Kommission: Standard Contract Clauses rechtswidrig

Die EU-Kommission arbeitet an neuen Entwürfen zu ihren Beschlüssen bezüglich der EU Standard Contract Clauses. Unter anderem sollen jegliche Beschränkungen der Aufsichtsbehörden entfallen. Ihre aktuellen Beschlüsse betrachtet die Kommission als rechtswidrig.

Das EuGH-Urteil zur Nichtigkeit des Safe Harbor-Abkommens hat weitere Auswirkungen auf die Rechtslage der EU. Nachdem die irische Datenschutzaufsicht angekündigt hatte, die Rechtswirksamkeit der EU Standard Contract Clauses gerichtlich überprüfen zu lassen, hat auch die Kommission mit einer Überprüfung ihrer Beschlüsse zu diesem Thema begonnen.

Beschränkungen für Behörden werden gestrichen

Die neuen Entwürfe der Kommission sehen vor, dass jegliche Beschränkungen für die nationalen Aufsichtsbehörden gestrichen werden. Damit dürften die Beschränkungen nach Art. 4 der Standardvertragsklauseln gemeint sein. Der EuGH hatte in seinem Urteil zu Safe Harbor Beschränkungen für Aufsichtsbehörden für unzulässig erklärt, die die Behörden in der Ausübung ihrer Kontrollrechte nach Art. 28 RL 95/46/EG einschränken. Im Fall Safe Harbor war dies die Möglichkeit nach einer Eingabe eines Betroffenen tätig zu werden, die ein Schutzniveau eines Landes in Frage stellt, das die Kommission für ausreichend hält.

Kommission hält eigenen Beschluss für rechtswidrig

Zudem betrachtet die Kommission ihren eigenen Beschluss als rechtswidrig. Dies folge unmittelbar aus dem EuGH-Urteil zu Safe Harbor. Es ist daher davon auszugehen, dass Unternehmen bald auch die EU Standard Contract Clauses nicht mehr als rechtswirksame Möglichkeit der Datenübermittlung in Drittländer zur Verfügung stehen wird. In Anbetracht vielfacher Ankündigungen, auch das kürzlich angenommene Abkommen EU-US Privacy Shield gerichtlich überprüfen zu lassen, warten Unternehmen noch weiter auf Rechtssicherheit. Die Kommission will aber ihre Beschlüsse der neuen Rechtslage anpassen.

Datr Cookie: Facebook gewinnt in Belgien

Facebook hat einen Rechtsstreit gegen die belgische Datenschutzbehörde gewonnen, die dem sozialen Netzwerk das Sammeln von Nichtmitglieder-Daten untersagen wollte. Zum Einsatz kommt dabei das sog. Datr Cookie. Die Entscheidung könnte auch Auswirkungen in Deutschland haben.

Die belgische Datenschutzbehörde wollte es dem sozialen Netzwerk untersagen Daten über Personen zu sammeln, die nicht Mitglied von Facebook sind. Facebook sammelt diese Daten unter anderem mit Hilfe des sog. Datr Cookie, der mittels Social Plug-ins wie dem Like-Button auf Webseiten eingebunden wird. Laut der Behörde sammelt Facebook so Daten auch über Nichtmitglieder, die gar nicht mit dem Social Plug-in interagieren. Facebook hat dieser Darstellung bereits im letzten Jahr widersprochen.

Behörde nicht zuständig

Das zuständige Gericht hat zugunsten von Facebook entschieden. Aber nicht inhaltlich bzgl. der Datenverarbeitung durch das Datr Cookie. Das Gericht erklärte die belgische Datenschutzbehörde für nicht zuständig, deren Anweisungen seien mithin nichtig. Als Grund wird angeführt, dass Facebook seine europäische Niederlassung in Irland habe. Deshalb sei die irische Datenschutzbehörde zuständig.

Ähnlicher Fall auch in Deutschland

Der Blick nach Belgien lohnt sich auch für deutsche Datenschützer und Webseiten-Betreiber. Die Datenschutzbehörde von Schleswig-Holstein geht in einem ähnlich gelagerten Fall ebenfalls gegen Facebook vor. Auch hier müssen die Gerichte entscheiden, ob die deutschen Behörden überhaupt für die europäische Niederlassung von Facebook zuständig sind. Diese bejahen dies, da Facebook eine GmbH mit Sitz in Deutschland betreibe. Das zuständige Oberverwaltungsgericht Schleswig-Holstein hatte eine Zuständig der Landesbehörde verneint, die Revision zum Bundesverwaltungsgericht aber zugelassen. Die Angelegenheit ist mittlerweile ein Fall für das oberste deutsche Verwaltungsgericht.

