DE| Facebook Irland ist in Australien lediglich im Auftrag von Facebook USA tätig

Sobald es um Datenschutz geht, ist der Anbieter von sozialen Netzwerkdiensten Facebook nicht aus den Nachrichten wegzudenken. Vor dem Federal Court of Australia in Sydney läuft derzeit – im Jahre 2020 – ein Prozess gegen Facebook, bei dem es um Verstöße gegen Datenschutzbestimmungen im Zusammenhang mit dem Cambridge-Analytica-Skandal von 2018 geht. Bevor es überhaupt zu einer Verhandlung in der Hauptsache kommen konnte, hat die Facebook Inc. mit Sitz im kalifornischen Menlo Park jedoch in einem Verfahren der einstweiligen Anordnung (interlocutory hearing) bestritten, passiv legitimiert zu sein.Als richtige Beklagte wurde die Facebook Ireland Ltd mit Sitz in Dublin benannt. Das australische Gericht hat diesen Antrag jedoch im September 2020 abgewiesen.

Der Federal Court of Australia ist nicht etwa das höchste Gericht Australiens, sondern ist Australiens höchstem Gericht, dem High Court of Australia, nachgeordnet. Die Zuständigkeit des Federal Court of Australia wird im ersten Rechtszug (original jurisdiction) für Einzelfälle gesetzlich geregelt und betrifft laut Wikipedia insbesondere Bereiche des Bundesrechts wie Steuerrecht, Handelspraktiken, die Landrechte der Ureinwohner, geistiges Eigentum, Arbeitsrecht, Gesellschaftsrecht, Einwanderung und Insolvenzfälle (matters relating to taxation, trade practices, native title, intellectual property, industrial relations, corporations, immigration and bankruptcy).

Der Cambridge-Analytica-Skanal

Die hier gegenständliche Klage wurde von der australischen Datenschutzbeauftragten (Australian Information Commissioner) Angelene Falk angestrengt (Australian Information Commissioner gegen Facebook Inc & Facebook Ireland Limited, Aktenzeichen NSD246/2020). Laut einer Presseerklärung der Datenschutzbeauftragten vom 9. März 2020 ist folgender Klagegrund gegeben:

Die Datenschutzbeauftragte macht geltend, dass Facebook Inc. dafür verantwortlich ist, dass die personenbezogenen Daten von etwa 311.127 australischen Facebook-Nutzern verkauft wurden und dadurch die Nutzung der personenbezogenen Daten für verschiedene Zwecke, einschließlich der Erstellung eines Persönlichkeitsprofils zu politischen Zwecken, ermöglicht wurde. Die Facebook-Nutzer konnten mit dem Verkauf und der entsprechenden Nutzung keinesfalls rechnen und waren darüber auch nicht informiert (We claim these actions left the personal data of around 311,127 Australian Facebook users exposed to be sold and used for purposes including political profiling, well outside users’ expectations.)

Weiterhin wird in der Klageschrift (statement of claim) geltend gemacht, dass Facebook zwischen März 2014 und Mai 2015 die personenbezogenen Daten von australischen Facebook-Nutzern an den App-Dienst „This Is Your Digital Life“ weitergegeben habe und damit gegen den australischen Datenschutzgrundsatz Nr. 6 verstoßen habe. Die meisten betroffenen Nutzer hätten die genannte App nicht selbst installiert. Ihre personenbezogenen Daten seien vielmehr aufgrund einer Nutzung der App durch Freunde und Bekannte weitergegeben worden.

[The statement of claim lodged in the Federal Court today alleges that, from March 2014 to May 2015, Facebook disclosed the personal information of Australian Facebook users to This Is Your Digital Life, in breach of Australian Privacy Principle 6. Most of those users did not install the app themselves, and their personal information was disclosed via their friends’ use of the app.]

Dreizehn australische Datenschutzgrundsätze seit 2014

Die insgesamt 13 australischen Datenschutzgrundsätze (Privacy Principles) sind ein wesentlicher Bestandteil des australischen Datenschutzgesetz von 1988 (Privacy Act 1988). Ursprünglich galt Anhang 1 (Schedule 1), der den Wortlaut von Datenschutzgrundsätzen enthält, nur für Bundesbehörden und für von ihnen beauftragte Organisationen. Im Jahre 2000 wurde mit dem Anhang 3 (Schedule 3) ein ähnlicher Grundsätzekatalog auch für mittlere und große Unternehmen (einschließlich gemeinnütziger Organisationen) geschaffen. Im Jahre 2014 wurden diese beiden Bereiche dann unter dem Namen „Australian Privacy Principles (APPs)“ in Anhang 1 des Gesetzes vereinigt.

Grundsatz 6 lautet wie folgt:

Australischer Datenschutzgrundsatz 6: Nutzung oder Weitergabe von personenbezogenen Daten.
Nutzung oder Weitergabe:
6.1 Sofern eine Organisation, die den australischen Datenschutzgrundsätzen unterliegt („APP entity“), personenbezogene Daten über eine natürlichen Person besitzt, die für einen bestimmten Zweck erhoben wurden („ursprünglicher Zweck“), ist es dieser Organisation nicht gestattet, die betreffenden Daten zu anderen Zwecken zu nutzen oder weiterzugeben („Sekundärzweck“), es sei denn:
a) die betreffende natürliche Person hat der Nutzung oder Weitergabe der Daten zugestimmt oder
b) Absatz 6.2 oder 6.3 findet auf die Nutzung oder Weitergabe der Daten Anwendung.

[Australian Privacy Principle 6 — use or disclosure of personal information.
Use or disclosure:
6.1 If an APP entity holds personal information about an individual that was collected for a particular purpose (the primary purpose), the entity must not use or disclose the information for another purpose (the secondary purpose) unless:
a) the individual has consented to the use or disclosure of the information; or
b) subclause 6.2 or 6.3 applies in relation to the use or disclosure of the information.]

In Absatz 6.2 (subclause 6.2) werden vor allem Ausnahmen zu Absatz 6.1 geregelt, von denen insbesondere Spiegelstrich 2 (APP 6.2(a)) von Bedeutung ist: Ein Abweichen von der oben zitierten Regelung ist zulässig, falls „die natürliche Person billigerweise mit einer Sekundärnutzung oder -weitergabe rechnen kann und eine solche Nutzung oder Weitergabe mit dem ursprünglichen Zweck der Erhebung im Zusammenhang steht oder – im Falle von sensiblen Daten – eine solche Nutzung oder Weitergabe direkt mit dem ursprünglichen Zweck zusammenhängt. (The individual would reasonably expect the secondary use or disclosure, and that is related to the primary purpose of collection or, in the case of sensitive information, directly related to the primary purpose (APP 6.2(a)).

Vor allem über Freunde sind Daten abgeflossen

Die australische Datenschutzbeauftragte macht gemäß ihrer Presseerklärung weiter geltend, dass Facebook im genannten Zeitraum (März 2014 bis Mai 2015) keine angemessenen Maßnahmen ergriffen hat, um die personenbezogenen Daten der Facebook-Nutzer vor unberechtigter Weitergabe zu schützen. Damit habe Facebook gegen den australischen Datenschutzgrundsatz 11 („Schutz personenbezogener Daten“) verstoßen. (The statement of claim also alleges that Facebook did not take reasonable steps during this period to protect its users’ personal information from unauthorised disclosure, in breach of Australian Privacy Principle 11.)

In der Kurzfassung der Klageschrift (concise statement) vom 3. März 2020 wird außerdem geltend gemacht: „Sofern eine natürliche Person nicht in einem komplexen Verfahren ihre Einstellungen auf Facebook veränderte, wurden die personenbezogenen Daten der betreffenden Person automatisch (by default) an die App „This is Your Digital Life“ weitergegeben. Facebook hat die betroffenen australischen Personen nicht angemessen darüber informiert, auf welche Weise deren personenbezogene Daten weitergegeben werden würden. Facebook hat die betroffenen australischen Personen auch nicht angemessen darüber informiert, dass deren personenbezogene Daten möglicherweise an eine App weitergegeben werden könnten, die nicht von der betreffenden natürlichen Person, sondern von einem Freund oder einer Freundin installiert worden war.“ (Rn. 2)

[Unless those individuals undertook a complex process of modifying their settings on Facebook, their personal information was disclosed by Facebook to the “This is Your Digital Life” App by default. Facebook did not adequately inform the Affected Australian Individuals of the manner in which their personal information would be disclosed, or that it could be disclosed to an app installed by a friend, but not installed by that individual.]

Gericht: Zustellung an Facebook USA kann erfolgen

Am 6. Mai 2020 hat Facebook Inc. (auch „Facebook USA“ genannt) vor Gericht den Antrag gestellt, der australischen Datenschutzbeauftragten zu untersagen, die entsprechenden Schriftsätze (legal documents) an Facebook USA zustellen zu lassen. Das Gericht hatte zuvor in einer vorhergehenden Entscheidung einer solchen Zustellung zugestimmt. Als Begründung wurde von Facebook angegeben, dass Facebook USA in Australien nicht geschäftlich tätig sei. Sämtliche Geschäfte dort würden von Facebook Irland (Facebook Ireland Ltd) betrieben.

Am 14. September 2020 hat das Federal Court of Australia durch Richter Thomas Thawley nun (laut Presseerklärung der Datenschutzbeauftragten) entschieden, dass die australische Datenschutzbeauftragte glaubhaft dargelegt habe (had established a prima facie case), dass Facebook USA in Australien tätig sei und dort im streitgegenständlichen Zeitraum (März 2014 und Mai 2015) personenbezogene Daten erhoben und besessen habe. Gegen Facebook USA sei ein Verfahren zulässig; die Klage könne auch außerhalb Australiens (also in den USA) zugestellt werden.

[Justice Thawley was satisfied that the Commissioner had established a prima facie case that Facebook Inc was carrying on business in Australia, and was collecting and holding personal information in Australia at the relevant time. […] the Court held the matters were sufficiently arguable to justify service outside of Australia and subjecting Facebook Inc to proceedings in Australia.]

Facebook Irland ist lediglich Auftragnehmer

Bereits am 23. April 2020 hatte das Federal Court of Australia entschieden, dass Facebook Irland lediglich als Auftragnehmer von Facebook USA in Australien tätig sei. Das Gericht kam auf Basis der vorliegenden Unterlagen zu dem Schluss, 1) dass der Vertrag der australischen Nutzer zwar mit Facebook Irland zustandekam, wobei sich dieses Unternehmen selbst als Verantwortlicher (data controller) (für Datenschutz, vergleichbar im Sinne der DSGVO) für australische Facebook-Nutzer bezeichnete, und 2) dass Facebook Irland jedoch die Dienstleistung für die australischen Nutzer im Auftrag von Facebook USA erbracht hat.

