
Insgesamt gab es viele spannende Entwicklungen im Bereich des Datenschutzrechts. Nicht immer war die Pandemie ein ausschlaggebender Faktor, doch vor dem Hintergrund der zunehmenden Online-Aktivitäten – sei es im Homeoffice oder privat – vermochte sie doch zumindest mittelbar zu deren Relevanz beizutragen.
Julia Schwegler
Dieser Beitrag erschien erstmals im BayWiDI-Magazin 3/2021. Die vollständige Ausgabe finden Sie hier.
[1] Gola/Klug, NJW 2021, 680 (682 f.).
[2] Gola/Klug, NJW 2021, 680 (682).
[3] Vgl. Schmale, Jahresrückblick 2020 und Ausblick 2021. Informationen zum Datenschutz. Brandi Newsletter, Januar 2021.
[4] EuGH, Urt. v. 15.06.2021 – C-654/19 – ECLI:EU:C:2021:483.
[5] Vgl. Gerichtshof der Europäischen Union, Pressemitteilung Nr. 103/21, 15.06.2021, dort auch zum Folgenden.
[6] Vgl. Gerichtshof der Europäischen Union, Pressemitteilung Nr. 1/21, 13.01.2021.
[7] EuGH, Urt. v. 16.07.2020 – C-311/18 – ECLI:EU:C:2020:559 – NJW 2020, 2613.
[8] EuGH, Urt. v. 16.07.2020 – C-311/18 – ECLI:EU:C:2020:559 – NJW 2020, 2613 (2614).
[9] EuGH, Urt. v. 16.07.2020 – C-311/18 – ECLI:EU:C:2020:559 – NJW 2020, 2613 (2614).
[10] Vgl. Wybitul/Halim, Das Schrems II-Urteil des EuGH: Was müssen Unternehmen bei internationalen Datentransfers ändern?, Latham&Watkins Client Alert Commentary, 24.07.2021.
[11] EuGH, Urt. v. 16.07.2020 – C-311/18 – ECLI:EU:C:2020:559 – NJW 2020, 2613 (2615).
[12] EuGH, Urt. v. 16.07.2020 – C-311/18 – ECLI:EU:C:2020:559 – NJW 2020, 2613 (2617, 2618).
[13] EuGH, Urt. v. 16.07.2020, C – 311/18.
[14] Vgl. hierzu Europäische Kommission, Europäische Kommission nimmt neue Instrumente für den sicheren Austausch personenbezogener Daten an, Pressemitteilung vom 04.06.2021.
[15] Vgl. noyb, noyb setzt dem Cookie-Banner-Wahnsinn ein Ende, noyb.eu, 31.05.2021, dort auch zum Folgenden.
[16] LG Köln, Beschl. v. 13.04.2021 – 31 O 36/21.
[17] EuGH, Urt. v. 01.10.2019 – C-673/17 – ECLI:EU:C:2019:801.
[18] Vgl. noyb, News-Seiten: Leser:innen sollen eigene Daten zum Wucherpreis „zurückkaufen“, noyb.eu, 13.08.2021.
[19] EuGH, Urt. v. 11.11.2020 – C-61/19 – ECLI:EU:C:2020:901.
[20] Vgl. Fanta, Neue Klage von Schrems. Schadensersatz für Millionen von Facebook-Nutzer:innen?, Netzpolitik.org, 20.07.2021.
[21] Vgl. Fanta, Neue Klage von Schrems. Schadensersatz für Millionen von Facebook-Nutzer:innen?, Netzpolitik.org, 20.07.2021.
Sämtliche Links wurden zuletzt am 09.09.2021 abgerufen.
[22] Vgl. dazu Büttel, Ist die DSGVO „gescheitert“?, For..Net Blog, 27.05.2021.
[23] Vgl. das Interview mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz Prof. Dr. Dieter Kugelmann bei Dachwitz, Datenschutzwüste Irland – „So langsam müssen die mal in die Pötte kommen“, Netzpolitik.org, 22.05.2021.
[24] Vgl. noyb, noyb reicht 422 formelle DSGVO-Beschwerden gegen Cookie-Banner-Wahnsinn ein, noyb.eu, 10.08.2021, dort auch zum Folgenden.
Sämtliche Links wurden zuletzt am 10.09.2021 abgerufen.