• Grundsatzentscheidung: EuGH verkündet Urteil in Sachen „Fashion ID“

​Am 29.7.2019 hat der EuGH seine Grundsatzentscheidung i.S. „Fashion ID“ (Rs. C 40/17) verkündet und damit eine ganze Reihe von datenschutzrechtlichen Fragen zur Einbindung von Dritt-Inhalten in Internetseiten geklärt. Im konkreten Fall ging es um einen Modehändler, der auf seiner Webseite den Like-Button von Facebook eingebunden hatte. Die Entscheidung des EuGH hat die folgenden Kern-Aussagen: 

  1. Der EuGH bestätigt, dass Verbraucherzentralen und andere Interessenverbände Datenschutzrecht vor Gericht durchsetzen können – auch nach Inkrafttreten der DSGVO.
  2. Webseitenbetreiber, die den Facebook Like-Button einbinden, sind gemeinsam mit Facebook „gemeinsam Verantwortliche“ (Joint Controller).
  3. Eine „gemeinsame Verantwortlichkeit“ (Joint Control) erstreckt sich immer nur auf die „Phasen“ der Verarbeitung, die auch wirklich unter gemeinsamer Kontrolle stehen. Im konkreten Fall war dies die Phase der Datenerhebung auf der Webseite. Für die (Weiter-) Verarbeitung der Daten durch Facebook ist der Webseitenbetreiber dann aber nicht mehr (Mit-)Verantwortlicher.
  4. In den Phasen, in denen eine „gemeinsame Verantwortlichkeit“ vorliegt, muss jeder der Verantwortlichen sicherstellen, dass er die Anforderungen der DSGVO erfüllt. Auch der Webseitenbetreiber muss also sicherstellen, dass (1.) eine wirksame Rechtsgrundlage für die Datenerhebung vorliegt, und (2.) die Betroffenen der Datenverarbeitung ausreichend informiert werden.
  5. Der EuGH deutet an, dass als Rechtsgrundlage der Datenerhebung nur die Einwilligung in Frage komme, weil insofern Art. 5 Abs. 3 der ePrivacy-Richtlinie einschlägig sei. Anders als dies in verschiedenen Medien berichtet worden ist, hat der EuGH dies aber nicht bejaht, sondern nur dem vorlegenden Gericht (d.h. dem OLG Düsseldorf) aufgegeben, dies zu prüfen. Welcher Anpassungsbedarf sich aus der Entscheidung ergibt, wird nun im Einzelnen zu klären sein. In jedem Fall sind nun die Vorgaben des Art. 26 DSGVOzu erfüllen, d.h. Webseitenbetreiber müssen mit den Anbietern der eingebetteten Dritt-Inhalte jeweils Joint Control-Vereinbarungen abschließen. Dies gilt nicht nur für Like-Buttons, sondern häufig auch für andere eingebettete Inhalte wie z.B. Zählpixel oder Youtube-Videos. Weitere Themen, die geklärt werden müssen: Gibt es eine Rechtsgrundlage für die gemeinsame Datenerhebung? Sind alle notwendigen Informationen, auch zur Joint Control-Vereinbarung, in der Datenschutzerklärung aufgenommen worden? Weitere Informationen zu dem Urteil finden sich auch in einer Zusammenfassung unseres (finnisch-deutschen) Senior Counsel Tobias Bräutigam aufLinkedIn.
  • Neue Informationen zur Zukunft des TMG- und TKG-Datenschutzes Auf Twitter hat das Bundeswirtschaftsministerium (BMWi) verkündet, dass es nun „zeitnah“ eine Anpassung von TMG und TKG an die DSGVO vornehmen wolle. Vorher solle aber noch die Entscheidung des EuGH i.S. „Planet49“ abgewartet werden. Diese Entscheidung, die am 1. Oktober verkündet werden soll, wird voraussichtlich einige Zweifelsfragen zur „Cookie-Regelung“ klären (Art. 5 Abs. 3 der ePrivacy-Richtlinie). Ferner hat am 26. Juli die EU-Ratspräsidentschaft eine neue Fassung des Entwurfs der neuen ePrivacy-Verordnung vorgelegt.

    Wie es nun mit TMG, TKG und „ePrivacy“ zeitlich weitergeht, erklärt in diesem Newsletter unser Associate Dr. Simon Assion in einem Kommentar.

