IT-Recht und Datenschutz15.12.2022 Newsletter

Fokus IT&C – 4. Quartal 2022

Erfahren Sie mehr zu unserem Fachbereich IT-Recht & Datenschutz – ab jetzt für Sie auf einen Blick zusammengefasst! Quartalsweise bereiten wir Ihnen die wichtigsten Neuerungen aus dem IT-Recht und Datenschutz vor. Neben den aktuellsten Gesetzesentwürfen und Entwicklungen aus dem Fachbereich, beraten wir Sie im klassischen IT-Recht, im Datenschutzrecht und im Bereich der neuen Medien. Sprechen Sie uns außerdem gerne an zu Auditierungen, der Betreuung von und Beratung zu IT-Projekten, einschließlich Cloud Computing, E-Commerce-Themen und Social Media Fragen.

1. Datenschutzaufsicht – Rekordbußgelder gegen Instagram und Facebook

2. Grundpreisangabe im Internet

3. LG Köln: Keine Passwortabfrage beim Kündigungsbutton

4. EuGH: Nationale Regelungen zur Vorratsdatenspeicherung verstoßen gegen Unionsrecht – Gestaltungsspielraum bleibt

5. Sperrung des Zugangs von Internetseiten

6. OLG Karlsruhe: Theoretische Zugriffsmöglichkeit keine Drittlandübermittlung

7. EU-USA Datenschutzrahmen: EU-Kommission legt Beschlussentwurf vor

 

1. Datenschutzaufsicht – Rekordbußgelder gegen Instagram und Facebook

Die irische Datenschutzaufsichtsbehörde (Irish DPC) verhängt gegen das soziale Netzwerk Instagram des Meta-Konzerns eine Rekordgeldbuße in Höhe von 405 Millionen Euro. Der Vorwurf: schwere Verstöße gegen die Datenschutzgrundverordnung, kurz „DSGVO“. Hinzu kommt die Anordnung einer Reihe von Abhilfemaßnahmen. Meta geht gegen die Entscheidung vor. Zentrales Argument: Die Entscheidung verstoße gegen die Charta der Grundrechte der EU und sei daher ungültig. 

Auch die Meta-Tochter Facebook ist Adressatin einer Geldbuße: 265 Millionen Euro Bußgeld nach aufsichtsbehördlichen Untersuchungen der Tools Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer, ausgelöst durch eine Veröffentlichung persönlicher Daten von bis zu 533 Millionen Facebook-Nutzern. Im Fokus stehen Fragen der Einhaltung der Datenschutzprinzipien „Privacy by Design and by Default“.

Damit haben Meta-Konzerngesellschaften seit September 2021 insgesamt vier Bußgelder wegen Datenschutzverstößen in Summe von 910 Millionen Euro erhalten. Bereits 2021 hatte die Irish DPC  225 Millionen Euro Buße gegen WhatsApp verhängt. Im März 2022 waren 17 Millionen Euro gegen den Mutterkonzern hinzugekommen. WhatsApp klagte beim EuGH auf eine Feststellung der Nichtigkeit der dem Bußgeld vorangehenden Entscheidung des Europäischen Datenschutzausschusses („EDSA“). Diese Klage wies der EuGH jüngst als unzulässig zurück  (verbunden mit dem Hinweis: „Die Gültigkeit der Entscheidung des EDSA kann jedoch vor dem nationalen Gericht angefochten werden, das dem Gerichtshof ein Vorabentscheidungsersuchen vorlegen kann“. Parallel läuft ein von WhatsApp initiiertes Klageverfahren gegen den Bescheid der Irish DPC beim nationalen Gericht.) 

Gegenstand der Vorwürfe gegen Instagram

Mit der Geldbuße sanktioniert die Behörde, dass Instagram es Jugendlichen im Alter zwischen 13 und 17 Jahren ermöglicht hatte, sogenannte “Business-Accounts“ auf der Plattform zu betreiben. Dadurch waren Telefonnummern und E-Mail-Adressen von Minderjährigen vorübergehend öffentlich einsehbar.  Zudem waren Accounts Jugendlicher standardmäßig auf „öffentlich“ gesetzt. Sofern Jugendliche diese Voreinstellung nicht vorab auf „privat“ umgeschaltet hatten, waren ihre Social Media-Inhalte für Instagram-Nutzer frei einsehbar. Laut Meta handelte es sich dabei um eine veraltete Einstellung, die mittlerweile überarbeitet worden sei. Die Behörde thematisiert dennoch in ihrer Entscheidung Verstöße gegen Art. 5 Abs. 1 lit. a, Art. 5 Abs. 1 lit. c, Art. 6 Abs. 1, Art. 12 Abs. 1, Art. 24, Art. 25 Abs. 1, Art. 25 Abs. 2 und Art. 35 Abs. 1 DSGVO.

