Auf dem Weg zu einem Europa des Datenschutzes: Der Weg ist lang.

Legal Watch Nr. 36 – Juni 2021

Auf dem Weg zu einem Europa des Datenschutzes: Der Weg ist langDie Datenschutz-Grundverordnung hat bei ihrem Inkrafttreten viele Hoffnungen hinsichtlich Klarheit und Wirksamkeit geweckt.

Während die von ihr abgelöste europäische Richtlinie bereits einen relativ präzisen und verbindlichen Rechtsrahmen bot, sollte die DSGVO eine harmonisierte Umsetzung dieser Grundsätze ermöglichen, unabhängig davon, wo sich die betroffenen Unternehmen in der Europäischen Union befinden.

Auch die nach oben angepassten Sanktionen mussten von den Aufsichtsbehörden anhand eines schlüssigen Analyserasters beurteilt werden.

Tatsächlich scheint es noch viele Fallstricke zu geben, die diese lang erwartete Harmonisierung einschränken.

Der deutsche Datenschutzbeauftragte Johannes Caspar, dessen Amtszeit an der Spitze der Hamburger Landesaufsichtsbehörde nach zwölf Jahren zu Ende geht, bleibt hartnäckig und unterzeichnet diesen Juni seine Unterschrift, indem er die Mängel bei der Umsetzung der DSGVO anprangert.

Ursache sind langwierige und komplexe Verfahren, bis alle im Europäischen Datenschutzausschuss (EDSA) versammelten Behörden zu einer gemeinsamen Position gelangen.

Die DSGVO sieht ein sogenanntes „One-Stop-Shop“-Verfahren vor, das die Zuständigkeit einer federführenden Behörde vorsieht, nämlich der Behörde des Landes, in dem sich die Hauptniederlassung des von der Untersuchung betroffenen Unternehmens befindet.

Diese federführende Behörde muss jedoch in den verschiedenen Phasen des Verfahrens mit den anderen betroffenen nationalen Behörden zusammenarbeiten.

In der Praxis sind die Ermittlungen bei der irischen Behörde zentralisiert, die für die meisten Fälle gegen die auf ihrem Territorium ansässige GAFAM zuständig ist. Berichten zufolge laufen 28 Verfahren bei der besagten Behörde, die für ihre langsamen und nachsichtigen Verfahren gegenüber Big-Tech-Unternehmen wie Facebook und Twitter kritisiert wird, was Berichten zufolge zu langen und schwierigen Diskussionen mit ihren Kollegen innerhalb des EDSB führt.

Der Kommissar der Hamburger Behörde fordert von den Aufsichtsbehörden rechtzeitig klare und abschreckende Signale, damit die für die Verarbeitung Verantwortlichen ihre Pflichten überall in der Europäischen Union in gleicher Weise und ohne Wettbewerbsverzerrungen erfüllen.

Es sei darauf hingewiesen, dass dieses Problem vom Ausschuss selbst in seinem Jahresbericht 2020 festgestellt wurde und dass die Verbesserung der Zusammenarbeit zwischen den Behörden eine seiner Prioritäten für 2021–2022 ist.

Wir möchten hinzufügen, dass das System der zentralen Anlaufstelle trotz der damit verbundenen Verfahrensschwerfälligkeit dennoch den Vorteil bietet, dass jeder Bürger der Europäischen Union eine Beschwerde bei seiner nationalen Aufsichtsbehörde einreichen kann, selbst wenn der für die Verarbeitung Verantwortliche in einem anderen Land ansässig ist. Die zuständigen Behörden sind für die Zusammenarbeit bei der Bearbeitung der Beschwerde verantwortlich.

Ist der Beschwerdeführer mit dem Ergebnis der Untersuchung nicht zufrieden, kann er auch in seinem eigenen Land Abhilfe fordern.

Auch der Europäische Gerichtshof hat in einem Urteil vom 15. Juni an den Handlungsspielraum von Behörden erinnert, die nicht federführend sind, wenn es um die Bearbeitung einer grenzüberschreitenden Beschwerde geht.

Im Rahmen eines Rechtsstreits zwischen Facebook (mit Sitz in Irland) und der belgischen Datenschutzbehörde kam der Gerichtshof daher zu dem Schluss, dass die belgische Behörde, obwohl sie nicht die federführende Behörde ist, bestimmte Verstöße von Facebook gegen die DSGVO vor belgischen Gerichten anklagen könne.

