Internationaler Datentransfer, Datenschutzgrundverordnung und aktuelle Entwicklungen im Datenschutzrecht: Safe Harbor ist tot – es lebe das Privacy Shield?

160831-freigabe-akademie-3-2016_web-page-009I. Einleitung

Egal ob Safe Harbor, Datenschutzgrundverordnung oder Cookies – das Thema Datenschutz ist derzeit in den Medien so präsent wie nie.

Das Safe-Harbor-Urteil des Europäischen Gerichtshofs überraschte im Oktober 2015 selbst Datenschutzexperten und führte unmittelbar zu einer -immensen Rechtsunsicherheit, von der nicht nur weltweit tätige Konzerne betroffen sind. Denn kaum ein Unternehmen kann von sich behaupten, dass es bei sämtlichen Unternehmensprozessen ohne einen Datentransfer in die USA auskommt.

Zu grundlegenden Veränderungen wird es darüber hinaus auch durch die Datenschutzgrundverordnung kommen, die am 25. Mai 2016 in Kraft getreten ist und nach einer Übergangsphase von zwei Jahren wirksam werden wird. Viel Beachtung fanden in diesem Zusammenhang vor allem die gegenüber dem Bundesdatenschutzgesetz erheblich verschärften Sanktionsmöglichkeiten.

Doch auch mit Erlass dieser Datenschutzgrund-verordnung ist die Modernisierung des Europäischen Datenschutzrechts noch nicht abgeschlossen. Gegenwärtig steht insbesondere die ePrivacy-Richt-
linie, die u. a. die Vorgaben für die rechtmäßige -Nutzung von Cookies regelt, auf dem Prüfstand der Europäischen Kommission.

Der vorliegende Beitrag beleuchtet die verschiedenen Entwicklungen in ihrem jeweiligen Kontext und gibt Empfehlungen für die Praxis.

II. Safe Harbor ist tot

Mit einem denkwürdigen Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof die Safe-Harbor-
Entscheidung der Europäischen Kommission für -ungültig erklärt.1 Damit entzogen die Luxemburger Richter dem transatlantischen Datentransfer aus den Mitgliedsstaaten der Europäischen Union in die
USA die bis zu diesem Zeitpunkt maßgebende Rechtsgrundlage. Fast ein Jahr später ist die Rechts-lage zum transatlantischen Datentransfer noch immer unklar.

1. Hintergrund

Gemäß Art. 25 der Datenschutzrichtlinie2 ist eine Übermittlung von personenbezogenen Daten in Drittländer außerhalb der Europäischen Union nur zulässig, wenn dieses Drittland über ein angemessenes Datenschutzniveau verfügt. Ein solches angemessenes Datenschutzniveau ist nicht nur in den Mitgliedsstaaten des Europäischen Wirtschafsraums, sondern auch in wenigen weiteren Ländern wie Kanada oder Argentinien gewährleistet.3 Die USA gehören jedoch nicht zu den Ländern, für die die Europäische Kommission ein entsprechendes Schutzniveau festgestellt hat.

Bis zur Safe-Harbor- oder Schrems-Entscheidung des Europäischen Gerichtshofs gab es vier verschiedene Rechtsgrundlagen für den transatlantischen Datentransfer in die USA:

• eine Einwilligung des Betroffenen,
• der Abschluss sogenannter Standardvertragsklauseln zwischen Datenexporteur und Datenimporteur,
• die konzerninterne Datenübertragung auf Grundlage sogenannter Binding Corporate Rules oder
• die Datenübermittlung im Rahmen von Safe Harbor.

Eine Einwilligung des Betroffenen in die Datenübertragung ist in der Regel allerdings wenig praktikabel oder schlicht nicht umsetzbar. Binding Corporate Rules bieten zwar eine sichere Rechtsgrundlage für den konzerninternen Datentransfer, müssen jedoch von den Datenschutzbehörden in jedem Einzelfall genehmigt werden.4 In der Praxis erfolgte der Datentransfer daher bisher in der Regel entweder auf Basis von Standardvertragsklauseln oder dem Safe-Harbor-Übereinkommen.