Einbindung des EDSA im Instagram-Verfahren

Die vorliegende finale Bußgeldentscheidung beendet ein komplexes Verfahren. Dieses hatte die Irish DPC im September 2020 unter anderem als Reaktion auf Informationen des US-amerikanischen Datenwissenschaftlers David Stier eingeleitet. Im Jahr 2021 hatte sie als „federführende“ Behörde dann auf Basis umfassender Untersuchungen der Datenverarbeitung bei Instagram einen Entscheidungsentwurf verfasst und diesen mit anderen „betroffenen“ nationalen Aufsichtsbehörden innerhalb der EU geteilt (Art. 60 DSGVO). Sechs Behörden hatten Einwände erhoben. Diese Behörden wendeten sich unter anderem gegen die Annahme einer gesetzlichen Erlaubnis für die Datenverarbeitungen nach Art. 6 Abs. 1 DSGVO. Zur Einigung kam es nicht.

Die Irish DPC verwies die Angelegenheit zwecks Streitbeilegungsverfahren (Artikel 65 DSGVO) an den Europäischen Datenschutzausschuss, kurz „EDSA“. Dieser nahm am 28. Juli 2022 dazu seine verbindliche Entscheidung an. Darin erläutert der EDSA umfassend die restriktiven Voraussetzungen für das Eingreifen der Erlaubnistatbestände „Erforderlichkeit der Datenverarbeitung für die Erfüllung eines Vertrages mit dem Betroffenen" (Art. 6 Abs. 1 lit. b DSGVO) sowie „berechtigtes Interesse an der Datenverarbeitung“ (Art. 6 Abs. 1 lit. f DSGVO). Auf Grundlage dieser Entscheidung überarbeitete die Irish DPC ihre ursprünglichen Ausführungen und legte der endgültigen Entscheidung einen Verstoß gegen Art. 6 Abs. 1 DSGVO zugrunde.

Europaweites Signal: Besondere Sorgfalt  bei  Verarbeitung von Daten Minderjähriger

Angelika Jelinek, die Vorsitzende des EDSA, bezeichnet die Entscheidung in der EDSA-Pressemitteilung als „historisch“ und führt aus: „Nicht nur wegen der Höhe des Bußgeldes – es ist das zweithöchste Bußgeld seit Inkrafttreten der Datenschutz-Grundverordnung – es ist auch die erste EU-weite Entscheidung zu den Datenschutzrechten von Kindern. Mit dieser verbindlichen Entscheidung macht der EDSA besonders deutlich, dass Unternehmen, die Kinder als Zielgruppe haben, besonders vorsichtig sein müssen. Kinder verdienen einen besonderen Schutz in Bezug auf ihre personenbezogenen Daten.“

Vor diesem Hintergrund gilt für Unternehmen, die personenbezogene Daten Minderjähriger verarbeiten bzw. dies nicht vollständig ausschließen können, Folgendes: 

  1. Verschaffen Sie sich innerhalb Ihres Verantwortungsbereichs volle Transparenz über die Verarbeitung personenbezogener Daten von Minderjährigen.
  2. Wenden Sie die Prinzipien von Datenvermeidung und Datensparsamkeit im Hinblick auf derartige Daten konsequent an. Verzichten Sie auf derartige Daten oder anonymisieren Sie diese, soweit Ihr Geschäftsmodell dies erlaubt. Andernfalls prüfen Sie Möglichkeiten der Pseudonymisierung.  
  3. Ob Sie die Verarbeitung der Daten Minderjähriger auf die Erlaubnistatbestände „Erfüllung eines Vertrages mit der betroffenen Person“ (Art. 6 Abs. 1 lit. b DSGVO) oder „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DSGVO) stützen können, sollten Sie anhand der Maßstäbe prüfen, die der EDSA in seiner verbindlichen Entscheidung (Seiten 29 ff.) bzgl. Instagram angelegt hat.

