Der Europäische Gerichtshof stoppt Datentransfer in die USA. Safe Harbor-Regelungen sind unzulässig.

Die Große Kammer des Europäischen Gerichtshofs (EuGH) hat in seinem Urteil vom 6. Oktober 2015 in der Rechtssache Maximilian Schrems gegen den Kommissar für Datenschutz die Erklärung der Kommission zum Safe Harbor-Abkommen vom 26. 07. 2000 (Anmerkung: im Folgenden: SH) für ungültig erklärt. Der EuGH ist der Ansicht, dass durch Safe Harbour kein angemessenes Datenschutzniveau in Bezug auf die Übermittlung von personenbezogenen Daten von Europa in die USA gewährleistet wird.

Konsequenzen aus dem Urteil

Ein Datentransfer in die USA auf der Grundlage von SH ist mangels eines angemessenen Datenschutzniveaus unzulässig. Dieses Ergebnis hinterlässt ein unbefriedigendes Vakuum vor dem Hintergrund von über 4.000 Unternehmen, die personenbezogene Daten in die USA übermitteln und Millionen von Facebook-Nutzern. Gibt es eine Alternative, die anders als SH eine rechtmäßige transatlantische Datenübermittlung gewährleistet? In der Praxis und Fachöffentlichkeit werden die EU-Standardvertragsklauseln und die sogenannten Corporate Binding Rules diskutiert. Indessen binden diese Regelungen nur die jeweiligen Vertragsparteien. Hingegen haben die amerikanischen Behörden auf Grund der Rechtslage in den USA weiterhin ungehinderten Zugriff auf die Daten. Die EU-Standardvertragsklauseln und die Corporate Binding Rules stellen daher keine taugliche Alternative dar. Das Vakuum lässt sich auch nicht durch ein reformiertes SH-Regelwerk füllen, da in der Normenhierarchie die amerikanischen Rechtsnomen Vorrang gegenüber SH genießen. Vielmehr dürfte endgültig der Zeitpunkt gekommen sein, möglichst zeitnah ein internationales Abkommen zum transatlantischen Datenverkehr zu schaffen, das die im aktuellen Urteil des EuGH aufgestellten Anforderungen berücksichtigt, um die bestehende Rechtunsicherheit in der Praxis zu beseitigen. Für Kompromisse mit den USA ist der Spielraum begrenzt, da die EU beim Abschluss eines völkerrechtlichen Abkommens an die die in der EU-Grundrechtecharta verankerten Grundsätze, insbesondere Art. 8 (Schutz personenbezogener Daten), verbunden ist.

Zu den Entscheidungsgründen

Im Folgenden werden die Entscheidungsgründe – soweit bekannt – des für den Datentransfer aus Europa in die USA wegweisenden Grundsatzurteils dargestellt.

Entscheidungsbefugnis des EuGH

Wie kommt der EuGH dazu, SH zu kippen? Damit verhält es sich wie folgt: Vertritt eine nationale Datenschutzbehörde oder ein betroffener EU-Bürger die Ansicht, dass ein Rechtsakt der Europäischen Kommission wie etwa SH gegen die europäische Datenschutzrichtlinie im Lichte der EU-Grundrechtecharta verstößt, können sie die nationalen Gerichte anrufen. Schließt sich nun das angerufene nationale Gericht der Auffassung der Datenschutzbehörde bzw. des EU-Bürgers an, muss das nationale Gericht den Fall dem EuGH zur Vorabentscheidung vorlegen. Der EuGH entscheidet sodann abschließend über den Rechtsakt der Kommission.

Prüfungsmaßstab der Kommission und Prüfungsmaßstab des EuGH

Im Falle eines Datentransfers von Europa in einen Drittstaat muss gemäß Art. 25 der europäischen Datenschutz-Richtlinie in dem Drittstaat ein angemessenes Datenschutzniveau sichergestellt sein. Nach Auffassung der Kommission ist das Datenschutzniveau hinsichtlich der USA angemessen, soweit die Grundsätze der Entscheidung der Kommission vom 26.07.2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ (Safe Harbor) und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, eingehalten werden.

