Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Datenschutzgesetze und Urteile in der Praxis: Privatmeinung, Behördenmeinung, deutsche und europäische Gerichte

0

Datenschutzregeln sind nicht immer eindeutig. Oft fehlt eine Rechtsprechung. Wer mit anderen diskutiert, begegnet oft anderen Meinungen. Deutsche Gerichte sehen es oft anders als es das Europarecht annehmen lässt. Meine Ansichten dazu.

Einleitung

Die Idee zu diesem Beitrag kam mir bei einer Diskussion zu Art. 49 DSGVO. Darin geht es im Kern um den Datentransfer in unsichere Drittländer wie die USA. Bekanntlich ist Google ein amerikanisch geführtes Unternehmen. Google Analytics verarbeitet sämtliche Analysedaten immer in den USA (Beweis: Google gibt es offiziell selbst zu). Das LG München sah den Einsatz von Google Fonts als rechtswidrig an, weil die IP-Adresse des Klägers beim Aufruf einer Webseite dadurch in die USA geschickt wurde oder aus den USA hätte zugegriffen werden können.

Viele interpretieren den Art. 49 DSGVO so, dass es nur ausnahmsweise und im Einzelfall erlaubt sei, eine Einwilligung vom Nutzer für Datentransfers in die USA zu erfragen. Für regelmäßig stattfindende Datenübermittlungen, wie sie auf Webseiten vorzufinden sind, wäre dies also nicht erlaubt.

Wenn ich mir den Gesetzestext durchlese, finde ich in Art. 49 DSGVO nichts dergleichen. Jedenfalls nicht für den Fall der Einwilligung durch den Nutzer. Vielmehr liest sich das Gesetz so, als wäre es in Form der Einwilligung durch den Nutzer erlaubt, Daten in die USA zu schicken. Diese Einwilligung wäre also ein Ausnahmetatbestand und nicht nur in Einzelfällen (also beispielsweise drei Mal pro Monat) ausnahmsweise erlaubt.

Mir ist bewusst geworden, dass es mehrere Ebenen der Meinung gibt, wobei ich vermute, dass die final gültige Meinung, nämlich die des EuGH, meist mit der strengen Meinung von Datenschützern übereinstimmt.

Die Privatmeinung

Meine Privatmeinung ist, dass Dienste amerikanischer Internetkonzerne gar nicht auf Webseiten eingebunden werden dürfen. Denn niemand weiß, jedenfalls wenn es um Dienste von Google oder Facebook geht, so richtig Bescheid über das, was gemäß Art. 12 DSGVO zu erklären wäre. Außerdem sagt der EuGH, dass das Privacy Shield ungültig ist bzw. nie gültig war. Amerikanische Firmen mit irischen Töchtern sind amerikanische Firmen.

Was den Art. 49 DSGVO angeht, muss ich den (mit meiner Privatmeinung) an sich gar nicht betrachten, um die Frage der Rechtmäßigkeit der Einwilligungsabfrage für den Datentransfer in die USA zu beantworten.

Wenn ich den Gesetzestext des Art. 49 DSGVO lese, finde ich darin allerdings keinerlei Hinweise darauf, dass eine Einwilligung für den USA-Transfer nur in seltenen Fällen von jeweils einem einzelnen Nutzer abgefragt werden darf. Vielmehr steht dort eher, dass die Einwilligung ein Ausnahmetatbestand ist, um einen US-Transfer zu legitimieren (analog wie der Art. 6 DSGVO Ausnahmetatbestände enthält, die aber jeweils für beliebig viele Legitimierungen angewandt werden dürfen, wenn sie denn anwendbar sind).

Ein Ausnahmetatbestand (der dann beliebig oft anwendbar ist) ist etwas anderes als etwas ausnahmsweise (nur gelegentlich) tun zu dürfen.

Lese ich dann die Stellungnahme der Artikel 29-Gruppe, die auch in Art. 94 DSGVO als Gruppe genannt ist, dann muss ich meine Meinung vielleicht anpassen, wenn ich mir eine Einschätzung über die Rechtssicherheit einer Datenverarbeitung eines Dritten bilden will. Für mich selbst spielt das keine Rolle, da ich keine Einwilligung für den US-Transfer abfrage, weil ich derartiges den Besuchern meiner Webseite nicht zumute.

Auch die Erwägungsgründe 111 und 113 enthält die Aussage, dass die Einwilligung nur gelegentlich erfragt werden darf (danke an einen Leser für den Hinweis).

Würde es nur die Aussage der Artikel 29 Gruppe geben und nicht die genannten Erwägungsgründe, hängt es davon ab, was man unter Rechtssicherheit bzw. Rechtsprechung versteht. So komme ich zum nächsten Punkt. Mir wurde übrigens von einem Juristen mitgeteilt, dass Erwägungsgründe kein Teil des Gesetzes seien (ich hoffe, das richtig in Erinnerung zu haben).