Dr. Angela Busche

Zurück

2. Grundpreisangabe im Internet

Der BGH hat entschieden, dass ein Grundpreis in unmittelbarer Nähe zum Verkaufspreis stehen muss. Die Entscheidung geht auf ein Urteil aus Mai 2022 (BGH, Urt. v. 19.05.2022 – I ZR 69/21) zurück. Dies biete dem Verbraucher optimale Möglichkeiten, die Preise von Erzeugnissen zu beurteilen und miteinander zu vergleichen und somit fundierte Entscheidungen zu treffen, so der BGH.

Der Fall: Fehlende Grundpreisangabe im Internet

In dem gegenständlichen Fall bot ein Händler ein Hydro-Stößel-Additiv (Kfz-Zubehör) mit einem Volumen von 300 ml und eine Keramik-Paste mit einem Gewicht von 50g im Internet an. Den Grundpreis gab er dabei nicht an. Gegen diese Angebotsdarstellung wandte sich ein Interessenverband von Online-Unternehmern. Im einstweiligen Rechtsschutzverfahren wurde der Händler zwar zur Unterlassung seiner Vorgehensweise verpflichtet, allerdings nicht dazu, die Angabe künftig in „unmittelbarer Nähe“ zum Gesamtpreis zu platzieren. Der Klägerverband scheiterte in erster und zweiter Instanz. Der BGH verurteilte den Internethändler hingegen antragsgemäß.

Rechtlicher Hintergrund

Der Händler verstieß mit seiner Praktik gegen seine Verpflichtung, bei Waren, die er Verbrauchern nach Volumen bzw. Gewicht in Fertigpackungen anbot, in unmittelbarer Nähe des Gesamtpreises auch den Preis je Mengeneinheit (d.h. hier Preis/Liter bzw. Preis/100g) einschließlich der Umsatzsteuer und sonstiger Preisbestandteile (Grundpreis) anzugeben, wie es die Preisangabenverordnung vorschreibt (§ 2 Abs. 1 S. 1 PAngV a. F.). Außerdem erkannte das Gericht eine unlautere und unzulässige Handlung (§ 5a Abs. 2 S. 1, Abs. 4 UWG und § 3 UWG). Daraus folgte zugleich ein Unterlassungsanspruch (§ 8 Abs. 1 S. 1, Abs. 3 Nr. 2 UWG).

Neue Preisangabenverordnung 2022

Die deutsche Preisangabenverordnung ist die nationale Umsetzung der europäischen Richtlinie 98/6/EG, sog. Grundpreisrichtlinie, die jüngst modernisiert wurde durch die Richtlinie 2019/2161/EU. Die Pflicht zur Angabe eines Grundpreises ergibt sich nun aus § 4 und § 5 PAngV und gilt in der neuen Fassung seit dem 28. Mai 2022.

Der Grundpreis ist, von einigen Ausnahmen abgesehen, – neben dem Endpreis – bei folgenden Waren anzugeben, wenn sie nach Gewicht, Volumen, Länge oder Fläche angeboten werden:

  • Waren in Fertigpackungen,
  • Waren in offenen Verpackungen,
  • Waren, die als Verkaufseinheiten ohne Umhüllungen abgegeben werden.

Dabei muss der Grundpreis so ausgewiesen sein, dass er „unmissverständlich, klar erkennbar und gut lesbar“ für den Verbraucher zu finden ist. Gesamt- und Grundpreis müssen auf einen Blick wahrnehmbar sein.

Online-Händler sollten daher von der Verwendung eines separaten Links, der erst angeklickt werden muss, um den Grundpreis zu erfahren, oder auch einem sog. „Mouse-Over“, bei dem erst bei einem Bewegen des Cursors über eine Fläche der Grundpreis sichtbar wird, absehen. Anderenfalls drohen kostenpflichtige Abmahnungen.

Dr. Hanna Schmidt

Zurück

3. LG Köln: Keine Passwortabfrage beim Kündigungsbutton

Bei der Kündigung mittels des neuen Kündigungsbuttons im Online-Handel nach § 312k BGB darf der Kunde nicht dazu angehalten werden, zunächst sein Kundenkennwort einzugeben. Das entschied nun das Landgericht Köln in einem aktuellen Beschluss (29.07.2022 – 33 O 355/22).

Das LG Köln gab dem Antragssteller recht, der die unzureichende Kündigungsmöglichkeit von Telekommunikationsverträgen auf der Webseite der Antragsgegnerin abmahnte.

