DE| High Court: Menschliche Gedanken sind keine „Daten“ gemäß Datenschutzgesetzgebung

Das menschliche Gehirn ist kein Speicherort, und ein Gespräch per Telefon ist keine Verarbeitung personenbezogener Daten, hat nun der High Court of England and Wales (EWHC) erstmals konkret in einem Urteil aus dem März 2020 (neutrale Zitiernummer: [2020] EWHC 483 (QB)) entschieden.

Der Kläger, die Privatperson David Paul Scott, hatte sich im Juni und Juli 2016 in Manchester an die Beklagte, die LGBT Foundation [LGBT-Stiftung] gewandt. Die LGBT Foundation ist eine private Wohltätigkeitsorganisation, die Schwule, Lesben, Bisexuelle und Transgender [lesbian, gay, bisexual and transgender people – LGBT people] unterstützt und berät, vor allem hinsichtlich ihrer seelischen Gesundheit.

Der Kläger hatte in der Vergangenheit Probleme mit Drogenmissbrauch und selbstverletzendem Verhalten. Er nahm zur Zeit des streitgegenständlichen Vorfalls Medikamente ein, die aus Persönlichkeitsschutzgründen im Urteil nicht näher bezeichnet werden, deren Absetzen der Kläger jedoch selbst als lebensbedrohlich einstufte.

Bei seinem Aufnahmegespräch bei der Stiftung gab der Kläger an, er habe derzeit zwar keine Pläne sich „aktiv selbst zu töten“, aber er denke daran, die Einnahme seiner Medikamente zu beenden, „da er einfach nicht mehr leben wolle“ [He had no current plans to „actively kill“ himself, he was „seriously considering stopping taking my [deletion] meds because I just don’t want to be alive anymore“] (Rn. 20).

Im Aufnahmeformular (self-referral form) gab der Kläger außerdem unter dem folgenden (hier übersetzten) Passus die Kontaktdetails seines Hausarztes an:

„Wir weisen Sie darauf hin, dass wir im Rahmen unserer Verschwiegenheitsrichtlinien unter Umständen aus Gründen Ihrer Gesunderhaltung unsere Pflicht zur Vertraulichkeit ohne Ihre Zustimmung verletzen müssen, falls es Anlass zu schwerwiegenden Bedenken hinsichtlich Ihres Wohlergehens gibt. Falls dieser Fall eintrifft, werden wir zunächst versuchen, Ihre Zustimmung einzuholen. Dies wird aber unter Umständen nicht in jedem Falle möglich sein.“

[Please note that as part of our confidentiality policy, if there is reason to be seriously concerned about your welfare, we may need to break confidentiality without your consent to help you stay safe. We will try to get your consent first but this may not always be possible (Rn. 23).]

Diese Regelung wurde mit dem Kläger auch bei seinem Aufnahmegespräch mit der ihm zugewiesenen Therapeutin, Frau Lambe, Ende Juli 2016 besprochen. Der Kläger akzeptierte diese Regelung mündlich (Rn. 26). Im Aufnahmegespräch stellte sich zudem heraus, dass der Konsum illegaler Drogen durch den Kläger so gravierend war, dass die von ihm beantragte Gesprächstherapie keinen Sinn ergeben würde, jedoch eine Drogen- und Alkoholtherapie in Frage käme (Rn. 40).

Der Kläger hatte im Aufnahmegespräch immer wieder geäußert, dass er eine lange Geschichte von Drogenmissbrauch und selbstverletzendem Verhalten habe. Die Intensität des Gedankens, sich selbst töten zu wollen, schätzte er auf einer Skala von 0 bis 10 selbst als „8“ ein (Rn. 32).

Am selben Tag rief die Therapeutin Frau Lambe von der LGBT Foundation beim Hausarzt (general practitioner – GP) des Klägers an und verständigte die dortige medizinische Fachangestellte (Arzthelferin) über den Inhalt des Gespräches. Die medizinische Fachangestellte notierte unter anderem Folgendes in der Patientenakte des Klägers (hier in Übersetzung):

„David [der Kläger] hat zugegeben, dass er [Angabe aus Persönlichkeitsschutzgründen im Urteil gelöscht] nimmt. Er erklärte, dass er diese im Rahmen einer Bewältigungsstrategie einnimmt, aber dass diese Einnahme auch eine Art ist, sich selbst zu verletzen. Er gab an, dass er am vergangenen Donnerstag Suizidgedanken hatte. Er macht jedoch die Einnahme der Drogen dafür verantwortlich.“

[David admitted he was using [deletion], he stated he uses them as a coping strategy but also stated it is a way of self-harming. He said he had suicidal thoughts last Thursday but blames the drugs for him feeling this way (Rn. 47).]

Im Jahre 2018 trat sowohl die DSGVO als auch das darauf basierende britische Datenschutzgesetz von 2018 (Data Protection Act 2018) in Kraft. Im Juli 2016 galt dagegen für den Bereich Datenschutz noch das britische Datenschutzgesetz von 1998 (Data Protection Act 1998 – DPA 1998). Der Kläger stützte sich unter anderem auf dieses Gesetz und reichte wegen „unrechtmäßiger Offenlegung sensibler personenbezogener Daten“ in Bezug auf sein Sexualleben und seinen seelischen Gesundheitszustand Klage ein (unlawful disclosure of „sensitive personal data“ concerning his sexual life and mental health) (Rn. 53).

Die Klage verfolgte auch den Zweck, finanziellen Schadensersatz geltend zu machen. Herr Scott war bis einschließlich 2016 als Berater für nukleare Sicherheit tätig. In diesem Zusammenhang musste er sich regelmäßig Sicherheitsüberprüfungen durch die britische Behörde für Sicherheitsüberprüfungen unterziehen (United Kingdom Security Vetting – UKSV; im Urteil fälschlicherweise als UKVS abgekürzt).

Die Patientenakte seines Hausarztes würde von der genannten Behörde im Rahmen der Sicherheitsüberprüfungen eingesehen, so dass seine berufliche Karriere wegen der Offenlegung der LGBT-Stiftung „nun ruiniert“ sei (Rn. 8).