Dem SH als Prüfungsmaßstab für die Ermittlung des angemessenen Datenschutzniveaus erteilt der EuGH eine klare Absage. Anders als der von der Kommission gewählte Ansatz ist nach Auffassung des EuGH zu klären, ob die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der EU aufgrund der Richtlinie im Lichte der EU-Grundrechtecharta garantierten Niveau der Sache nach gleichwertig ist. Demzufolge ergibt sich daraus ein dreistufiges Prüfungsprogramm:

  1. Bestimmung des Schutzniveaus der Grundrechte in der EU, das sich aus der Interpretation der Richtlinie im Lichte der EU-Grundrechtecharta ergibt.
  2. Bestimmung des Schutzniveaus der Grundrechte in den USA auf der Grundlage der innerstaatlichen Rechtsvorschriften und internationalen Verpflichtungen.
  3. Prüfung der Gleichwertigkeit des US-amerikanischen Regimes zum Datenschutz im Vergleich zum europäischen Datenschutz.

Keine Gewährleistung eines angemessenen Datenschutzniveaus durch das Safe Harbour-Abkommen

Der EuGH prüft – ohne dass dafür seiner Ansicht nach eine rechtliche Notwendigkeit gegeben sein muss – zunächst das Datenschutzniveau von SH. Dieses verwirft der EuGH als völlig unzureichendes Instrument zur Gewährleistung eines angemessenen Datenschutzniveaus. Es begründet dies wie folgt:

  1. SH gilt nur für private Unternehmen, die sich den Regelungen auch ausdrücklich unterwerfen (Selbstverpflichtung). Andere private Unternehmen sowie staatliche Behörden sind an die Regelungen des SH nicht gebunden.
  2. SH muss höherem (us-amerikanischem) Recht weichen. Rechtsgüter wie die nationale Sicherheit, des öffentlichen Interesses, der Durchführung von Gesetzen haben gegenüber SH Vorrang. SH gewährleistet keinen Grundrechtsschutz gegenüber Eingriffen in den Datenschutz. Der Staat habe letztlich einen unbegrenzten Zugriff auf die übermittelten Daten. Hinzu kommt, dass es in den USA keinen effektiven gesetzlichen Rechtsschutz gegen solche Eingriffe gibt.

In einem weiteren Schritt prüft der EuGH, ob die Rechtsordnung der USA ein hinreichendes Schutzniveau gewährleistet, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist. Dem erteilt der EuGH eine klare Absage und zwar unter Verweis darauf, dass in den USA die Speicherung sämtlicher aus der EU übermittelten Daten durch staatliche Stellen ohne Einschränkungen zulässig ist. Die undifferenzierte und schrankenlose Verarbeitung und Nutzung der personenbezogenen Daten aus Europa, wird insbesondere nicht durch den Zweck der Datenverarbeitung beschränkt.

Der EuGH gelangt zu dem für den Datenschutz in den USA fatalen Ergebnis: Das Grundrecht auf Achtung der Privatsphäre ist in seinem Wesensgehalt verletzt. Der Wesensgehalt macht den Kern des Grundrechts aus, der für staatliche Eingriffe Tabu sein muss. Eine staatliche Intervention in den Wesensgehalt des Grundrechts lässt sich nicht durch den Vorrang anderer verfassungsrechtlich geschützter Rechtsgüter, z.B. öffentliches Interesse oder Sicherheit, rechtfertigen.

Die USA verletzen nach Auffassung des EuGH zudem das Grundrecht auf wirksamen rechtlichen Rechtsschutz. Eine Rechtsordnung, die keine Möglichkeit vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden Daten zu erlangen oder Berichtigung oder Löschung zu bewirken, unterminiert – so der EuGH – das Wesen des Rechtsstaats.

Google zeigt erste Reaktionen auf die Anordnung der Hamburger Datenschutzbehörde: Zentralisierung der Sicherheitseinstellungen zum Schutz der Privatsphäre

Der Hamburger Datenschutzbeauftragte hat im April 2015 einen Widerspruchsbescheid erlassen und damit das 2014 gegen Google eingeleitete Verwaltungsverfahren abgeschlossen. Die Hamburger Datenschutzbehörde wirft Google Verstöße gegen das Telemediengesetz und das Bundesdatenschutzgesetz vor. Google wird verpflichtet, mithilfe von technisch-organisatorischen Maßnahmen sicherzustellen, dass Nutzer künftig selbst über die Verwendung der eigenen Daten entscheiden können. Zudem muss Google die Nutzer hinreichend darüber unterrichten, welcher Zweck mit der Verarbeitung und Nutzung der Daten verfolgt wird. Ein Persönlichkeitsprofil des Nutzers darf Google nur erstellen, wenn das Unternehmen vorher vom Nutzer eine Einwilligungserklärung eingeholt hat.