  • OVG Münster bestätigt vorläufiges Aus für „StreamOn“ Die Telekom Deutschland GmbH darf das von ihr angebotene Produkt „StreamOn“ in der bisherigen Form zunächst nicht weiterbetreiben. In einem von der Telekom angestrengten Eilverfahren hat das Oberverwaltungsgericht Münster das zuvor von der BNetzA in Hinblick auf „StreamOn“ ausgesprochene Vertriebsverbot bestätigt. Damit hat das OVG Münster die erstinstanzliche Entscheidung des VG Köln (VG Köln, 1 L 253/18, siehe auch MMR 2019, 197 m. Anm. Assion) für richtig erklärt. Nach dem Beschluss des OVG verstößt StreamOn sowohl gegen die Netzneutralität, als auch gegen die europäischen Roaming-Regeln. Der Beschluss vom 12.07.2019 (Az.: 13 B 1734/18) ist unanfechtbar. Weitere Infos in der Pressemitteilung des OVG und in einem Kommentar von unserem Associate Holger Niedenführ.
  • Überleben die SCC? EuGH verhandelte zu „Schrems II“ Wie lassen sich Datentransfers in sog. Drittländer zukünftig rechtfertigen? Um diese Frage geht es in dem Verfahren „Schrems II“, über das der EuGH am 9. Juli mündlich verhandelt hat (Rs. C-311/18). Konkret geht es um die Frage, ob die sog. „Standard Contractual Clauses“ (SCC) noch als ausreichend wirksam angesehen werden können, um Datentransfers in Drittländer abzusichern. Im konkreten Fall geht es um eine Datenübermittlung in die USA, die das Unternehmen Facebook auf Basis der SCC durchgeführt hatte. Der Kläger, Maximilian Schrems, will dies unter Berufung auf Überwachungsprogramme der USA verhindern. Als nächster Schritt des Verfahrens wird nun der zuständige Generalanwalt sein Votum abgeben; danach verkündet der EuGH sein Votum. Ein Termin zur Verkündung der EuGH-Entscheidung steht noch nicht fest, dies wird jedoch frühestens in einigen Monaten der Fall sein. Bird & Bird hatte bei der mündlichen Verhandlung beim EuGH einen Prozessbeobachter vor Ort und stellt einen ausführlichen Bericht zur Verfügung.
  • Wie stark darf der deutsche Gesetzgeber die DSGVO modifizieren? BVerwG legt dem EuGH Fragen vor Die DSGVO ist zwar eine EU-Verordnung, enthält aber sehr viele „Öffnungsklauseln“, mit denen sie Regelungen durch nationales Recht erlaubt. Teilweise wird die DSGVO deshalb auch als „Hybrid zwischen Verordnung und Richtlinie“ bezeichnet – und so hat der deutsche Gesetzgeber sie auch behandelt, indem er sie in einer Vielzahl von nationalen Gesetzen weiter spezifiziert und modifiziert hat. Zwei der wichtigsten Öffnungsklauseln sind dabei Art. 23 Abs. 1 lit. e) und j) DSGVO: Diese erlauben eine „Beschränkung“ von Betroffenenrechten zum „Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses“ (e) und zur „Durchsetzung zivilrechtlicher Ansprüche“ (j). Ob diese Öffnungsklauseln wirklich die weitreichenden gesetzlichen Beschränkungen tragen, die Bund und Länder hierauf aufgebaut haben, ist allerdings fraglich. Das deutsche Bundesverwaltungsgericht hat nun die erste Gelegenheit genutzt, um dem EuGH hierzu Fragen vorzulegen (Entscheidung vom 04. Juli 2019 - BVerwG 7 C 31.17). Konkret geht es in diesem Fall um eine Regelung im Steuerrecht, die das Recht auf Auskunft (Art. 15 DSGVO) beschränkt. Weitere Informationen in der Pressemitteilung des BVerwG.