Interessant ist hier, dass § 1 Abs. 1 Buchst. c des britischen Datenschutzgesetzes von 1998 Folgendes als sachlichen Anwendungsbereich des Gesetzes definiert: „Informationen, die mit der Absicht aufgezeichnet werden, sie mit automatisierten und von Menschen gesteuerten Einrichtungen zu verarbeiten“ (information which is recorded with the intention that it should be processed by means of such equipment [= equipment operating automatically in response to instructions given for that purpose]). Dies entspricht ungefähr dem sachlichen Anwendungsbereich der DSGVO in Art. 2 Abs. 1.

Der Kläger argumentierte im Kern, dass die im Gehirn von Frau Lambe (der Mitarbeiterin der LGBT Foundation) vorhandenen Informationen von ihr im Gedächtnis mit dem Ziel gespeichert oder aufgezeichnet worden waren, sie zu gegebener Zeit in einem automatisierten Datei- bzw. Ablagesystem zu speichern bzw. abzulegen. Daher seien diese Informationen schützenswerte Daten im Sinne der Datenschutzgesetzgebung. (Mr Scott sought to argue that the material was in effect „stored“ in Ms Lambe’s mind with a view or intention to it being put into an automated record/filing system in due course, and therefore it was data” as defined in the DPA) (Rn. 62).

Der Vorsitzende Richter am High Court of England and Wales (EWHC) Sir Pushpinder Saini wies diese Einlassung jedoch zurück. Das Vorbringen stimme nicht mit der Systematik des britischen Datenschutzgesetzes von 1998 überein (this submission does not fit within the DPA scheme) (Rn. 62).

Im Gegenteil: „Eine verbale Offenlegung stellt keine Verarbeitung personenbezogener Daten dar.“ (a verbal disclosure does not constitute the processing of personal data) (Rn. 61). „Das britische Datenschutzgesetz von 1998 findet auf rein verbale Kommunikation keine Anwendung“ (the DPA does not apply to purely verbal communications) (Rn. 55).

Laut dem Blog der Londoner Anwaltskanzlei des Verteidigers der beklagten LGBT Foundation gelten diese vom Gericht aufgestellten Grundsätze sinngemäß auch für den sachlichen Anwendungsbereich von Art. 2 Abs. 1 DSGVO (automatisierte Verarbeitung oder zumindest Speicherung) (the reason [for rejecting the claim for breach of the DPA 1998] is that data, as defined in section 1 of the DPA and Article 2(1) of the GDPR, needs to be recorded in electronic or manual form) (Quelle: Link in diesem Absatz). Die DSGVO ist derzeit – und zumindest noch bis 31. Dezember 2020 („Brexit“) – in Großbritannien in Kraft.

Der Kläger merkte während des Verfahrens an, dass eine solch enge Definition von Daten „unfair“ sei (Rn. 63). Die Offenlegung sensibler privater Informationen würde nur deshalb nicht vom Datenschutzgesetz abgedeckt, weil diese Offenlegung verbal und aus dem Gedächtnis erfolgt sei. Der Vorsitzende Richter Saini wies in seiner Entscheidung jedoch darauf hin, dass das Datenschutzgesetz eben eine spezifische Systematik aufweise, die sich um „Akten, Aufzeichnungen und Datensätze sowie die Verarbeitung von Informationen drehe“ (but that is not what the DPA is concerned with: it is a very specific scheme based around records and processing) (Rn. 63).

Andere rechtliche Bereiche, insbesondere die Gesetzgebung im Bereich von Vertraulichkeit und Verschwiegenheitspflichten (the law of confidentiality), könnten durchaus auf den vorliegenden Fall Anwendung finden. Ein solcher Anspruch scheitere jedoch an der vom Kläger unterschriebenen Einschränkung der an und für sich geltenden Pflicht zur Verschwiegenheit, die deshalb in Bezug auf seinen Hausarzt in bestimmter und eingeschränkter Hinsicht nicht gelte (the duty of confidence which was undoubtedly owed to Mr Scott had a qualifier to confidentiality, or „carve out, which permitted the very limited Disclosure to his GP) (Rn. 63).

Die Klage wurde in vollem Umfang abgewiesen (Rn. 108).

Zwar war das menschliche Gehirn sicher das Modell für die Erfindung von Registraturen und des Computers. Trotz dieser Ähnlichkeit ist es – zumindest nach englischer Rechtsprechung – aber keine „Verarbeitungseinrichtung“ und auch kein „Ablageort“ oder „Speichersystem“, und die im Gedächtnis vorhandenen Informationen sind daher auch keine „Daten“ im Sinne der Datenschutzgesetzgebung. Menschen, die Angst vor einer Zukunft haben, die von Cyborgs bestimmt wird, können aufatmen: Zumindest in dieser Hinsicht gibt es eine klare Trennung zwischen Mensch und Maschine.

Edward Viesel

Hinweis: Die Originalzitate wurden aus Gründen der besseren Lesbarkeit in der Regel ohne Hinzufügen von Auslassungszeichen gekürzt oder angepasst. Außerdem kann im Einzelfall der Numerus an den deutschen Text angepasst worden sein. Im Falle von Unklarheiten nehmen Sie bitte Bezug auf das im Text verlinkte Originalurteil (HTML sowie PDF-Datei unter „Printable PDF version).

EN| Things Aren’t What They Used to Be for German Comedian’s Heirs

A work” within the meaning of copyright law has to display a certain degree of singularity, originality or individuality, something which is also called the threshold of originality”. But how original is a simple, isolated line from a comedy sketch, in which a character states that it used to be better in the good old days”—albeit in a slightly different wording, referring to the average amount of tinsel hung on a typical German Christmas tree? Not original enough”, was Munich Higher Regional Court’s verdict in 2019, allowing T-shirts bearing the quotation to be produced without requiring a licence from the author’s heirs, nor any payment of royalties.

