Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Gestern erschütterte, so schien es jedenfalls, kurz die Welt. Schließlich urteilte der EuGH in Sachen Meta Platforms (aka Facebook). Zusammenfassen ließe sich die Entscheidung (EuGH, Urteil vom 04.07.2023, C-252/21) wie folgt: Einerseits nichts Neues vom Kirchberg-Plateau in Luxemburg (dem Sitz des Europäischen Gerichtshofs). Andererseits klare Worte vom EuGH zur Auslegung der Rechtsgrundlagen der DSGVO im Bereich des personalisierten Online-Marketings. Und das macht das Urteil auch so spannend.

Hier nun im Einzelnen. Für Nichtjuristen. Schnell erklärt.

Worum geht es beim Fall „Bundeskartellamt versus Meta Platforms Inc., MetaPlatforms Ireland Ltd. und Facebook Deutschland GmbH“?

Das Bundeskartellamt hatte Anfang 2019 Meta (Facebook) mittels eines Beschlusses untersagt, „[…] die Nutzung des sozialen Netzwerks Facebook von der Verarbeitung der Off-Facebook-Daten der User [d.h. all solchen Daten, die via Websites und Apps Dritter durch FB mittels APIs oder „Gefällt mir“ uä. Integrationen erhoben werden] abhängig zu machen und diese Daten ohne ihre Einwilligung auf der Grundlage der damals geltenden Allgemeinen Nutzungsbedingungen zu verarbeiten. Außerdem verpflichtete das Bundeskartellamt diese Unternehmen, die Allgemeinen Nutzungsbedingungen so anzupassen, dass aus ihnen eindeutig hervorgeht, dass die fraglichen Daten nicht ohne Einwilligung des betreffenden Nutzers erfasst, mit den Facebook-Nutzerkonten verknüpft und verwendet werden. Das Bundeskartellamt stellte klar, dass eine solche Einwilligung ungültig sei, wenn sie eine Bedingung für die Nutzung des sozialen Netzwerks darstelle.“ (Vorstehendes: EuGH, C 252/21, Rn. 151). Dagegen legte Meta Einspruch vor dem OLG Düsseldorf ein. Dieses war sich hinsichtlich etlicher Rechtsfragen des europäischen Rechts nicht sicher und ersuchte deswegen den EuGH – wie man das in diesen Fällen so macht – um eine sogenannte Vorabentscheidung. D.h. um die Klärung der folgenden Fragen:

  1. Haben nationale Wettbewerbsbehörden, wie das Kartellamt, überhaupt das Recht zu prüfen, ob eine Verarbeitung personenbezogener Daten den Anforderungen der DSGVO entspricht oder dürfen das nur die Datenschutzaufsichtsbehörden?
  2. Gelten sensible Daten im Sinne des Art. 9 1 DSGVO (politische Interessen, Religionszugehörigkeit, Gesundheit, sexuelle Vorlieben) als durch den Nutzer „öffentlich-zugänglich“ gemacht, wenn der Nutzer bspw. irgendwo auf „Gefällt mir“ drückt (bspw. bei einer Facebook-Seite zur Depressionsforschung) und darf der Betreiber von sozialen Online-Netzen diese Daten deswegen nutzen?
  3. Welche Rechtsgrundlagen können die Betreiber sozialer Online-Netze für die Verarbeitung personenbezogener Daten der Nutzer heranziehen?
  4. Können Nutzer, insbesondere bei sensiblen Daten, überhaupt wirksam eine Einwilligung erteilen, wenn das Unternehmen, dass die Einwilligung einholt, eine marktbeherrschende Stellung inne hat?

Dazu im Einzelnen, aber in aller Kürze wie folgt:

Den ganzen Artikel lesen.

Huch! Schon wieder März 2023. Das bedeutet aber auch, dass es nur noch knapp 6 Monate bis zum nächsten IT JuristInnen Tag am 15. September 2023 sind! Turnusgemäß  findet der von Marlene Schreiber und mir veranstaltete IT JuristInnen Tag in diesem Jahr wieder in der schönsten Stadt Deutschlands, also in Hamburg, statt. (Sorry Marlene. ;-)). Neben „Moin“ zum Gruße, Labskaus, Fischbrötchen und kreischenden Möwen wird damit der IT JuristInnen Tag fester Bestandteil der Hafenstadt.