Die Zentralisierung der Sicherheitseinstellungen zum Schutz der Privatsphäre für zahlreiche Google-Dienste wie der Wiedergabeverlauf bei der Google-Suche und Youtube, die Einstellungen für Werbung und Google-Analytics stellt eine erste Reaktion von Google dar, um der Anordnung der Hamburger Datenschutzbehörde nachzukommen.

Demnach kann der Nutzer von Google-Diensten verschiedene Einstellungen zum Schutz der Daten und der Privatsphäre vornehmen. Die Einstellungen unterscheiden sich danach, ob der Nutzer ein Konto bei Google hat oder nicht.

Der angemeldete Nutzer kann insbesondere Einstellungen vornehmen für

  • Passwörter und Kontozugriff
  • die verwendete Sprache und Verwaltung der Speicherkapazität
  • persönliche Daten und Privatsphäre im Hinblick auf den Kontoverlauf, die von Google insbesondere für die Schaltung von eigener und fremder Werbung genutzt werden

Siehe zu den Einstellungsmöglichkeiten die nachstehenden Sreenshots.

google-privatsphaere1
Startseite www.google.de. Mit Google Ihre Privatsphäre und Sicherheitseinstellung anpassen: „Mein Konto“
Über "Mein Konto" können Sie schnell auf Einstellungen und Tools zugreifen, mit denen Sie Ihre Nutzererfahrung in Google-Produkten wie der Google-Suche und Maps anpassen können. Einige Datenschutzeinstellungen können Sie jetzt verwalten.
Über „Mein Konto“ können Sie schnell auf Einstellungen und Tools zugreifen, mit denen Sie Ihre Nutzererfahrung in Google-Produkten wie der Google-Suche und Maps anpassen können. Einige Datenschutzeinstellungen können Sie jetzt verwalten.
Wenn Sie sich in Ihrem Google-Konto anmelden, haben Sie Zugriff auf noch mehr Datenschutz- und Sicherheitseinstellungen.
Wenn Sie sich in Ihrem Google-Konto anmelden, haben Sie Zugriff auf noch mehr Datenschutz- und Sicherheitseinstellungen.

BGH: „Tell-a-friend“-Werbung im Internet ist rechtswidrig (Urteil vom 12.09.2013, I ZR 208/12). Gibt es dennoch einen Spielraum für ein zulässiges Empfehlungsmarketing im Internet?

Schafft ein Unternehmen auf seiner Webseite die Möglichkeit für Nutzer, Dritten unverlangt eine sogenannte Empfehlungs-E-Mail zu schicken, die auf den Internetauftritt des Unternehmens hinweist, ist dies nach Auffassung des BGH (Urteil vom 12.09.2013, I ZR 208/12) nicht anders zu beurteilen als eine unverlangt versandte Werbe-E-Mail des Unternehmens selbst. Die ohne Einwilligung des Adressaten versandte Empfehlungs-E-Mail stellt einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar.

Das Versenden von E-Mails mit unerbetener Werbung, die der Empfänger jeweils einzeln sichten muss und bei denen ein Widerspruch erforderlich ist, um eine weitere Zusendung zu unterbinden, führt zu einer – so der BGH – nicht unerheblichen Belästigung.