Diese Bedingungen sind jedoch auf Fälle beschränkt, in denen ein Notfall (Artikel 66 der DSGVO) oder ein lokaler Fall (Artikel 56.2 der DSGVO) vorliegt. Dieses Urteil bedeutet daher nicht das Ende des One-Stop-Shop-Systems, sondern konkretisiert vielmehr die Ausnahmen von seiner Anwendung. Das Prinzip der Zusammenarbeit zwischen den Behörden bleibt somit die Regel.

Und auch

Frankreich:

Am 30. Juni veröffentlichte die CNIL die dritte Version ihrer Software, die Datenschutz-Folgenabschätzungen erleichtern soll.

Diese neue Version unterstützt Manager bei der Durchführung ihrer Auswirkungsanalyse und ermöglicht die Entwicklung von Wissensdatenbanken parallel zu denen der CNIL.

Der eingeschränkte Ausschuss der CNIL verhängte gegen das Unternehmen eine Geldstrafe von 500.000 Euro Bricoprivé für

• Senden von E-Mails zur Kundenakquise ohne die Zustimmung der betroffenen Personen und Nichteinhaltung mehrerer anderer DSGVO-Verpflichtungen:
  • Nichteinhaltung der vom Unternehmen selbst festgelegten Datenaufbewahrungsfristen,
  • Nichterfüllung der Informationspflichten und des Rechts auf Löschung von Daten sowie
  • Mangel an sicheren Passwörtern im Hinblick auf die Datensicherheit.

Die CNIL stellte außerdem fest, dass Cookies ohne die Zustimmung des Benutzers verwendet werden.

Europa:

Am 4. Juni veröffentlichte die Europäische Kommission eine neue Version der Standardvertragsklauseln, die internationale Datenübertragungen erleichtern sollen.

Diese Klauseln berücksichtigen die Konsequenzen des Schrems-II-Urteils des Europäischen Gerichtshofs hinsichtlich der Risiken des Datenzugriffs durch Behörden von Drittstaaten, insbesondere im Kontext der nationalen Sicherheit.

Gleichzeitig hat der Europäische Datenschutzausschuss am 18. Juni Empfehlungen herausgegeben, die den für die Datenverarbeitung Verantwortlichen bei der Analyse solcher Risiken des Abfangens von Daten helfen und sie in die Lage versetzen sollen, zusätzliche Schutzmaßnahmen zu ergreifen.

Künstliche Intelligenz:

Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss haben gemeinsam einen Aufruf zu einem Verbot der Nutzung von KI für

• Automatische Erkennung biometrischer Daten im öffentlichen Raum,
• Social Scoring, auch über soziale Medien, und
• Der Einsatz von KI zur Erkennung des emotionalen Zustands von Menschen.

Diese Position spiegelt die Veröffentlichung des Vorschlags der Europäischen Kommission zur KI am 21. April wider.

Internationale Datenübertragungen:

Die Europäische Kommission veröffentlichte ihre Empfehlungen am 28. Juni Angemessenheitsbeschlüsse in Bezug auf das Vereinigte Königreich.

Zum einen geht es um die Anforderungen der DSGVO, zum anderen um die europäische Richtlinie zur polizeilichen Datenverarbeitung.

Neu ist, dass die Kommission eine „Sunset-Klausel“ die die Gültigkeitsdauer der Entscheidungen auf vier Jahre begrenzt.

Die Entscheidungen können erneuert werden, wenn das Schutzniveau im Vereinigten Königreich weiterhin den europäischen Anforderungen entspricht.

Zu den Problembereichen zählen Großbritanniens Pläne für neue Handels- und Datenfreizügigkeitsabkommen mit Schwellenländern.

Belgien steht im Visier der Europäischen Kommission, die ein DSGVO-Vertragsverletzungsverfahren hinsichtlich der Unabhängigkeit ihrer Datenschutzbehörde eingeleitet hat.

Der Grund dafür liegt in der Mitgliedschaft mehrerer ihrer Mitglieder in staatlichen Einrichtungen.

Internationales:

Eine internationale Koalition von mehr als 55 Verbraucherschutz-, Bürgerrechts- und Nichtregierungsorganisationen fordert das Verbot von Werbung, die auf der Verfolgung und Profilerstellung von Personen basiert.

Anlass für diese Haltung war ein Bericht des norwegischen Verbraucherrats, der die Folgen der Überwachungspraxis im Geschäftsleben für die Gesellschaft aufzeigte.

Am 16. Juni leitete die Europäische Kommission ein Verfahren zur Anerkennung der Angemessenheit des Datenschutzes in Südkorea.

Die chinesischen Behörden kündigten am 10. Juni die Verabschiedung eines Gesetzes zur Datensicherheit an. deren Ziel auch der Schutz der Rechte und Interessen der Personen ist, deren Daten verarbeitet werden.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.