  • Nachfolger der E-Commerce-Richtlinie: Diskussionspapier geleakt Wie geht es weiter mit der Internetregulierung durch die EU? Vieles hängt davon ab, wer in der neuen EU-Kommission hierfür zuständig wird. Erste Überlegungen sind aber bereits bekannt geworden, und zwar noch bevor feststand, wer die Rolle des „Digitalkommissars“ (bzw. der Digitalkommissare) überhaupt übernehmen wird. In einem offensichtlich bereits weit durchdachten und nun geleakten Papier macht die auf Arbeitsebene zuständige Abteilung der EU-Kommission (die Generaldirektion CONNECT) weitreichende Vorschläge: Die E-Commerce-Richtlinie soll durch einen neuen „Digital Services Act“ (bzw. Code) ersetzt werden. Außerdem sollen in das EU-Recht verbindliche Regelungen zum Umgang mit Hate Speech und Desinformation („Fake News“), zur Haftung für fremde Inhalte und Online-Werbung aufgenommen werden. Außerdem sollen die Regelungen den Digitalen Binnenmarkt wieder stärken, d.h. sicherstellen dass Online-Dienste sich nur an die Regeln des Staates halten müssen, in dem sie niedergelassen sind (sog. Herkunftslandsprinzip). Ob die neue EU-Kommission diese Vorschläge übernehmen wird, ist derzeit noch völlig offen. Weitere Informationen bei Netzpolitik.org.
  • ICO kündigt hohe Bußgelder gegen British Airways und Marriott an Die britische Datenschutzaufsichtsbehörde (ICO) hat angekündigt, wegen einer Datensicherheitsverletzung ein Bußgeld in Höhe von 183 Millionen Pfund gegen British Airways verhängen zu wollen. Angreifer hatten 2018 über eine Sicherheitslücke im Buchungssystem personenbezogene Daten von mehr als 500.000 Kunden erlangt. Neben Kontaktinformationen gehörten zu den erlangten Daten auch zahlungsrelevante Informationen wie Kreditkarten- und Bankverbindungen. Ursächlich seien unzureichende Sicherheitsvorkehrungen gewesen, so das ICO. British Airways hat angekündigt, Widerspruch gegen den Bußgeldbescheid einzulegen. Weitere Informationen hier. Gegen die Hotelkette Marriott will die ICO ein Bußgeld in Höhe von 99 Millionen Pfund wegen Datenschutzverstößen verhängen. Anlass ist eine Datenpanne von November 2018, bei der Hacker über die Reservierungsdatenbank der Marriott-Tochterfirma Starwood personenbezogene Daten von über 330 Millionen Kunden erlangt hatten. Neben Kontaktinformationen waren in einigen Fällen auch Zahlungsinformationen wie Kreditkartennummern sowie Passdaten betroffen. Nach Ansicht der ICO habe Marriott bei der Übernahme von Starwood im Jahr 2016 keine ausreichenden Sicherheitskontrollen durchgeführt. Weitere Infos (auf Englisch) in der Pressemitteilung der ICO.
  • Bundesamt für Justiz verhängt Bußgeld gegen Facebook Anfang Juli hat das Bundesamt für Justiz (BfJ) einen Bußgeldbescheid gegen die Facebook Ireland Ltd. erlassen. Das BfJ wirft Facebook vor, in seinem Tätigkeitsbericht über das Halbjahr 2018 nicht den Anforderungen des Netzwerkdurchsetzungsgesetzes (NetzDG) entsprochen zu haben. Nach dem NetzDG sind Anbieter von Sozialen Netzwerken unter anderem dazu verpflichtet, halbjährlich einen deutschsprachigen Bericht zu veröffentlichen. Die Behörde begründet das Bußgeld in Höhe von zwei Millionen Euro mit unvollständigen Angaben von Facebook zur Anzahl der im Berichtszeitraum eingegangen Beschwerden. Dadurch sei die Öffentlichkeit nicht hinreichend informiert worden. Außerdem sei das Meldeformular für NetzDG-Beschwerden bei Facebook „zu versteckt“. Der Bescheid ist noch nicht rechtskräftig. Facebook hat angekündigt, Widerspruch gegen den Bescheid einzulegen, will diesen jedoch zurücknehmen, sobald mit dem Bundesamt eine Lösung gefunden werde. Weitere Informationen bei heise online.
  • FTC verhängt Milliardenstrafe gegen Facebook Die US-Wirtschaftsaufsichtsbehörde FTC hat ein Bußgeld in Höhe von 5 Milliarden US-Dollar gegen Facebook verhängt. Die FTC wirft Facebook vor, sich nicht an eine 2011 zwischen der Behörde und Facebook getroffene Vereinbarung gehalten zu haben. Damals hatte Facebook sich verpflichtet, Daten nur nach ausdrücklicher Zustimmung an Dritte weiterzugeben. Die FTC hatte im Zuge des Skandals um die Weitergabe von personenbezogenen Daten unter anderem gegen das Datenanalyseunternehmen Cambridge Analytica Ermittlungen eingeleitet. Weitere Informationen hierzu finden Sie hier.