Klage gegen Privacy Shield eingereicht

9. Dezember 2016

Digital Rights Ireland hat Klage gegen das kürzlich angenommene Abkommen EU-US Privacy Shield eingereicht. Bereits nach zwei Monaten wird Privacy Shield nun zum Fall für die europäischen Gerichte.

Privacy Shield unter Beschuss

Eingereicht wurde eine Nichtigkeitsklage nach Art. 263 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) von der Lobbygruppe Digital Rights Ireland Ltd. Als erstinstanzliches Gericht ist das Europäische Gericht (EuG) zuständig, das die Rechtssache unter dem Aktenzeichen T-670/16 verhandelt. Die zweite Instanz wäre dann der Europäische Gerichtshof (EuGH).

Tauziehen um Datenexport in die USA geht weiter

Mit der eingereichten Klage geht das Tauziehen um den Datenexport aus der EU in die USA in die nächste Runde. Unternehmen haben während des Verfahrens, wenn überhaupt, eine wackelige Rechtssicherheit, die aber kaum ein langfristiges Planen auf Basis des neuen Abkommens ermöglicht. Viele Kritiker von Privacy Shield bezweifeln ein Standhalten des Abkommens bei einer Überprüfung durch den EuGH. Unternehmen müssen sich auf eine anhaltende unklare Rechtslage einstellen.

Umfangreichere Datennutzung für Anbieter von Telemedien

9. Dezember 2016

Die §§ 14 und 15 des deutschen Telemediengesetzes (TMG) sind rechtswidrig. Das hat der EuGH in seinem Urteil zum Personenbezug dynamischer IP-Adressen entschieden (Az. C‑582/14). Für Anbieter von Telemedien wie Webseiten und Apps bedeutet dies mehr Möglichkeiten bei der Nutzung von Nutzerdaten.

Die §§ 14 und 15 TMG regeln die Nutzung von Bestands- (§ 14) und Nutzungsdaten (§ 15). Gerade letztere sind für Anbieter von Telemediendiensten relevant. Sie enthalten insbesondere Merkmale zur Identifikation des Nutzers, Nutzungsverhalten und über die in Anspruch genommenen Telemedien. Nutzungsdaten durften im Wesentlichen bislang nur zu Abrechnungszwecken, Begründung, Ausgestaltung, Änderung des Vertragsverhältnisses und Inanspruchnahme des Dienstes verwendet werden.

Telemediengesetz beschnitt Rechte der Anbieter

Der EuGH folgte mit seinem Urteil der Ansicht, die bereits der Generalanwalt in seinem Schlussantrag vertreten hatte, und erklärte die entsprechenden Regelungen für nicht mit dem Europarecht vereinbar. Der Grund: §§ 14 und 15 TMG fassen die Nutzungsmöglichkeiten enger, als die entsprechende EU-Richtlinie EG/95/46 (sog. „Datenschutz-Richtlinie“). Diese sieht zusätzlich die Möglichkeit der Datennutzung zur Verwirklichung eines berechtigten Interesses vor, wenn die Grundrechte oder Grundfreiheiten des Betroffenen dieses nicht überwiegen. Die Richtlinie erlaubt somit den Anbietern eine Interessensabwägung, ebenso eine gerichtliche Überprüfung dieser durch die nationale Rechtsprechung. Gerade dies wird aber durch die abschließenden Formulierungen der §§ 14, 15 TMG nicht zugelassen.

EuGH weitet Nutzungsmöglichkeiten der Daten aus

Mit diesem Urteil weitet der EuGH die Möglichkeiten der Datennutzung für Anbieter aus. Ein von ihm explizit anerkanntes berechtigtes Interesse ist die Aufrechterhaltung der Funktionsfähigkeit des Telemediendienstes. Damit dürfen Nutzungsdaten auch zu Sicherheitszwecken und zur Einleitung einer potentiellen Strafverfolgung – bspw. nach einem DDoS-Angriff – genutzt, werden. Das erlaubt auch die Speicherung der Daten über den Nutzungsvorgang hinaus. Der EuGH hat aber noch keine weiteren berechtigten Interessen konkretisiert, da er sich in der Verhandlung nur mit der Aufrechterhaltung der Funktionsfähigkeit auseinandersetzen musste. Allerdings sieht Erwägungsgrund 47 der Datenschutz-Grundverordnung u.a. den „unbedingt erforderlichen Umfang“ zur Verhinderung von Betrug und den Zweck der Direktwerbung (u.U. aber in einem schon bestehenden Kundenverhältnis) als berechtigtes Interesse an.