The German comedian simply known as Loriot spent a working lifetime making fun of Germany’s stuffy petite bourgeoisie, but in such a sympathetic way that he became a much-loved national institution. In a well-known and probably still often viewed comedy sketch, Zimmerverwüstung [Destruction of a room] (1976), for instance, a sales representative pays a call to a mansion; he is shown into the parlour and asked to wait. Being a fussy person, he attempts to straighten out a picture hung on the wall. He fails, and sets off a destructive chain reaction in his attempt to put things right. When the maid reenters the parlour, he points to the completely devastated room and utters the only words of the sketch: “Das Bild hängt schief” (“the picture is hung crookedly”), which soon became a turn of phrase in German.

Another famous quotation is “Früher war mehr Lametta!” (“there used to be more tinsel in the good old days!”), from the sketch Weihnachten bei Hoppenstedts [Christmas Eve at the Hoppenstedts] (1978). The words are uttered by Grandpa Hoppenstedt, who likes Prussian march music, receiving his presents quickly and without too much festive rigmarole, and is obviously unimpressed by society’s progress. “Lametta” are strips of shiny foil that are traditionally draped over the branches of German Christmas trees to give them a festive sparkle; tinsel not attached to thread, is Wikipedia’s definition. Today the phrase “Früher war mehr Lametta!” is simply used as a humorous way of saying “things aren’t what they used to be”. Loriot, actually Bernhard-Viktor Christoph-Carl von Bülow, died in 2011.

The case under discussion was based on the fact that a company had been selling T-shirts displaying the words “Früher war mehr Lametta” via their online shop. Loriot’s heirs sent the T-shirt merchant a cease-and-desist letter (Abmahnung), based on their copyright to the catch phrase, and asked the merchant to sign a cease-and-desist declaration with penalty clause (strafbewehrte Unterlassungserklärung). The merchant refused to sign such a declaration, but said in a non-committal way that he would stop selling “certain [T-shirt] designs”. Nonetheless, very soon the “Früher war mehr Lametta” T-shirts were back on sale again, as the claimants said they were able to ascertain by browsing the online shop. Loriot’s heirs (his two daughters) then decided to initiate action for a provisional injunction with Munich Regional Court (Landgericht München).

When Munich Regional Court refused to grant an injunction, the claimants filed an appeal against the decision with Munich Higher Regional Court (Oberlandesgericht München). (The appeal was in the form of a “complaint subject to a time limit” of two to four weeks, called a sofortige Beschwerde, which is one of three legal remedies, or means of appeal, available in German civil procedure). Munich Higher Regional Court, however, sided with the lower court (order of Munich Higher Regional Court, 14 August 2019, case number: 6 W 927/19). A few days before Christmas Eve, with good timing, the court issued a press release on the outcome of the case.

Munich Higher Regional Court ruled that the combination of words—or phrase or expression (Wortfolge)—“Früher war mehr Lametta!” did not meet the requirements laid down by section 2 of the German Act on Copyright and Related Rights (Copyright Act) [Gesetz über Urheberrecht und verwandte Schutzrechte]. The mere words in this particular order did not constitute a “literary work” within the meaning of number 1 of subsection 1 of section 2 of the Copyright Act. In contrast, the claimants stated in their statement of claim (Antragsschrift) that “even though the phrase is rather short, it is still an imaginative and apt way of putting the notion in a nutshell that everything used to be better in the good old days” (die Wortfolge bringe trotz ihrer Kürze die Aussage phantasievoll und treffend auf den Punkt, dass früher alles besser gewesen sei).

Munich Higher Regional Court, again, did not agree. The expression was only distinctive and original when it was embedded in the sketch, and its distinctiveness and originality (Besonderheit und Originalität) only stemmed from the comedy of the situation depicted (durch die Einbettung in den Sketch und die Situationskomik). If one ignored the circumstances of its utterance and the fact that the expression had been used by the well-known and distinguished artist Loriot, then the sentence was rather commonplace and trivial (eher alltäglich und belanglos): it either simply stated that one used to use more tinsel (lametta) in former times, or, if one interpreted the word “lametta” as a metaphor, that in times gone by there had been more decoration, splendour, festive spirit, or the like.

The claimants also argued that the expression “Früher war mehr Lametta!” (literally: “in former times there was more tinsel”) also met the requirements for originality at the very least because it displayed “grammatical originality” (grammatikalische Originalität). The expression was not used in this way in everyday speech, it was (grammatically) incorrect and, strictly speaking, it did not make sense (finde nicht alltägliche Verwendung, sei nicht korrekt und ergebe an sich keinen Sinn). The combination of words in dispute did not follow the rules of semantics: the verb “to be” was combined with the comparative “more” and with a fairly random noun.

In dismissing this line of argument, the appeal court opined that ordinary and everyday language did not always follow the rules of semantics either, therefore there was nothing particularly original about deviating (abweichen) from such rules. The fact that the expression in dispute stood in contrast to grammatically correct versions of the expression, e.g. “Früher gab es mehr Lametta” (“there used to be [instead of ‘there was’] more tinsel in former times”), did not confer the “required characteristics of a ‘work’” (geforderte Werkqualität) on the contested phrase.

In their statement of claim, the claimants conceded that the interpretation of the expression in dispute hinged on its basic meaning, i.e. that “things aren’t what they used to be” (früher war alles besser”). But the claimants went on to state in their pleading that the expression was characterised by originality because it exposed the notion that “everything was better in the good old days” to ridicule (die Ansicht, früher sei alles besser gewesen, werde der Lächerlichkeit preisgegeben).

Addtionally, the claimants stated, since the grammar was wrong and the statement was ridiculous, this simple-sounding expression robbed the general notion of “things not being what they used to be” of all authority and exposed the notion for what it was: a criticism of contemporary times that was devoid of all substance (die Ansicht werde ihrer Autorität völlig beraubt, weil die scheinbare Gegenwartskritik als bloße, inhaltsleere Kritik entlarvt werde).

However, the court termed this kind of approach an “overinterpretation” (Überinterpretation). For such a generalised sociocritical interpretation of the expression to hold, an interpretation still had to be convincing if the expression was analysed out of its original context within the Loriot sketch (eine Überinterpretation” der streitgegenständlichen Wortfolge, losgelöst von dem Sketch, in den sie eingebettet ist). The appeal court sided with the lower court in ruling, in effect, that the expression itself—without context—did not provide a basis for such a far-reaching interpretation.