[The prima facie case arises from material which is capable of supporting the conclusion that: (1) Australian users contracted with Facebook Ireland, which described itself as the “data controller for Australian Facebook users”; (2) Facebook Ireland provided the Facebook service to Australian users as agent for Facebook Inc.]

Was Facebook USA zu befürchten hat, wenn es zusätzlich zu Facebook Irland (letztlich eine hundertprozentige Tochtergesellschaft von Facebook USA) als Beklagter benannt wird, habe ich den verschiedenen Kommentaren im Internet nicht entnehmen können. Ein Artikel im Sydney Morning Herald scheint davon auszugehen, dass Facebook USA zunächst mit „Winkelzügen“ versucht habe, der Datenschutz-Klage zu entgehen (a bid to dodge a privacy lawsuit).

Der australische Blogger und Rechtsanwalt Peter A. Clarke, der sich mit diesem Fall befasst hat, meint jedoch, dass die vom Gericht im gesamten Verfahren angewandten Kriterien von „ungeheuer großer Bedeutung“ seien, da es nur wenige australische Präzedenzfälle im Bereich Datenschutz und kaum bedeutende Präzedenzfälle in Bezug auf das australische Datenschutzgesetz von 1988 gebe (Given the corpus of privacy law is small[,] and that relating to the Privacy Act is even less significant[,] the approach taken by the Federal Court in this case will be of outsized importance.)

Große Technologieunternehmen haben – in der Regel zur eigenen Steueroptimierung – überall auf der Welt Tochterunternehmen gegründet Auch für Juristen außerhalb Australiens ist die Auffassung des Federal Court of Australia zur Verteilung der Verantwortlichkeit zwischen Tochterunternehmen und der jeweiligen Muttergesellschaft sicher interessant.

Edward Viesel

Hinweis: Die Originalzitate wurden aus Gründen der besseren Lesbarkeit in der Regel ohne Hinzufügen von Auslassungszeichen gekürzt oder angepasst. Außerdem kann im Einzelfall der Numerus an den deutschen Text angepasst worden sein. Im Falle von Unklarheiten nehmen Sie bitte Bezug auf die im Text verlinkten Originaldokumente.

EN| Germany’s Federal Court of Justice: Facebook’s terms of use hinder competition

This blog is about privacy law and competition law, among other things, so it is nice to publish anarticle that brings together both areas of law. What happens to individuals’ personal data once they have been fed into the databases of social networks worries privacy activists, and keeps quite a few data-protection officials and lawyers busy. However, another twist to the story is that certain types of data use may also hinder competition, and are therefore forbidden under competition law, not privacy law. In a decision issued on 23 June 2020 (case number: KVR 69/19), the German Federal Court of Justice ruled that Facebook is breaking the law if, in its terms of use, it solely offers its freebie users the option to include their entire „off-Facebook activities” in the data collected and used by the company for marketing purposes.

Facebook employs terms of use that allow the company to process and use any data that Facebook collects when a private person uses the internet, no matter whether they are on the actual Facebook platform facebook.com or outside of it (so-called “off-Facebook” use of the internet). Private users cannot use Facebook if they do not agree to these terms of use. The court case under discussion results from action taken by the German competition authority, the Bundeskartellamt, in February 2019. According to the German Federal Court of Justice (Bundesgerichtshof), the authority issued an official decision (Beschluss or Verfügung) prohibiting Facebook Ireland Limited, which operates the European part of the social networking service, from employing these terms of use and from processing personal data in the manner allowed by the terms.

Terms of use fall foul of German Competition Act

According to the German competition authority, the fact that the terms of use offered users no other option than to agree to the processing of their “off-Facebook” data contravened section 19(1) of the German Act against Restraints of Competition (Gesetz gegen Wettbewerbsbeschränkungen – GWB). The subsection simply stipulates: “The abuse of a dominant position by one or several undertakings is prohibited” („Die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung durch ein oder mehrere Unternehmen ist verboten”).

In its decision, the authority argued that Facebook had a dominant position in the German market for social networking services. This fact is probably beyond dispute and was also confirmed by the German Federal Court of Justice in the ruling under discussion.

The authority further argued that Facebook was abusing this position by making private persons’ use of the network subject to users allowing Facebook to link data they generated on the internet “off facebook.com” with the personal data the company collects as a result of them using the Facebook network and website proper. Under the terms of use, Facebook is also not required to seek any further or future consent from users to such linking (Facebook mache die private Nutzung des Netzwerks von seiner [Facebooks] Befugnis abhängig, ohne weitere Einwilligung der Nutzer außerhalb von facebook.com generierte nutzer- und nutzergerätebezogene Daten mit den personenbezogenen Daten zu verknüpfen, die aus der Facebook-Nutzung selbst entstehen).

Competition authority claim based on GDPR violation

In what seems to have been its main line of argument, the competition authority argued that an abuse of the dominant market position was proved by the fact that Facebook could get away with terms of use and the processing of personal data that so clearly violated the provisions of the General Data Protection Regulation (GDPR). The authority gave Facebook one year to change its terms of use.

Facebook challenged the authority’s decision before Düsseldorf Higher Regional Court (Oberlandesgericht Düsseldorf), the competent appellate court (Beschwerdegericht),and partly won. Based on a petition by Facebook, the Higher Regional Court stayed the immediate enforcement of the decision in August 2019 and re-established the suspensory effect of the fact that Facebook was contesting the decision before the appellate court. The legal basis for this is section 65(3)(2) of the German Act against Restraints of Competition which regulates cases in which there are “serious doubts as to the legality of the decision being challenged” („ernstliche Zweifel an der Rechtmäßigkeit der angefochtenen Verfügung”). The appellate court ruled that users did not agree to the terms of use because Facebook’s dominant market position left them no option, but because they were just too “indifferent” (gleichgültig) to object to them. And the competition authority was not competent to rule on issues solely related to privacy law; thus its decision was probably illegal.

In its ruling of 23 June 2020, the higher court, the German Federal Court of Justice, set aside Düsseldorf Higher Regional Court’s ruling, however, thereby reinstating the immediate enforcement of the authority’s decision. The Federal Court of Justice ruled that any potential violation of the GDPR was irrelevant to the decision as to whether or not Facebook was abusing its dominant market position (Maßgeblich hierfür ist nicht die vom Kartellamt in der angefochtenen Verfügung in den Vordergrund gerückte Frage, ob die Verarbeitung und Nutzung von personenbezogenen Daten […] mit den Vorschriften der Datenschutz-Grundverordnung in Einklang steht).

Federal Court of Justice: users need more choice

According to the court, the terms of use were abusive for a different reason. The decisive issue here was that private users of Facebook must be given at least the following two options to choose from:

1) to use the network with a user experience that is more personalised, which includes unrestricted access by Facebook to data resulting from their “off-Facebook” internet use; or

2) to use the network on the basis of a personalised user experience that only uses data disclosed on facebook.com by the users themselves.

Facebook was abusing its dominant market position by only offering the first of these options.

In its reasoning, the court stated that Facebook served two markets. On the one hand, the company enabled private users to use the platform to present themselves and their social relationships to other people, and to communicate. On the other, it enabled companies to distribute advertising via the Facebook network, with the online advertising market serving to finance the user platform, for which users did not have to pay (at any rate, not money).

(Facebook ist als Betreiber eines sozialen Netzwerks auf zwei Märkten tätig. Es bietet zum einen privaten Nutzern die Plattform als Medium zur Darstellung der Person des Nutzers in ihren sozialen Beziehungen und zur Kommunikation an. Es ermöglicht zum anderen Unternehmen Werbung im Netzwerk und finanziert damit auch die Nutzerplattform, für deren Nutzung die Nutzer kein (monetäres) Entgelt zahlen.)

Anti-competitive behaviour on two markets

Facebook was abusing its market position in both markets (social networking services for private users, and online advertising), the court ruled.

On the market for social networking services for private users, Facebook was using the platform effect, or rather the great obstacles that prevented users from switching to other social networking services (hohe Wechselhürden), to “lock in” users. Based on this “lock-in effect”, users were being “exploited” (ausgebeutet), i.e. practically forced to give away their personal data and give up their “informational self-determination” (informationelle Selbstbestimmung). “Informational self-determination” is a term coined by the German Federal Constitutional Court (Bundesverfassungsgericht) and is defined as “the authority of the individual to decide himself, on the basis of the idea of self-determination, when and within what limits information about his private life should be communicated to others”.

The lock-in effect was relevant to issues of competition law because, due to Facebook’s dominant market position, competitors were unable to provide any checks on Facebook’s market behaviour (der Wettbewerb kann wegen der marktbeherrschenden Stellung von Facebook seine Kontrollfunktion nicht mehr wirksam ausüben). According to the court, the German competition authority stated that many private Facebook users actually wanted to disclose less of their personal data. If effective competition were in place in the market for social networking services, the court opined, one would therefore expect a competitor to emerge who offered a service to match this demand.

(Nach den Feststellungen des Bundeskartellamts wünschen erhebliche Teile der privaten Facebook-Nutzer einen geringeren Umfang der Preisgabe persönlicher Daten. Bei funktionierendem Wettbewerb auf dem Markt sozialer Netzwerke wäre ein entsprechendes Angebot zu erwarten.)

Added revenue being used to strengthen a dominant position

Facebook’s terms of use were playing their part, however, in hindering any such competition. The company’s dominant position, and the obstacles preventing users from switching, were partly the result of the company’s great trove of data, which it was also amassing due to the disputed terms of use. The large amounts of data particularly benefited its financial position, because Facebook was able to sell more and pricier advertising due to its superior pool of data. The added advertising revenue enabled the company to invest more in its private-user platform, further strengthening the network’s appeal—and intensifying the lock-in effect (Die so ausgestalteten Nutzungsbedingungen sind auch geeignet, den Wettbewerb zu behindern. […] Der Zugang von Facebook zu einer erheblich größeren Datenbasis verstärkt die ohnehin schon ausgeprägten „Lock-in-Effekte“ weiter. Außerdem verbessert diese größere Datenbasis die Möglichkeiten der Finanzierung des sozialen Netzwerks mit den Erlösen aus Werbeverträgen.)

The terms of use therefore also conceivably had a negative impact on competition within the market for online advertising (not only within the market for private social networking services). Contrary to the findings of Düsseldorf Higher Regional Court, the lower court, the German Federal Court of Justice ruled that it was irrelevant in this respect whether a discrete market for online advertising on social media actually existed and whether, if it did exist, Facebook dominated this specific market as well. A company with a dominant market position was not allowed to abuse this position, and this included any type of abuse that was based on its dominant position, even if such abuse occurred within a different market from the one the company dominated.