Bei den Standardvertragsklauseln handelt es sich um einen von der Europäischen Kommission vorgegebenen Standardvertrag, welcher zwischen dem -Datenexporteuer und dem Datenimporteur abgeschlossen wird. Ergänzt werden müssen lediglich verschiedene Informationen zu den Parteien, dem Zweck der Datenübertragung, den betroffenen Personen, der Art der Daten und der Art der Verarbeitung. Soweit der Datenimporteur die personenbe-zogenen Daten auch zu eigenen Zwecken nutzt, müssen die Standardvertragsklauseln vom Typ „con-troller to controller“5 verwendet werden. Für die Datenübertragung an einen Auftragsverarbeiter im Drittland existiert eine gesonderte Version „controller to processor“.6 Wichtig ist, dass die einzelnen -Regelungen der Standardvertragsklauseln keinesfalls verändert werden dürfen, da jede Änderung der Vorgaben der Europäischen Kommission zu einem Genehmigungserfordernis der Datenschutzbehörden führt. Ein weiterer Nachteil der Standardvertragsklauseln ist, dass grundsätzlich für jede Datenübertragung eine gesonderte Vereinbarung getroffen werden muss. Denkbar ist allerdings eine Einbettung in einem Rahmenvertrag, der die Standardvertragsklauseln zwar unverändert lässt, über eine Matrix jedoch mehr als zwei Vertragsparteien sowie unterschiedliche Verarbeitungszwecke miteinander verknüpfen kann.

Während die Standardvertragsklauseln bei Daten-übertragungen in alle Drittländer ohne angemessenes Datenschutzniveau zum Einsatz kommen können, war eine Datenübermittlung auf der Grundlage der Safe-Harbor-Entscheidung der Europäischen Kommission ausschließlich in die USA möglich. Bei Safe Harbor handelt es sich um ein zwischen der Europäischen Union und den USA abgestimmtes Verfahren, wonach US-Unternehmen sich gegenüber dem US-Handelsministerium verpflichten können, die sogenannten Safe Harbor Principles zu befolgen. Dadurch wäre nach der Safe-Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 ein angemessenes Datenschutzniveau beim Transfer an diese Unternehmen gewährleistet.7

2. Die Entscheidung des Europäischen Gerichtshofs

In seiner wegweisenden Entscheidung vom 6. Oktober 2015 erklärte der Europäische Gerichtshof die Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig.8  Hintergrund der Entscheidung war eine Beschwerde, die der Österreicher Maximi-lian Schrems bei der irischen Datenschutzbehörde einreichte und welche die Datenübertragung des sozialen Netzwerks Facebook in die USA zum Gegenstand hatte. Nach Ansicht von Maximilian Schrems verfügten auch die dem Safe-Harbor-System beigetretenen Unternehmen nicht über ein ausreichendes Datenschutzniveau, da sie – wie alle US-Unternehmen – ihre Daten nicht vor dem Zugriff der amerikanischen Nachrichtendienste schützen könnten.

Der Europäische Gerichtshof folgte in seiner Entscheidung der Argumentation von Maximilian Schrems und erklärt, dass die Safe-Harbor-Entscheidung der Europäischen Kommission mit den von der Union garantierten Freiheiten und Grundrechten nicht vereinbar sei. Eine Regelung, die es Behörden gestattet, ohne jede Beschränkung auf den Inhalt elektronischer Kommunikation zuzugreifen, sei mit Unionsrecht nicht vereinbar.

