Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

By

Ulrike Berger

Mitautoren: Tobias Hinderks*, Nina Diercks **

Ein herzliches Moin liebe Leserinnen und Leser,

willkommen zum dritten Teil der Blog-Reihe rund um den transatlantischen Datenverkehr und der Frage, was eigentlich nach dem weitreichenden Urteil des EuGH Schrems II Sache ist. Bereits in zwei Blog-Artikeln haben wir uns mit der Frage befasst, was nun gilt, da der Privacy Shield nicht mehr gilt.

Zur Erinnerung: Der Privacy Shield zwischen der EU und den USA war der Grund, weshalb recht einfach und legal personenbezogene Daten über den Atlantik ausgetauscht werden durften. Diesen Privacy Shield wollte der EuGH mit seiner Entscheidung Schrems II jedoch nicht als ausreichend akzeptieren; die europäischen Datenschutzvorstellungen würden in Angesicht der weitreichenden Befugnisse der Sicherheitsbehörden, auf Daten zuzugreifen, nicht erfüllt.Den ganzen Artikel lesen.

Die Berliner Aufsichtsbehörde ist vom Landgericht Berlin für ihren Bußgeldbescheid gegen die Deutsche Wohnen SE deutlich abgewatscht worden und die inhaltlichen Fragen zur Datenverarbeitung der Deutsche Wohnen sind ungeklärt, der Bußgeldbescheid perdu. Was ist passiert?

Im November 2019 war die Aufregung groß, als die Berliner Beauftragte für Datenschutz und Informationsfreiheit mitteilte, ein Bußgeld über 14,5 Mio gegen die Deutsche Wohnen SE verhängt zu haben. Auch wir hier im Blog haben uns mit dem Thema auf Basis dessen befasst, was sich dieser Pressemitteilung entnehmen ließ. Dabei ging es um die Frage, ob die Behörde die Datenverarbeitung der Deutsche Wohnen SE zu recht beanstandet hat oder nicht. Da das Unternehmen Einspruch gegen den Bußgeldbescheid eingelegt hat, musste eine Strafkammer des LG Berlins entscheiden.

Mit Beschluss vom 18.02.2021 hat das Gericht das Verfahren nun einfach eingestellt, die behaupteten Rechtsverstöße gar nicht erst gesprüft und die juristische Welt nahm an, dass das Landgericht der Ansicht sei, ein Bußgeldbescheid wegen Verstößen gegen die DSGVO sei gegenüber einem Unternehmen so nicht möglich. Dann könnten Bußgeldbescheide nur gegen Organe der Unternehmen verhängt werden. (Aber halt, Bußgelder gegen Unternehmen sind trotzdem möglich, bitte nicht zu früh freuen).

Heute wurde – zunächst nur in kostenpflichtigen juristischen Datenbanken – der Beschluss des Landgerichts Berlin (Az. 526 OWi LG) 212 Js-OWi 1/20 (1/20))  nun veröffentlicht und brachte eine große Überraschung mit sich. Ja, das LG Berlin ist in der Tat der Auffassung, dass ein Bußgeldbescheid nicht gegen eine juristsche Person verhängt werden könne, aber das war nicht die Überraschung.

Überraschend war, dass das Landgericht ganz deutlich ausführte, dass der Bußgeldbescheid unter derart gravierenden Mängeln leidet, dass er nicht Grundlage eines Verfahrens sein kann. Das ist peinlich für die Behörde, die die – lange bekannte – Thematik von Bußgeldern gegenüber juristischen Personen offenbar übersehen hat und beleidigt mit einer Pressemitteilung reagiert hat. Ausführlich und schön hat sich der Kollege Stephan Hansen-Oest auf seiner Seite über die Berliner Aufsichtsbehörde und ihr Verhalten nach der Entscheidung geärgert.

Ob die datenschutzrechtlichen Vorwürfe gegen die Deutsche Wohnen, die wir seinerzeit besprochen haben, zutreffend waren, wird vielleicht nie geklärt werden. Allerdings hat die hierfür zuständige Staatsanwaltschaft Berlin gegen den Beschluss des LG Berlin sofortige Beschwerde eingelegt. Nun wird sich das Kammergericht Berlin zumindest mit der Frage befassen, ob eine juristische Person Betroffene in einem Bußgeldverfahren sein kann. In Österreich hat der Verwaltungsgerichtshof, vergleichbar mit dem deutschen Bundesverwaltungsgericht, im Sommer 2020 zu Voraussetzungen der Bußgeldverhängung gegen juristische Personen, insbesondere also Unternehmen, Stellung bezogen, was im Rechtsüberblick 02/20 hier besprochen wurde. Auch der österreichische Verwaltungsgerichtshoft war, wie das LG Berlin, der Ansicht, dass keine direkte Zurechnung von Verstößen gegen die DSGVO gegenüber einer juristischen Person möglich sei, sondern man andere Wege gehen müsse. Demgegenüber hat das LG Bonn im November 2020 bestätigt, dass gegen 1&1 ein Bußgeld direkt aus Art. 83 DSGVO verhängt werden durfte.

Bevor aber nun die Sektkorken knallen noch einmal der Hinweis: Doch, es ist durchaus möglich, ein Bußgeld gegen ein Unternehmen zu verhängen und ja, auch nach Ansicht des LG Berlin. Die Frage ist: wie.