Die entscheidende Passagen in dem Urteil lautet: „Die Beklagte haftet für die Zusendung der Empfehlungs-E-Mail als Täterin. Dabei ist es ohne Bedeutung, dass der Versand der Empfehlungs-E-Mails letztlich auf die Eingabe der E-Mail-Adresse des Klägers durch einen Dritten zurückgeht. Maßgeblich ist, dass der Versand der Empfehlungs-E-Mails auf die gerade zu diesem Zweck zur Verfügung gestellte Weiterempfehlungsfunktion der Beklagten zurückgeht und die Beklagte beim Empfänger eine Empfehlungs-E-Mail als Absenderin erscheint. Sinn und Zweck der Weiterleitungsfunktion der Beklagten bestehen auch gerade darin, dass Dritten (unter Mitwirkung unbekannter weiterer Personen) ein Hinweis auf den Internetauftritt der Beklagten übermittelt wird. Dieser Beurteilung steht nicht entgegen, dass die Beklagte den Missbrauch der Empfehlungsfunktion nicht in Kauf nimmt. Es ist offensichtlich, dass die Weiterleitungsfunktion gerade dazu benutzt wird, an Dritte Empfehlungs-E-Mails zu versenden, ohne dass Gewissheit darüber besteht, ob sie sich damit einverstanden erklärt haben.“

Mit Bezugnahme auf das BGH-Urteil wird in der anwaltlichen Praxis diskutiert, ob ein Gestaltungsspielraum für rechtskonforme Weiterempfehlungs-E-Mails besteht. Ohne Gewähr rechtlicher Verbindlichkeit empfehlt GINDAT, folgende Hinweise zu beachten:

  1. Die Weiterempfehlungs-E-Mail muss auf den Dritten zurückgehen, auf keinen Fall auf das empfohlene Unternehmen. Dies lässt sich am besten dadurch erreichen, dass nach Anklicken des Weiterempfehlungs-Buttons der E-Mail-Client des Nutzers geöffnet wird. Im Header darf als Absender nur der E-Mail-Account des Nutzers erscheinen, aber nicht derjenige des empfohlenen Unternehmens. Die Mail muss in jedem Fall vom Rechner des Nutzers versendet werden.
  2. Ein automatisch generierter Empfehlungstext seitens des empfohlenen Unternehmens sollte vermieden werden. Vielmehr sollte der Nutzer in eigenen Worten auf das empfohlene Unternehmen hinweisen. Im E-Mail-Client des Nutzers darf nur der Link zur Webseite des empfohlenen Unternehmens erscheinen.
  3. Die Weiterempfehlungs-E-Mail muss vom Gesamteindruck so gestaltet sein, dass das empfohlene Unternehmen durch den Weiterempfehlungs-Button nur eine technische Hilfestellung gibt.

Die Hinweise bewahren nicht davor, die Rechtsprechung zur „Tell-a-friend-Werbung“ im Blick zu behalten. Es bleibt abzuwarten, ob der BGH andere Fallkonstellationen als die entschiedene anders beurteilen wird.

Anspruch auf Löschung von Links zu Webseiten gegen Suchmaschinenbetreiber – zur Google-Entscheidung des EuGH vom 13.05.2014

Für Internet-Suchergebnisse in Bezug auf eine bestimmte Person besteht unter Umständen ein direkter Löschungsanspruch gegen den Betreiber einer Suchmaschine für Links auf Webseiten mit solchen personenbezogenen Inhalten, die für eine Person wenig schmeichelhaft oder rufschädigend oder ehrverletzend zu beurteilen sind. Es gibt ein Recht auf Vergessen. Dies entschied der Europäische Gerichtshof in einer bahnbrechenden Entscheidung gegen den Suchmaschinenbetreiber Google. http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=258738

Ein Spanier wollte nicht hinnehmen, dass bei der Eingabe seines Namens im Suchfeld bei Google in der Ergebnisliste unter anderem auch ein Verweis zu einem archivierten Zeitungsartikel aus dem Jahre 1998 auftaucht, in dem berichtet wurde, dass zur Begleichung von Sozialversicherungsschulden ein Grundstück des Spaniers zwangsversteigert wurde.

Der Spanier bekam vom EuGH in letzter Instanz mit Bezugnahme auf die EU-Datenschutzrichtlinie Recht. Den Löschungsanspruch begründete der EuGH im Wesentlichen wie folgt:

Nicht nur der Herausgeber einer Website, auch ein Suchmaschinenunternehmen wie Google kann die Privatsphäre und den Schutz personenbezogener Daten beeinträchtigen. Der Löschungsanspruch gegen die Suchmaschine kann selbst dann bestehen, wenn es sich um rechtmäßig veröffentlichte Inhalte auf der verwiesenen Seite handelt. Das von einer Suchmaschine ausgehende Gefährdungspotential für das Persönlichkeitsrecht des Betroffenen wird vom EuGH als hoch angesehen: Quasi jeder kann nach einem Namen „googlen“. Hinzu kommt, dass sich aus den Suchergebnissen durch die Verknüpfung von Informationen ein Persönlichkeitsprofil erstellen lässt, das zudem weltweit einsehbar ist.