Auch beim vierten IT JuristInnen Tag möchten wir im BarCamp-Format mit zahlreichen KollegInnen jedweden Geschlechts und an den Themen Digitalisierung & Recht interessierten Menschen zusammenkommen, um mit Ihnen gemeinsam IT- und datenschutzrechtliche Fragestellungen zu erörtern und fachlich zu diskutieren. Im Vordergrund steht zum einen das Ziel, den Wissenshorizont rund um die Themen Digitalisierung und Recht zu erweitern und zum anderen neben dem Wissensaustausch unkompliziert und über alle Senioritätslevel hinweg zu netzwerken.

Und traditionell haben wir auch dieses Jahr für unser BarCamp eine Keynote-Speakerin gewinnen können, die dann unsere Veranstaltung offiziell eröffnen wird: Frau Barbara Schmitz! Sie hat nicht nur über 20 Jahre Wissen auf dem Gebiet des Datenschutzes in verschiedenen Unternehmen gesammelt, sondern ist auch als Dozentin und Referentin auf unterschiedlichsten Veranstaltungen sehr gefragt und ebenso als Mitautorin bekannter Fachkommentare. Schließlich ist sie Mitglied des wissenschaftlichen Beirats für Datenschutz (ZD).

Sie sind am IT JuristInnen Tag interessiert? Sie möchten wissen, was genau ein „BarCamp“-Format ist? Oder direkt ein Ticket bestellen? Dann informieren Sie sich sehr gerne auf unserer Webseite zum IT JuristInnen Tag. Oder unter den Hashtags #ITJurT19, #ITJurT21 und #ITJurT22 auf Twitter. Wie auch immer.

Last but not least: Wir verlosen hiermit zwei Tickets für den IT JuristInnen Tag am 15. September in Hamburg! Einfach eine E-Mail mit dem Betreff „#ITJuristInnenTag2023“ bis zum 15. Mai 2023 an kontakt at anwaltskanzlei-diercks de schicken. Wir benachrichtigen die Gewinner*innen spätestens bis Ende Mai.

An dieser Stelle auch noch ein großer Dank an unsere Sponsoren:

Wir freuen uns in jedem Fall, Sie bei dem diesjährigen IT JuristInnen Tag Willkommen zu heißen!

In diesem Sinne,

Nina Diercks & Marlene Schreiber

Tja. Man könnte sich fragen, ob sich die ganze Diskussion um Datenübermittlung in unsichere Rechtsstaat, womit in der Regel die USA gemeint sind, mit der Zeichnung der Exekutive Order von Joe Biden und dem wohl kommenden neuen Angemessenheitsbeschluss der EU-Kommission für Datenübermittlung in die USA erledigt hat.

Was? Das ging Ihnen zu schnell? Ok. Fangen wir noch mal – in aller Kürze von vorne an.

Schrems II, SVK, die Datenschutzbehörden und der risikobasierte Ansatz der DSGVO

Im Jahr 2020 erging die sogenannte Schrems-II-Entscheidung des EuGH. Mit diesem Urteil erklärte der EuGH den Angemessenheitsbeschluss »Privacy Shield« der EU-Kommission (EUKOM) i.S.d. Art. 45 DSGVO für ungültig. Damit entfiel die bis dato bestehende Rechtsgrundlage nach Art. 45 DSGVO für Datenübertragungen in die USA. Zeitgleich urteilte der EuGH über die Verwendung von sogenannten Standardvertragsklauseln (SVK) nach Art. 46 Abs. 2 c) DSGVO, die eine weitere Rechtsgrundlage zur Datenübertragung in unsichere Drittstaaten darstellen und konstatierte, dass der verantwortliche Datenexporteur in jedem Einzelfall prüfen müsse, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz gewährleistet. Der EuGH bezweifelte, dass die USA einen angemessenen Schutz nach Maßgabe des EU-Rechts bieten könnten.