Abmahnung wegen fehlendem Link zur EU Online Streitbeilegung

Mit der am 9.1.2016 in Kraft getretenen EU-Verordnung Nr. 524/2013 müssen in der EU niedergelassene Online-Händler auf die Online Streitbeilegung der EU hinweisen. Die Verordnung soll helfen Rechtsstreitigkeiten zwischen Online-Händlern und Verbrauchern außergerichtlich zu lösen.

Im Zuge der Verordnung wurde von der EU-Kommission ein Online-Portal zur außergerichtlichen Streitbeilegung zur Verfügung gestellt. Das Online-Portal soll helfen, Rechtsstreitigkeiten zwischen Verbrauchern und Online-Händlern außergerichtlich zu klären und bietet die Möglichkeit zur beidseitigen Beschwerde.

LG Bochum betont Pflicht zum Hinweis

In einem Verfahren vor dem Landgericht (LG) Bochum (Urteil v. 31.3.2016 – Az. 14 O 21/16) stellte das Gericht klar, dass Online-Händler Verbraucher zum einen auf die Möglichkeit der Online Streitbeilegung bei Vertragsschluss hinweisen müssen. Zum anderen muss der Online-Händler dem Verbraucher einen leicht zugänglichen Link vorhalten. Dabei ist es unerheblich, ob zum Zeitpunkt des Vertragsschlusses die Online-Plattform bereits verfügbar war und Streitbeilegungen über sie erfolgen konnten. Maßgeblich ist ein Vertragsschluss nach dem 9.1.2016, der die entsprechende Pflicht zum Hinweis begründet. Online-Händler sollten daher zwingend entsprechende Hinweise vorhalten und diese leicht zugänglich auf ihrer Webseite veröffentlichen, bspw. im Impressum oder in eventuell online einsehbaren AGB. Diese Regelung trifft jedoch nur zu, wenn die andere Vertragspartei ein Verbraucher i. S. v. § 13 BGB ist. Ein solcher Hinweis ist daher im B2B-Bereich nicht notwendig.

Im vorliegenden Fall mahnte ein Online-Uhrenhändler einen Wettbewerber wegen des fehlenden Hinweises und Links ab. Das LG sah es als unerheblich an, dass zum Zeitpunkt der einstweiligen Verfügung (9.2.2016) die Online-Plattform noch nicht zur Verfügung stand und eine Streitbeilegung in Deutschland zudem noch nicht möglich war. In Deutschland war die Plattform ab dem 15.2.2016 erreichbar.

 

 

EU-US Privacy Shield verabschiedet

Die EU und die USA haben das neue Datenschutz-Abkommen EU-US Privacy Shield verabschiedet. Es ersetzt das vom EuGH für ungültig erklärte Abkommen Safe Harbor. Kritiker bemängeln, dass zentrale Probleme nicht beseitigt worden seien.

EU-Mitgliedsstaaten und Kommission nehmen Privacy Shield an

Nach mehreren Monaten Verhandlung haben sich die EU und die USA auf ein neues Abkommen zum Datentransfer geeinigt. Das neue Abkommen legt neue Schutzstandards für den Datenverkehr zwischen der EU und den USA fest. Die EU-Kommission vertritt die Auffassung, dass die vom Europäischen Gerichtshof (EuGH) monierten Probleme beseitigt wurden. Unter anderem soll das massenhafte Sammeln von Daten nur noch in wenigen Fällen und unter strengeren Voraussetzungen gestattet sein. Nicht alle EU-Mitgliedsstaaten dürften der Ansicht der Kommission folgen. Bei der Abstimmung enthielten sich Österreich, Kroatien, Slowenien und Bulgarien.

Für das neue Abkommen können sich Unternehmen beim US-Handelsministerium registrieren, wenn sie die Datenschutzstandards erfüllen und dies selber nachweisen können. Das Ministerium überprüft, anders als bei Safe Harbor, nun aktiv das Einhalten der geltenden Bestimmungen.