EuGH: Dynamische IP-Adressen personenbezogen

9. Dezember 2016

Der EuGH hat ein Urteil zum Personenbezug für dynamische IP-Adressen gefällt. Diese sind dann ein personenbezogenes Datum, wenn der Webseiten-Anbieter über rechtliche Mittel verfügt, die ihm eine Bestimmung des Betroffenen mit den Zusatzinformationen des Internetproviders ermöglichen.

Dynamische IP-Adressen: Personenbezug ja, wenn…

Mit diesem Urteil (19.10.2016 – Az. C‑582/14) bejaht der EuGH keinen generellen Personenbezug dynamischer IP-Adressen. Ein Personenbezug liegt dann vor, wenn folgende zentrale Kriterien erfüllt sind.

Speicherung und rechtliche Mittel

Erstens: der Anbieter eines Onlinemedien-Dienstes (i.d.R. einer Webseite) speichert dynamische IP-Adressen der Nutzer (i.d.R. Besucher) zumindest temporär und dem Anbieter stehen rechtliche Mittel zur Bestimmung des Nutzers zur Verfügung. Hier stellt sich die Frage, wie es sich bei „tatsächlichen“ Mitteln (bspw. Hacking der Nutzerinformationen) verhält. Ebenso bleibt die Frage zu beantworten wie bei rechtlichen Mitteln zu verfahren ist, die der Anbieter rechtswidrig in Anspruch genommen hat, ergo ihm diese rechtlich eben nicht zustünden.

Rechtsanspruch auf Informationen des Internetzugangsanbieters

Zweitens: dem Anbieter müssen rechtliche Mittel zustehen, die es ihm erlauben in Kombination mit den Informationen eines Dritten (i.d.R. der Anbieter des Internetzugangs) den Nutzer zu bestimmen. D.h. der Anbieter benötigt normalerweise einen rechtlich durchsetzbaren Anspruch auf die Herausgabe der entsprechenden Daten, wie die Identifikation des temporären Inhabers der entsprechenden dynamischen IP-Adresse. Dies kann bei im Raum stehenden Urheberrechtsverletzungen der Fall sein.

Wirklich mehr Rechtssicherheit?

Entscheidende Aspekte bleiben dennoch unklar.

Das Urteil des EuGH wirft hier verschiedene Fragen auf: die Frage der rechtlichen Möglichkeiten, die eine verantwortliche Stelle hat, um eine IP-Adresse auf eine natürliche Person beziehen zu können, schaffen aus folgendem Grund eine nicht unerhebliche Rechtsunsicherheit. Wenn der Personenbezug der IP-Adresse davon abhängt, ob die verantwortliche Stelle einen rechtlichen Anspruch, z.B. aus dem Urheberrecht wegen illegaler Downloads, durchsetzen kann, hinge die Anwendung der Datenschutzgesetze von der rechtlichen Einschätzungsfähigkeit derselben ab. Dies kann nicht das gewünschte Ergebnis sein. Vielmehr ist wohl darauf abzustellen, ob es im jeweiligen rechtlichen Umfeld (Mitgliedsstaat) einen Rechtsbehelf gibt, der die Offenlegung der Identität eines IP-Adresseninhabers ermöglicht. Ist dies gegeben, so sind die IP-Adressen als personenbezogenes Datum zu behandeln.

