GDD Infotage 2014 zur Auftragsdatenverarbeitung und Unverständnis über Google-Urteil

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) veranstaltet auch 2014 wieder exklusiv für ihre Mitglieder die Infotage. Der Infotag 2014 steht unter dem Titel „Auftragsdatenverarbeitung in der Praxis“ und findet am 18.6.2014 in Frankfurt/Main im Schulungszentrum der Fraport AG und am 27.6.2014 bei der Vattenfall Europe Hamburg AG in Hamburg statt. Ich werde an beiden Tagen jeweils zum Thema „Unterauftragnehmer und deren Kontrolle durch den Auftraggeber, die Schriftform des Auftrags nach § 11 Abs. 2 S. 2 BDSG und die Änderungen an TOM (Datensicherheitskonzept mit den vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen nach § 9 BDSG). Weitere Vorträge befassen sich u.a. mit dem Leitfaden der GDD zur Prüfung von Rechenzentren sowie dem Datenschutzstandard DS-BvD-GDD-01.

Der Vortrag auf den Infotagen passt hervorragend zu meinen jüngsten Veröffentlichungen im IT-Rechtsberater (ITRB) zu „Leistungsketten in der Auftragsdatenverarbeitung – Anforderungen an die Einbeziehung von (Unter-)Unterauftragnehmern nach dem BDSG“ (ITRB 2014, 60 ff.) und „Gestaltung von Verträgen zur Auftragsdatenverarbeitung – Spielräume bei der Erfüllung der Pflichten aus § 11 BDSG“ (in Veröffentlichung, gemeinsam mit dem Kollegen Stefan Sander, LL,.M. B.Sc.).

Daneben habe ich in der RDV 2/2014 einen Aufsatz zu „Datenschutzerklärungen von Social Media Diensten: Anwendbares Recht und AGB-Kontrolle“ (RDV 2014, 73 ff.) veröffentlicht. Dort habe ich u.a. mit Blick auf die Schlussanträge des Generalanwalts im zwischenzeitlich veröffentlichten Urteil des EuGH v. 13.5.2014 (Az.: C-131/12, Volltext) noch die Hoffnung geäußert, dass der EuGH die extensive Auslegung des Art. 4 DSRL durch den Generalanwalt nicht übernehmen wird – und mich leider getäuscht:

Abweichend von Erwägungsgrund 19 S. 1 DSRL will der Generalanwalt beim EuGH den Begriff der Niederlassung mit Blick auf die Ubiquität des Internet und der dort erfolgenden Verarbeitungen neu fassen. […]

Mit [seiner] Definition der Niederlassung liest der Generalanwalt Art. 3 DS-GVO in Art. 4 Abs. 1 DSRL hinein, was jedoch mit der Systematik von Art. 4 Abs. 1 DSRL unvereinbar ist. Bereits Art. 4 Abs. 1 lit. c) DSRL erlaubt die Erstreckung des europäischen Datenschutzrechts auf für die Verarbeitung Verantwortliche außerhalb von EU/EWR, wenn diese auf in EU/EWR belegene Mittel zu Zwecken der Verarbeitung zurückgreifen. Mit der vom Generalanwalt vorgeschlagenen Erweiterung des Begriffs der Niederlassung würde Art. 4 Abs. 1 lit. c) DSRL überflüssig werden […]

Auch der Wortlaut von Art. 4 Abs. 1 lit. a) BDSG steht einem solchen Verständnis einer Niederlassung entgegen. Hiernach wird das anwendbare Recht nur insoweit durch Art. 4 Abs. 1 lit. a) BDSG bestimmt, wie die Verarbeitungen „im Rahmen der Tätigkeit der Niederlassung ausgeführt werden“. Nach den Vorstellungen des Generalanwalts muss die Niederlassung aber überhaupt keine Verarbeitung mehr ausführen, womit die Wortlautgrenze deutlich überschritten wird.

Das im Schlussantrag des Generalanwalts formulierte Niederlassungsverständnis läuft damit auf eine Gesamtbetrachtung rechtlich selbständiger Konzernunternehmen wegen der von ihnen an welchem Ort auch immer vorgenommenen Verarbeitungen hinaus, solange diese nur in mindestens einen nationalen Markt hineinwirken. Damit konstruiert der Generalanwalt eine Konzerndiskriminierung, obwohl die DSRL im Übrigen ein Konzernprivileg nicht kennt. Es bleibt deshalb zu hoffen, dass der EuGH diese Überlegungen nicht aufgreift […].

Mit diesem Urteil des EuGH sind die bisherigen Entscheidungen in Sachen „Anwendbares Recht“ auf Facebook hinfällig (gemeint sind KG, Urt. v. 24.1.2014 – 5 U 42/12, Volltext, und OVG Schleswig, Beschlüsse v. 22.4.2013 – 4 MB 10/13 und 4 MB 11/13, Volltext). Denn damit findet auf Facebook stets deutsches Datenschutzrecht Anwendung.

Zu den weiteren Inhalten des Google-Urteils, insbesondere den Erwägungen des EuGH zum Verhältnis des Datenschutzes zur Meinungs- und Informationsfreiheit, hat Kollege Stadler alles geschrieben.