As no complaint on points of law (Rechtsbeschwerde) was possible, the means of appeal had been exhausted and the order issued was final and binding. Since semantic and grammatical arguments failed to impress Munich Higher Regional Court, it seems that, for the claimaints, things (i.e. royalty payments) just might not be what they used to be.

Edward Viesel

Please note: in order to improve readability of this article, when quoting from German court decisions in the original German, I have often shortened phrases or adapted them to the present English-language text without indicating such changes. Please refer to the original source provided as a link if in doubt.

EN| German Courts Rule on Whether Uber’s Business Model Is Legal in Germany

The service, or rather non-service, of a provisional injunction issued by Cologne Regional Court led to heated discussions on German-language news websites and blogs in October and November 2019. Uber refused to accept the court documents citing Regulation (EC) No 1393/2007, because the provisional injunction was in a language the company doesn’t understand (i.e. German). The documents were to be served on Uber in the Netherlands because the ride-hailing company’s European headquarters are in Amsterdam. In the end, a Dutch translation was made and served, but the questions whether Uber’s services are legal in Germany under competition law, whether Uber needs a taxicab licence to operate there, or whether Uber is allowed to operate its business model in Germany at all, remain interesting, both from a legal and from a linguistic point of view.

The bone of contention in the Uber case currently before Cologne Regional Court (Landgericht Köln) was the use of the company’s basic UberX app in Germany, whose rollout was announced for Berlin, Munich, Düsseldorf, Frankfurt, Cologne and Hamburg in June 2018. The full wording of the July 2019 injunction has yet to be published.. According to German-language Legal Tribune Online (LTO), Cologne Regional Court issued a provisional injunction (einstweilige Verfügung), prohibiting Uber from using its UberX app for brokering journeys (rides) with private hire cars—or minicabs as they are called in parts of Great Britain.

The type of passenger transport service termed a “private hire car” is defined by Wikipedia as a “a car with a driver available for hire only on a pre-booked basis”. The term vehicle for hire, on the other hand, also includes taxicabs, mostly just called “taxis”, which at least in Germany can also be hailed in the street. In contrast to most other countries, Uber currently does not broker rides with non-professional drivers in Germany, because the law is stricter there than in other countries. Uber currently only brokers rides with private hire car companies in Germany that employ professional drivers and are fully and commercially insured. This restricted business model, which resulted from various rulings by German courts against UberPop and UberBLACK in 2015 and 2017, also applies to the company’s UberX app.

The relevant German law with regard to passenger transport of the type Uber currently offers is the Personenbeförderungsgesetz [German Passenger Transport Act]. Section 49 regulates “transportation […] with private hire cars” (Verkehr […] mit Mietwagen), among other types of transportation. Many German laws have been semi-officially translated into English in the past, often in a thoroughly thought-through manner that is perhaps not always very easy to understand. These translations are commissioned by the German Federal Ministry of Justice and published on its website Gesetze im Internet [Statutes on the internet] at no charge. Sadly, the Personenbeförderungsgesetz is not among the laws translated. The relevant passage (subsection (4) of section 49) that regulates transportation by private hire car (Verkehr mit Mietwagen) might be translated as follows:

EN| “Transportation by private hire car means the transporting of passengers by means of a passenger car that may only be hired as a whole for the purposes of transportation, and which the entrepreneur [i.e. the hirer out; E.V.] uses to carry out journeys whose purpose, destination and course is determined by the hirer, and which are not ‘transportation by taxicab’ pursuant to section 47. It is only permissible to carry out a transport order by private hire car if such a contract is concluded at the entrepreneur’s place of business [Betriebssitz] or his dwelling place [Wohnung]. After the transport order has been completed, the private hire car must return to the place of business without undue delay, provided the car did not receive a further transport order from the place of business or the entrepreneuer’s dwelling place before the journey started, or does not receive a further transport order by telephone [fernmündlich] during its journey.”

DE| “Verkehr mit Mietwagen ist die Beförderung von Personen mit Personenkraftwagen, die nur im ganzen zur Beförderung gemietet werden und mit denen der Unternehmer Fahrten ausführt, deren Zweck, Ziel und Ablauf der Mieter bestimmt und die nicht Verkehr mit Taxen nach § 47 sind. Mit Mietwagen dürfen nur Beförderungsaufträge ausgeführt werden, die am Betriebssitz oder in der Wohnung des Unternehmers eingegangen sind. Nach Ausführung des Beförderungsauftrags hat der Mietwagen unverzüglich zum Betriebssitz zurückzukehren, es sei denn, er hat vor der Fahrt von seinem Betriebssitz oder der Wohnung oder während der Fahrt fernmündlich einen neuen Beförderungsauftrages erhalten.” (Source)

Do Uber drivers receive transport orders “by telephone” while driving along the road? The adverb “fernmündlich” used in the law (literally: “orally over a long distance”) is a word from the legal and bureaucratic sphere that simply means “by telephone”. A smartphone is a “class of mobile phones”, and a mobile phone is a “portable telephone”, according to Wikipedia, so any Uber contractor should be in the clear, at least in this regard, when he or she uses an Uber app, because they are “receiving a further transport order by telephone during their journey”. This interpretation was upheld by the German Federal Court of Justice (Bundesgerichtshof – BGH) in its ruling of 13 December 2018 (case number: I ZR 3/16 – “Uber Black II” decision) with regard to the UberBLACK app (which provides transport services with luxury vehicles).

The court stated that, due to technical progress, any “transmission by telephone” should be deemed to include “emails, text messages, or other means of mobile communication”. (Dabei erfasst der Übermittlungsweg „fernmündlich“ im Hinblick auf die zwischenzeitliche technische Entwicklung ohne weiteres auch die Benachrichtigung des Fahrers per E-Mail, SMS oder auf einem anderen Weg mobiler Kommunikation; marginal number 33.)