Zur Erinnerung: Der Gesetzgeber hat mit Wirkung zum 1. Juli 2022 den neuen § 312k BGB eingefügt. Dieser sieht vor, dass ein Unternehmer, der online auf einer Webseite den Abschluss von Verbraucherverträgen, die ein Dauerschuldverhältnis begründen, wie Abonnements oder Mobilfunk- und Internetverträge, nun eine sogenannte „Kündigungsschaltfläche“ zur Verfügung stellen muss. Ein Klick auf diese Schaltfläche soll auf eine Bestätigungsseite führen, auf der der Verbraucher Angaben über die Art der Kündigung, den zu kündigenden Vertrag und insbesondere seine Identität machen muss. Erst danach wird über eine weitere Schaltfläche die Kündigung an sich vollzogen.

Der Gesetzgeber wollte es damit Verbrauchern ebenso einfach machen, einen Vertrag zu kündigen, wie diesen abzuschließen. Mit anderen Worten: mit einem Klick geschlossen, mit einem Klick beendet. Selbstverständlich ist weder das eine noch das andere so einfach. Deswegen versucht der Gesetzgeber den Spagat zwischen Einfachheit der Kündigung und Datensparsamkeit auf der einen, sowie Missbrauchsschutz und Sicherheit für den Unternehmer auf der anderen Seite.

Das wirkt sich im Gesetz so aus, dass die Angaben, die der Verbraucher zur Kündigung machen muss (§ 312k Abs. 2 BGB), zugleich Minimal- und als Maximalvorgabe für den Unternehmer ist. Der Unternehmer darf also keine zusätzlichen Angaben verlangen, die dem Verbraucher ggf. nicht ohne Weiteres zur Verfügung stehen und so die einfache und unkomplizierte Kündigung erschweren. So zitiert es auch das LG Köln aus der einschlägigen Gesetzesbegründung: Nach Auffassung des Gerichts stelle die Abfrage des Kundenkennworts eine in der Vorschrift nicht vorgesehene Hürde dar, die geeignet sei, den Kunden von der Kündigung abzuhalten, da ihm das Kennwort möglicherweise nicht zugänglich sei. Es müsse zumindest auch die Möglichkeit bestehen, sich durch die Angabe von Namen und weiteren gängigen Identifizierungsmerkmalen wie Wohnanschrift, E-Mail-Adresse und dergleichen für die Kündigung zu identifizieren.

Dem Gesetzgeber schwebte zwar tatsächlich eine solch enge Auslegung vor. Allerdings befeuert er damit die Kritik, den Unternehmer mit seiner Verantwortung, den Kunden vor Missbrauch zu schützen, gänzlich allein zu lassen. Denn gerade mit der Kennworteingabe kann die Verifikation des Kunden sichergestellt werden. Die bloße Abfrage  von Daten, die auch Dritten bekannt sein können, birgt hingegen ein hohes Missbrauchspotenzial. Zwar sieht das Gesetz vor, dass der Verbraucher zudem Angaben zu dem zu kündigenden Vertrag macht (d. h. in der Regel die Vertragsnummer). Für den Verbraucher dürfte es in der Praxis aber häufig aufwändiger sein, die Vertragsnummer herauszusuchen, als sich in sein Kundenkonto einzuloggen. Auch ist es für Unternehmen oft mit großem Aufwand verbunden, ihre etablierten Verifikationsmechanismen entsprechend abzuändern und anzupassen.

Insbesondere ausländische Unternehmen, deren Geschäftsmodell den Abschluss von Online-Verträgen mit Verbrauchern vorsieht, sollten den Beschluss des Landgerichts beachten. Sie sollten kritisch prüfen, ob ein „Kündigungsbutton“ auf ihren Webseiten, die auf den deutschen Markt ausgerichteten sind, vorhanden und korrekt implementiert ist. Denn bei der Regelung in § 312k BGB handelt es sich um eine nationale Besonderheit des deutschen Zivilrechts, der keine europäische Verbraucherschutzvorschrift zugrunde liegt.

Bei unzureichender Umsetzung drohen Abmahnungen – die Verbraucherzentralen sind bereits aktiv.