(Wegen der negativen Auswirkungen auf den Wettbewerb um Werbeverträge lässt sich schließlich auch eine Beeinträchtigung des Marktes für Online-Werbung nicht ausschließen. Entgegen der Auffassung des Beschwerdegerichts bedarf es insoweit keiner Feststellung, dass es einen eigenständigen Markt für Online-Werbung für soziale Medien gibt und Facebook auch auf diesem Markt über eine marktbeherrschende Stellung verfügt. Die Beeinträchtigung muss nicht auf dem beherrschten Markt eintreten, sondern kann auch auf einem nicht beherrschten Drittmarkt eintreten.)

In 2019, Facebook not only applied for a stay of enforcement, but also contested the effectiveness of the competition authority’s decision itself. The main proceedings on the issue of whether or not the decision ordering Facebook to change its terms of use is effective have yet to take place before the Federal Court of Justice. Legal expert Christian Rath believes, however, that the court will rule along lines similar to those taken in the current proceedings. That the court used such strong expressions as “exploitation” (Ausbeutung) to describe the way Facebook treats its (non-paying) customers really does seem to bode ill for Facebook’s chances of success.

Edward Viesel

Please note: in order to improve readability of this article, when quoting from German texts in the original German, I have often shortened phrases or adapted them to the present English-language text without indicating such changes. If in doubt, please refer to the original sources provided as links.

EN| Berlin Data Protection Commissioner Warns Companies and Public Authorities Against Using US Videoconferencing Services

A public spat between Microsoft and the Berlin Data Protection Commissioner in May 2020 highlighted the privacy issues surrounding the use of videoconferencing services like Zoom, Microsoft Teams or Skype. One of the bones of contention was whether the European DSGVO and other European or national laws would take precedence over US law if a conflict between these two legal spheres were to arise. The controversy also showed how differently data-protection actors assess the significance of well thought-through privacy policies and of comprehensive data protection arrangements.

Berlin Data Protection Commissioner Maja Smoltczyk (full title: Berliner Beauftragte für Datenschutz und Informationsfreiheit) published two documents on her official website on 30 April 2020 in which she commented on the use of videoconferencing services during the Covid-19 crisis. In her “Memorandum” (Vermerk), the original version of which is no longer online, she mentioned that using the videoconferencing services Microsoft Teams as well as Skype for Business Online carries legal and privacy risks.

According to German news service tonline.de, which broke the story, Microsoft responded by sending the commissioner a cease-and-desist letter (Abmahnung) on 5 May 2020, requesting the authority to “remove incorrect statements as quickly as is technically possible, and to withdraw them” (unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen).

Microsoft additionally issued a publicly available press release on 6 May 2020, in which it stated that “Microsoft Teams und Skype for Business Online can be used for conversations and content of a sensitive nature without any reservations” (können ohne Einschränkung auch für sensible Gespräche und Inhalte genutzt werden).

Microsoft also added that “by design, Microsoft Teams und Skype for Business do not enable anyone to carry out wire tapping. Furthermore, Microsoft does not carry out wire tapping—defined as the systematic and content-based collection of content data—in the course of operating Microsoft Teams and Skype for Business Online” (Microsoft Teams und Skype for Business sehen keine Abhörmöglichkeiten vor. Ein Abhören, als das systematische und inhaltsbezogene Erfassen von Inhaltsdaten, findet auch im Rahmen des Betriebs von Microsoft Teams und Skype for Business Online durch Microsoft nicht statt.)

What Berlin’s Data Protection Commissioner actually said

The data protection commissioner’s comments (which were reissued in a slightly altered version on 22 May 2020) were addressed to “companies, public authorities, and other institutions subject to its supervision” (Unternehmen, Behörden und andere ihrer Aufsicht unterliegende Institutionen). The comments were therefore mainly addressed to educational establishments, companies and public authorities in the city state of Berlin. The commissioner’s statements were intended “to provide advice on the requirements that apply to the use of videoconferencing systems, and to describe the risks that may be incurred if such requirements are not observed” (Hinweise zu den Anforderungen an die Nutzung von Videokonferenzsystemen zu geben und die Risiken zu beschreiben, die entstehen, wenn sie nicht eingehalten werden).

Among the risks, the commissioner counted the fact that “the provider of the videoconferencing system may make a recording of the call or the conference, be it for his own purposes or because a public authority requires him to do so” (der Betreiber des Videokonferenzsystems selbst kann ein Interesse haben oder behördlich dazu verpflichtet sein, einen Mitschnitt anzufertigen). Personal health data and data on political views were described as particularly sensitive data that might fall into the wrong hands (das Risiko ist am größten, wenn in dem Austausch sensible Themen angesprochen werden wie z.B. der Gesundheitszustand oder die politischen Auffassungen einer Person.)

After some general comments on the privacy risks associated with using supposedly European videoconferencing services that actually process substantial amounts of data outside Europe, the commissioner described two videoconferencing business models that Berlin institutions, public authorities and companies should steer clear of:

1) providers that solely act as resellers of services that are actually provided by companies from the United States (Anbieter, die lediglich als Wiederverkäufer von Leistungen US-amerikanischer Unternehmen fungieren), and

2) providers that provide a significant proportion of the service through a non-European company that is part of the same group of companies (andere lassen einen wesentlichen Teil der Dienstleistung von außereuropäischen Unternehmen der gleichen Unternehmensgruppe erbringen).

Even if Berlin companies, institutions and public authorities possess a European contractual partner in each of the above cases , the commissioner warned that this was no guarantee that the actual provider would comply with European law, rather than with the law of its country of establishment, should a conflict between the two legal spheres arise (In den beiden letztgenannten Fällen gewinnen Sie zwar einen europäischen vertraglichen Ansprechpartner. Jedoch ist auch dadurch nicht sichergestellt, dass der Anbieter sich im Konfliktfall an EU-Recht hält und nicht an sein lokales Recht.)

Commissioner Maja Smoltczyk then specifically mentioned Microsoft Corporation, headquartered in the United States, (and its videoconferencing service Microsoft Teams) as well as the Microsoft subsidiary Skype Communications S.à.r.l., domiciled in Luxembourg, as examples.

German consumer safety group heavily criticises privacy policies

According to a news report of 18 May 2020 published by German broadsheet newspaper Süddeutsche Zeitung, a potential conflict of legal systems might not be the only problem affecting the general use of videoconferencing services. The privacy policy (Datenschutzerklärung) provided by Microsoft Teams whenever it is used for free or by consumers could also be an issue, Süddeutsche reported. The leading German consumer safety group Stiftung Warentest had tested twelve “video chat” systems in May 2020; the privacy policies of ten of these systems (including Microsoft Teams and Skype) were deemed by Stiftung Warentest to display “very grave deficiencies” (sehr deutliche Mängel); this precluded systems that actually gained good marks for technology and technical data security (Microsoft Teams and Skype, again, among them) from receiving an overall good mark.

Stiftung Warentest slammed the privacy policies of all twelve providers it had tested in no uncertain terms: “The providers show no sign of ever having seriously concerned themselves with the European General Data Protection Regulation (GDPR). Furthermore, Google’s and Microsoft’s documents are unreasonably long (Anbieter lassen keine ernsthafte Befassung mit der europäischen Datenschutzgrundverordnung (DSGVO) erkennen. Die Dokumente von Google und Microsoft sind außerdem unzumutbar lang.)

So what do the privacy policies actually say? The Microsoft Privacy Statement that applies to Teams whenever it is used for free is simply the generic Microsoft privacy statement. Among other things, the Privacy Statement contains the following wording under the heading “How we use personal data”:

“In particular, we use data to: […] advertise and market to you, which includes sending promotional communications, targeting advertising, and presenting you with relevant offers.”

“We also use the data to operate our business, which includes analysing our performance, meeting our legal obligations, developing our workforce and doing research.”

“In carrying out these purposes, we combine data we collect from different contexts (for example, from your use of two Microsoft products) or obtain from third parties.”

“Our processing of personal data for these purposes includes both automated and manual (human) methods of processing. Our automated methods often are related to and supported by our manual methods.”

In a blog entry of 17 May 2020—referenced in a positively-rated comment on a news story that appeared on the influential German computer news site Heise Online—Matthias Eberl, a well-known German data-protection journalist, commented on the “uselessness”, as he saw it, of the generic Microsoft privacy statement for the use of Teams: “The GDPR requires that data must be processed in a comprehensible way. The manner of processing must be clearly explained; a generic description is too unclear. One can deduce everything and nothing from it, e.g. that ‘Microsoft analyses video data with AI and then uses the data for research’. What does this mean?” (Die DSGVO erfordert, dass Daten in nachvollziehbarer Weise verarbeitet werden. Dies muss präzise dargestellt werden, eine generische Darstellung ist zu unklar: Man kann alles und nichts herauslesen, zum Beispiel, dass Microsoft Videodaten mit KI analysiert und dann für Forschung verwendet. Hm?).

Microsoft’s DPA, and the guarantees provided therein

With regard to private persons using Teams at no cost it might be true that the generic Microsoft privacy statement is too unspecific about the way their personal data will be used. In its press release of 6 May 2020, Microsoft—speaking about companies as customers—stated, however, that “the Online Service Terms and the Data Protection Addendum (“DPA”), which are available on our website in the German language as well, contain all the contractual details required by applicable European data protection law (die Online Service Terms und das Data Protection Addendum (“DPA”) – die auf unserer Webseite auch in deutscher Sprache zur Verfügung stehen – enthalten alle nach dem geltenden europäischen Datenschutzrecht erforderlichen vertraglichen Inhalte).

The Microsoft download website (last accessed on 17 June 2020) further clarifies: “When you subscribe to an Online Service under the terms of the OST [Microsoft Volume Licensing Online Services Terms], the data processing and security terms are defined in Microsoft Online Services Data Protection Addendum (DPA). The DPA is an addendum to the OST.”

Wikipedia defines the term “volume licensing” thus: “In software licensing, a volume licensing is the practice of selling a license authorizing one computer program to be used on a large number of computers or by a large number of users. Customers of such licensing schemes are typically business, governmental or educational institutions.” Therefore Microsoft’s DPA probably does not apply to private individuals using free versions of Microsoft Teams. It does, however, apply to the target audience of the Berlin commissioner’s memorandum.

In its press release, Microsoft furthermore stated that “to the extent that customer data and personal data are transferred to, or stored or processed in, the US or any other country in which Microsoft provides services, either itself or via any of its sub-processors, Microsoft always uses suitable guarantees that are recognised by data protection law (Soweit Kundendaten und personenbezogenen Daten in die USA oder in ein anderes Land, in dem Microsoft oder ihre Unterauftragsverarbeiter tätig sind, übermittelt und dort gespeichert bzw. verarbeitet werden, werden stets geeignete und vom Datenschutzrecht anerkannte Garantien eingesetzt). The German adjectives “geeignet” (suitable) and “anerkannt” (recognised) do not have a well-defined legal meaning when it comes to guarantees, however. The phrase sounds rather vague in German.