However, in its decision (marginal number 34), the German Federal Court of Justice also ruled that transport orders for private hire cars that were received “by telephone” had to be “received at the entrepreneur’s place of business first” (erteile Beförderungsaufträge müssen zunächst am Betriebssitz des Unternehmers eingehen). If the driver was informed about the transport order “in a direct manner and at the same time as the entrepreneur’s place of business is informed” (wenn der Fahrer unmittelbar und gleichzeitig mit dem Betriebssitz über einen Beförderungsauftrag unterrichtet wird), then the business model would fail to conform to the second sentence of section 49(4) Personenbeförderungsgesetz.

In agreeing with Berlin Higher Regional Court (Kammergericht), the German Federal Court of Justice also defined what the verb “to receive” (eingehen) meant with regard to transport orders. The court initially stated that the driver of a private hire car (der Fahrer eines Mietwagens) was bound to his place of business not only by the requirement to return to it after each journey, but also in terms of communications (kommunikationstechnisch an den Betriebssitz gebunden). The law only provided for an exception to the requirement that the driver should return to his actual place of business after fulfilling an order where a further order was forwarded to him during the course of his current journey. However, this “forwarded order had first to be received at the place of business” (nur wenn ein zuvor am Betriebssitz eingegangener Auftrag weitergeleitet werde; marginal number 14).

The court additionally agreed with Berlin Higher Regional Court, the lower court, that an order exclusively counts as having been “received” (eingegangen) if it is “accepted by a (natural) person or is recorded, for example by an answering machine” (durch eine Person angenommen oder etwa durch einen Anrufbeantworter aufgezeichnet werde; marginal number 14). Furthermore, the private hire car business-model did not allow orders to be placed “via direct communications between a (prospective) passenger and the driver, without a further person at the company’s place of business being involved in these communications” (unmittelbare Kontaktaufnahme zwischen Fahrgast und Fahrer ohne Einschaltung einer weiteren Person am Betriebssitz des Unternehmens; marginal number 14).

Uber stopped providing its UberBLACK services in Germany in 2014, according to German news website Der Spiegel. Nonetheless the company tried to keep the service potentially legal by fighting all the way to the German Federal Court of Justice, which then finally decided the case in the “Uber Black II” decision of December 2018 mentioned above.

According to German-language website Taxi Times, Uber changed its mode of operation for UberX, its basic-service app, in an attempt to comply with the December 2018 ruling. Taxi Times reported that since January 2019 Uber has been emailing any German order received on its system to the private hire car company’s place of business first. After a lag of 30 seconds, Uber then forwards the order to the driver’s mobile device. Whether this is enough to meet the requirement that a private hire car has to be “bound to its place of business in terms of communications” (kommunikationstechnisch an den Betriebssitz gebunden) surely remains an open question.

In December 2019, Uber lost a further German case, this time before Frankfurt Regional Court (Landgericht Frankfurt am Main). The court ordered Uber to stop operating its services in the way it had been providing them in Germany on the grounds that Uber’s business practices constituted unfair competition (wettbewerbswidrig) (judgment of 19 December 2019, case number: 3-08 O 44/19). One aspect of the case was the “requirement to return to the place of business”, which the claimant (an association of taxi offices) claimed was being ignored by many Uber contractors in practice.

According to German-language Legal Tribune Online (LTO), Uber swiftly introduced changes to its operational model immediately after the December 2019 ruling (a hearing in November 2019 had sent “signals” that it might lose the case, the company said). Any private hire car driver commissioned by Uber will have to be “on their way back to their place of business” when they accept a further order, not waiting somewhere. Additionally, the “requirement to return” will be checked automatically by the Uber system; infringing drivers will be excluded from working with Uber.

The case before Cologne Regional Court mentioned at the beginning of this article has yet to be finally decided. The fight Uber vs. German taxi drivers over the interpretation of section 49(4) of the German Passenger Transport Act continues.

Edward Viesel

Please note: in order to improve readability of this article, when quoting from German court decisions in the original German, I have often shortened phrases or adapted them to the present English-language text without indicating such changes.

DE| Für welche Unternehmen gilt das CCPA?

Am 1. Januar 2020 ist das California Consumer Privacy Act (CCPA) (Verbraucherdatenschutzgesetz) in Kraft getreten, das in Kalifornien wohnhaften natürlichen Personen einen umfangreichen Schutz der personenbezogenen Daten ermöglicht. Geschützt werden die Belange der kalifornischen „Verbraucher jedoch vom Grundsatz her nur gegenüber dort tätigen Unternehmen.

Das neue kalifornische Verbraucherdatenschutzgesetz verpflichtet Unternehmen zu besonderen datenschutzrechtlichen Maßnahmen, um die Belange der Verbraucher (consumers) zu wahren. Das Gesetz wurde als Titel 1.81.5. in das kalifornische Zivilgesetzbuch (Civil Code of California – CCC) eingefügt und umfasst dort §§ 1798.100. bis 1798.199. Ob ein Unternehmen in Europa unmittelbar oder mittelbar von den Regelungen des CCPA erfasst wird, kann im Einzelfall zweifelhaft sein. Die folgenden Ausführungen erläutern die gesetzlichen Vorschriften – auch aus dem Blickwinkel ihrer Übersetzung ins Deutsche – und bieten einen Überblick über die auf englischsprachigen Internetseiten vertretenen Auffassungen zu den Auswirkungen dieses Gesetzes.

Anwendungsbereich des CCPA

Die Verpflichtungen des kalifornischen Verbraucherdatenschutzgesetz (CCPA) gelten nur für Einzelunternehmen und juristische Personen, die in Kalifornien geschäftlich und gewinnorientiert tätig sind (organized or operated for the profit or financial benefit of its shareholders or other owners [… and] that do business in the State of California) (§ 1798.140.(c)(1) CCC), wobei hier zu beachten ist, dass eine Zweigniederlassung oder eine Vertriebsstelle auf jeden Fall ausreicht. Es wird auch die Meinung vertreten, dass ein Unternehmen gar keine physische Präsenz oder Mitarbeiter in Kalifornien haben muss, sondern dass es genügt, wenn das Unternehmen dort nur „geschäftlich tätig“ ist (does business), also beispielsweise von Deutschland aus Marketingdienstleistungen über das Internet erbringt, die sich unter anderem an in Kalifornien wohnhafte Verbraucher richten.