Dr. Hanna Schmidt

Zurück

4. EuGH: Nationale Regelungen zur Vorratsdatenspeicherung verstoßen gegen Unionsrecht – Gestaltungsspielraum bleibt

Mit Urteil vom 20. September 2022 (Az. C-793/19, C-794/19) entschied der Europäische Gerichtshof (EuGH), dass die deutschen Regelungen zur präventiven Speicherung von Standort- und Verkehrsdaten, die sog. Vorratsdatenspeicherung, unionsrechtswidrig sind. Damit bestätigt der Gerichtshof erwartungsgemäß seine bisherige Rechtsprechung (zuletzt EuGH, Urt. v. 05.04.2022, Rs. C-140/20).

Zugleich formuliert der EuGH Bedingungen, nach denen von dem grundsätzlichen Verbot einer anlasslosen Vorratsdatenspeicherung abgewichen werden kann. Dadurch gibt der EuGH dem nationalen Gesetzgeber entscheidende Handlungsempfehlungen für eine Gesetzesreform an die Hand.

Internet- und Telekommunikationsdienstleister wehren sich

Hintergrund der aktuellen Entscheidung ist ein Rechtsstreit zweier Internet- und Telekommunikationsdienstleister (SpaceNet & Telekom). Sie hatten sich gegenüber der Bundesnetzagentur gegen die Pflicht zur Speicherung von Verkehrs- und Standortdaten nach dem Telekommunikationsgesetz gewehrt (§§ 113b - 113g TKG a.F., inzwischen §§ 176 ff. TKG). Diese Pflicht zur Vorratsdatenspeicherung besteht nach den nationalen Vorgaben allgemein und unterschiedslos.

Das VG Köln entschied bereits in erster Instanz im Jahr 2018, dass eine solche Verpflichtung gegen Unionsrecht verstößt. In zweiter Instanz gelangte das Bundesverwaltungsgericht allerdings zu der Auffassung, dass eine Speicherung von Standort- und Verkehrsdaten im Einklang mit Unionsrecht stehen könne. Das Bundesverwaltungsgericht legte die Rechtssache dem EuGH daraufhin zur Vorabentscheidung vor.

Entscheidung des EuGHs zur Vorratsdatenspeicherung

Der EuGH bestätigte, dass eine anlasslose und undifferenzierte Vorratsdatenspeicherung unzulässig sei. Dies gelte selbst dann, wenn diese zum Zwecke der Kriminalitätsbekämpfung und dem Schutz der nationalen Sicherheit erfolge.

Unter bestimmten Bedingungen könne das Instrument der Vorratsdatenspeicherung aber unionsrechtskonform ausgestaltet werden. Das Unionsrecht stehe demnach Regelungen zur Vorratsdatenspeicherung nicht entgegen, wenn diese

  • gestatten, den Betreibern elektronischer Kommunikationsdienste zum Schutz der nationalen Sicherheit aufzugeben, Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat zu speichern, sofern eine als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit besteht. Die Anordnung kann durch ein Gericht oder eine unabhängige Verwaltungsstelle kontrolliert werden und muss auf einen absolut notwendigen Zeitraum befristet werden.
  • eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit auf der Grundlage objektiver und nichtdiskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums vorsehen, sofern eine zeitliche Befristung auf das absolut Notwendige erfolgt.
  • eine allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen, sofern dies für dieselben Zwecke und unter identischer Befristung erfolgt.
  • eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten zum Schutz der nationalen Sicherheit, zur Bekämpfung der Kriminalität und zum Schutz der öffentlichen Sicherheit vorsehen.
  • gestatten, den Betreibern elektronischer Kommunikationsdienste zur Bekämpfung schwerer Kriminalität und zum Schutz der nationalen Sicherheit, während eines festgelegten Zeitraums aufzugeben, die ihnen zur Verfügung stehenden Verkehrs- und Standortdaten umgehend zu sichern (vgl. auch Rn. 131 des Urteils).

Gestaltungsspielraum bleibt trotz EuGH-Entscheidung

Der EuGH hat in seiner Entscheidung deutlich gemacht, dass die anlasslose Vorratsdatenspeicherung unzulässig sei. Gerade die vom EuGH definierten Ausnahmen und auslegungsfähigen Rechtsbegriffe lassen dem deutschen Gesetzgeber jedoch einen erheblichen Gestaltungsspielraum. Am Ende könnte dies zu mehr Vorratsdatenspeicherung führen, als man aufgrund der teilweisen medialen Berichterstattung denken könnte.