The EU’s standard contractual clauses (2010/87/EU)

With regard to the actual guarantees provided, Microsoft explained that “for this purpose it uses the standard contractual clauses (2010/87/EU) enacted by the European Commission, which are set out in Attachment 2 of the DPA” (Microsoft nutzt hierzu die von der EU Kommission erlassenen EU Standardvertragsklauseln (2010/87/EU); diese finden Sie in Anlage 2 zum DPA). This statement can be easily verified.

The standard contractual clauses are part of the Microsoft Online Services Data Protection Addendum (DPA) of January 2020. In the completed form that Microsoft executed as Attachment 2 of the DPA of January 2020 (more specifically as Appendix 1 to the Standard Contractual Clauses), the company stipulates the following: “Data exporter: Customer is the data exporter”, and: “Data importer: The data importer is MICROSOFT CORPORATION”.

Recital 23 of 2010/87/EU clarifies, however, that the Standard Contractual Clauses apply “only to subcontracting by a data processor established in a third country of his processing services to a sub-processor established in a third country” (finden nur Anwendung, wenn ein in einem Drittland niedergelassener Datenverarbeiter einen in einem Drittland niedergelassenen Unterauftragsverarbeiter mit seinen Verarbeitungsdiensten beauftragt) (Microsoft also uses the term “Unterauftragsverarbeiter” [sub-processor] in its press release of 6 May 2020; see above). Commission Decision 2010/87/EU does not guarantee the way the (principal) processor, who is the “data importer”, uses the data. The processor, and data importer, in this case is Microsoft.

No guarantee of non-disclosure to US law enforcement authorities

It would seem difficult to state that Attachment 2 of the Microsoft DPA of January 2020 invalidates the Berlin commissioner’s claim that there is no guarantee that the actual provider of the service (the processor, i.e. Microsoft, domiciled in Redmond, USA) will comply with European law rather than with the law of its country of establishment (the United States), since Commission Decision 2010/87/EU is really only meant to regulate the relationship between the “data importer” (Microsoft) and any of its sub-processors outside the EU or EEA with regard to tort and liability.

Preventing the disclosure of personal data, like medical data or data on political views, is not within the scope of application of 2010/87/EU. After all, Clause 5(d) of the Standard Contractual Clauses (also contained in Attachment 2 of the Microsoft DPA) stipulates: “The data importer [this is Microsoft; E.V.] agrees and warrants: (d) that it will promptly notify the data exporter [e.g. a company or public authority in Berlin; E.V.] about: (i) any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation.”

Being informed about the unpreventable disclosure of one’s personal data (and sometimes not even being informed, because this is “otherwise prohibited” under a third country’s law) is obviously not the same as such disclosure being physically (or perhaps one should say legally) impossible due to the data not being in the jurisdiction in question. It would seem that Commissioner Maja Smoltczyk was talking about this very issue when she said that “the provider of the videoconferencing system might make a recording of the call or the conference, be it for his own purposes or because a public authority requires him to do so” (der Betreiber des Videokonferenzsystems selbst kann ein Interesse haben oder behördlich dazu verpflichtet sein, einen Mitschnitt anzufertigen).

The fact that the Microsoft press release used the German verb “etwas vorsehen” (which could be translated as “to provide something by design” or “to be designed for some purpose”) might also not be entirely coincidental. Software products that do not provide a certain feature, e.g. wire tapping, “by design” (sehen keine Abhörmöglichkeiten vor), might easily be programmed to provide such a feature, even if this was not in the interest of the original provider of the software or the service, and was not intended. A provider might simply be legally required to alter the software to provide a certain (new) feature.

Microsoft did not press its case, and in June 2020 the Memorandum could still be accessed in its revised version of 22 May 2020 (version 1.1, quoted in this article). There were no further reports in the media of legal action or any other communications between the two parties involved. The issue whether institutions, public authorities and companies are always safe from a data-protection perspective to use videoconferencing systems that are not based in the EU or EEA therefore remains largely unresolved. The fact remains, however, that the way privacy policies are provided and handled does not greatly help to clarify the issue. It seems that no one is too sure about the specific legal and technical framework that regulates data protection in videoconferencing services. This can also be seen in the way the German language was used in the press release cited at length in this article.

Edward Viesel

Please note: in order to improve readability of this article, when quoting from German texts in the original German, I have often shortened phrases or adapted them to the present English-language text without indicating such changes. If in doubt, please refer to the original sources provided as links.

DE| High Court: Menschliche Gedanken sind keine „Daten“ gemäß Datenschutzgesetzgebung

Das menschliche Gehirn ist kein Speicherort, und ein Gespräch per Telefon ist keine Verarbeitung personenbezogener Daten, das hat nun der High Court of England and Wales (EWHC) erstmals konkret in einem Urteil aus dem März 2020 (neutrale Zitiernummer: [2020] EWHC 483 (QB)) entschieden.

Der Kläger, die Privatperson David Paul Scott, hatte sich im Juni und Juli 2016 in Manchester an die Beklagte, die LGBT Foundation [LGBT-Stiftung] gewandt. Die LGBT Foundation ist eine private Wohltätigkeitsorganisation, die Schwule, Lesben, Bisexuelle und Transgender [lesbian, gay, bisexual and transgender people – LGBT people] unterstützt und berät, vor allem hinsichtlich ihrer seelischen Gesundheit.

Kläger hatte Probleme mit seelischer und körperlicher Gesundheit

Der Kläger hatte in der Vergangenheit Probleme mit Drogenmissbrauch und selbstverletzendem Verhalten. Er nahm zur Zeit des streitgegenständlichen Vorfalls Medikamente ein, die aus Persönlichkeitsschutzgründen im Urteil nicht näher bezeichnet werden, deren Absetzen der Kläger jedoch selbst als lebensbedrohlich einstufte.

Bei seinem Aufnahmegespräch bei der Stiftung gab der Kläger an, er habe derzeit zwar keine Pläne sich „aktiv selbst zu töten“, aber er denke daran, die Einnahme seiner Medikamente zu beenden, „da er einfach nicht mehr leben wolle“ [He had no current plans to „actively kill“ himself, he was „seriously considering stopping taking my [deletion] meds because I just don’t want to be alive anymore“] (Rn. 20).

Im Aufnahmeformular (self-referral form) gab der Kläger außerdem unter dem folgenden (hier übersetzten) Passus die Kontaktdetails seines Hausarztes an:

„Wir weisen Sie darauf hin, dass wir im Rahmen unserer Verschwiegenheitsrichtlinien unter Umständen aus Gründen Ihrer Gesunderhaltung unsere Pflicht zur Vertraulichkeit ohne Ihre Zustimmung verletzen müssen, falls es Anlass zu schwerwiegenden Bedenken hinsichtlich Ihres Wohlergehens gibt. Falls dieser Fall eintrifft, werden wir zunächst versuchen, Ihre Zustimmung einzuholen. Dies wird aber unter Umständen nicht in jedem Falle möglich sein.“

[Please note that as part of our confidentiality policy, if there is reason to be seriously concerned about your welfare, we may need to break confidentiality without your consent to help you stay safe. We will try to get your consent first but this may not always be possible (Rn. 23).]

Beklagte kontaktierte selbstständig Hausarzt des Klägers

Diese Regelung wurde mit dem Kläger auch bei seinem Aufnahmegespräch mit der ihm zugewiesenen Therapeutin, Frau Lambe, Ende Juli 2016 besprochen. Der Kläger akzeptierte diese Regelung mündlich (Rn. 26). Im Aufnahmegespräch stellte sich zudem heraus, dass der Konsum illegaler Drogen durch den Kläger so gravierend war, dass die von ihm beantragte Gesprächstherapie keinen Sinn ergeben würde, jedoch eine Drogen- und Alkoholtherapie in Frage käme (Rn. 40).

Der Kläger hatte im Aufnahmegespräch immer wieder geäußert, dass er eine lange Geschichte von Drogenmissbrauch und selbstverletzendem Verhalten habe. Die Intensität des Gedankens, sich selbst töten zu wollen, schätzte er auf einer Skala von 0 bis 10 selbst als „8“ ein (Rn. 32).

Am selben Tag rief die Therapeutin Frau Lambe von der LGBT Foundation beim Hausarzt (general practitioner – GP) des Klägers an und verständigte die dortige medizinische Fachangestellte (Arzthelferin) über den Inhalt des Gespräches. Die medizinische Fachangestellte notierte unter anderem Folgendes in der Patientenakte des Klägers (hier in Übersetzung):

„David [der Kläger] hat zugegeben, dass er [Angabe aus Persönlichkeitsschutzgründen im Urteil gelöscht] nimmt. Er erklärte, dass er diese im Rahmen einer Bewältigungsstrategie einnimmt, aber dass diese Einnahme auch eine Art ist, sich selbst zu verletzen. Er gab an, dass er am vergangenen Donnerstag Suizidgedanken hatte. Er macht jedoch die Einnahme der Drogen dafür verantwortlich.“

[David admitted he was using [deletion], he stated he uses them as a coping strategy but also stated it is a way of self-harming. He said he had suicidal thoughts last Thursday but blames the drugs for him feeling this way (Rn. 47).]

Ziel: Schadensersatz aufgrund von Datenschutzverletzung

Im Jahre 2018 trat sowohl die DSGVO als auch das darauf basierende britische Datenschutzgesetz von 2018 (Data Protection Act 2018) in Kraft. Im Juli 2016 galt dagegen für den Bereich Datenschutz noch das britische Datenschutzgesetz von 1998 (Data Protection Act 1998 – DPA 1998). Der Kläger stützte sich unter anderem auf dieses Gesetz und reichte wegen „unrechtmäßiger Offenlegung sensibler personenbezogener Daten“ in Bezug auf sein Sexualleben und seinen seelischen Gesundheitszustand Klage ein (unlawful disclosure of „sensitive personal data“ concerning his sexual life and mental health) (Rn. 53).

Die Klage verfolgte auch den Zweck, finanziellen Schadensersatz geltend zu machen. Herr Scott war bis einschließlich 2016 als Berater für nukleare Sicherheit tätig. In diesem Zusammenhang musste er sich regelmäßig Sicherheitsüberprüfungen durch die britische Behörde für Sicherheitsüberprüfungen unterziehen (United Kingdom Security Vetting – UKSV; im Urteil fälschlicherweise als UKVS abgekürzt).

Die Patientenakte seines Hausarztes würde von der genannten Behörde im Rahmen der Sicherheitsüberprüfungen eingesehen, so dass seine berufliche Karriere wegen der Offenlegung der LGBT-Stiftung „nun ruiniert“ sei (Rn. 8).