Ein wirtschaftliches Interesse kann die Verarbeitung personenbezogener Daten durch eine Suchmaschine keinesfalls rechtfertigen. Allerdings muss die potentielle Gefährdung des Persönlichkeitsrechts mit dem Recht auf freien Zugang zu Informationen der Internetnutzer abgewogen werden. Beide Interessen müssen zu einem vernünftigen Ausgleich gebracht werden. So sind durchaus Fälle vorstellbar, bei denen das Recht zum freien Informationszugang überwiegt, etwa bei Informationen über Personen des öffentlichen Lebens.

Mittlerweile liegen Google nach eigenen Angaben Anträge auf Löschung zu Tausenden vor. Sollte Google die Löschung verweigern, kann der Betroffene rechtlich gegen die Entscheidung vorgehen.

Google hat mittlerweile für den Löschungsantrag ein Formular bereitgestellt: https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=de

Für den Online-Handel gilt ab dem 13.06.2014 das neue Verbraucherrecht

Ab 13.06.2014 tritt das neue Verbraucherrecht des BGB in Kraft, und zwar ohne Übergangsfrist. Von den Neuregelungen ist insbesondere der Handel im Internet betroffen. Web-Shops müssen insbesondere ihre AGB und Widerrufsbelehrung entsprechend anpassen.

Widerrufsfrist und -beginn

Die Widerrufsfrist des Verbrauchers dauert nunmehr generell 14 Tage. Die Frist beginnt nicht bereits zu laufen, wenn die Ware kommentarlos zurückgeschickt wird. Vielmehr muss der Widerruf ausdrücklich erklärt werden – es sei denn, das Unternehmen und der Verbraucher haben etwas anderes vereinbart. Rechtliche Schwierigkeiten in der Praxis dürfte die Bestimmung des Fristbeginns hinsichtlich der Bestellung mehrerer Waren sowie der Lieferung einer Ware in mehreren Teillieferungen bereiten.

Form des Widerrufs und Widerrufsformular

Ein mündlich erklärter Widerruf reicht aus; das bisherige Schriftformerfordernis entfällt. Noch vor der Abgabe der Vertragserklärung muss dem Verbraucher ein Widerrufsformular zur Verfügung gestellt werden.

Bestätigung des Widerrufs

Der Online-Händler muss den Zugang des Widerrufs unverzüglich bestätigen (§ 356 BGB); insofern genügt eine E-Mail.

Kosten der Rücksendung

Der Verbraucher trägt grundsätzlich die Kosten für die Warenrücksendung, aber nur wenn er über die Rücksendungskosten unterrichtet wurde. Ihre freiwillige Übernahme bleibt dem Online-Händler freilich unbenommen. Zu beachten ist, dass der Online-Händler in Bezug auf nicht-paketversandfähige Ware den Verbraucher über die anfallenden Transportkosten bereits in der Widerrufsbelehrung informieren muss.

Rückzahlungsfrist

Ab dem 13.06.2014 gelten auch Neuregelungen für die Leistungsrückabwicklung (§ 357 BGB). Der Unternehmer muss 14 Tage nach Zugang des Widerrufs den Kaufpreis zurückerstatten. Das Zurückbehaltungsrecht bleibt dem Unternehmer so lange erhalten, bis der Verbraucher den Rückversand der Ware nachweist.

Wertersatz

Eine weitere Gesetzesänderung bezieht sich auf die Regelungen zum Wertersatz. Die Wertersatzpflicht trifft den Verbraucher nur, wenn der Wertverlust der Widerrufsware auf einen Umgang mit der Ware zurückzuführen ist, der zur Prüfung der Beschaffenheit, der Eigenschaft und der Funktionsweise der Ware nicht notwendig war.