Christian Saßenbach, LL.M.

Zurück

5. Sperrung des Zugangs von Internetseiten

Mit Urteil vom 13. Oktober 2022 (Az. I ZR 111/21) hat der BGH den Anspruch mehrerer Wissenschaftsverlage gegen die Telekom auf Sperrung verschiedener Internetseiten abgelehnt. Vor der Geltendmachung einer Netz- bzw. DNS-Sperre gegenüber dem Access-Provider gemäß § 7 Abs. 4 Satz 1 Telemediengesetz (TMG) sei es zumutbar, im einstweiligen Rechtsschutzverfahren gegen den Betreiber der Internetseite oder den Host-Provider vorzugehen.

Internetseiten stellten urheberrechtlich geschützte Inhalte zur Verfügung

Die betroffenen Internetseiten stellten nach Ansicht der Kläger Literatur zur Verfügung, deren Nutzungsrecht ausschließlich bei Wissenschaftsverlagen aus den USA, Großbritannien und Deutschland liegt. Die Betreiber der Websites konnten nicht ermittelt werden, da ihr Aufenthaltsort unbekannt ist und die Versuche, Urteile von US-Gerichten gegen sie zu vollstrecken, erfolglos blieben. Außergerichtliche Maßnahmen und Versuche wie etwa Mahnschreiben  gegenüber dem in Schweden ansässigen Host-Provider zur Identifizierung der Betreiber der Internetseite seien ebenfalls gescheitert. Als Access-Provider der beiden Internetseiten sollte deshalb die Telekom die Nutzung von Informationen gem. § 7 Abs. 4 TMG sperren. Nachdem das Landgericht München I in erster Instanz noch einen solchen Anspruch auf Sperrung bejahte, sah das Oberlandesgericht München in zweiter Instanz noch nicht alle den Klägern zumutbaren Maßnahmen ausgeschöpft. Dieser Ansicht folgt nun auch der BGH und verweist dabei insbesondere auf die Möglichkeit des einstweiligen Rechtsschutzverfahrens.

Einstweiliger Rechtsschutz vor deutschem Gericht zumutbar

Es sei den Klägern zuzumuten und auch verhältnismäßig, ein einstweiliges Rechtsschutzverfahren zur Erlangung von Auskünften gegen den Host-Provider vor einem deutschen Gericht anzustrengen.

Sperrung als ultima ratio

Wann eine Sperrung angemessen und verhältnismäßig im Sinne des § 7 Abs. 4 TMG ist, muss im Einzelfall geprüft werden. In der Regel muss der Rechtsinhaber jedoch vor dem Antrag auf Sperrung nicht nur Maßnahmen zur Informationsbeschaffung und außergerichtlichen Konfliktbeilegung ergreifen, sondern auch angemessene Mittel des einstweiligen Rechtsschutzes anstrengen. Hat der Betreiber der streitgegenständlichen Internetseite oder der Host-Provider seinen Sitz in der EU so ist das einstweilige Rechtsschutzverfahren jedenfalls vor einem deutschen Gericht gegen den Betreiber der Internetseite bzw. den Host-Provider zumutbar. Die Sperrung gem. § 7 Abs. 4 TMG ist nur ultima ratio.

Praktische Folgen

Rechtsinhaber müssen daher grundsätzlich gegen die Betreiber einer Internetseite und den Host-Provider vorgehen, wenn diese in der EU ansässig sind. Für Auskunftsansprüche gegen außerhalb der EU ansässige Betreiber von Internetseiten und Host-Provider kann ein gerichtliches Vorgehen im Eilverfahren entbehrlich sein.

Tobias Kollakowski, LL.M.

Zurück

6. OLG Karlsruhe: Theoretische Zugriffsmöglichkeit keine Drittlandübermittlung

Das OLG Karlsruhe sorgt für Aufatmen und Erleichterung bei Unternehmen, die personenbezogene Daten von einem externen Dienstleister hosten lassen. Bei der Beurteilung, ob es sich um eine Datenübermittlung an ein Drittland außerhalb der EU handelt, kommt es allein darauf an, ob der externe Dienstleister seinen Sitz in der EU hat und dass die Daten in der EU gespeichert werden. Die Konzernverbindungen des Dienstleisters zu anderen Gesellschaften spielen hingegen keine Rolle. So führt nach dem OLG Karlsruhe die theoretische Zugriffsmöglichkeit der US-amerikanischen Muttergesellschaft des europäischen Dienstleisters nicht zu der Annahme einer Drittlandübermittlung (Urteil vom 7. September 2022 (Az. 15 Verg 8/22)).