Rechtsprechung in Deutschland und Europa

Um es kurz zu machen: In Deutschland hat sich nach meiner Einschätzung und Kenntnis vor Gerichten wenig getan im Hinblick auf die Prüfung von Datenübertragungen in die USA.

Das Urteil des LG München vom 20.01.2022 zu Google Fonts sei hier als Ausnahme genannt.

Ich habe das Gefühl, dass es bei vielen Gerichten noch nicht angekommen ist, dass Europarecht vor Bundesrecht gilt, sofern das Europarecht für alle Mitgliedsstaaten verbindlich und strenger als ein nationales Recht ist. So scheint es ein wenig vom Glück abzuhängen, wie ein Gericht in Datenschutzfragen entscheidet.

Nimmt man vielleicht an, dass man vor Amtsgerichten, die wohl recht stark beansprucht sind, besonders dem Glücksfaktor ausgesetzt ist, scheint das leider auch für manche Landgerichte zu gelten. Bis vor den BGH haben es noch nicht allzu viele Verfahren geschafft, die hier eine Relevanz hätten. Und wenn, dann wird gerne der EuGH gefragt.

Das kann dann gerne mal einige Jahre dauern. Es gibt Verfahren, die dauern 15 und mehr Jahre. Das hat mit Rechtsstaat meiner Meinung nach wenig zu tun. Ist die effektive Rechtsdurchsetzung nicht gegeben, kann man es auch gleich sein lassen mit einer Klage.

Zurück zum Fall mit der Artikel 29 Gruppe. Ich vermute, dass deren „Meinung“ bzw. Stellungnahme vor einem Landgericht nicht unbedingt aufgegriffen werden wird. Vielleicht ja, vielleicht nein. Vor dem BGH würde ich annehmen, dass die Chancen gut sind, dass dieser europäische Datenschutzausschuss Gehör findet und berücksichtigt wird.

Landet ein Verfahren oder eine Vorlagefrage vor dem EuGH, dann würde ich sogar darauf wetten, dass die Stellungnahme eines europäischen Datenschutzausschusses grundsätzlich als Maßstab angesehen wird. Der Logik nach müssten also die Stellungnahmen der Artikel 29 Gruppe allesamt als relevant für Deutschland angesehen werden, jedenfalls nur dann nicht, wenn es gewichtige Gründe gibt, von denen ich noch nie etwas gehört habe.

Leider schafft es nicht jedes Verfahren vor den EuGH und wird oft vorher schon anderweitig beschieden bzw. in der Sache entsprechend anders beurteilt. Insofern muss man, finde ich, realistischerweise unterscheiden, ob eine Sachlage wahrscheinlich vor einem deutschen Gericht (unterhalb des BGH) Bestand haben würde oder ob erst der EuGH wahrscheinlich die Sache entsprechend eigener Annahme bewerten würde.

Behördenmeinungen

Datenschutzbehörden sind keine Gerichte. Behörden vertreten Meinungen oder Auffassungen, ebenso wie Gerichte. Je höher das Gericht im Instanzenzug, desto eher müssen oder sollten andere, niederwertige Gerichte der Auffassung eines solchen Gerichts folgen bzw., würde ich fast sagen, Folge leisten. Dabei kommt es wohl auch darauf an, ob ein Urteil von einem Gericht gesprochen, das im selben Zuständigkeitsbezirk liegt wie ein anderes, mit einer ähnlichen Sache befasstes Gericht.

Behördenmeinungen mögen vor Gericht eine gewisse Relevanz haben, aber rechtsverbindlich sind sie für das Gericht nach meiner Kenntnis nicht. Ich habe schon Fälle gesehen, in denen Behörden weniger streng sind als ich es wäre und es gemäß meiner Interpretation von einschlägigen Gesetzen angemessen wäre. Ein Beispiel sind wieder die Google Fonts. Man muss nicht in die USA schauen, ob zu wissen, dass Google Fonts nicht mit dem berechtigten Interesse legitimierbar sind.

Andererseits gibt es Behördenmeinungen, die sind wohl strenger als ich es für angemessen halten würde.

Ich orientiere mich gerne an Orientierungshilfen von Behörden, aber nur wenn dort substantiiert argumentiert wird. Eine Meinung ist eben nur eine Meinung. Nicht immer gibt es Fakten oder Präjudizen (richtungsweisende Gerichtsentscheide). Beim digitalen Datenschutz fehlen diese gar meist.

Den zuletzt angesprochenen Aspekt hätten Datenschutzbehörden in Deutschland längst beseitigen können. Leider fand dies nicht statt. Was meinen Sie? Wie viele nennenswerte Bußgelder mag es wohl in Deutschland wegen rechtswidrigem Web Tracking oder ähnlichem geben?