Widerrufsbelehrung

Außerdem muss der Verbraucher ordnungsgemäß über das Widerrufsrecht belehrt werden, und zwar in der Regel vor Vertragsschluss. In bestimmten Konstellationen können sich bei der rechtskonformen Formulierung der Widerrufsbelehrung Schwierigkeiten ergeben, etwa wenn die einheitlich bestellte Ware nicht einheitlich verschickt wird oder wenn es sich um nicht-paketversandfähige Ware handelt. In derartigen Konstellationen muss das Muster für die Widerrufsbelehrung und das Widerrufsformular (s. Anlage zu Art. 246a EGBGB) auf die besonderen Umstände des konkreten Falls angepasst werden.

Pflichtinformationen

Die geforderten Pflichtinformationen für die Online-Händler ab dem 13.06.2014 gehen weit über die bisherigen gesetzlichen Vorgaben hinaus. Dazu zählen im Wesentlichen:

  • Informationen über Zahlungs-, Liefer- und Leistungsbedingungen einschließlich der Lieferfrist;
  • das Bestehen eines gesetzlichen Mängelhaftungsrechts;
  • Funktionsweise und Interoperabilität digitaler Inhalte;
  • verfügbare außergerichtliche Beschwerde- und Rechtsbehelfsverfahren.

Garantieregelungen

Ab dem 13.06.2014 gelten auch andere Garantieregelungen. Neu ist, dass auch im Web-Shop über Umfang, Art und Bedingung der Garantie informiert werden muss, jedenfalls wenn mit einer Garantie geworben wird. Die Unterrichtung muss vor Abgabe der Willenserklärung erfolgen. Deshalb müssen die Garantieregelungen auf der Website platziert werden. Nach Vertragsschluss muss der Unternehmer die Garantiebedingungen mit der Bestätigung des Vertrages, spätestens bei der Lieferung der Ware oder bevor mit der Ausführung der Dienstleistung begonnen wird, dem Verbraucher zur Verfügung stellen.

Zweiterwerb von gebrauchter Software auch zum Download ist unabhängig von einem vertraglichen Veräußerungsverbot unter bestimmten Voraussetzungen zulässig – Urteilsgründe der BGH-Entscheidung „UsedSoft II“

Gebrauchte Software kann unter bestimmten Voraussetzungen veräußert werden. Dies geht aus den mit Spannung erwarteten Urteilsgründen einer urheberrechtlich bahnbrechenden Entscheidung des BGH zur Zulässigkeit des Zweiterwerbs von Software (Oracle gegen UsedSoft) vom 17.07.2013 hervor. Bemerkenswert ist zweierlei:  Zum einen soll die so genannte „Erschöpfung des Verbreitungsrechts“ (Art. 69d Abs. 1 UrhG und Art. 5 Abs. 1 EU-Computersoftware-Richtlinie) nicht nur Software auf Datenträger, sondern nunmehr auch Software zum Download umfassen. Zum anderen tritt die urheberrechtliche Erschöpfung unabhängig von einem im Lizenzvertrag vereinbarten Veräußerungsverbot und damit quasi gesetzlich ein. Allerdings tritt die Erschöpfung des Verbreitungsrechts nur unter bestimmten Voraussetzungen ein, für die der Softwareerwerber beweispflichtig ist.

  1. Der Rechtsinhaber muss dem Download der Kopie aus dem Internet zustimmen.
  2. Das Entgelt entspricht dem wirtschaftlichen Wert der Kopie.
  3. Das Nutzungsrecht wird unbegrenzt eingeräumt.
  4. Falls eine Update-Fassung der Software veräußert wurde, muss auch diese Aktualisierung oder Verbesserung vom Wartungsvertrag gedeckt sein.
  5. Der Ersterwerber zum Zeitpunkt des Weiterverkaufs seine eigene Kopie löschen.