Hintergrund und Streitgegenstand des Ausgangsverfahrens

Mit dem Schrems II-Urteil (Az. C-311/18) erklärte der EuGH das US-Privacy Shield für unwirksam. Dieses Urteil erschwerte die zulässige Datenübermittlung in die USA, da nunmehr auf geeignete Garantien der Art. 46 ff. DSGVO zurückgegriffen werden musste. Ohne eine geeignete Garantie (vor allem die Vereinbarung der Standarddatenschutklauseln) ist eine Datenübermittlung ins Drittland ohne Angemessenheitsbeschluss unzulässig.

Die Vergabekammer Baden-Württemberg hatte im erstinstanzlichen Verfahren mit Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22) für Aufsehen gesorgt. Die Kammer hat die reine Möglichkeit des Zugriffs auf personenbezogene Daten mit einer Datenübermittlung gleichgesetzt. Die Folge: Das Hosten von personenbezogenen Daten durch einen europäischen Dienstleister muss den Anforderungen der DSGVO für Datenübermittlungen in Drittländer entsprechen. Grund war die Konzernverbindung von dem europäischen Dienstleister zu der US-amerikanischen Muttergesellschaft. Die Vergabekammer stufte die reine Zugriffsmöglichkeit der Muttergesellschaft als Drittlandübermittlung in die USA ein. Das latente Risiko eines Zugriffs durch staatliche oder private Stellen außerhalb der EU, sei nach der Kammer für die Annahme einer datenschutzrechtlich relevanten Datenübermittlung ausreichend.

Diese Annahme hätte für Unternehmen weitreichende Folgen bei der Auswahl des externen Dienstleisters gehabt. Unternehmen hätten zusätzlich die Konzernverbindungen des Dienstleisters vor Abschluss eines Vertrags prüfen und bei der datenschutzrechtlichen Bewertung berücksichtigen müssen.

OLG Karlsruhe revidiert die Entscheidung der Vergabekammer

Das OLG Karlsruhe hat diesen vielfach kritisierten Beschluss der Vergabekammer Baden-Württemberg mit Urteil vom 7. September 2022 (Az. 15 Verg 8/22) aufgehoben. Ein datenschutzrechtlicher Verstoß liegt nicht schon dann vor, wenn im Rahmen des Hostings ein europäischer Dienstleister eines US-amerikanischen Konzerns beauftragt wird. Die (reine) Konzernbindung lässt nicht befürchten, dass es zu rechts- und vertragswidrigen Weisungen kommen bzw. die Tochtergesellschaft zwangsläufig möglichen rechtswidrigen Weisungen Folge leisten wird.

Erleichterung bei Unternehmen und Ausblick auf neuen Angemessenheitsbeschluss

Die Entscheidung des OLG Karlsruhe ist zu begrüßen und sorgt auf Seiten der Unternehmen für Erleichterung.

Dennoch sollte bei Datenverarbeitungen, die einen Bezug zum EU-Ausland haben, besonders sorgfältig die datenschutzrechtlichen Vorgaben, auch und insbesondere hinsichtlich Übermittlungen in Drittländer, berücksichtigt werden. Datenübermittlungen in die USA könnten derweil in der Zukunft durch einen neuen Angemessenheitsbeschluss vereinfacht werden. Die EU-Kommission hat am 13. Dezember 2022 den Entwurf des Angemessenheitsbeschlusses für Datenübermittlungen in die USA dem Europäischen Datenschutzausschuss vorgelegt. Der Ausschuss wird im nächsten Schritt den Entwurf prüfen und ggf. genehmigen. Nach den erforderlichen Genehmigungen kann die EU-Kommission den Angemessenheitsbeschluss erlassen.