3. Das Privacy Shield

Das Safe-Harbor-Urteil des Europäischen Gerichtshofs führte in der Europäischen Union zu großer Rechtsunsicherheit, die bis heute anhält. Die Europäische Kommission reagierte auf das Urteil der Luxemburger Richter umgehend und erzielte am 2. Februar 2016 mit der US-Regierung eine politische Einigung über das sogenannte Privacy Shield, die am 29. Februar 2016 im Entwurf vorgelegt wurde.9 Dieser neue Rechtsrahmen, der weiterhin auf dem Prinzip der Selbstzertifizierung beruht, umfasst nicht nur strengere Auflagen für Unternehmen und Regelungen zu einer konsequenten Rechtsdurchsetzung, sondern auch Rechtsschutzmöglichkeiten sowie ein kostenloses Schiedsverfahren. Darüber hinaus versichern die US-Behörden, dass der Datenzugriff von Behörden aus Gründen der nationalen Sicherheit klaren Beschränkungen, Garantien und Aufsichtsmechanismen unterworfen wird, die einen allgemeinen Zugriff auf personenbezogene Daten ausschließen.

Während das Privacy Shield damit nach Ansicht der Kommission10 sämtlichen Anforderungen des Europäischen Gerichtshofs aus dem Safe-Harbor-Urteil begegnet, wird es von anderer Seite stark kritisiert.11 Insbesondere stellt sich die Frage, ob die in dem Legislativpaket vereinbarten Regelungen tatsächlich einen effektiven Rechtsschutz gewährleisten. Dennoch hat die Europäische Kommission das Annahmeverfahren nach der Stellungnahme der Artikel-29-Datenschutzgruppe vom 13. April und der Entschließung des Europäischen Parlaments vom 26. Mai am 12. Juli 2016 abgeschlossen.12

4. Empfehlung

Aufgrund der intensiv geführten Diskussion der letzten Monate besteht kein Zweifel daran, dass auch das Privacy Shield früher oder später dem Europäischen Gerichtshof zur rechtlichen Prüfung vorgelegt wird. Bis zu einer möglichen Unwirksamkeitserklärung durch die Luxemburger Richter ist das Privacy Shield jedoch wirksam und kann damit als Rechtsgrundlage für den transatlantischen Datentransfer in die USA dienen. Alternativ empfiehlt sich der Abschluss von Standardvertragsklauseln, welche jedoch im Zuge der Diskussionen um Safe Harbor ebenfalls in die Kritik gerieten. Es ist mithin nicht auszuschließen, dass sich die Rechtslage hier zeitnah erneut ändert. Wer sich vor kurzfristigen Umstellungen und einer unsicheren Rechtslage wie zum Jahreswechsel 2015/2016 schützen will, dem bleibt nur der vollständige Verzicht auf die Datenübertragung in die USA.

III. Datenschutzgrundverordnung – neue Ära?

Nach einem langjährigen Gesetzgebungsprozess wurde am 4. Mai 2016 die Datenschutzgrundverordnung im Amtsblatt der Europäischen Union veröffentlicht. Wenig später, am 25. Mai 2016, trat sie in Kraft und wird folglich nach einer zweijährigen Übergangsphase am 25. Mai 2018 wirksam. Neu ist dabei nicht nur die Form der Regelung als unmittelbar anwendbare Verordnung, sondern neu sind auch zahlreiche inhaltliche Vorgaben.

1. Hintergrund

Der aktuelle Rechtsrahmen des europäischen Datenschutzrechts beruht auf der Datenschutzrichtlinie aus dem Jahr 1995. Selbst wenn man das Gesetzgebungsverfahren der Richtlinie unberücksichtigt lässt, kommt man zu dem Ergebnis, dass unser Datenschutzrecht mehr als 20 Jahre alt ist. Im digitalen Zeitalter wohl mehr als nur eine Epoche. Allein deswe-gen war eine Überarbeitung der Datenschutzrichtlinie dringend geboten.13