Interessant ist hier, dass § 1 Abs. 1 Buchst. c des britischen Datenschutzgesetzes von 1998 Folgendes als sachlichen Anwendungsbereich des Gesetzes definiert: „Informationen, die mit der Absicht aufgezeichnet werden, sie mit automatisierten und von Menschen gesteuerten Einrichtungen zu verarbeiten“ (information which is recorded with the intention that it should be processed by means of such equipment [= equipment operating automatically in response to instructions given for that purpose]). Dies entspricht ungefähr dem sachlichen Anwendungsbereich der DSGVO in Art. 2 Abs. 1.

Kläger: Das menschliche Gedächtnis zeichnet Daten auf

Der Kläger argumentierte im Kern, dass die im Gehirn von Frau Lambe (der Mitarbeiterin der LGBT Foundation) vorhandenen Informationen von ihr im Gedächtnis mit dem Ziel gespeichert oder aufgezeichnet worden waren, sie zu gegebener Zeit in einem automatisierten Datei- bzw. Ablagesystem zu speichern bzw. abzulegen. Daher seien diese Informationen schützenswerte Daten im Sinne der Datenschutzgesetzgebung. (Mr Scott sought to argue that the material was in effect „stored“ in Ms Lambe’s mind with a view or intention to it being put into an automated record/filing system in due course, and therefore it was data” as defined in the DPA) (Rn. 62).

Der Vorsitzende Richter am High Court of England and Wales (EWHC) Sir Pushpinder Saini wies diese Einlassung jedoch zurück. Das Vorbringen stimme nicht mit der Systematik des britischen Datenschutzgesetzes von 1998 überein (this submission does not fit within the DPA scheme) (Rn. 62).

Im Gegenteil: „Eine verbale Offenlegung stellt keine Verarbeitung personenbezogener Daten dar.“ (a verbal disclosure does not constitute the processing of personal data) (Rn. 61). „Das britische Datenschutzgesetz von 1998 findet auf rein verbale Kommunikation keine Anwendung“ (the DPA does not apply to purely verbal communications) (Rn. 55).

Laut dem Blog der Londoner Anwaltskanzlei des Verteidigers der beklagten LGBT Foundation gelten diese vom Gericht aufgestellten Grundsätze sinngemäß auch für den sachlichen Anwendungsbereich von Art. 2 Abs. 1 DSGVO (automatisierte Verarbeitung oder zumindest Speicherung) (the reason [for rejecting the claim for breach of the DPA 1998] is that data, as defined in section 1 of the DPA and Article 2(1) of the GDPR, needs to be recorded in electronic or manual form) (Quelle: Link in diesem Absatz). Die DSGVO ist derzeit – und zumindest noch bis 31. Dezember 2020 („Brexit“) – in Großbritannien in Kraft.

Der Anwalt Christopher Knight, ein Kollege des Anwalts der Beklagten, merkte in diesem Blogeintrag an: „Wir wussten ja schon immer mehr oder weniger, dass das britische Datenschutzgesetz von 1998 nicht auf von Menschen mündlich Geäußertes anwendbar ist. Sich jedoch auf eine autoritative Quelle zu beziehen, die dies bestimmt hätte, war schon schwieriger. Glücklicherweise haben wir jetzt solch eine Quelle: Scott v LGBT Foundation Ltd.“(We all sort of know that the Data Protection Act 1998 didn’t apply to stuff people say orally, don’t we? But pointing to an authority that said so is rather harder. Luckily, now we have one: Scott v LGBT Foundation Ltd.)

Datenschutz dreht sich um Akten und Datensätze

Der Kläger merkte während des Verfahrens an, dass eine solch enge Definition von Daten „unfair“ sei (Rn. 63). Die Offenlegung sensibler privater Informationen würde nur deshalb nicht vom Datenschutzgesetz abgedeckt, weil diese Offenlegung verbal und aus dem Gedächtnis erfolgt sei. Der Vorsitzende Richter Saini wies in seiner Entscheidung jedoch darauf hin, dass das Datenschutzgesetz eben eine spezifische Systematik aufweise, die sich um „Akten, Aufzeichnungen und Datensätze sowie die Verarbeitung von Informationen drehe“ (but that is not what the DPA is concerned with: it is a very specific scheme based around records and processing) (Rn. 63).

Andere rechtliche Bereiche, insbesondere die Gesetzgebung im Bereich von Vertraulichkeit und Verschwiegenheitspflichten (the law of confidentiality), könnten durchaus auf den vorliegenden Fall Anwendung finden. Ein solcher Anspruch scheitere jedoch an der vom Kläger unterschriebenen Einschränkung der an und für sich geltenden Pflicht zur Verschwiegenheit, die deshalb in Bezug auf seinen Hausarzt in bestimmter und eingeschränkter Hinsicht nicht gelte (the duty of confidence which was undoubtedly owed to Mr Scott had a qualifier to confidentiality, or „carve out, which permitted the very limited Disclosure to his GP) (Rn. 63).

Die Klage wurde in vollem Umfang abgewiesen (Rn. 108).

Zwar war das menschliche Gehirn sicher das Modell für die Erfindung von Registraturen und des Computers. Trotz dieser Ähnlichkeit ist es – zumindest nach englischer Rechtsprechung – aber keine „Verarbeitungseinrichtung“ und auch kein „Ablageort“ oder „Speichersystem“, und die im Gedächtnis vorhandenen Informationen sind daher auch keine „Daten“ im Sinne der Datenschutzgesetzgebung. Menschen, die Angst vor einer Zukunft haben, die von Cyborgs bestimmt wird, können aufatmen: Zumindest in dieser Hinsicht gibt es eine klare Trennung zwischen Mensch und Maschine.

Edward Viesel

Hinweis: Die Originalzitate wurden aus Gründen der besseren Lesbarkeit in der Regel ohne Hinzufügen von Auslassungszeichen gekürzt oder angepasst. Außerdem kann im Einzelfall der Numerus an den deutschen Text angepasst worden sein. Im Falle von Unklarheiten nehmen Sie bitte Bezug auf das im Text verlinkte Originalurteil (HTML sowie PDF-Datei unter „Printable PDF version).

EN| Things Aren’t What They Used to Be for German Comedian’s Heirs

A work” within the meaning of copyright law has to display a certain degree of singularity, originality or individuality, something which is also called the threshold of originality”. But how original is a simple, isolated line from a comedy sketch, in which a character states that it used to be better in the good old days”—albeit in a slightly different wording, referring to the average amount of tinsel hung on a typical German Christmas tree? Not original enough”, was Munich Higher Regional Court’s verdict in 2019, allowing T-shirts bearing the quotation to be produced without requiring a licence from the author’s heirs, nor any payment of royalties.

The German comedian simply known as Loriot spent a working lifetime making fun of Germany’s stuffy petite bourgeoisie, but in such a sympathetic way that he became a much-loved national institution. In a well-known and probably still often viewed comedy sketch, Zimmerverwüstung [Destruction of a room] (1976), for instance, a sales representative pays a call to a mansion; he is shown into the parlour and asked to wait. Being a fussy person, he attempts to straighten out a picture hung on the wall. He fails, and sets off a destructive chain reaction in his attempt to put things right. When the maid reenters the parlour, he points to the completely devastated room and utters the only words of the sketch: “Das Bild hängt schief” (“the picture is hung crookedly”), which soon became a turn of phrase in German.

Another famous quotation is “Früher war mehr Lametta!” (“there used to be more tinsel in the good old days!”), from the sketch Weihnachten bei Hoppenstedts [Christmas Eve at the Hoppenstedts] (1978). The words are uttered by Grandpa Hoppenstedt, who likes Prussian march music, receiving his presents quickly and without too much festive rigmarole, and is obviously unimpressed by society’s progress. “Lametta” are strips of shiny foil that are traditionally draped over the branches of German Christmas trees to give them a festive sparkle; tinsel not attached to thread, is Wikipedia’s definition. Today the phrase “Früher war mehr Lametta!” is simply used as a humorous way of saying “things aren’t what they used to be”. Loriot, actually Bernhard-Viktor Christoph-Carl von Bülow, died in 2011.

The case under discussion was based on the fact that a company had been selling T-shirts displaying the words “Früher war mehr Lametta” via their online shop. Loriot’s heirs sent the T-shirt merchant a cease-and-desist letter (Abmahnung), based on their copyright to the catch phrase, and asked the merchant to sign a cease-and-desist declaration with penalty clause (strafbewehrte Unterlassungserklärung). The merchant refused to sign such a declaration, but said in a non-committal way that he would stop selling “certain [T-shirt] designs”. Nonetheless, very soon the “Früher war mehr Lametta” T-shirts were back on sale again, as the claimants said they were able to ascertain by browsing the online shop. Loriot’s heirs (his two daughters) then decided to initiate action for a provisional injunction with Munich Regional Court (Landgericht München).

When Munich Regional Court refused to grant an injunction, the claimants filed an appeal against the decision with Munich Higher Regional Court (Oberlandesgericht München). (The appeal was in the form of a “complaint subject to a time limit” of two to four weeks, called a sofortige Beschwerde, which is one of three legal remedies, or means of appeal, available in German civil procedure). Munich Higher Regional Court, however, sided with the lower court (order of Munich Higher Regional Court, 14 August 2019, case number: 6 W 927/19). A few days before Christmas Eve, with good timing, the court issued a press release on the outcome of the case.

Munich Higher Regional Court ruled that the combination of words—or phrase or expression (Wortfolge)—“Früher war mehr Lametta!” did not meet the requirements laid down by section 2 of the German Act on Copyright and Related Rights (Copyright Act) [Gesetz über Urheberrecht und verwandte Schutzrechte]. The mere words in this particular order did not constitute a “literary work” within the meaning of number 1 of subsection 1 of section 2 of the Copyright Act. In contrast, the claimants stated in their statement of claim (Antragsschrift) that “even though the phrase is rather short, it is still an imaginative and apt way of putting the notion in a nutshell that everything used to be better in the good old days” (die Wortfolge bringe trotz ihrer Kürze die Aussage phantasievoll und treffend auf den Punkt, dass früher alles besser gewesen sei).

Munich Higher Regional Court, again, did not agree. The expression was only distinctive and original when it was embedded in the sketch, and its distinctiveness and originality (Besonderheit und Originalität) only stemmed from the comedy of the situation depicted (durch die Einbettung in den Sketch und die Situationskomik). If one ignored the circumstances of its utterance and the fact that the expression had been used by the well-known and distinguished artist Loriot, then the sentence was rather commonplace and trivial (eher alltäglich und belanglos): it either simply stated that one used to use more tinsel (lametta) in former times, or, if one interpreted the word “lametta” as a metaphor, that in times gone by there had been more decoration, splendour, festive spirit, or the like.