Patrick Schwarze

Zurück 

7. EU-USA Datenschutzrahmen: EU-Kommission legt Beschlussentwurf vor

Die EU-Kommission ist bestrebt, sichere transatlantische Datenströme zu fördern und die vom Gerichtshof der Europäischen Union im „Schrems II“-Urteil geäußerten Bedenken auszuräumen. Vor diesem Hintergrund hat die Kommission am 13. Dezember 2022 das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA eingeleitet, indem sie ihren Beschlussentwurf vorgelegt hat. Dieser Entwurf knüpft an ein von US-Präsident Biden unterzeichnetes US-Dekret sowie an dazu erlassene Verordnungen an. Diese US-Akte setze eine „grundsätzliche Einigung“ zwischen Präsidentin von der Leyen und Präsident Biden über einen neuen transatlantischen Rahmen für Datenübermittlungen um, die im Frühjahr nach intensiven Verhandlungen erzielt worden war. Die Kommission bewertet diesen neuen US-Rechtsrahmen in ihrem Beschlussentwurf mit dem Ergebnis: Die USA gewährleisten nunmehr aufgrund hinreichender Garantien ein angemessenes Schutzniveau für personenbezogene Daten aus der EU.

Wirkung des Angemessenheitsbeschlusses im Falle seiner Annahme

Sofern und sobald der Angemessenheitsbeschluss angenommen worden ist, können europäische Unternehmen personenbezogene Daten an solche Unternehmen in den Vereinigten Staaten übermitteln, die an dem Datenschutzrahmen EU-USA teilnehmen, ohne zusätzliche Datenschutzgarantien einführen zu müssen.

Wesentlicher Regelungsgehalt

US-Unternehmen können an dem Datenschutzrahmen EU-USA teilnehmen, indem sie sich auf einen Katalog von Datenschutzvorgaben verpflichten.

Von Verstößen gegen diesen Datenschutzrahmen betroffene EU-BürgerInnen sollen verschiedene Rechtsbehelfe zuteilwerden.

US-Nachrichtendienste sollen auf europäischen Daten nur in dem zum Schutz der nationalen Sicherheit notwendigen und verhältnismäßigen Maß Zugriff erhalten können. Geplant ist zudem ein unabhängiges und unparteiisches Rechtsbehelfsverfahren, inkl. Schaffung eines neuen Gerichts zur Datenschutzüberprüfung.

Verlauf bis zum endgültigen Beschluss

Der Beschlussentwurf liegt derzeit beim Europäischen Datenschutzausschuss (EDSA) zur Stellungnahme. Anschließend muss ein Ausschuss aus Vertretern der EU-Mitgliedstaaten zustimmen. Das Europäische Parlament hat noch ein Kontrollrecht. Danach ist der Weg frei für die endgültige Annahme des Beschlusses durch die Kommission. Wir erwarten den endgültigen Beschluss innerhalb des 1. Halbjahres 2023.

Kontinuierliches Monitoring des Datenschutzrahmens EU-USA

Die EU-Kommission, US-Behörden sowie die europäischen Datenschutzbehörden werden überwachen, dass die einschlägigen Elemente des US-Rechtsrahmens (Dekret und Verordnungen) vollständig und praktisch wirksam umgesetzt werden.

Weitere Details und Links zu Hintergrundinformationen finden Sie hier (Pressemitteilung der EU-Kommission vom 13.12.2022)

Dr. Angela Busche & Dr. Jürgen Hartung

Zurück

 

 

Zurück zur Übersicht

Dr. Hanna Schmidt

Dr. Hanna Schmidt

Junior PartnerinRechtsanwältin

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
M +49 172 1475 126

E-Mail

Dr. Angela Busche<br/>LL.M. (CWSL)

Dr. Angela Busche
LL.M. (CWSL)

PartnerinRechtsanwältin

Am Sandtorkai 74
20457 Hamburg
T +49 40 808105 152
M +49 173 4135932

E-Mail

Patrick Schwarze

Patrick Schwarze

Junior PartnerRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 406
M +49 1520 2642 548

E-Mail

LinkedIn

Christian Saßenbach<br/>LL.M. (Norwich), CIPP/E

Christian Saßenbach
LL.M. (Norwich), CIPP/E

AssociateRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 115
M +49 151 1765 2240

E-Mail

Tobias Kollakowski<br/>LL.M. (Köln/Paris 1)

Tobias Kollakowski
LL.M. (Köln/Paris 1)

Junior PartnerRechtsanwaltLegal Tech Officer

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 423
M +49 173 8851 216

E-Mail

LinkedIn

Dr. Marc Hilber<br/>LL.M. (Illinois)

Dr. Marc Hilber
LL.M. (Illinois)

PartnerRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 612
M +49 172 3808 396

E-Mail

LinkedIn