Darüber hinaus hatte sich in den vergangenen Jahren gezeigt, dass die Regelungen der Datenschutzricht-linie sehr unterschiedlich in nationales Recht umgesetzt wurden. Deutschland gilt nach wie vor als eines der Länder mit dem effektivsten Datenschutzrecht, doch auch Länder wie Spanien oder Frankreich nehmen den Schutz personenbezogener Daten ernst. In anderen Mitgliedsstaaten besteht hingegen zum Teil ein niedrigeres Schutzniveau. Derartige Unterschie-de führen fast zwangsläufig zu Wettbewerbsbeschränkungen im Binnenmarkt. Vor diesem Hintergrund entschied sich der europäische Gesetzgeber, den europäischen Datenschutz zukünftig nicht wieder im Rahmen einer Richtlinie, sondern einer unmittelbar anwendbaren Verordnung zu regeln.14

Die nunmehr erlassene Verordnung ist das Produkt eines langwierigen Verhandlungsprozesses. Zuletzt hatten der Rat der Europäischen Union, Europäische Kommission und Europäisches Parlament im Rahmen des sogenannten Trilogs von Juni bis Dezember 2015 über den endgültigen Entwurf verhandelt.15 Am
8. April 2016 wurde die finale Fassung vom Rat der Europäischen Union16 beschlossen, bevor sie dann am 14. April 2016 vom Europäischen Parlament17 angenommen wurde.

2. Die grundlegenden Änderungen

Die Änderungen der datenschutzrechtlichen Bestimmungen gegenüber dem bisher geltenden Unionsrecht, aber auch nationalen Recht sind mannigfaltig. Eine vollständige Darstellung würde den Rahmen des Beitrags daher bei Weitem überschreiten, sodass im Folgenden lediglich die bedeutendsten Änderungen dargestellt werden sollen.

Die einschneidendste Änderung ist zweifellos die Höhe drohender Bußgelder. Für Unternehmen sieht die Datenschutzgrundverordnung Bußgelder bis zu 4 % des globalen (!) Umsatzes vor. Natürlichen Personen drohen bei bestimmten Verstößen Geldbußen in Höhe von 20 Mio. Euro. Während viele Unternehmen die Bußgelder der Datenschutzbehörden bislang aus der „Kaffeekasse“ beglichen, können Datenschutzverstöße nunmehr existenzbedrohende Auswirkungen zur Folge haben. Dies geht einher mit einer erweiterten Haftung der Verantwortlichen, aber auch der Auftragsverarbeiter, gegenüber Betroffenen. Weitere zentrale Änderungen sind die Erweiterung von Dokumentations- und Nachweispflichten, die Einführung einer Datenschutz-Folgenabschätzung und die Erweiterung der Transparenzvorschriften. Die Information des Betroffenen sowie dessen Rechte im Hinblick auf Löschung und Zweckänderung werden  künftig eine deutlich größere Rolle spielen als bisher.

Eine bedeutende Änderung auf europäischer Ebene ist die Einführung von Datenschutzbeauftragten. Während das deutsche Datenschutzrecht dieses Institut bereits kennt, ist die verpflichtende Bestellung eines Datenschutzbeauftragten für viele andere Mitgliedsstaaten neu. Dies erklärt auch, warum die Datenschutzgrundverordnung eine Bestellung nur unter engen Voraussetzungen vorsieht. Allerdings können die Mitgliedsstaaten die Pflicht zur Bestellung auf nationaler Ebene ausweiten, sodass es in Deutschland voraussichtlich bei der bisherigen Regelung bleiben wird. Zudem dürfte die Bedeutung des Datenschutzbeauftragten im Unternehmen angesichts der erweiterten Haftungs- und Sanktionsvorschriften wie auch der zusätzlichen Dokumentationspflichten deutlich steigen.

Fraglich ist, ob die Datenschutzgrundverordnung am Ende zu der beabsichtigten Harmonisierung innerhalb der Europäischen Union führt. Denn die langwierigen Verhandlungen haben dazu geführt, dass die Datenschutzgrundverordnung eine Reihe von Öffnungsklauseln vorsieht. Dies betrifft auch zentrale Bereiche wie zum Beispiel den Umgang mit Arbeitnehmerdaten.