Im Juni 2021 wurden neue Standardvertragsklauseln veröffentlich, die mit den Klauseln 14 a), b) eine solche transferspezifische und risikoorientierte Abwägung bei der Datenübermittlung vorsahen. Demnach ist unter anderem zu prüfen, welche Art von Daten übermittelt wurden, welchen Zweck die Verarbeitung hat, den Wirtschaftszweig, in dem die Übertragung erfolgt sowie die technisch und organisatorischen Maßnahmen, die bei der Verarbeitung ergriffen werden.

Der europäische Datenschutzausschuss (EDSA) negierte allerdings – ebenso wie die DSK, die Deutsche Datenschutzkonferenz – dass der risikobasierte Ansatz der DSGVO auch im Rahmen von Drittstaatentransfers zu berücksichtigen sei. Die europäischen Datenschutzbehörden vertraten die Ansicht, dass es nicht darauf ankäme, ob es sich bei den übermittelten personenbezogenen Daten um statistische Trackingdaten oder um hochsensible Gesundheitsdaten handelte und/oder wie hoch die Eintrittswahrscheinlichkeit von Risikoverwirklichungen wäre. Es sei nur zu prüfen, ob das Recht des importierenden Staat ein „angemessenes“ Schutzniveau böte.

Der geschätzte Kollege Heiko Roth und ich hielten und halten diese Auffassung schon deswegen für falsch, weil sie nicht mit der Dogmatik der DSGVO selbst in Einklang zu bringen ist. In unserem Aufsatz „Datenübermittlung in unsichere Rechtsstaaten“, ZdiW 08/2021, 313 setzen wir uns deswegen intensiv mit dem Prinzip des risikobasierten Ansatzes der DSGVO, dem Schrems -II-Urteil und eben der Datenübermittlung in unsichere Drittstaaten auf Basis der SVK nach Art. 46 Abs. 2 c) DSGVO auseinander. Wir kommen – sehr verkürzt – zu dem Ergebnis, dass die Datenübermittlung in unsichere Rechtsstaaten auch dann zulässig sein kann, wenn das Recht des Drittstaates gegebenfalls nicht in Gänze der Vorstellung der EuGH entspricht, aber das Risiko nach einer Risikoabwägung vertretbar ist. Alle Einzelheiten sind in unserem Aufsatz nachzulesen:

Den ganzen Artikel lesen.

Lang, lang, ist´s her, dass ich hier auf einen Fachaufsatz hinwies. Drum wird es Zeit, dies endlich wieder einmal zu tun. Dafür gibt es nun auch gleich zwei gute Gründe. Der Aufsatz Organisatorische Maßnahmen i.S.v. Art. 32 DSGVO – Das unterschätze „Must-Have“ eines jeden Unternehmens, der in der ZdiW bereits in der Ausgabe 01/2021 erschien, hat zum einen nichts an Aktualität eingebüßt und zum anderen ist er nun auch öffentlich auf der Seite des Wolters Kluwer Verlags, d.h. ohne Bezahlschranke, abrufbar. Und schließlich gilt besser spät als nie, oder? 😉

Zum Inhalt:

In dem Aufsatz geht es darum, wie wichtig organisatorische Maßnahmen im Sinne des Art. 32 DSGVO wie etwa Schulungen, aber vor allem auch Richtlinien und Betriebsvereinbarungen, sind, um (Haftungs-)Risiken für das verantwortliche Unternehmen im Zusammenhang mit Datenschutz-Compliance beträchtlich zu minimieren.

Was damit gemeint ist und wie genau das funktioniert, das können Sie hier nachlesen:

Ich kann nur dringend empfehlen, sich mit diesem Thema – wenn es immer noch nicht geschehen ist – zu befassen und auseinanderzusetzen. Denn: Organisatorische Maßnahmen im Sinne des Art. 32 DSGVO sind ein „Must-Have“ eines jeden verantwortlichen Unternehmerns

In diesem Sinne,

Nina Diercks

 

 

1 2 3 4 37

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.