,
25 tweets,
5 min read
Read on Twitter
Was heißt nun das heutige Urteil i.S. #FashionID für die Datenschutzpraxis nach der DSGVO?
(Zusammenfassung des Urteils hier: )
(Zusammenfassung des Urteils hier: )
Zunächst einmal: Viel Arbeit und Diskussionsbedarf. Denn der EuGH sagt leider überhaupt nichts dazu, wie sein Urteil, das noch auf Basis der alten Datenschutzrichtlinie ergangen war, auf die mittlerweile geltende #DSGVO anzuwenden ist.
Die Rechtslage nach altem und neuem Recht ist aber keinesfalls dieselbe.
Zwar ist die Tatbestandsseite von "Joint Control" in der alten Datenschutzrichtlinie ganz ähnlich gestaltet wie heute in der DSGVO. Die Rechtsfolgenseite ist aber völlig anders geregelt, u.a. in Art. 26.
Zwar ist die Tatbestandsseite von "Joint Control" in der alten Datenschutzrichtlinie ganz ähnlich gestaltet wie heute in der DSGVO. Die Rechtsfolgenseite ist aber völlig anders geregelt, u.a. in Art. 26.
Mit anderen Worten: Der EuGH hat mit diesem Urteil geklärt, wann eine "Joint Control" vorliegt - dieser Teil hat Relevanz auch für die DSGVO. Er hat aber nur teilweise geklärt, welche Rechtsfolgen daraus nach der DSGVO folgen.
Drei wichtige Punkte lassen sich aber herausarbeiten.
1)
Der EuGH unterscheidet nach "Phasen" der Datenverarbeitung und meint, die Stellung als Verantwortlicher könne nur für einzelne der Phasen vorliegen.
1)
Der EuGH unterscheidet nach "Phasen" der Datenverarbeitung und meint, die Stellung als Verantwortlicher könne nur für einzelne der Phasen vorliegen.
WENN man aber Verantwortlicher für eine Phase ist, dann trifft einen die volle Compliance-Verantwortung. Joint Control gibt Controllern also nicht etwa die Möglichkeit, eigene Compliance-Pflichten "wegzulassen", weil diese der andere Controller erfüllt.
Ich denke aber nicht, dass der EuGH damit auch die "arbeitsteilige" Erfüllung von Compliance-Pflichten ausschließen will. Wenn z.B. der eine Controller die Information der Betroffenen (Art. 13+14 DSGVO) für beide sicherstellt, dann haben auch beide die DSGVO erfüllt.
In diesem Punkt nimmt der EuGH leider eine fragwürdige (und m.E. auch falsche) Wertung des Sachverhalts vor, wo er sagt nur der Webseitenbetreiber könne eine Einwilligung der Betroffenen einholen.
Ob und wie die Einwilligung eingeholt wird, ist eine technische Frage, keine rechtliche. Viele Lösungen sind denkbar, auch betreffend des "wie" und "durch wen". Erst die Zukunft wird zeigen, welche technischen Lösungen konkret umgesetzt werden.
Denkbar ist z.B. eine "Zwei-Klick-Lösung" (d.h. der Nutzer muss durch den ersten Klick bestätigen, dass er das Plugin laden will, erst der zweite Klick betätigt den Like-Button).
Wer diese Lösung implementiert, ist eine rein technische Frage.
Wer diese Lösung implementiert, ist eine rein technische Frage.
2)
Der zweite Punkt, wo das EuGH-Urteil zu Diskussionen führen wird, ist bei der Frage ob für die Datenerhebung durch den Like-Button eine Einwilligung erforderlich ist, oder ob auch die Interessenabwägung ausreicht.
Der zweite Punkt, wo das EuGH-Urteil zu Diskussionen führen wird, ist bei der Frage ob für die Datenerhebung durch den Like-Button eine Einwilligung erforderlich ist, oder ob auch die Interessenabwägung ausreicht.