Darüber hinaus sind für die Durchsetzung der Datenschutzgrundverordnung naturgemäß zunächst die nationalen Datenschutzbehörden zuständig, sodass es zumindest in den ersten Jahren mit großer Wahrscheinlichkeit zu divergierenden Auslegungen einzelner Vorschriften kommen wird.

3. Empfehlung

Zwei Jahre klingen nach einer langen Zeit. Doch bedenkt man den Zeitaufwand für Entscheidungen und deren Umsetzung im unternehmerischen Kontext, werden diese zwei Jahre schnell verfliegen.

Zudem gibt es immer noch Unternehmen, die dem Datenschutz nur eine untergeordnete Bedeutung beimessen und deren Umgang mit personenbezogenen Daten daher bereits nach derzeit geltendem Recht nicht datenschutzkonform ausgestaltet ist.

Gerade angesichts der seit dem 25. Mai 2016 drohenden Bußgelder ist die Datenschutzgrundverordnung mithin ein Anlass, die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten in Wirtschaft und Verwaltung einer eingehenden Prüfung zu unterziehen.

Darüber hinaus wird es zukünftig mit Blick auf die erweiterte Haftung sowie die erhöhten Bußgelder unerlässlich sein, Datenschutzmaßnahmen umfassend zu dokumentieren. Die Datenschutzbeauftragten werden daher in den kommenden zwei Jahren alle Hände voll zu tun haben, um eine rechtzeitige Umsetzung der Datenschutzgrundverordnung zu -gewährleisten.

IV. Die Reform der ePrivacy-Richtlinie

Mit Inkrafttreten der Datenschutzgrundverordnung ist die Anpassung der datenschutzrechtlichen Bestimmungen auf das digitale Zeitalter jedoch noch nicht abgeschlossen. Auch die Bestimmungen der sogenannten ePrivacy-Richtlinie18, die die Datenschutzgrundverordnung unter anderem um spezielle Regelungen für die elektronische Kommunikation ergänzt, bedürfen einer Überarbeitung.

1. Hintergrund

Die ePrivacy-Richtlinie19 wurde 2002 in Ergänzung der Datenschutzrichtlinie von 1995 erlassen und enthält eine Reihe von Mindestvorgaben für den Datenschutz im Bereich der Telekommunikation. Konkret werden die Mitgliedsstaaten verpflichtet, tele-kommunikationsspezifische Regelungen zum Datenschutz zu erlassen, beispielsweise im Zusammen-hang mit der Unterdrückung von Telefonnummern, zu automatischen Anrufweiterschaltungen sowie zur rechtskonformen Nutzung von Cookies. Danach war die Speicherung von Cookies nur dann erlaubt, wenn der Internetnutzer vorher klar und umfassend über die Zwecke der Verarbeitung informiert wurde.

Durch die sogenannte Cookie-Richtlinie von 2009 wurden die Anforderungen für den rechtskonformen Einsatz von Cookies noch einmal verschärft. Demzufolge dürfen Informationen wie Cookies auf den Endgeräten der Nutzer nur dann gespeichert werden, wenn der Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Die Informationspflichten wurden mithin durch ein Einwilligungserfordernis ergänzt.

2. Aktuelle Rechtslage in Deutschland

In Deutschland wurde die Cookie-Richtlinie trotz zweier Gesetzesinitiativen20 bis heute – das heißt mehr als fünf Jahre nach der Umsetzungsfrist – nicht ausdrücklich in nationales Recht umgesetzt. Die Bundesregierung vertritt vielmehr die Auffassung, die bestehenden Regelungen des Telemediengesetzes (TMG) spiegelten die unionsrechtlichen Anforderungen ausreichend wider.21

Die Rechtsauffassung der Bundesregierung wird in den Fachkreisen allerdings stark kritisiert.22 Auch die Datenschutzbeauftragten des Bundes und der Länder teilen diese Bedenken und haben die Bundesregierung deshalb Anfang 2015 noch einmal auf die mangelnde Umsetzung hingewiesen und eine Änderung des TMG gefordert.23

