Privat: recht.interessant – unser blog

Corona eröffnet keinen rechtsfreien Raum – Kontaktnachverfolgung im Saarland unzulässig

Im Saarland galt bisher nach der dortigen Corona-Verordnung vom 21.08.2020:

Zum Zwecke der Kontaktnachverfolgung sind Daten nicht nur bei Besuchen von Gastronomiebetrieben zu erheben, sondern unter anderem auch beim Besuch von Gottesdiensten und politischen und gesellschaftlichen Veranstaltungen. Zu erfassen waren die Daten je eines Vertreters der anwesenden Haushalte mit Vor- und Familienname, Wohnort und Erreichbarkeit und Ankunftszeit .1

Diese Regelung hat das Verfassungsgericht des Saarlandes nun vor knapp zwei Wochen für (landes-)verfassungswidrig erklärt.2 Bis spätestens 30. November 2020 muss nun einen neue Regelung geschaffen werden.

Begründet hat das Gericht seine Entscheidung damit, dass die Regelung geeignet sei, Bewegungs-und Persönlichkeitsprofile zu erstellen. Denn die Datenerfassung berühre viele verschiedene Lebensbereich (Gastronomie, Sport, Kirche, Kultur…). Die Regelung sei, so das Gericht, dazu geeignet, die Bürger von der Ausübung ihrer grundrechtlichen Freiheiten wie beispielsweise der Glaubensfreiheit abzuhalten.

Ein solcher Eingriff dürfe nicht von der Landesregierung als Exekutive vorgenommen werden – die Corona-Verordnung wurde von der Landesregierung des Saarlandes beschlossen und nicht durch Landesparlament. Denn das Parlament sei berufen in einer öffentlichen, transparenten Debatte das Für und Wider einer Regelung abzuwägen und vor allem sei die Verwendung der zu erhebenden Daten rechtsicher zu gestalten. Der hier vorliegende Grundrechtseingriff dauert bereits länger an und wird nach Ansicht des Gerichts auch noch weitere Monate andauern, so dass der Grundrechtseingriff eine solche Intensität hat, dass nur ein Parlamentsgesetz ihn rechtfertigen kann.  Eine Rechtsverordnung der Landesregierung genüge dem nicht.

Bis ein solches Gesetz in Kraft ist, längstens jedoch bis Ende November 2020, bleibt die bisherige Regelung in Kraft. Allerdings stellt das Gericht die Maßgabe auf, dass auf Basis der  (landes-)verfassungswidrigen Verordnung erhobenen Daten nur mit gerichtlichen Beschluss an Gesundheitsbehörden weitergegeben werden dürfen.

1

Wortlaut Artikel 2 § 3  der Verordnung zur Änderung infektionsrechtlicher Verordnungen zur Bekämpfung der Corona-Pandemie  vom 21. August 2020

 (1) Die Möglichkeit einer Kontaktnachverfolgung ist verpflichtend zu gewährleisten

  1. beim Betrieb eines Gaststättengewerbes nach dem Saarländischen Gaststättengesetz oder beim Betrieb sonstiger Gastronomiebetriebe jeder Art mit Ausnahme der bloßen Abgabe mitnahmefähiger Speisen und Getränke,
  2. beim Betrieb von Kinos, Theatern, Opern, Konzerthäusern und weiteren kulturellen Veranstaltungen und dem dazugehörigen Probenbetrieb,
  3. beim Betrieb von Indoorspielplätzen,
  4. bei Gottesdiensten und Bestattungen,
  5. beim Trainings-, Kurs- und Wettkampfbetrieb im Sport,
  6. bei sonstigen Veranstaltungen nach § 6,
  7. bei Hotels, Beherbergungsbetrieben und Campingplätzen,
  8. bei Prostitutionsstätten, soweit sie nach dieser Verordnung nicht untersagt sind.

(2) Die Betreiber, Veranstalter oder sonstigen Verantwortlichen haben geeignete Maßnahmen zur vollständigen Nachverfolgbarkeit sicherzustellen. Hierzu gehört die Erfassung je eines Vertreters der anwesenden Haushalte mit Vor- und Familienname, Wohnort und Erreichbarkeit und der Ankunftszeit.

(3) Die erhobenen Daten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die Gesundheitsämter verwendet werden und sind nach Ablauf eines Monats nach Erhebung gemäß der gelten- den Datenschutzgrundverordnung zu löschen.

2 Landesverfassungsgericht des Saarlandes Beschluss vom 28.08.2020 – Lv15/20

Es kommt darauf an – das Recht auf Vergessenwerden

Des Juristen – angeblich – liebster Satz: es kommt ganz darauf an. Auch der Bundesgerichtshof (BGH) kann sich in seinem heutigen Urteil (VI ZR 405/18) davon nicht ganz frei machen – wenn natürlich auch deutlich eleganter formuliert. 