The claimants also argued that the expression “Früher war mehr Lametta!” (literally: “in former times there was more tinsel”) also met the requirements for originality at the very least because it displayed “grammatical originality” (grammatikalische Originalität). The expression was not used in this way in everyday speech, it was (grammatically) incorrect and, strictly speaking, it did not make sense (finde nicht alltägliche Verwendung, sei nicht korrekt und ergebe an sich keinen Sinn). The combination of words in dispute did not follow the rules of semantics: the verb “to be” was combined with the comparative “more” and with a fairly random noun.

In dismissing this line of argument, the appeal court opined that ordinary and everyday language did not always follow the rules of semantics either, therefore there was nothing particularly original about deviating (abweichen) from such rules. The fact that the expression in dispute stood in contrast to grammatically correct versions of the expression, e.g. “Früher gab es mehr Lametta” (“there used to be [instead of ‘there was’] more tinsel in former times”), did not confer the “required characteristics of a ‘work’” (geforderte Werkqualität) on the contested phrase.

In their statement of claim, the claimants conceded that the interpretation of the expression in dispute hinged on its basic meaning, i.e. that “things aren’t what they used to be” (früher war alles besser”). But the claimants went on to state in their pleading that the expression was characterised by originality because it exposed the notion that “everything was better in the good old days” to ridicule (die Ansicht, früher sei alles besser gewesen, werde der Lächerlichkeit preisgegeben).

Addtionally, the claimants stated, since the grammar was wrong and the statement was ridiculous, this simple-sounding expression robbed the general notion of “things not being what they used to be” of all authority and exposed the notion for what it was: a criticism of contemporary times that was devoid of all substance (die Ansicht werde ihrer Autorität völlig beraubt, weil die scheinbare Gegenwartskritik als bloße, inhaltsleere Kritik entlarvt werde).

However, the court termed this kind of approach an “overinterpretation” (Überinterpretation). For such a generalised sociocritical interpretation of the expression to hold, an interpretation still had to be convincing if the expression was analysed out of its original context within the Loriot sketch (eine Überinterpretation” der streitgegenständlichen Wortfolge, losgelöst von dem Sketch, in den sie eingebettet ist). The appeal court sided with the lower court in ruling, in effect, that the expression itself—without context—did not provide a basis for such a far-reaching interpretation.

As no complaint on points of law (Rechtsbeschwerde) was possible, the means of appeal had been exhausted and the order issued was final and binding. Since semantic and grammatical arguments failed to impress Munich Higher Regional Court, it seems that, for the claimaints, things (i.e. royalty payments) just might not be what they used to be.

Edward Viesel

Please note: in order to improve readability of this article, when quoting from German court decisions in the original German, I have often shortened phrases or adapted them to the present English-language text without indicating such changes. Please refer to the original source provided as a link if in doubt.

EN| German Courts Rule on Whether Uber’s Business Model Is Legal in Germany

The service, or rather non-service, of a provisional injunction issued by Cologne Regional Court led to heated discussions on German-language news websites and blogs in October and November 2019. Uber refused to accept the court documents citing Regulation (EC) No 1393/2007, because the provisional injunction was in a language the company doesn’t understand (i.e. German). The documents were to be served on Uber in the Netherlands because the ride-hailing company’s European headquarters are in Amsterdam. In the end, a Dutch translation was made and served, but the questions whether Uber’s services are legal in Germany under competition law, whether Uber needs a taxicab licence to operate there, or whether Uber is allowed to operate its business model in Germany at all, remain interesting, both from a legal and from a linguistic point of view.

The bone of contention in the Uber case currently before Cologne Regional Court (Landgericht Köln) was the use of the company’s basic UberX app in Germany, whose rollout was announced for Berlin, Munich, Düsseldorf, Frankfurt, Cologne and Hamburg in June 2018. The full wording of the July 2019 injunction has yet to be published.. According to German-language Legal Tribune Online (LTO), Cologne Regional Court issued a provisional injunction (einstweilige Verfügung), prohibiting Uber from using its UberX app for brokering journeys (rides) with private hire cars—or minicabs as they are called in parts of Great Britain.

The type of passenger transport service termed a “private hire car” is defined by Wikipedia as a “a car with a driver available for hire only on a pre-booked basis”. The term vehicle for hire, on the other hand, also includes taxicabs, mostly just called “taxis”, which at least in Germany can also be hailed in the street. In contrast to most other countries, Uber currently does not broker rides with non-professional drivers in Germany, because the law is stricter there than in other countries. Uber currently only brokers rides with private hire car companies in Germany that employ professional drivers and are fully and commercially insured. This restricted business model, which resulted from various rulings by German courts against UberPop and UberBLACK in 2015 and 2017, also applies to the company’s UberX app.

The relevant German law with regard to passenger transport of the type Uber currently offers is the Personenbeförderungsgesetz [German Passenger Transport Act]. Section 49 regulates “transportation […] with private hire cars” (Verkehr […] mit Mietwagen), among other types of transportation. Many German laws have been semi-officially translated into English in the past, often in a thoroughly thought-through manner that is perhaps not always very easy to understand. These translations are commissioned by the German Federal Ministry of Justice and published on its website Gesetze im Internet [Statutes on the internet] at no charge. Sadly, the Personenbeförderungsgesetz is not among the laws translated. The relevant passage (subsection (4) of section 49) that regulates transportation by private hire car (Verkehr mit Mietwagen) might be translated as follows:

EN| “Transportation by private hire car means the transporting of passengers by means of a passenger car that may only be hired as a whole for the purposes of transportation, and which the entrepreneur [i.e. the hirer out; E.V.] uses to carry out journeys whose purpose, destination and course is determined by the hirer, and which are not ‘transportation by taxicab’ pursuant to section 47. It is only permissible to carry out a transport order by private hire car if such a contract is concluded at the entrepreneur’s place of business [Betriebssitz] or his dwelling place [Wohnung]. After the transport order has been completed, the private hire car must return to the place of business without undue delay, provided the car did not receive a further transport order from the place of business or the entrepreneuer’s dwelling place before the journey started, or does not receive a further transport order by telephone [fernmündlich] during its journey.”

DE| “Verkehr mit Mietwagen ist die Beförderung von Personen mit Personenkraftwagen, die nur im ganzen zur Beförderung gemietet werden und mit denen der Unternehmer Fahrten ausführt, deren Zweck, Ziel und Ablauf der Mieter bestimmt und die nicht Verkehr mit Taxen nach § 47 sind. Mit Mietwagen dürfen nur Beförderungsaufträge ausgeführt werden, die am Betriebssitz oder in der Wohnung des Unternehmers eingegangen sind. Nach Ausführung des Beförderungsauftrags hat der Mietwagen unverzüglich zum Betriebssitz zurückzukehren, es sei denn, er hat vor der Fahrt von seinem Betriebssitz oder der Wohnung oder während der Fahrt fernmündlich einen neuen Beförderungsauftrages erhalten.” (Source)

Do Uber drivers receive transport orders “by telephone” while driving along the road? The adverb “fernmündlich” used in the law (literally: “orally over a long distance”) is a word from the legal and bureaucratic sphere that simply means “by telephone”. A smartphone is a “class of mobile phones”, and a mobile phone is a “portable telephone”, according to Wikipedia, so any Uber contractor should be in the clear, at least in this regard, when he or she uses an Uber app, because they are “receiving a further transport order by telephone during their journey”. This interpretation was upheld by the German Federal Court of Justice (Bundesgerichtshof – BGH) in its ruling of 13 December 2018 (case number: I ZR 3/16 – “Uber Black II” decision) with regard to the UberBLACK app (which provides transport services with luxury vehicles).

The court stated that, due to technical progress, any “transmission by telephone” should be deemed to include “emails, text messages, or other means of mobile communication”. (Dabei erfasst der Übermittlungsweg „fernmündlich“ im Hinblick auf die zwischenzeitliche technische Entwicklung ohne weiteres auch die Benachrichtigung des Fahrers per E-Mail, SMS oder auf einem anderen Weg mobiler Kommunikation; marginal number 33.)

However, in its decision (marginal number 34), the German Federal Court of Justice also ruled that transport orders for private hire cars that were received “by telephone” had to be “received at the entrepreneur’s place of business first” (erteile Beförderungsaufträge müssen zunächst am Betriebssitz des Unternehmers eingehen). If the driver was informed about the transport order “in a direct manner and at the same time as the entrepreneur’s place of business is informed” (wenn der Fahrer unmittelbar und gleichzeitig mit dem Betriebssitz über einen Beförderungsauftrag unterrichtet wird), then the business model would fail to conform to the second sentence of section 49(4) Personenbeförderungsgesetz.

In agreeing with Berlin Higher Regional Court (Kammergericht), the German Federal Court of Justice also defined what the verb “to receive” (eingehen) meant with regard to transport orders. The court initially stated that the driver of a private hire car (der Fahrer eines Mietwagens) was bound to his place of business not only by the requirement to return to it after each journey, but also in terms of communications (kommunikationstechnisch an den Betriebssitz gebunden). The law only provided for an exception to the requirement that the driver should return to his actual place of business after fulfilling an order where a further order was forwarded to him during the course of his current journey. However, this “forwarded order had first to be received at the place of business” (nur wenn ein zuvor am Betriebssitz eingegangener Auftrag weitergeleitet werde; marginal number 14).

The court additionally agreed with Berlin Higher Regional Court, the lower court, that an order exclusively counts as having been “received” (eingegangen) if it is “accepted by a (natural) person or is recorded, for example by an answering machine” (durch eine Person angenommen oder etwa durch einen Anrufbeantworter aufgezeichnet werde; marginal number 14). Furthermore, the private hire car business-model did not allow orders to be placed “via direct communications between a (prospective) passenger and the driver, without a further person at the company’s place of business being involved in these communications” (unmittelbare Kontaktaufnahme zwischen Fahrgast und Fahrer ohne Einschaltung einer weiteren Person am Betriebssitz des Unternehmens; marginal number 14).

Uber stopped providing its UberBLACK services in Germany in 2014, according to German news website Der Spiegel. Nonetheless the company tried to keep the service potentially legal by fighting all the way to the German Federal Court of Justice, which then finally decided the case in the “Uber Black II” decision of December 2018 mentioned above.

According to German-language website Taxi Times, Uber changed its mode of operation for UberX, its basic-service app, in an attempt to comply with the December 2018 ruling. Taxi Times reported that since January 2019 Uber has been emailing any German order received on its system to the private hire car company’s place of business first. After a lag of 30 seconds, Uber then forwards the order to the driver’s mobile device. Whether this is enough to meet the requirement that a private hire car has to be “bound to its place of business in terms of communications” (kommunikationstechnisch an den Betriebssitz gebunden) surely remains an open question.