Eine Reaktion der Bundesregierung blieb bisher aus, wohl auch weil die EU-Kommission die Rechtsauffassung der Bundesregierung zu teilen scheint.24

Im Ergebnis ist daher davon auszugehen, dass die Nutzung von Cookies nach der gegenwärtigen Rechtslage in Deutschland lediglich die Information des Nutzers, nicht aber dessen Einwilligung voraussetzt.25

3. Konsultation der Europäischen Kommission

Unabhängig von der sehr unterschiedlichen Umsetzung der ePrivacy-Richtlinie sowie der Cookie-Richt-linie in den Mitgliedsstaaten soll nach Erlass der Datenschutzgrundverordnung nunmehr überprüft werden, inwiefern auch die ePrivacy-Richtlinie einer Überarbeitung bedarf. Zu diesem Zweck führte die Kommission im Rahmen ihrer Strategie für einen einheitlichen europäischen digitalen Binnenmarkt vom 12. April 2016 bis 5. Juli 2016 eine Konsultation zur ePrivacy-Richtlinie durch.26 Die Konsultation dient nicht nur der zwingend erforderliche Angleichung der Richtlinie an die Datenschutzgrundverordnung.27  Es soll vielmehr auch evaluiert werden, inwiefern die ePrivacy-Richtlinie im Bereich der elektronischen Kommunikation ein hohes Schutzniveau zugunsten des Einzelnen sowie gleiche Wettbewerbsbedin-gungen für alle Marktteilnehmer gewährleistet.

Auf Grundlage der Konsultationsergebnisse will die Kommission einen neuen Gesetzgebungsvorschlag unterbreiten. Dieser wird nach Angaben der Kommission voraussichtlich gegen Ende 2016 vorgelegt.

Mit Spannung zu erwarten bleibt, ob die bisherigen Einwilligungs- und Informationserfordernisse in dieser Form fortbestehen oder womöglich abgeändert oder präzisiert werden. Denn vom Internetnutzer werden die Banner und sonstigen Informationen zu Cookies häufig ignoriert oder als lästig empfunden. Darüber hinaus machen Diensteanbieter die Nutzung ihres Online-Dienstes oft von der Einwilligung in die Nutzung von Cookies oder anderer Tracking-Technologien abhängig. Diesbezüglich wird zu Recht der Sinn und Zweck einer solchen „erzwungenen“ Einwilligung hinterfragt.

4. Empfehlung

Nach gegenwärtiger Rechtslage in Deutschland ist der Nutzer in jedem Falle klar und umfassend über die Nutzung von Cookies auf der eigenen Internet-seite zu informieren. Dies erfolgt typischerweise im Rahmen der Datenschutzerklärung oder in einer gesonderten Cookie-Richtlinie. Zu den erforderlichen Informationen gehören unter anderem die Art der gespeicherten Informationen, der Zweck der Speicherung sowie die Speicherdauer.28

Mit dem Umfang der Informationspflichten muss sich zudem in Kürze auch der Bundesgerichtshof befas-sen. Unter dem Aktenzeichen I ZR 7/16 ist derzeit ein Revisionsverfahren anhängig, in dem es um die Frage der Zulässigkeit von Cookie-Nutzungen geht. Hier bleibt zu hoffen, dass sich die Karlsruher Richter mit den technischen Hintergründen dezidiert ausein-andersetzen und damit für mehr Rechtssicherheit sorgen. Denn auch wenn mittlerweile am Einsatz neuer Tracking-Technologien wie Canvas-Fingerprinting gearbeitet wird, ist der Einsatz von Cookies nach wie vor das geläufigste Tracking-Tool und die Zulässigkeit der Nutzung von Cookies daher für nahezu jeden Betreiber einer Internetseite von Relevanz.