Problemfeld Internetunternehmen bleibt

Völlig unberücksichtigt jedoch lässt das Urteil leider die Frage, wie Anbieter von Webservices mit gesammelten IP-Adressen umzugehen haben, die aufgrund ihrer angebotenen Services die IP-Adressen problemlos auf eine natürliche Person zurückführen können. Bei Diensten wie Amazon, Facebook oder Google+ ist die Rückführung auf eine natürliche Person durch die Verknüpfung mit anderen Daten wie Login-Protokollen oder Datendateien auf dem Rechner des Betroffenen (z.B. Cookies) in einer großen Zahl von Fällen möglich und wird so auch tagtäglich praktiziert. Behauptet nun einer dieser Dienste, die IP-Adressen hierzu nicht zu benutzen und rechtliche Mittel dazu stehen ihm auch nicht zur Verfügung, hätte das zur Folge, dass IP-Adressen in diesem Fall nicht als personenbezogene Daten gelten würden.

Auch im Hinblick auf die Datenschutzgrundverordnung (DSGVO) ist hier nicht mit wirklich neuen Erkenntnissen zu rechnen. Zwar sieht die DSGVO vor, dass „Online-Kennungen“ personenbezogene Daten sein können. Jedoch ist aufgrund des leider erhalten gebliebenen Kriteriums des Personenbezugs das hier oben skizzierte Problem damit nicht gelöst.

EU-US Privacy Shield verabschiedet

18. Oktober 2016

Die EU und die USA haben das neue Datenschutz-Abkommen EU-US Privacy Shield verabschiedet. Es ersetzt das vom EuGH für ungültig erklärte Abkommen Safe Harbor. Kritiker bemängeln, dass zentrale Probleme nicht beseitigt worden seien.

EU-Mitgliedsstaaten und Kommission nehmen Privacy Shield an

Nach mehreren Monaten Verhandlung haben sich die EU und die USA auf ein neues Abkommen zum Datentransfer geeinigt. Das neue Abkommen legt neue Schutzstandards für den Datenverkehr zwischen der EU und den USA fest. Die EU-Kommission vertritt die Auffassung, dass die vom Europäischen Gerichtshof (EuGH) monierten Probleme beseitigt wurden. Unter anderem soll das massenhafte Sammeln von Daten nur noch in wenigen Fällen und unter strengeren Voraussetzungen gestattet sein. Nicht alle EU-Mitgliedsstaaten dürften der Ansicht der Kommission folgen. Bei der Abstimmung enthielten sich Österreich, Kroatien, Slowenien und Bulgarien.

Für das neue Abkommen können sich Unternehmen beim US-Handelsministerium registrieren, wenn sie die Datenschutzstandards erfüllen und dies selber nachweisen können. Das Ministerium überprüft, anders als bei Safe Harbor, nun aktiv das Einhalten der geltenden Bestimmungen.

Aktueller Status: massive Kritik, Deutschland will kein Klagerecht für Behörden

Nach einer anfangs schleppenden Nachfrage füllt sich die Liste der zertifizierten Unternehmen auf der Homepage des Abkommen zusehends. Gleichzeitig wurde massive Kritik an dem Abkommen laut. Der Jurist Max Schrems, dessen Klage zum Safe Harbor-Urteil des EuGH geführt hatte, mahnte eine mangelnde Umsetzung der richterlichen Vorgaben an. Die ehemalige Bundesjustizministerin Sabine Leutheusser-Schnarrenberger sieht in Privacy Shield einen Verstoß gegen geltendes EU-Recht, einer Überprüfung durch den EuGH werde das Abkommen nicht standhalten. Besonders das massenhafte Sammeln von Daten zur Abwehr von Gefahren für die nationale Sicherheit steht weiterhin in der Kritik.

Den europäischen Datenschutzbeauftragten geht zudem die Schaffung der neuen Ombudsstelle nicht weit genug, an die sich EU-Bürger wenden können. Sie wollen nach einem Jahr die Effektivität der neuen Regelungen genau prüfen. Industrieverbände begrüßen hingegen Privacy Shield und bauen auf eine benötigte Rechtssicherheit.

Klagerecht für Behörden wird zum Streitpunkt

Innerhalb der Bundesrepublik Deutschland bahnt sich zudem ein weiterer Streitpunkt an. Der Bundesrat hatte die Bundesregierung aufgefordert, einen Gesetzentwurf für ein Klagerecht der Datenschutzbehörden vorzulegen. Allerdings soll sich dieses Klagerecht auf Verstöße gegen das Abkommen beschränken. Ein Klagerecht für die Behörden gegen Angemessenheitsentscheidungen der Kommission – womit bspw. das Abkommen als solches angegriffen werden könnte – oder eine solches Recht in Vertretung für die Bundesrepublik Deutschland will die Bundesregierung den Behörden nicht einräumen.