Es gibt genau null durch deutsche Datenschutzbehörden erlassene Bußgelder wegen rechtswidrigem Web Tracking!

Meine These, mehrfach unwiderlegt (Stand: 11.05.2022). Bitte beweisen Sie mir das Gegenteil.

Ich verrate es Ihnen, auch wenn ich es nicht beweisen kann: Es sind genau null. Bitte zeigen Sie mir das Gegenteil. Wahrscheinlich müsste ich im für meine Annahme schlechtesten Fall den Wert auf eins nach oben korrigieren.

Wenn ich die Aussagen der Hessischen Datenschutzbehörde höre, dann fehlt mir der Glaube, dass sich in Hessen jemals etwas daran ändern wird. So schlimm sei die Sache mit den Cookies ja nicht. Schade nur, dass „ein bisschen schlimm“ multipliziert mit „10 Millionen betroffenen Personen pro Tag“ multipliziert mit „5 Jahre seit Beginn der DSGVO“ eine Zahl ist, die fast nur ein Mathematiker beherrschen kann.

Ich möchte mich wenigstens beim Bundesdatenschutzbeauftragten bedanken, dass er Facebook Fanpages für staatliche Stellen untersagt hat. Außer, die jeweilige Stelle kann die Rechtmäßigkeit nachweisen. Schade, dass auch hier die Hessische Behörde es nicht für nötig erachtet, gegen Facebook Fanpages vorzugehen. Das gilt leider auch für alle Behörden der anderen Bundesländer.

Wie ich gehört habe, ist wohl eine Art „Blitzermarathon“, übertragen auf Datenschutzverstöße in deutschen Unternehmen geplant. Da ist von einigen hundert Vor-Ort-Prüfungen alleine innerhalb eines Bundeslandes die Rede. Zusätzlich sollen wohl auch Internetpräsenzen geprüft werden. Vor allem Verstöße gegen das TTDSG (Cookies, sieht § 25 TTDSG) könnten nach OWiG (Ordnungswidrigkeitengesetz) bestraft werden.

Beratungsmeinung

Wer Kunden berät, sollte dies auf Basis von Fakten und fundierten Argumenten tun. Fakten gibt es in Form von Gesetzestexten und Urteilen. Jedoch sind Urteile meist als (gewichtige) Meinung eines Gerichts zu sehen. Stellungnahmen vom Europäischen Datenschutzausschuss sind sicher auch sehr relevant. Ich sehe die Artikel 29 Gruppe als ähnlich relevant, aber leicht dahinter.

Behörden aus Deutschland äußern ebenfalls Meinungen. Vor lauter Meinungen kommt man gar nicht mehr zu den Fakten, hat man das Gefühl.

Schaut man sich Gesetzestexte an, ist nicht immer das, was man liest, das, was gilt. Hier kennen die Juristen zahlreiche Methoden, Gesetze unterschiedlich auszulegen. Man sieht das ja alleine schon an der Artikel 29 Gruppe, die den Gesetzestext anders versteht als ich als jemand, der der deutschen Sprache mächtig ist und den deutschen Text der Art 44ff DSGVO gelesen hat. Die Gruppe hatte sicher mehr Hintergrundinformationen. Manchmal kommt es dann noch auf den Originaltext an, weil Übersetzungen den Sinn manchmal verfälschen.

Fundiert auf Basis gängiger Meinungen, die man selber am besten weitgehend überprüft hat, zu beraten, halte ich für sinnvoll. Noch besser ist das Vorschlagen von Lösungen, anstatt Probleme wegzudiskutieren.

Fazit

Zumindest, was das Internet und Standarddatenschutzverstöße (Google Analytics und so) angeht, muss kein Unternehmen Angst vor deutschen Datenschutzbehörden haben. Am besten wäre es wohl, wir hätten nur noch eine Behörde bundesweit anstatt 17. Mit weniger Personal könnte das gleiche Ergebnis erreicht werden. Das Erstellen von Orientierungshilfen müsste dann auch nicht mehr mit allen Landesbehörden abgestimmt werden.

Geht es vor Gericht, wird die Sache für den Verantwortlichen unangenehm. Im besten Fall bekommt er einen Freispruch, aber wohl nicht wegen der Sache, sondern aus anderen Gründen. So wurde im Fall Cookiebot die Ablehnung des Urteils des VG Wiesbaden nicht aufgrund der Sachlage vollzogen, sondern die Eilbedürftigkeit infrage gestellt.

Hoffnung besteht. Der EuGH wird immer öfter gerufen und gebeten, Datenschutzfragen zu beantworten. Ich kenne kein EuGH-Urteil, das verbraucherfeindlich wäre. Da der Verbraucher gleichwertig mit betroffene Person ist, entscheidet der EuGH nach meiner Wahrnehmung quasi immer im Sinne des Datenschutzes.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Server Side Tracking und Tagging, Cookies, Cookie Abfragen umgehen, Podcast