Anmerkungen:
1 EuGH, Urteil vom 6.10.2015, Az.: C-362/14 – Maximillian Schrems/Data Protection Commissioner, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=
169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=
first&part=1

2 Richtlinie 95/46/EG, abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A31995L0046

3 Vollständige Liste aller Länder mit anerkanntem angemessenen Datenschutzniveau: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

4 Weitere Informationen sowie eine Liste mit Unternehmen, deren BCR von den Aufsichtsbehörden genehmigt wurden ist unter http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/index_en.htm abrufbar.

5 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=
OJ:L:2004:385:0074:0084:de:PDF

6 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=
OJ:L:2010:039:0005:0018:DE:PDF

7 http://eur-lex.europa.eu/legal-content/de/ALL/?uri=CELEX:32000D0520

8 EuGH, Urteil vom 6.10.2015, Az.: C-362/14 – Maximillian Schrems/Data Protection Commissioner, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

9 http://europa.eu/rapid/press-release_IP-16-433_de.htm

10 http://europa.eu/rapid/press-release_IP-16-2461_de.htm

11 Zur Kritik der Art. 29-Datenschutzgruppe: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.  Der frühere Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hält das Privacy Shield für grundrechtswidrig, vgl. Zeitschrift für Datenschutzrecht 2016, 209; vgl. auch Schreiber/Kohm, Zeitschrift für Datenschutzrecht 2016, 255.

12 http://europa.eu/rapid/press-release_IP-16-2461_en.htm

13 http://europa.eu/rapid/press-release_IP-12-46_de.htm?locale=en

14 http://europa.eu/rapid/press-release_IP-12-46_de.htm?locale=en

15 http://europa.eu/rapid/press-release_IP-15-6321_de.htm

16 http://www.consilium.europa.eu/de/press/press-releases/2016/04/08-data-protection-reform-first-reading/

17 http://www.europarl.europa.eu/news/de/news-room/ 20160407IPR21776/Parlament-verabschiedet-EU-Datenschutz-reform-%E2%80%93-EU-fit-f%C3%BCrs-digitale-Zeitalter

18 Richtlinie 2002/22/EG, abgeändert durch Richtlinie 2009/
136/EG

19 Richtlinie 2002/22/EG, abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:de:PDF

20 Gesetzesentwurf des Bundesrates v. 3.8.2011, BT-Drs. 17/6765; Gesetzesentwurf der SPD-Bundestagsfraktion v. 24.1.2012, BT-Drs. 17/8454

21 Questionnaire on the implementation of Article 5(3) of the ePrivacy Directive, COCOM11-20

22 Siehe Rauer/Ettig, Zeitschrift für Datenschutzrecht 2015, 255, 256; Schmidt/Babilon, Kommunikation & Recht 2016, 86, 89; Dieterich, Zeitschrift für Datenschutzrecht 2015, 199, 202 f

23 Umlaufentschließung der Datenschutzbeauftragten des Bundes und der Länder v. 5.2.2015, abrufbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/Entschliessung_Cookies.pdf?_blob= publicationFile&v=9

24 Siehe die Antwort der EU-Kommission auf Anfrage des Online-Dienstes Telemedicus v. 5.2.2014, abrufbar unter: https://www.telemedicus.info/article/2716-EU-Kommission-Cookie-Richtlinie-ist-in-Deutschland-umgesetzt.html

25 Rauer/Ettig, Zeitschrift für Datenschutzrecht 2015, 255, 256

26 https://ec.europa.eu/digital-single-market/en/news/public-consultation-evaluation-and-review-eprivacy-directive

27 Siehe Erwägungsgrund 173 der Datenschutzgrundverordnung

28 Weitere Informationen in Rauer/Ettig, Zeitschrift für Datenschutzrecht 2015, 255

Autoren:

  • Dr. Diana Ettig

    Rechtsanwältin Dr. Diana Ettig ist im Bereich Urheber- und Medienrecht spezialisiert. Zudem verfügt Diana Ettig über eine große Expertise im Datenschutzrecht, wozu sie auch regelmäßig in der einschlägigen Fachpresse veröffentlicht. Foto: privat