Keine Rechtssicherheit bei Datentransfer in die USA

Im Ergebnis gibt es damit zwar einige rechtliche Instrumente, die den Datentransfer in die USA ermöglichen wie das EU Privacy Shield oder z.B. die EU Standard Model Contracts. Jedoch gibt es kein einziges Instrument, das derzeit gerade nicht einer gerichtlichen Prüfung unterzogen werden wird. Damit bleibt der Datenaustausch weiterhin rechtlich unsicher und es wäre begrüßenswert, wenn die Gerichte hier nun schnell für Rechtssicherheit sorgen würden.

EuGH erklärt Safe-Harbor-Abkommen für Datenübermittlungen in die USA für ungültig

7. Oktober 2015

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 6. Oktober 2015 (Aktenzeichen C-362/14), die als „Safe Harbour“ bekannte Entscheidung der Europäischen Kommission 2000/520 für ungültig erklärt. Die „Safe Harbour“-Entscheidung verstoße gegen Artikel 7 („Achtung des Privat- und Familienlebens“) und Artikel 8 („Schutz personenbezogener Daten“) der Charta der Grundrechte der Europäischen Union. Damit kann eine Datenübermittlung an eine datenverarbeitende Stelle in den USA nicht mehr auf die „Safe Harbour“-Grundsätze gestützt werden. Auf „Safe Harbour“ gestützte Datenübermittlungen sind mit der Entscheidung des EuGH zur Zeit rechtswidrig.

Die EuGH-Entscheidung

Die rechtliche Ausgangslage

Mit Hilfe der „Safe Harbour“-Entscheidung konnten sich US-amerikanische Firmen beim US-Handelsministerium in eine entsprechende Liste eintragen lassen, wenn die Firmen sich verpflichteten, die „Safe Harbour“-Prinzipien anzuerkennen. Die Unterwerfung unter diese Prinzipien bewirkte, dass bei allen eingetragenen Firmen ein ausreichender Schutz für personenbezogene Daten bestand. Dadurch wurde beim Datenempfänger ein sicheres Datenschutzniveau geschaffen, was eine Voraussetzung für eine zulässige Übermittlung von personenbezogenen Daten in ein Land außerhalb der EU ist.

Der zu Grunde liegende Sachverhalt des Urteils

Der Österreicher Max Schrems, als Benutzer der Plattform facebook, beschwerte sich beim irischen Datenschutzbeauftragten über die Weiterleitung seiner Nutzerdaten in die USA. Der irische Datenschutzbeauftragte erklärte, die Beschwerde des facebook-Nutzers sei unbegründet, da die Datenübermittlung in die USA wegen des „Safe-Harbour“-Beschlusses rechtmäßig sei. Daraufhin klagte der Nutzer vor dem zuständigen irischen High Court. Das irische Gericht setzte das Verfahren aus und legte dem EuGH die Frage vor, ob der irische Datenschutzbeauftragte an die „Safe Harbour“-Entscheidung der Kommission gebunden sei, oder nach aktuellen Erkenntnissen eigene Ermittlungen anstellen müsse. Der EuGH beantwortete die Fragen des irischen Gerichts und stellte nun klar, dass eine Datenübermittlung in die USA nicht mehr auf die „Safe Harbour“ Grundsätze gestützt werden könne.

Die Begründung des Gerichts

Die Entscheidung stützt der EuGH dabei auf die Verletzung von Grundrechten, sowie auf formale Gründe. Der EuGH kritisiert in seiner Entscheidung unter anderem, dass die Einhaltung der „Safe Harbour“-Grundsätze sich nur an die Privatwirtschaft richte, ohne dass es dabei eine wirksame Kontrolle durch amerikanische Behörden gäbe. Zudem werde durch die „Safe Harbour“-Entscheidung nicht ausreichend festgestellt, welche innerstaatlichen Maßnahmen die USA zum Schutz personenbezogener Daten getroffen haben.