Doch zunächst einmal: was ist das Recht auf Vergessenwerden eigentlich?Vereinfacht gesagt ist es ein Recht auf Löschung personenbezogener Daten, wenn der Zweck der Datenverarbeitung weggefallen ist und auch sonst keine Gründe zum weiteren Vorhalten der Daten gegeben ist. Der Gesetzgeber formuliert dies wunderbar juristisch in Artikel 17 DSGVO:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. (…)

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. (…)

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information (…)

Im konkreten Fall hatte ein ehemaliger Geschäftsführer auf Löschung gegen Google geklagt. Denn bei der Suche nach seinem Namen über die Suchmaschine sind Presseberichte gelistet worden. In diesen berichtete die regionale Tagespresse, dass der vom Kläger geführte Regionalverband einer Wohlfahrtsorganisation ein Defizit in knapper Millionenhöhe aufgewiesen und er sich zuvor krankgemeldet habe.

Das Fazit des Gerichts: der Kläger hat kein Recht auf Löschung aus Artikel 17 DSGVO.  Google ist nicht per se verpflichtet ist, wahre Berichterstattungen über Personen bzw. die damit verbundenen personenbezogenen Daten schon nach einigen Jahren auszulisten, sondern es kommt vielmehr auf den jeweiligen Einzelfall an. Nach Ansicht des BGH überwiegt in dem konkreten Fall das Informationsrecht der Öffentlichkeit nach wenigen Jahren, vorliegend sieben Jahren, noch das Recht des Betroffenen am Schutz seiner personenbezogenen Daten. Im Rahmen der Abwägung zwischen Meinungsfreiheit der Inhalteanbieter einerseits und dem Persönlichkeitsrecht des Betroffenen andererseits gilt kein automatischer Vorrang der Rechte des Betroffenen. Die sich gegenüberstehenden Grundrechte sind vielmehr gleichberechtigt miteinander abzuwägen. 

Der BGH betont in seinem heutigen Urteil also, dass es ganz darauf ankommt: es muss in jedem einzelnen Fall abgewogen werden, ob das Persönlichkeitsrecht oder das Recht der Öffentlichkeit auf Information schwerer wiegt.

Einen weiteren Fall, den der BGH heute zum Recht auf Vergessenwerden auf der Tagesordnung hatte (VI ZR 476/18), legt er dem Europäischen Gerichtshof zur Vorabentscheidung vor. Denn dort liegt der Sachverhalt anders: der Wahrheitsgehalt der betreffenden Berichtserstattung, welche in den Suchergebnissen von Google angeführt wird, ist umstritten.

 

(Quelle: Pressemitteilung des Bundesgerichtshofs Nr. 095/ 2020)

 

 

Bye Bye Privacy Shield – und nun?

Gestern hat der Europäische Gerichtshof (EuGH), für Fachleute nicht ganz unerwartet, entschieden, dass das sogenannte Privacy Shield nichtig ist. Das Privacy Shield ist die wichtigsten Rechtsgrundlagen für den Datentransfer in die USA gewesen.

Die Reichweite dieses Urteils ist so immens, da gerade die großen Player US-Amerikanische Unternehmen sind. Daten werden bei diesen Unternehmen in der Regel in den USA gespeichert und nicht etwa auf in der EU befindlichen Servern.

Die Nichtigkeit des Privacy Shields führt dazu, dass Datenübertragungen in die USA, die auf das Privacy Shield gestützt waren, nicht mehr zulässig sind. Der EuGH hat die weitere Rechtsgrundlage, die sogenannten Standardvertragsklausel, zwar noch bestehen lassen. Jedoch führt das Gericht aus, dass diese Klauseln im Einzelfall von den Datenschutzbehörden überprüft werden müssten. Da auch bei den Standardvertragsklauseln maßgebliche Kriterium ein angemessenen Datenschutzniveau ist, bleibt abzuwarten, wie die Behörden damit umgehen werden. Denn gerade das Datenschutzniveau der USA ist fragwürdig – dies hat auch der EUGH in seinem Urteil ausgeführt und es unter anderem zur Grundlage seiner Entscheidung gemacht.

Was ist zu tun?

  • alle Verträge mit Dienstleistern auf Datenübermittlungen in die USA hin zu überprüfen und sicherstellen, dass Standardvertragsklauseln greifen
  • keine Dienstleister mit Subunternehmen in den USA einsetzen
  • Datenschutzerklärungen und Verträge anpassen
  • auf Anbieter mit Serverstandorten in der EU ausweichen
  • wenn keine Standardvertragsklauseln oder alternative Anbieter bestehen, die Einwilligung der betroffenen Nutzer einholen

Da die Datenübertragung in die USA ohne Rechtsgrundlage, also insbesondere ohne Standardvertragsklausel oder Einwilligung, ab sofort unzulässig ist, drohen Konsequenzen, wenn sie ohne Grundlage vorgenommen wird. Dies Maßnahmen der Datenschutzbehörden nach sich ziehen. So kann die Unterlassung des Einsatzes der entsprechenden Dienste verlangt und ein Bußgeld verhängt werden (bis 4% des Umsatzes bzw. bis zu 20 Millionen Euro – maßgeblich ist der höhere Betrag). Kunden können ihre Betroffenenrechte und unter Umständen auch Schmerzensgeld geltend machen. Auch Abmahnungen von Wettbewerbern oder Verbraucherschutzverbänden sind nicht auszuschließen, auch wenn nach wie vor nicht abschließend geklärt ist, ob Verstöße gegen die DSGVO abmahnfähig sind.