Andere nehmen an, dass gemäß der kalifornischen Abgabenordnung (California Revenue and Taxation Code) eine „Erheblichkeitsgrenze“ gilt, nach der beispielsweise ein Unternehmen mehr als 500.000 US-Dollar Jahresumsatz in Kalifornien oder über 25 Prozent seines gesamten Umsatzes dort erzielen muss – je nachdem, was geringer ist –, um als in Kalifornien „geschäftlich tätig“ zu gelten („a business is doing business in California if sales exceed the lesser of $500,000 or 25% of the business’s total sales).

Zudem müssen die betreffenden Unternehmen personenbezogene Daten von Verbrauchern erheben und dazu Zweck und Art der Datenverarbeitung bestimmen (collect consumers’ personal information and […] determine the purposes and means of the processing) (§ 1798.140.(c)(1) CCC). Der im CCPA verwendete Begriff „personal information“ meint dasselbe wie der Begriff „personal data“ in der englischsprachigen Fassung von Art. 4 Abs.1 Datenschutz-Grundverordnung (DSGVO) „Personal information“ ist ein Synonym für „personal data“ („personenbezogene Daten“).

Nach dem CCPA ist Verbraucher jede natürliche Person, die in Kalifornien im Sinne der Verwaltungsvorschriften „wohnhaft“ ist (a natural person who is a California resident, as defined in […] the California Code of Regulations) (§ 1798.140.(g) CCC). Ist die Person in Kalifornien steuerlich veranlagt, mittlerweile jedoch woanders wohnhaft, reicht das für die Anwendung des CCPA aus.

Wie definiert das CCPA personenbezogene Daten?

Das CCPA versteht unter „personenbezogenen Daten“ sämtliche „Daten, die einen bestimmten Verbraucher oder einen bestimmten Haushalt identifizieren oder mit ihm zusammenhängen oder ihn beschreiben oder die auf nachvollziehbare Weise dazu geeignet sind, eine Verbindung zwischen den Daten und dem Verbraucher oder dem Haushalt herzustellen, oder auf nachvollziehbare Weise dazu geeignet sind, die Herstellung einer solchen Verbindung unmittelbar oder mittelbar zu ermöglichen“ (personal information” means information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household) (§ 1798.140.(o)(1) CCC).

Ausnahmen von der Anwendung des CCPA für kleinere und nicht sehr aktiv im Verbrauchergeschäft tätige Unternehmen

Grundsätzlich gilt das CCPA für sämtliche in Kalifornien tätige Unternehmen, die personenbezogene Daten von Verbrauchern erheben und verarbeiten. Es gibt jedoch Ausnahmeregelungen für kleinere Unternehmen, die kaum im Verbrauchergeschäft tätig sind und nur geringfügig oder gar nicht mit dem direkten Verkauf von Verbraucherdaten Erlöse erzielen. Unternehmen, auf die das CCPA Anwendung findet, müssen mindestens eine der drei folgenden Bedingungen erfüllen (satisfy one or more of the following thresholds) (§ 1798.140.(c)(1) CCC):

1. Das Unternehmen erzielt mehr als 25 Millionen US-Dollar Jahresumsatz (annual gross revenues) (§ 1798.140.(c)(1)(A) CCC), wobei zu beachten ist, dass diese Grenze (threshold) für den Bruttoerlös alle zwei Jahre (in den ungeraden Jahren, also bereits 2021) gemäß § 1798.185.(a)(5) CCC an den Anstieg des (kalifornischen) Verbraucherpreisindex (Consumer Price Index) angepasst wird. Hier sollte man auch beachten, dass, anders als in manchen deutschsprachigen Hinweisen vermutet, nicht der Gewinn, sondern der Umsatz (Erlös) gemeint ist. Die Schwelle ist nicht besonders hoch. Umgerechnet 23 Millionen Euro Jahresumsatz schaffen heute durchaus bereits Unternehmen mit 100 Mitarbeitern. Der kalifornische Gesetzgeber wollte also mit dieser Bedingung eher Klein- und Kleinstunternehmen vom Anwendungsbereich des Gesetzes ausschließen. Es ist allerdings nicht geklärt, ob diese Grenze nur für die geschäftliche Tätigkeit in Kalifornien oder darüber hinaus beispielsweise auch für den Gesamtumsatz eines Konzerns gilt. Vermutet wird zumeist, dass der Gesamtumsatz eines Konzerns gemeint ist.

2. Es handelt sich um ein Unternehmen, das alleine oder zusammen mit geschäftlichen Partnern (alone or in combination) im Rahmen seiner geschäftlichen Tätigkeit (in Kalifornien) pro Jahr personenbezogene Daten (personal information) von mindestens 50.000 Verbrauchern, Haushalten oder Geräten von Verbrauchern oder Haushalten (50,000 or more consumers, households, or devices) kauft, erhält, verkauft oder weitergibt (buys, receives, sells or shares) (§ 1798.140.(c)(1)(B) CCC).

3. Das Unternehmen erzielt mindestens die Hälfte seines Jahreserlöses mit dem Verkauf von personenbezogenen Daten von Verbrauchern (derives 50 percent or more of its annual revenues from selling consumers’ personal information) (§ 1798.140.(c)(1)(C) CCC). Für Unternehmen, die überwiegend im Geschäft mit dem Daten- oder Adresshandel tätig sind (beispielsweise Telemarketing-Agenturen, Agenturen für Internetmarketing, Betreiber von Kundenbindungsprogrammen oder Wirtschaftsauskunfteien), gelten keine Ausnahmen auf Grundlage des geringen Umsatzes oder der geringfügigen Datenerhebungstätigkeit.

Gelten die Datenschutzrechte des CCPA auch für Arbeitnehmer?