EU-Grundschutzverordnung passiert mit großer Mehrheit die erste Lesung des Europäischen Parlaments

Der Entwurf zu der EU-Datenschutzgrundverordnung (s. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF) nebst die für die Strafverfolgung gesondert spezifizierte Richtlinie passierte am 12.03 das Europäische Parlament in erster Lesung mit 621 Stimmen bei 10 Gegenstimmen und 22 Enthaltungen. Die Regelungen der Datenschutzgrundverordnung sind in allen Mitgliedstaaten gleich. Insofern unterscheidet sie sich von der geltenden EU-Datenschutzrichtlinie. Derzeitige Schlupflöcher zur Umgehung des Datenschutzes in Europa könnten durch die EU-Datenschutzverordnung verkleinert werden. Diese unterstellt den Umgang mit Daten einem schärferen Regime. So steht jede Datenverarbeitung unter dem Vorbehalt der Einwilligung der Betroffenen. Zudem muss jede Datenübermittlung aus der EU in einem Drittstaaten von der nationalen Aufsichtsbehörde genehmigt werden. Dem Profiling, d.h. der statistischen Datenanalyse, werden engere Grenzen gesetzt. Unternehmen, die gegen die Datenschutzvorschriften verstoßen, müssen mit empfindlichen Strafgeldern rechnen – bis zu 100 Millionen Euro oder bis zu 5% ihres weltweiten Jahresumsatzes. Vor dem Hintergrund dieses restriktiv gefassten Datenschutzes wollen Big Data-Unternehmen wie Facebook, Google und andere die EU-Grundverordnung verhindern. Mit der Abstimmung des Europäischen Parlaments am 12.03. hat die EU-Datenschutzverordnung allerdings nicht alle Hürden genommen. Nunmehr wird der Rat seinen abweichenden Standpunkt dem im Mai neugewählten Europäischen Parlament in zweiter Lesung zur Abstimmung vorlegen.

BAG, Urteil vom 20.06.2013, 2 AZR 546/12 – zur Verhältnismäßigkeit einer heimlichen Spindkontrolle

Der prozessualen Verwertung von Beweismitteln, die der Arbeitgeber aus einer in Abwesenheit und ohne Einwilligung des Arbeitnehmers durchgeführten Kontrolle von dessen Schrank zur Aufklärung einer Straftat erlangt hat, kann schon die Heimlichkeit der Durchsuchung entgegenstehen http://www.bag-urteil.com/20-06-2013-2-azr-546-12/. Das BAG präzisierte in dieser für den Beschäftigtendatenschutz wichtigen Entscheidung die Voraussetzungen des § 32 Abs. 1 S. 2 BDSG, insbesondere zur Verhältnismäßigkeit des Umgangs mit personenbezogenen Daten. 
So spreche nach Auffassung des BAG viel dafür, dass es sich bei einer Schrankkontrolle tatbestandlich um eine Datenerhebung handele.
§ 32 BDSG setze tatbestandlich keine automatisierte Datenverarbeitung voraus. Das Erfurter Gericht stellt fest, dass sich für die Verhältnismäßigkeit der Spindkontrolle aus § 32 BDSG gegenüber dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 GG keine abweichenden Vorgaben ergeben würden.
Dem Wortlaut entsprechend müsse die Datenverarbeitung zur Aufdeckung der Straftat „erforderlich“ im Sinne des § 32 Abs. 1 S. 2 BDSG sein. Dies mache eine auf den Einzelfall bezogene Güterabwägung zwischen den Interessen des Arbeitsgebers und des Arbeitnehmers erforderlich. Eine ohne Einwilligung des Betroffenen erfolgende Schrankkontrolle stelle einen schwerwiegenden Eingriff in dessen Privatsphäre dar, der sich nur bei Vorliegen zwingender Gründe rechtfertigen ließe. Dem gerichtlichen Beweisverwertungsinteresse gebühre ein Vorrang nur dann, wenn dem Arbeitgeber keine anderen Erkenntnisquellen als die heimliche Durchsuchung zur Verfügung stünden. Er müsse sich in einer notwehrähnlichen Situation befinden. Das allgemeine Interesse an einer funktionsfähigen Rechtspflege oder ein Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, reiche jedenfalls nicht aus.
Nach den Grundsätzen davor bewertete das BAG den Eingriff als unverhältnismäßig. Eine Beweiserhebung über das Ergebnis der Spindkontrolle schloss das BAG aus. Der Arbeitgeber hätte den Arbeitnehmer zur Kontrolle seines Schranks hinzuziehen müssen. Eine in Anwesenheit des Arbeitnehmers durchgeführte Schrankkontrolle sei gegenüber einer heimlichen Durchsuchung das mildere Mittel. Die Heimlichkeit einer in Grundrechte eingreifenden Maßnahme erhöhe typischerweise das Gewicht der Freiheitsbeeinträchtigung.