In December 2019, Uber lost a further German case, this time before Frankfurt Regional Court (Landgericht Frankfurt am Main). The court ordered Uber to stop operating its services in the way it had been providing them in Germany on the grounds that Uber’s business practices constituted unfair competition (wettbewerbswidrig) (judgment of 19 December 2019, case number: 3-08 O 44/19). One aspect of the case was the “requirement to return to the place of business”, which the claimant (an association of taxi offices) claimed was being ignored by many Uber contractors in practice.

According to German-language Legal Tribune Online (LTO), Uber swiftly introduced changes to its operational model immediately after the December 2019 ruling (a hearing in November 2019 had sent “signals” that it might lose the case, the company said). Any private hire car driver commissioned by Uber will have to be “on their way back to their place of business” when they accept a further order, not waiting somewhere. Additionally, the “requirement to return” will be checked automatically by the Uber system; infringing drivers will be excluded from working with Uber.

The case before Cologne Regional Court mentioned at the beginning of this article has yet to be finally decided. The fight Uber vs. German taxi drivers over the interpretation of section 49(4) of the German Passenger Transport Act continues.

Edward Viesel

Please note: in order to improve readability of this article, when quoting from German court decisions in the original German, I have often shortened phrases or adapted them to the present English-language text without indicating such changes.

DE| Für welche Unternehmen gilt das CCPA?

Am 1. Januar 2020 ist das California Consumer Privacy Act (CCPA) (Verbraucherdatenschutzgesetz) in Kraft getreten, das in Kalifornien wohnhaften natürlichen Personen einen umfangreichen Schutz der personenbezogenen Daten ermöglicht. Geschützt werden die Belange der kalifornischen „Verbraucher jedoch vom Grundsatz her nur gegenüber dort tätigen Unternehmen.

Das neue kalifornische Verbraucherdatenschutzgesetz verpflichtet Unternehmen zu besonderen datenschutzrechtlichen Maßnahmen, um die Belange der Verbraucher (consumers) zu wahren. Das Gesetz wurde als Titel 1.81.5. in das kalifornische Zivilgesetzbuch (Civil Code of California – CCC) eingefügt und umfasst dort §§ 1798.100. bis 1798.199. Ob ein Unternehmen in Europa unmittelbar oder mittelbar von den Regelungen des CCPA erfasst wird, kann im Einzelfall zweifelhaft sein. Die folgenden Ausführungen erläutern die gesetzlichen Vorschriften – auch aus dem Blickwinkel ihrer Übersetzung ins Deutsche – und bieten einen Überblick über die auf englischsprachigen Internetseiten vertretenen Auffassungen zu den Auswirkungen dieses Gesetzes.

Anwendungsbereich des CCPA

Die Verpflichtungen des kalifornischen Verbraucherdatenschutzgesetz (CCPA) gelten nur für Einzelunternehmen und juristische Personen, die in Kalifornien geschäftlich und gewinnorientiert tätig sind (organized or operated for the profit or financial benefit of its shareholders or other owners [… and] that do business in the State of California) (§ 1798.140.(c)(1) CCC), wobei hier zu beachten ist, dass eine Zweigniederlassung oder eine Vertriebsstelle auf jeden Fall ausreicht. Es wird auch die Meinung vertreten, dass ein Unternehmen gar keine physische Präsenz oder Mitarbeiter in Kalifornien haben muss, sondern dass es genügt, wenn das Unternehmen dort nur „geschäftlich tätig“ ist (does business), also beispielsweise von Deutschland aus Marketingdienstleistungen über das Internet erbringt, die sich unter anderem an in Kalifornien wohnhafte Verbraucher richten.

Andere nehmen an, dass gemäß der kalifornischen Abgabenordnung (California Revenue and Taxation Code) eine „Erheblichkeitsgrenze“ gilt, nach der beispielsweise ein Unternehmen mehr als 500.000 US-Dollar Jahresumsatz in Kalifornien oder über 25 Prozent seines gesamten Umsatzes dort erzielen muss – je nachdem, was geringer ist –, um als in Kalifornien „geschäftlich tätig“ zu gelten („a business is doing business in California if sales exceed the lesser of $500,000 or 25% of the business’s total sales).

Zudem müssen die betreffenden Unternehmen personenbezogene Daten von Verbrauchern erheben und dazu Zweck und Art der Datenverarbeitung bestimmen (collect consumers’ personal information and […] determine the purposes and means of the processing) (§ 1798.140.(c)(1) CCC). Der im CCPA verwendete Begriff „personal information“ meint dasselbe wie der Begriff „personal data“ in der englischsprachigen Fassung von Art. 4 Abs.1 Datenschutz-Grundverordnung (DSGVO) „Personal information“ ist ein Synonym für „personal data“ („personenbezogene Daten“).

Nach dem CCPA ist Verbraucher jede natürliche Person, die in Kalifornien im Sinne der Verwaltungsvorschriften „wohnhaft“ ist (a natural person who is a California resident, as defined in […] the California Code of Regulations) (§ 1798.140.(g) CCC). Ist die Person in Kalifornien steuerlich veranlagt, mittlerweile jedoch woanders wohnhaft, reicht das für die Anwendung des CCPA aus.

Wie definiert das CCPA personenbezogene Daten?

Das CCPA versteht unter „personenbezogenen Daten“ sämtliche „Daten, die einen bestimmten Verbraucher oder einen bestimmten Haushalt identifizieren oder mit ihm zusammenhängen oder ihn beschreiben oder die auf nachvollziehbare Weise dazu geeignet sind, eine Verbindung zwischen den Daten und dem Verbraucher oder dem Haushalt herzustellen, oder auf nachvollziehbare Weise dazu geeignet sind, die Herstellung einer solchen Verbindung unmittelbar oder mittelbar zu ermöglichen“ (personal information” means information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household) (§ 1798.140.(o)(1) CCC).

Ausnahmen von der Anwendung des CCPA für kleinere und nicht sehr aktiv im Verbrauchergeschäft tätige Unternehmen

Grundsätzlich gilt das CCPA für sämtliche in Kalifornien tätige Unternehmen, die personenbezogene Daten von Verbrauchern erheben und verarbeiten. Es gibt jedoch Ausnahmeregelungen für kleinere Unternehmen, die kaum im Verbrauchergeschäft tätig sind und nur geringfügig oder gar nicht mit dem direkten Verkauf von Verbraucherdaten Erlöse erzielen. Unternehmen, auf die das CCPA Anwendung findet, müssen mindestens eine der drei folgenden Bedingungen erfüllen (satisfy one or more of the following thresholds) (§ 1798.140.(c)(1) CCC):

1. Das Unternehmen erzielt mehr als 25 Millionen US-Dollar Jahresumsatz (annual gross revenues) (§ 1798.140.(c)(1)(A) CCC), wobei zu beachten ist, dass diese Grenze (threshold) für den Bruttoerlös alle zwei Jahre (in den ungeraden Jahren, also bereits 2021) gemäß § 1798.185.(a)(5) CCC an den Anstieg des (kalifornischen) Verbraucherpreisindex (Consumer Price Index) angepasst wird. Hier sollte man auch beachten, dass, anders als in manchen deutschsprachigen Hinweisen vermutet, nicht der Gewinn, sondern der Umsatz (Erlös) gemeint ist. Die Schwelle ist nicht besonders hoch. Umgerechnet 23 Millionen Euro Jahresumsatz schaffen heute durchaus bereits Unternehmen mit 100 Mitarbeitern. Der kalifornische Gesetzgeber wollte also mit dieser Bedingung eher Klein- und Kleinstunternehmen vom Anwendungsbereich des Gesetzes ausschließen. Es ist allerdings nicht geklärt, ob diese Grenze nur für die geschäftliche Tätigkeit in Kalifornien oder darüber hinaus beispielsweise auch für den Gesamtumsatz eines Konzerns gilt. Vermutet wird zumeist, dass der Gesamtumsatz eines Konzerns gemeint ist.

2. Es handelt sich um ein Unternehmen, das alleine oder zusammen mit geschäftlichen Partnern (alone or in combination) im Rahmen seiner geschäftlichen Tätigkeit (in Kalifornien) pro Jahr personenbezogene Daten (personal information) von mindestens 50.000 Verbrauchern, Haushalten oder Geräten von Verbrauchern oder Haushalten (50,000 or more consumers, households, or devices) kauft, erhält, verkauft oder weitergibt (buys, receives, sells or shares) (§ 1798.140.(c)(1)(B) CCC).

3. Das Unternehmen erzielt mindestens die Hälfte seines Jahreserlöses mit dem Verkauf von personenbezogenen Daten von Verbrauchern (derives 50 percent or more of its annual revenues from selling consumers’ personal information) (§ 1798.140.(c)(1)(C) CCC). Für Unternehmen, die überwiegend im Geschäft mit dem Daten- oder Adresshandel tätig sind (beispielsweise Telemarketing-Agenturen, Agenturen für Internetmarketing, Betreiber von Kundenbindungsprogrammen oder Wirtschaftsauskunfteien), gelten keine Ausnahmen auf Grundlage des geringen Umsatzes oder der geringfügigen Datenerhebungstätigkeit.

Gelten die Datenschutzrechte des CCPA auch für Arbeitnehmer?

Da jede natürliche Person, die in Kalifornien wohnhaft ist (§ 1798.140.(g) CCC) oder steuerlich veranlagt wird, „Verbraucher“ ist (siehe oben), wurde die Meinung vertreten, dass das CCPA in seiner ersten Fassung grundsätzlich auch für kalifornische Arbeitnehmer in Bezug auf ihren in Kalifornien tätigen Arbeitgeber galt. Auch in dieser Rechtsbeziehung werden personenbezogene Daten von natürlichen Personen erhoben und verarbeitet, so dass Mitarbeiter auf Basis des CCPA ihre personenbezogenen Daten hätten schützen können. Für das deutsche Recht kommen die Kommentierungen zu § 13 BGB bei der Frage, ob ein Arbeitnehmer „Verbraucher“ sein kann, zu ähnlichen Ergebnissen.

Im Herbst 2019, also vor Inkrafttreten des CCPA, wurde jedoch bereits eine Gesetzesänderung verabschiedet, die die Anwendung dieses Gesetzes in Bezug auf Bewerber, Arbeitnehmer, Vorstandsmitglieder und Geschäftsführer, leitende Angestellte, medizinisches Personal und Auftragnehmer eines Unternehmens weitgehend einschränkt, sofern die personenbezogenen Daten in Hinsicht auf diese konkrete Rolle des „Verbrauchers“ erhoben werden (personal information that is collected by a business about a natural person in the course of the natural person acting as a job applicant to, an employee of, owner of, director of, officer of, medical staff member of, or contractor of that business) (§ 1798.145.(h)(1)(A) CCC).

Die Gesetzeskraft dieser einschränkenden Bestimmung endet jedoch bereits am 1. Januar 2021 (sog. „sunset clause“ oder Auslaufklausel in § 1798.145.(g)(4) CCC). Über neue Gesetzesvorhaben in 2020 oder 2021 zu diesem Thema wird spekuliert. Falls der kalifornische Gesetzgeber jedoch keine entsprechende neue gesetzliche Bestimmung erlässt, würde das CCPA ab 1. Januar 2021 wohl für kalifornische Arbeitnehmer und deren Arbeitgeber gelten. Bestimmte andere Arbeitnehmerrechte unter dem CCPA bleiben jedoch auch von der oben genannten Einschränkung unberührt, beispielsweise das Recht, eine „Auskunft bei Datenerhebung“ (Notice at Collection) zu erhalten, welche den Arbeitnehmer über die erhobenen Datenkategorien und die Nutzung der Daten informiert.

Auf Auftragsverarbeiter und sonstige Datenverarbeiter in Europa könnten neue vertragliche Regelungen aufgrund des CCPA zukommen

Das CCPA verpflichtet grundsätzlich nur die in Kalifornien geschäftlich tätigen Unternehmen. Europäische Firmen, die für in Kalifornien tätige Unternehmen bestimmte Daten verarbeiten, könnten allerdings von Regelungen des CCPA über die Haftung von Auftragsverarbeitern oder von sonstigen Datenverarbeitern betroffen sein. Die DSGVO bezeichnet Unternehmen, die im Auftrag eines Verantwortlichen Daten verarbeiten, als „Auftragsverarbeiter“ (processor) (vgl. Art. 28 DSGVO (EN) und – die Haftung betreffend – Art. 82 Abs. 2 S. 2 DSGVO (DE)). Das CCPA unterscheidet dagegen zwischen „Dienstleistern“ (service providers) gemäß § 1798.140.(v) i.V.m. § 1798.140.(w)(2) CCC und „Dritten“ (third parties) bzw. „Personen“ (persons) gemäß § 1798.140.(w)(2). Im Internet wurde daher bereits zwischen „service provider“ (ein Unternehmen, das Daten im Auftrag eines anderen Unternehmens gemäß schriftlichem Vertrag über die Datenverarbeitung verarbeitet) und einer „1798.140(w)(2) person“ (einem Dritten) unterschieden.

Im Internet ist zudem die Meinung vertreten worden, dass ein Auftragsverarbeiter („service provider“ gemäß § 1798.140.(v) CCC), der Daten über die „operativen Erfordernisse“ (operational needs) des Auftraggebers hinaus (und damit vertragswidrig) nutzt, automatisch in Bezug auf diese Daten den mit höherem Haftungsrisiko einhergehenden third-party-Status erhält. Unter operativen Erfordernissen werden beispielsweise die Buchführung oder die Bestell- und Zahlungsabwicklung genannt. Die operativen Erfordernisse werden auch als „‘business purpose‘ for which the service provider was retained“ („der geschäftliche Zweck, für den der Dienstleister beauftragt wurde“) bezeichnet.

Der Begriff des „geschäftlichen Zwecks“ ist deshalb wichtig, weil ein Verkauf von Daten im Rahmen des „geschäftlichen Zwecks“ (business purpose) kein „Verkauf“ im Sinne des CCPA ist, da § 1798.140.(t)(2)(C)(ii) CCC bestimmt: „Ein Unternehmen verkauft keine personenbezogenen Daten, wenn der Dienstleister (service provider) die personenbezogenen Daten des Verbrauchers nicht über das für die Durchführung des geschäftlichen Zwecks notwendige Maß hinaus erhebt, verkauft oder nutzt“ (a business does not sell personal information when the service provider does not further collect, sell, or use the personal information of the consumer except as necessary to perform the business purpose).

Was ist ein service provider gemäß dem CCPA?

Ein „Dienstleister“ (service provider) gemäß dem CCPA ist ein Unternehmen, das im Auftrag eines anderen Unternehmens (on behalf of a business) Daten verarbeitet und sich durch schriftlichen Vertrag (pursuant to a written contract) verpflichtet hat, die erhaltenen personenbezogenen Daten nur zum Zweck der Durchführung der im Vertrag vereinbarten Dienstleistungen – und nicht zu anderen gemäß dem CCPA zulässigen Zwecken – zu speichern, zu verwenden oder weiterzugeben (provided that the contract prohibits the entity receiving the information from retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract for the business, or as otherwise permitted by this title) (§ 1798.140.(v)CCC).

Der Berliner Rechtsanwalt Dr. Thomas Schwenke hat darauf hingewiesen, dass in Kalifornien tätige Unternehmer – anders als unter der DSGVO – nach dem CCPA nicht für die von vertraglich verpflichteten „Dienstleistern“ (service providers) verursachten Verletzungen der CCPA-Datenschutzvorschriften haften (shall not be liable under this title; „this title = Titel 1.81.5 CCC = „California Consumer Privacy Act of 2018), sofern der Unternehmer nicht bereits bei der Weitergabe der personenbezogenen Daten Grund hatte, davon auszugehen, dass der Dienstleister (service provider) eine Verletzung des CCPA beabsichtigte (§ 1798.140.(w)(2)(B) CCC).

Für die Definition eines selbsthaftenden „Dienstleisters“ (service provider), „a person covered by this paragraph gemeint ist die gesamte Ziffer 2 (paragraph 2) von § 1798.140.(w) CCC –, wird im Absatz w (subdivision w) von § 1798.140 CCC die in Absatz v (subdivision v) enthaltene Definition eines „Dienstleisters“ um das Verbot des Verkaufs von Daten (selling the personal information) und um die Pflicht zur Unterzeichnung einer Erklärung, sämtliche Einschränkungen für Dienstleister gemäß § 1798.140.(w)(2)(A) CCC verstanden zu haben, ergänzt (a certification that the person understands the restrictions).

Wenn kalifornische Unternehmen also vermeiden wollen, für Verstöße ihrer Dienstleister (service providers) gegen das CCPA zu haften, müssen sie von Dienstleistern die Unterzeichnung von Verträgen verlangen, die an § 1798.140.(w)(2) CCC angepasst sind. Sie müssen den Dienstleistern also unter anderem den (ungerechtfertigten) Verkauf und die vertragswidrige Nutzung von Daten untersagen und sie eine Erklärung unterzeichnen lassen, dass sie sämtliche Einschränkungen verstanden haben. Nicht geklärt ist, was in diesem Zusammenhang genau unter den „Verkauf“ von Daten (bzw. das Verkaufsverbot) fällt, da die Definition des „Verkaufs“ Ausnahmen für Dienstleister enthält (wie oben ausgeführt).

Für nur in Europa tätige Unternehmen, die an in Kalifornien tätige „Dienstleister“ (service providers) (in etwa: Auftragsverarbeiter) Daten weitergeben, gibt es in Bezug auf das CCPA kaum etwas zu beachten, denn das CCPA gilt nur für in Kalifornien Daten erhebende Unternehmen. Wenn also ein deutsches Unternehmen personenbezogene Daten von in Deutschland wohnhaften Personen an einen Dienstleister in Kalifornien zur Verarbeitung sendet, werden weder das eine noch das andere Unternehmen vom CCPA erfasst (siehe FAQ 6 des Links).

Verbraucherschutzverbände und Unternehmen können im Auftrag Dritter einer Datenverarbeitung widersprechen (z.B. „Do Not Sell My Personal Information“ gemäß § 1798.135(a)(1) CCC)

Nach dem CCPA kann ein kalifornischer Verbraucher (im Sinne des Gesetzes) eine andere (natürliche oder juristische) Person damit beauftragen, in seinem Namen dem Verkauf seiner personenbezogenen Daten zu widersprechen (a consumer may authorize another person solely to opt out of the sale of the consumer’s personal information on the consumer’s behalf) (§ 1798.135(c) CCC). Ein solcher Widerspruch ist für das datenerhebende Unternehmen bindend, wobei der genaue Ablauf eines solchen Widerspruchsverfahrens durch den kalifornischen Justizminister (einer der Amtsbereiche des Attorney General des Bundesstaates) noch auf dem Verordnungswege festzulegen ist.

Diese Bestimmung ist für Verbraucherschutzverbände interessant (natürlich besonders für kalifornische oder amerikanische Verbraucherschutzverbände), da Verbraucher ihre Datenschutzrechte oft nicht in Anspruch nehmen, wenn sie persönlich aktiv werden müssen – was sicher oft an zeitlicher oder sonstiger Überforderung liegt. Umgekehrt legt es die Latte für Unternehmen höher, da sie sich im Bereich des Datenschutzes in der Regel mit sehr professionell agierenden und juristisch informierten Verbänden konfrontiert sehen werden, wenn es um den Widerspruch gegen den Verkauf von personenbezogenen Daten von kalifornischen Verbrauchern geht.

Im Internet wurde darauf hingewiesen, dass diese Regelung nicht nur für Verbände interessant ist, sondern auch bestimmten Unternehmen einen Anreiz bieten könnte, mit einer Vielzahl von „Heimarbeitern“ nach einem neuen Geschäftsmodell Geld zu verdienen: Verbrauchern, die im Bereich des Datenschutzes sensibel sind, könnte danach angeboten werden, gegen Bezahlung als deren Bevollmächtigte an eine Vielzahl von potenziellen Unternehmen mit einem Widerspruch gemäß dem CCPA gegen den Verkauf der personenbezogenen Daten heranzutreten („this may incentivize a cottage industry of companies seeking to monetize the statute by serving as agents for consumers across multiple businesses).

Welche Sanktionen sieht das CCPA vor?

Bei einem Verstoß gegen die Bestimmungen des CCPA (im folgenden Zitat „this title genannt) droht eine Geldbuße von 7.500 US-Dollar pro vorsätzlichem Verstoß (any business, service provider, or other person that violates this title shall be liable for a civil penalty of seven thousand five hundred dollars ($7,500) for each intentional violation) (§ 1798.155.(b) CCC). Bei nicht vorsätzlichen Verstößen droht eine Geldbuße bis zu 2.500 US-Dollar pro Verstoß (not more than two thousand five hundred dollars ($2,500).

Englische juristische Übersetzungen genau ausführen lassen

Insgesamt sollten in Kalifornien tätige europäische Unternehmen, die nicht primär englischsprachig sind, darauf achten, dass sämtliche in diesem Zusammenhang ins Englische übersetzten Texte der Terminologie des CCPA entsprechen und keine missverständlichen Formulierungen enthalten.

Edward Viesel

Hinweis: Die Originalzitate wurden aus Gründen der besseren Lesbarkeit in der Regel ohne Hinzufügen von Auslassungszeichen gekürzt. Außerdem kann im Einzelfall der Numerus an den deutschen Text angepasst worden sein, um die Lesbarkeit zu erhöhen.