Da jede natürliche Person, die in Kalifornien wohnhaft ist (§ 1798.140.(g) CCC) oder steuerlich veranlagt wird, „Verbraucher“ ist (siehe oben), wurde die Meinung vertreten, dass das CCPA in seiner ersten Fassung grundsätzlich auch für kalifornische Arbeitnehmer in Bezug auf ihren in Kalifornien tätigen Arbeitgeber galt. Auch in dieser Rechtsbeziehung werden personenbezogene Daten von natürlichen Personen erhoben und verarbeitet, so dass Mitarbeiter auf Basis des CCPA ihre personenbezogenen Daten hätten schützen können. Für das deutsche Recht kommen die Kommentierungen zu § 13 BGB bei der Frage, ob ein Arbeitnehmer „Verbraucher“ sein kann, zu ähnlichen Ergebnissen.

Im Herbst 2019, also vor Inkrafttreten des CCPA, wurde jedoch bereits eine Gesetzesänderung verabschiedet, die die Anwendung dieses Gesetzes in Bezug auf Bewerber, Arbeitnehmer, Vorstandsmitglieder und Geschäftsführer, leitende Angestellte, medizinisches Personal und Auftragnehmer eines Unternehmens weitgehend einschränkt, sofern die personenbezogenen Daten in Hinsicht auf diese konkrete Rolle des „Verbrauchers“ erhoben werden (personal information that is collected by a business about a natural person in the course of the natural person acting as a job applicant to, an employee of, owner of, director of, officer of, medical staff member of, or contractor of that business) (§ 1798.145.(h)(1)(A) CCC).

Die Gesetzeskraft dieser einschränkenden Bestimmung endet jedoch bereits am 1. Januar 2021 (sog. „sunset clause“ oder Auslaufklausel in § 1798.145.(g)(4) CCC). Über neue Gesetzesvorhaben in 2020 oder 2021 zu diesem Thema wird spekuliert. Falls der kalifornische Gesetzgeber jedoch keine entsprechende neue gesetzliche Bestimmung erlässt, würde das CCPA ab 1. Januar 2021 wohl für kalifornische Arbeitnehmer und deren Arbeitgeber gelten. Bestimmte andere Arbeitnehmerrechte unter dem CCPA bleiben jedoch auch von der oben genannten Einschränkung unberührt, beispielsweise das Recht, eine „Auskunft bei Datenerhebung“ (Notice at Collection) zu erhalten, welche den Arbeitnehmer über die erhobenen Datenkategorien und die Nutzung der Daten informiert.

Auf Auftragsverarbeiter und sonstige Datenverarbeiter in Europa könnten neue vertragliche Regelungen aufgrund des CCPA zukommen

Das CCPA verpflichtet grundsätzlich nur die in Kalifornien geschäftlich tätigen Unternehmen. Europäische Firmen, die für in Kalifornien tätige Unternehmen bestimmte Daten verarbeiten, könnten allerdings von Regelungen des CCPA über die Haftung von Auftragsverarbeitern oder von sonstigen Datenverarbeitern betroffen sein. Die DSGVO bezeichnet Unternehmen, die im Auftrag eines Verantwortlichen Daten verarbeiten, als „Auftragsverarbeiter“ (processor) (vgl. Art. 28 DSGVO (EN) und – die Haftung betreffend – Art. 82 Abs. 2 S. 2 DSGVO (DE)). Das CCPA unterscheidet dagegen zwischen „Dienstleistern“ (service providers) gemäß § 1798.140.(v) i.V.m. § 1798.140.(w)(2) CCC und „Dritten“ (third parties) bzw. „Personen“ (persons) gemäß § 1798.140.(w)(2). Im Internet wurde daher bereits zwischen „service provider“ (ein Unternehmen, das Daten im Auftrag eines anderen Unternehmens gemäß schriftlichem Vertrag über die Datenverarbeitung verarbeitet) und einer „1798.140(w)(2) person“ (einem Dritten) unterschieden.

Im Internet ist zudem die Meinung vertreten worden, dass ein Auftragsverarbeiter („service provider“ gemäß § 1798.140.(v) CCC), der Daten über die „operativen Erfordernisse“ (operational needs) des Auftraggebers hinaus (und damit vertragswidrig) nutzt, automatisch in Bezug auf diese Daten den mit höherem Haftungsrisiko einhergehenden third-party-Status erhält. Unter operativen Erfordernissen werden beispielsweise die Buchführung oder die Bestell- und Zahlungsabwicklung genannt. Die operativen Erfordernisse werden auch als „‘business purpose‘ for which the service provider was retained“ („der geschäftliche Zweck, für den der Dienstleister beauftragt wurde“) bezeichnet.

Der Begriff des „geschäftlichen Zwecks“ ist deshalb wichtig, weil ein Verkauf von Daten im Rahmen des „geschäftlichen Zwecks“ (business purpose) kein „Verkauf“ im Sinne des CCPA ist, da § 1798.140.(t)(2)(C)(ii) CCC bestimmt: „Ein Unternehmen verkauft keine personenbezogenen Daten, wenn der Dienstleister (service provider) die personenbezogenen Daten des Verbrauchers nicht über das für die Durchführung des geschäftlichen Zwecks notwendige Maß hinaus erhebt, verkauft oder nutzt“ (a business does not sell personal information when the service provider does not further collect, sell, or use the personal information of the consumer except as necessary to perform the business purpose).

Was ist ein service provider gemäß dem CCPA?

Ein „Dienstleister“ (service provider) gemäß dem CCPA ist ein Unternehmen, das im Auftrag eines anderen Unternehmens (on behalf of a business) Daten verarbeitet und sich durch schriftlichen Vertrag (pursuant to a written contract) verpflichtet hat, die erhaltenen personenbezogenen Daten nur zum Zweck der Durchführung der im Vertrag vereinbarten Dienstleistungen – und nicht zu anderen gemäß dem CCPA zulässigen Zwecken – zu speichern, zu verwenden oder weiterzugeben (provided that the contract prohibits the entity receiving the information from retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract for the business, or as otherwise permitted by this title) (§ 1798.140.(v)CCC).