Aktueller Status: massive Kritik, Deutschland will kein Klagerecht für Behörden

Nach einer anfangs schleppenden Nachfrage füllt sich die Liste der zertifizierten Unternehmen auf der Homepage des Abkommen zusehends. Gleichzeitig wurde massive Kritik an dem Abkommen laut. Der Jurist Max Schrems, dessen Klage zum Safe Harbor-Urteil des EuGH geführt hatte, mahnte eine mangelnde Umsetzung der richterlichen Vorgaben an. Die ehemalige Bundesjustizministerin Sabine Leutheusser-Schnarrenberger sieht in Privacy Shield einen Verstoß gegen geltendes EU-Recht, einer Überprüfung durch den EuGH werde das Abkommen nicht standhalten. Besonders das massenhafte Sammeln von Daten zur Abwehr von Gefahren für die nationale Sicherheit steht weiterhin in der Kritik.

Den europäischen Datenschutzbeauftragten geht zudem die Schaffung der neuen Ombudsstelle nicht weit genug, an die sich EU-Bürger wenden können. Sie wollen nach einem Jahr die Effektivität der neuen Regelungen genau prüfen. Industrieverbände begrüßen hingegen Privacy Shield und bauen auf eine benötigte Rechtssicherheit.

Klagerecht für Behörden wird zum Streitpunkt

Innerhalb der Bundesrepublik Deutschland bahnt sich zudem ein weiterer Streitpunkt an. Der Bundesrat hatte die Bundesregierung aufgefordert, einen Gesetzentwurf für ein Klagerecht der Datenschutzbehörden vorzulegen. Allerdings soll sich dieses Klagerecht auf Verstöße gegen das Abkommen beschränken. Ein Klagerecht für die Behörden gegen Angemessenheitsentscheidungen der Kommission – womit bspw. das Abkommen als solches angegriffen werden könnte – oder eine solches Recht in Vertretung für die Bundesrepublik Deutschland will die Bundesregierung den Behörden nicht einräumen.

Keine Rechtssicherheit bei Datentransfer in die USA

Im Ergebnis gibt es damit zwar einige rechtliche Instrumente, die den Datentransfer in die USA ermöglichen wie das EU Privacy Shield oder z.B. die EU Standard Model Contracts. Jedoch gibt es kein einziges Instrument, das derzeit gerade nicht einer gerichtlichen Prüfung unterzogen werden wird. Damit bleibt der Datenaustausch weiterhin rechtlich unsicher und es wäre begrüßenswert, wenn die Gerichte hier nun schnell für Rechtssicherheit sorgen würden.

Safe Harbor: Reform diesen Herbst?

Durch die Snowden-Enthüllungen geriet das Safe Harbor-Abkommen in die Kritik: Datenschützer, Politiker und die EU forderten eine Reform. In den vergangenen Monaten fanden in aller Stille Verhandlungen statt. Eine Reform könnte noch in diesem Herbst beschlossen werden.

Reform diesen Herbst?

Die Nachrichtenagentur Reuters berichtet, dass sie Dokumente einsehen konnte, wonach Verhandlungen zwischen den USA und der EU über eine Neuregelung des Datenaustausches im Rahmen des Safe Harbour-Abkommens im Herbst zum Abschluss kommen könnten.

Was könnte sich ändern?

Dem Dokument sind geplante Änderungen zu entnehmen:

  • US-Unternehmen sollen striktere Vorgaben erhalten, wenn sie Daten von Betroffenen an Dritte weitergeben
  • Beide Seiten sollen künftig das Funktionieren des Abkommens überprüfen können. Dies meint wohl, dass auch die EU die zertifizierten Unternehmen in den USA überprüfen kann, ebenso vice versa. Bisher wurden US-Unternehmen nur vom US-Handelsministerium überprüft.

Weitere Änderungen sind noch nicht bekannt.

Änderungen scheinen auf USA abzuzielen

Ob europäische Unternehmen von Änderungen umfänglich betroffen werden, ist fraglich. Die Änderungen scheinen hauptsächlich auf die USA abzuzielen. So wird in dem Dokument erwähnt, dass die EU die Befürchtung hatte, US-Unternehmen könnten über Dritte das Safe Harbour-Abkommen unterlaufen. Ferner wurden Begrenzungen für US-Behörden festgelegt, die auf die aus der EU übermittelten Daten zugreifen wollen. Auch die Umsetzung dieser Begrenzungen soll die EU kontrollieren können. Alles in allem entsteht zum jetzigen Zeitpunkt der Eindruck, dass vorrangig Interessen der EU durchgesetzt werden.