EuGH: „Daher ist, ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist.“ (Randziffer 98)

Zudem habe die EU-Kommission mit ihrer „Safe Harbour“-Entscheidung ihre Kompetenzen überschritten. Die Kommission beschneide mit ihrer Entscheidung die Kompetenzen der nationalen Datenschutzbehörden in unzulässiger Weise dadurch, dass die nationalen Behörden nicht mehr die Zulässigkeitsvoraussetzungen einer Datenübermittlung überprüfen könnten (Ziffer 3 des Safe Harbor-Abkommens).

EuGH: „Unter diesen Umständen ist festzustellen, dass die Kommission mit dem Erlass von Art. 3 der Entscheidung 2000/520 die ihr durch Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta übertragene Zuständigkeit überschritten hat, so dass dieser Artikel ungültig ist.“ (Randziffer 104)

Was ist bei betroffenen Datenverarbeitungen zu tun?

Anders als es derzeit einige Medien suggerieren sind auch nach der Entscheidung des EuGH weiterhin rechtmäßige Übermittlungen personenbezogener Daten in die USA möglich. Die Unterwerfung eines U.S.-Unternehmens unter die Safe-Harbor-Prinzipien bewirkte nach europäischem Datenschutzrecht, dass beim Empfänger der Daten in den USA ein sicheres Datenschutzniveau vorherrschen sollte. Dies ist eine Voraussetzung für eine Datenübermittlung in ein Nicht-EU-Land. Die Schaffung eines sicheren Datenschutzniveaus kann aber unabhängig von Safe-Harbor auch durch den Abschluss eines europäischen Standard-Vertrages für Datenübermittlungen erreicht werden. Dies sind die sogenannten „EU standard contractual clauses for the transfer of personal data“. – Sollten Sie zur Umstellung Ihrer Verträge Fragen haben, wenden Sie sich gern an uns unter Telefon: 0911 569049-22 oder Email an info@maertin-collegen.com.

Generalanwalt zur Kompetenzfrage im Datenschutzrecht bei grenzüberschreitenden Fällen

20. August 2015

Im Rahmen eines Vorabentscheidungsverfahrens muss der Europäische Gerichtshof (EuGH) klären, wie weit die Zuständigkeiten nationaler Datenschutzbehörden und die Anwendung nationalen Datenschutzrechts reichen.

Problem der grenzüberschreitenden Datenschutzverstöße

Hintergrund dieses Verfahrens ist ein Rechtsstreit zwischen einem, in der Slowakei (Klägerin) niedergelassenen, Unternehmen und der ungarischen Datenschutzbehörde (Beklagte). Die Klägerin betreibt eine Internetplattform für die Vermittlung von Immobilien, die auch aus Ungarn erreichbar ist. Zudem wurden ungarische Immobilien auf dieser Plattform inseriert. Als ungarische Nutzer die Löschung ihrer personenbezogenen Daten forderten und die Klägerin diesen Forderungen nicht nachkam, erklärte sich die ungarische Datenschutzbehörde für zuständig und verhängte ein Bußgeld gem. des ungarischen Datenschutzrechts.

Die Klägerin ging gegen diesen Bescheid vor und machte geltend, dass weder ungarisches Recht anwendbar noch die ungarische Behörde zuständig sei.

Zwei Fragen relevant: welches nationale Datenschutzrecht anwenden, wie die zuständige Behörde bestimmen?

Der Europäische Gerichtshof (EuGH) muss sich mit zwei relevanten Fragen befassen: Zum einen ist die Frage zu klären, welches nationale Datenschutzrecht in so einem Fall anwendbar ist? Zum anderen muss geklärt werden, welches die zuständige Behörde ist – eine Frage, die mit dem anzuwenden Recht korrespondiert. Zu diesen beiden Fragen hat der zuständige Generalanwalt am EuGH auch in seinem Schlussantrag Stellung bezogen.

Nur ein bindendes nationales Recht

In dieser Frage geht es um Art. 4 Abs. 1 lit. a) der Datenschutzrichtlinie RL 95/46/EG. Nach Ansicht des Generalanwaltes stellt diese Norm eine Kollisionsnorm dar und legt fest, welches nationale Datenschutzrecht bindend anzuwenden ist (Schlussantrag, Nr. 23).

»Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. « (Art. 4 Abs. 1 lit. a RL 95/46/EG)

Der Generalanwalt macht deutlich, dass nur ein nationales Recht bindend ist – gesetzt den Fall, dass das jeweilige Unternehmen ausschließlich nur in einem Mitgliedsstaat eine Niederlassung unterhält. In diesem Fall ist nur das Datenschutzrecht des Mitgliedstaates anwendbar, in dem die Niederlassung existiert (Schlussantrag, Nr. 42).

Gibt es mehrere Niederlassungen, ist das nationale Datenschutzrecht jenes Mitgliedstaates anzuwenden, in dem sich die Niederlassung befindet, in deren Rahmen die Tätigkeit der Datenverarbeitung stattfindet.

Das Problem der Niederlassung

Was an dieser Stelle als selbstverständlich erscheinen mag, ist bei näherer Betrachtung des Falles durchaus komplexer. Denn der Kern der Problematik liegt in der Definition, was als Niederlassung im Sinne der RL zu verstehen ist. Vorliegend hatte das slowakische Unternehmen zwar seinen Firmensitz in der Slowakei, die geschäftlichen Tätigkeiten fanden aber de facto ausschließlich in Ungarn statt. Auch der Vertreter des Unternehmens in dem Rechtstreit war ungarischer Staatsbürger, ein Postfach zu Kommunikationszwecken war in Ungarn ebenfalls vorhanden. Dennoch wurde dieser einzelne Vertreter des Unternehmens vom Generalanwalt nicht als Niederlassung im Sinne der Datenschutzrichtlinie klassifiziert.

Allerdings stellt der Generalanwalt auch fest, dass selbst ein einzelner Vertreter als Niederlassung zu betrachten ist, wenn »er durch das Vorhandensein der erforderlichen personellen und technischen Mittel einen hinreichenden Grad an Beständigkeit zur Erbringung der konkreten in Rede stehenden Dienstleistungen aufweist. « (Schlussantrag, Nr. 42). Eine Einzelfallentscheidung ist folglich momentan unumgänglich.

Nur eine zuständige nationale Behörde

Mit Blick auf die Art. 28 Abs. 3 und Abs. 6 RL 95/46/EG muss das Gericht klären, welche Behörde zuständig ist und inwieweit eine nationale Behörde in einem anderen Mitgliedstaat tätig werden darf.

Für den vorliegenden Fall bedeutet dies: darf die ungarische Datenschutzbehörde die Rechtswidrigkeit der Datenverarbeitung feststellen und Sanktionen verhängen, wenn ausschließlich slowakisches Recht anwendbar ist? Dies würde implizieren, dass die ungarische Behörde slowakisches Recht vollstreckt, da sie sich im Rahmen des slowakischen Datenschutzrechts bewegen müsste.

Diese Möglichkeit verneint der Generalanwalt. Möchte eine Behörde Sanktionen gegen eine rechtswidrige Datenverarbeitung verhängen und ist die verarbeitende Stelle nicht in ihrem Mitgliedsstaat niedergelassen, so bleibt ihr nur der Weg des Amtshilfeersuchens.

Besondere Relevanz für die DS-GVO

Gerade die letzte Frage hat eine besondere Relevanz für die geplante europäische Datenschutzgrundverordnung (DS-GVO). Das dort geplante One-Stop-Shop-Prinzip würde nämlich den Behörden Möglichkeiten bieten, die der Generalanwalt nach der aktuellen Rechtslage verneint.

Wird das One-Stop-Shop-Prinzip so eingeführt, wie der derzeit geplant, ist immer jene nationale Behörde zuständig, in deren Mitgliedsstaat das verantwortliche Unternehmen seine Hauptniederlassung hat.

Im vorliegenden Fall würde das bedeuten, dass die slowakische Behörde auch dann zuständig wäre, wenn die Klägerin in Ungarn tatsächlich eine Niederlassung unterhalten hätte, die im Rahmen ihrer Tätigkeit die personenbezogenen Daten verarbeitet. Nach der aktuellen Rechtslage wäre in einem solchen Fall die ungarische Behörde zuständig.