Der EuGH weist auf den in Deutschland fast komplett unbekannten vollen Wortlaut von Art. 5 Abs. 3 der ePrivacy-RL hin. Denn dieser gilt nicht nur für Cookies, sondern auch für den Zugriff auf "Informationen, die im Endgerät gespeichert sind". 
Die ePrivacy-RL ist in Bezug auf Rechtsgrundlagen hierfür viel "grobschlächtiger" als die Datenschutzrichtlinie bzw. DSGVO. Erlaubt ist der Zugriff nur, falls dies "unbedingt erforderlich" zur Diensterbringung ist, oder auf Basis einer informierten Einwilligung.
Ich habe diese Regelung schon öfter als die wahrscheinlich handwerklich schlecht gemachteste Regelung des EU-Informationsrechts bezeichnet, und sehe mit gemischten Gefühlen, dass sie nun in der Praxis ankommt.
Denn was bitte sind denn "Informationen, die im Endgerät gespeichert sind"? Technisch ist Internetsurfen ein Vorgang, bei dem Client und Server sich gegenseitig Daten senden, und zwar entweder proaktiv, oder aufgrund eines Aufforderung der anderen Seite (get-request).
Wenn Daten versendet werden, dann ist dies IMMER technisch veranlasst durch das Endgerät. Einen "Zugriff" auf Daten, die im Endgerät gespeichert sind, der gegen den Willen des Betreibers erfolgt, gibt es deshalb i.d.R. nicht.
(Alles andere wäre Hacking und ist meist strafbar).
(Alles andere wäre Hacking und ist meist strafbar).
Die Formulierung "Zugriff auf Informationen, die im Endgerät gespeichert sind" kann deshalb alles und nichts bedeuten. Alle Daten werden im Endgerät gespeichert, sonst könnten sie nicht versendet werden.
Zusammengefasst heißt das: Ich hoffe die Datenschutzpraxis findet zu einer Anwendung dieses Obiter Dictum des EuGH, die nicht "das Internet kaputt macht".
Der Ball liegt bei den Datenschutzbehörden und beim OLG Düsseldorf.
Der Ball liegt bei den Datenschutzbehörden und beim OLG Düsseldorf.
Dritter Punkt: Haftungszurechnung und "Joint Control".
In einer kleinen, aber wichtigen Randbemerkung weist der EuGH darauf hin, dass die Stellung als Controller "unbeschadet" der Haftung nach nationalem Zivilrecht ist.
In einer kleinen, aber wichtigen Randbemerkung weist der EuGH darauf hin, dass die Stellung als Controller "unbeschadet" der Haftung nach nationalem Zivilrecht ist.
Hier bestätigt der EuGH, worauf ich schon länger Hinweise: Joint Controll ist keine Regelung zur Haftungs- oder Verschuldenszurechnung.
Aus Joint Control ergibt sich, wer Controller ist, d.h. wer die Pflichten des Datenschutzrechts, die für Verantwortliche gelten, erfüllen muss. Nicht mehr, und nicht weniger.
Die DSGVO hat in Art. 26 noch einige weitere Rechtsfolgen an Joint Control angekoppelt, aber auch dort geht es nicht um Haftungs- oder Verschuldenszurechnung.
Der EuGH hat hier also en passant bestätigt, dass für Zurechnungsfragen (zumindest nach der alten Datenschutzrichtlinie) weiter die Zurechnung nach nationalem Zivilrecht erfolgt. Also via Störerhaftung, Beihilfe, Anstiftung, Mittäterschaft, Erfüllungs- und Verrichtensgehilfen etc
Diese Frage ist NICHT zu verwechseln mit Joint Control.
Anders als noch die alte Datenschutzrechtlinie enthält die DSGVO zur Haftungszurechnung zumindest die Rahmenvorschrift von Art. 82. Dieser modifiziert das nationale Haftungsregime (siehe die Hervorhebung).
Hierzu sagt der EuGH aber in seinem aktuellen Urteil nichts.
Hierzu sagt der EuGH aber in seinem aktuellen Urteil nichts.