Der Berliner Rechtsanwalt Dr. Thomas Schwenke hat darauf hingewiesen, dass in Kalifornien tätige Unternehmer – anders als unter der DSGVO – nach dem CCPA nicht für die von vertraglich verpflichteten „Dienstleistern“ (service providers) verursachten Verletzungen der CCPA-Datenschutzvorschriften haften (shall not be liable under this title; „this title = Titel 1.81.5 CCC = „California Consumer Privacy Act of 2018), sofern der Unternehmer nicht bereits bei der Weitergabe der personenbezogenen Daten Grund hatte, davon auszugehen, dass der Dienstleister (service provider) eine Verletzung des CCPA beabsichtigte (§ 1798.140.(w)(2)(B) CCC).

Für die Definition eines selbsthaftenden „Dienstleisters“ (service provider), „a person covered by this paragraph gemeint ist die gesamte Ziffer 2 (paragraph 2) von § 1798.140.(w) CCC –, wird im Absatz w (subdivision w) von § 1798.140 CCC die in Absatz v (subdivision v) enthaltene Definition eines „Dienstleisters“ um das Verbot des Verkaufs von Daten (selling the personal information) und um die Pflicht zur Unterzeichnung einer Erklärung, sämtliche Einschränkungen für Dienstleister gemäß § 1798.140.(w)(2)(A) CCC verstanden zu haben, ergänzt (a certification that the person understands the restrictions).

Wenn kalifornische Unternehmen also vermeiden wollen, für Verstöße ihrer Dienstleister (service providers) gegen das CCPA zu haften, müssen sie von Dienstleistern die Unterzeichnung von Verträgen verlangen, die an § 1798.140.(w)(2) CCC angepasst sind. Sie müssen den Dienstleistern also unter anderem den (ungerechtfertigten) Verkauf und die vertragswidrige Nutzung von Daten untersagen und sie eine Erklärung unterzeichnen lassen, dass sie sämtliche Einschränkungen verstanden haben. Nicht geklärt ist, was in diesem Zusammenhang genau unter den „Verkauf“ von Daten (bzw. das Verkaufsverbot) fällt, da die Definition des „Verkaufs“ Ausnahmen für Dienstleister enthält (wie oben ausgeführt).

Für nur in Europa tätige Unternehmen, die an in Kalifornien tätige „Dienstleister“ (service providers) (in etwa: Auftragsverarbeiter) Daten weitergeben, gibt es in Bezug auf das CCPA kaum etwas zu beachten, denn das CCPA gilt nur für in Kalifornien Daten erhebende Unternehmen. Wenn also ein deutsches Unternehmen personenbezogene Daten von in Deutschland wohnhaften Personen an einen Dienstleister in Kalifornien zur Verarbeitung sendet, werden weder das eine noch das andere Unternehmen vom CCPA erfasst (siehe FAQ 6 des Links).

Verbraucherschutzverbände und Unternehmen können im Auftrag Dritter einer Datenverarbeitung widersprechen (z.B. „Do Not Sell My Personal Information“ gemäß § 1798.135(a)(1) CCC)

Nach dem CCPA kann ein kalifornischer Verbraucher (im Sinne des Gesetzes) eine andere (natürliche oder juristische) Person damit beauftragen, in seinem Namen dem Verkauf seiner personenbezogenen Daten zu widersprechen (a consumer may authorize another person solely to opt out of the sale of the consumer’s personal information on the consumer’s behalf) (§ 1798.135(c) CCC). Ein solcher Widerspruch ist für das datenerhebende Unternehmen bindend, wobei der genaue Ablauf eines solchen Widerspruchsverfahrens durch den kalifornischen Justizminister (einer der Amtsbereiche des Attorney General des Bundesstaates) noch auf dem Verordnungswege festzulegen ist.

Diese Bestimmung ist für Verbraucherschutzverbände interessant (natürlich besonders für kalifornische oder amerikanische Verbraucherschutzverbände), da Verbraucher ihre Datenschutzrechte oft nicht in Anspruch nehmen, wenn sie persönlich aktiv werden müssen – was sicher oft an zeitlicher oder sonstiger Überforderung liegt. Umgekehrt legt es die Latte für Unternehmen höher, da sie sich im Bereich des Datenschutzes in der Regel mit sehr professionell agierenden und juristisch informierten Verbänden konfrontiert sehen werden, wenn es um den Widerspruch gegen den Verkauf von personenbezogenen Daten von kalifornischen Verbrauchern geht.

Im Internet wurde darauf hingewiesen, dass diese Regelung nicht nur für Verbände interessant ist, sondern auch bestimmten Unternehmen einen Anreiz bieten könnte, mit einer Vielzahl von „Heimarbeitern“ nach einem neuen Geschäftsmodell Geld zu verdienen: Verbrauchern, die im Bereich des Datenschutzes sensibel sind, könnte danach angeboten werden, gegen Bezahlung als deren Bevollmächtigte an eine Vielzahl von potenziellen Unternehmen mit einem Widerspruch gemäß dem CCPA gegen den Verkauf der personenbezogenen Daten heranzutreten („this may incentivize a cottage industry of companies seeking to monetize the statute by serving as agents for consumers across multiple businesses).

Welche Sanktionen sieht das CCPA vor?

Bei einem Verstoß gegen die Bestimmungen des CCPA (im folgenden Zitat „this title genannt) droht eine Geldbuße von 7.500 US-Dollar pro vorsätzlichem Verstoß (any business, service provider, or other person that violates this title shall be liable for a civil penalty of seven thousand five hundred dollars ($7,500) for each intentional violation) (§ 1798.155.(b) CCC). Bei nicht vorsätzlichen Verstößen droht eine Geldbuße bis zu 2.500 US-Dollar pro Verstoß (not more than two thousand five hundred dollars ($2,500).

Englische juristische Übersetzungen genau ausführen lassen

Insgesamt sollten in Kalifornien tätige europäische Unternehmen, die nicht primär englischsprachig sind, darauf achten, dass sämtliche in diesem Zusammenhang ins Englische übersetzten Texte der Terminologie des CCPA entsprechen und keine missverständlichen Formulierungen enthalten.

Edward Viesel

Hinweis: Die Originalzitate wurden aus Gründen der besseren Lesbarkeit in der Regel ohne Hinzufügen von Auslassungszeichen gekürzt. Außerdem kann im Einzelfall der Numerus an den deutschen Text angepasst worden sein, um die Lesbarkeit zu erhöhen.