Der juristische Streit geht darum, ob § 30 OWiG, das Bußgelder für Unternehmen nur unter engen Voraussetzungen vorsieht, anzuwenden ist oder ob aus Art. 83 DSGVO direkt unter Anwendung der supranationalen Kartellrechtsgrundsätze gegen Unternehmen Bußgelder verhängt werden können. Klingt kompliziert, ist es auch – aber auch unglaublich spannend. Vielleicht legt das Kammergericht Berlin die Frage dem EuGH zur Entscheidung vor und wir werden bald mehr wissen.

Mitautoren: Tobias Hinderks*, Nina Diercks**

Liebe Leserinnen und Leser,

willkommen zum zweiten Teil der Blogreihe rund um den transatlantischen Datenverkehr. Ziel dieser Blog-Reihe ist es, sich mit dem Themenkomplex der EuGH-Rechtsprechung C-311/18 (Schrems II) zu beschäftigen. Dabei wollen wir uns die Reaktionen der Aufsichtsbehörden ansehen, einen Blick auf die Sichtweise jenseits des Atlantiks werfen und einfach mal aufräumen bei den vielen unterschiedlichen Fragen, die durch den digitalen Raum geistern.Den ganzen Artikel lesen.

Mitautoren: Tobias Hinderks*, Nina Diercks*

2020/2021. Die ganze EU diskutierte, wie nach dem EuGH Urteil C-311/18 (Schrems II) noch legal personenbezogene Daten in die USA übermittelt werden können. Die ganze EU? Nein, eine (kleine) Staatskanzlei in Düsseldorf sieht in einer Übertragung überhaupt kein Problem.

Ok, ein wenig Kontext? Die Landesregierung NRW hat eine kleine Anfrage der Grünen-Fraktion im Landtag NRW beantwortet, die sich um den Einsatz eines von Amazon Web Services gehosteten Messengers für Schüler*innen dreht. Die Grünen hatten unter anderem gefragt, ob die Landesregierung bei der Umsetzung auch Subunternehmen in Betracht gezogen hat, die nicht dem US CLOUD Act unterliegen. Hierauf antwortete die Landesregierung:

„Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.

[…]

Aber selbst bei einer theoretischen Herausgabe der Daten durch [Amazon Web Services] an amerikanische Ermittlungsbehörde wäre der übermittelte Datensatz aufgrund der durch den Dienstleister SVA eingerichteten Verschlüsselung nach sehr hohem Industriestandard von in der Cloud abgelegten Daten für amerikanische Behörden nicht verwertbar.“ (Drs. 17/11271, S. 3)

Das ist ein interessantes Statement der Regierung des bevölkerungsreichsten Bundeslandes. Inhaltlich dazu später. Für uns soll es zunächst der Aufhänger sein, uns mit der Zeit nach Schrems II zu befassen.

  • Wo ist eigentlich das Problem mit der Datenübertragung in die USA?
  • Was sagt denn die US-Regierung zum Urteil?
  • Was haben die Aufsichtsbehörden zu Schrems II veröffentlicht?
  • Wie könnten Lösungen aussehen? Gibt es überhaupt Lösungen?

Fragen über Fragen und die dringende Suche nach einer Antwort.

An dieser Stelle müssen wir kurz durchatmen. Denn auf uns kommt viel Arbeit zu. Die Übermittlung von Daten in die USA war bereits vor Schrems II sehr intensiv diskutiert worden. Und nach der tiefgreifenden Änderung durch Schrems II ist man sich eigentlich nur noch in einem sicher: Es ist kompliziert.

Um ein verständliches Bild zu schaffen und dieses facettenreiche Thema abzuhandeln, braucht es mehr als einen Blog-Artikel. Deshalb ist dieser Blog-Beitrag der Beginn einer kleineren Serie rund um das Thema: Reaktionen auf Schrems II – Rechtslage im transatlantischen Datenverkehr, bestehend aus vier Beiträgen.

Wir beginnen mit Teil 1: Was hat der EuGH entschieden und wie beurteilen die USA die Auswirkungen. In Teil 2 sehen wir uns an, wie Datentransfer auf Basis von geeigneter Garantien gelingen könnten. Dabei setzen wir uns mit dem Schutzniveau und den Ansichten der Aufsichtsbehörden auseinander. Teil 3 wird sich um den CLOUD Act drehen und in Teil 4 nutzen wir die gewonnen Erkenntnisse um uns ein eigenes Bild der Ausführungen des EuGH zu machen  (Spoiler: Man muss nicht in allem einer Meinung mit dem EuGH sein) und ziehen ein Fazit zum Thema Datenübermittlungen in die USA.

Den ganzen Artikel lesen.

Der EuGH hat das Privacy Shield für ungültig erklärt! Gut, das kam nicht überraschend. Interessanter sind daher die Ausführungen zu den Standardvertragsklauseln. Diese sind grundsätzlich abstrakt wirksam, es ist aber im Einzelfall zu prüfen, ob die konkrete Übermittlung von personenbezogenen Daten in ein bestimmtes Drittland damit gerechtfertigt werden kann (Urteil des EuGH vom 16.07.2020, C-311/18, Schrems II).

Aha. Ist das wichtig?

Ja! Die Entscheidung schafft Klarheit im Bezug auf den Transfer von personenbezogen Daten in ein Drittland (alles außerhalb des EWR, also außerhalb von EU, Norwegen, Island und Liechtenstein). Reine Absichtsbekundungen dahingehend, personenbezogene Daten schützen zu wollen, reichen nicht aus, daher wurde das Privacy Shield gekippt. Aber auch ein „Weiter so“ mit den Standarddatenschutzklauseln wird es nicht geben.

Den ganzen Artikel lesen.

1 2

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.

Social

Follow me on: