DSGVO – IP Law Blog

31. August 202028. Dezember 2020

EN| Germany’s Federal Court of Justice: Facebook’s terms of use hinder competition

This blog is about privacy law and competition law, among other things, so it is nice to publish anarticle that brings together both areas of law. What happens to individuals’ personal data once they have been fed into the databases of social networks worries privacy activists, and keeps quite a few data-protection officials and lawyers busy. However, another twist to the story is that certain types of data use may also hinder competition, and are therefore forbidden under competition law, not privacy law. In a decision issued on 23 June 2020 (case number: KVR 69/19), the German Federal Court of Justice ruled that Facebook is breaking the law if, in its terms of use, it solely offers its freebie users the option to include their entire „off-Facebook activities” in the data collected and used by the company for marketing purposes.

Facebook employs terms of use that allow the company to process and use any data that Facebook collects when a private person uses the internet, no matter whether they are on the actual Facebook platform facebook.com or outside of it (so-called “off-Facebook” use of the internet). Private users cannot use Facebook if they do not agree to these terms of use. The court case under discussion results from action taken by the German competition authority, the Bundeskartellamt, in February 2019. According to the German Federal Court of Justice (Bundesgerichtshof), the authority issued an official decision (Beschluss or Verfügung) prohibiting Facebook Ireland Limited, which operates the European part of the social networking service, from employing these terms of use and from processing personal data in the manner allowed by the terms.

Terms of use fall foul of German Competition Act

According to the German competition authority, the fact that the terms of use offered users no other option than to agree to the processing of their “off-Facebook” data contravened section 19(1) of the German Act against Restraints of Competition (Gesetz gegen Wettbewerbsbeschränkungen – GWB). The subsection simply stipulates: “The abuse of a dominant position by one or several undertakings is prohibited” („Die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung durch ein oder mehrere Unternehmen ist verboten”).

In its decision, the authority argued that Facebook had a dominant position in the German market for social networking services. This fact is probably beyond dispute and was also confirmed by the German Federal Court of Justice in the ruling under discussion.

The authority further argued that Facebook was abusing this position by making private persons’ use of the network subject to users allowing Facebook to link data they generated on the internet “off facebook.com” with the personal data the company collects as a result of them using the Facebook network and website proper. Under the terms of use, Facebook is also not required to seek any further or future consent from users to such linking (Facebook mache die private Nutzung des Netzwerks von seiner [Facebooks] Befugnis abhängig, ohne weitere Einwilligung der Nutzer außerhalb von facebook.com generierte nutzer- und nutzergerätebezogene Daten mit den personenbezogenen Daten zu verknüpfen, die aus der Facebook-Nutzung selbst entstehen).

Competition authority claim based on GDPR violation

In what seems to have been its main line of argument, the competition authority argued that an abuse of the dominant market position was proved by the fact that Facebook could get away with terms of use and the processing of personal data that so clearly violated the provisions of the General Data Protection Regulation (GDPR). The authority gave Facebook one year to change its terms of use.

Facebook challenged the authority’s decision before Düsseldorf Higher Regional Court (Oberlandesgericht Düsseldorf), the competent appellate court (Beschwerdegericht),and partly won. Based on a petition by Facebook, the Higher Regional Court stayed the immediate enforcement of the decision in August 2019 and re-established the suspensory effect of the fact that Facebook was contesting the decision before the appellate court. The legal basis for this is section 65(3)(2) of the German Act against Restraints of Competition which regulates cases in which there are “serious doubts as to the legality of the decision being challenged” („ernstliche Zweifel an der Rechtmäßigkeit der angefochtenen Verfügung”). The appellate court ruled that users did not agree to the terms of use because Facebook’s dominant market position left them no option, but because they were just too “indifferent” (gleichgültig) to object to them. And the competition authority was not competent to rule on issues solely related to privacy law; thus its decision was probably illegal.

In its ruling of 23 June 2020, the higher court, the German Federal Court of Justice, set aside Düsseldorf Higher Regional Court’s ruling, however, thereby reinstating the immediate enforcement of the authority’s decision. The Federal Court of Justice ruled that any potential violation of the GDPR was irrelevant to the decision as to whether or not Facebook was abusing its dominant market position (Maßgeblich hierfür ist nicht die vom Kartellamt in der angefochtenen Verfügung in den Vordergrund gerückte Frage, ob die Verarbeitung und Nutzung von personenbezogenen Daten […] mit den Vorschriften der Datenschutz-Grundverordnung in Einklang steht).

Federal Court of Justice: users need more choice

According to the court, the terms of use were abusive for a different reason. The decisive issue here was that private users of Facebook must be given at least the following two options to choose from:

1) to use the network with a user experience that is more personalised, which includes unrestricted access by Facebook to data resulting from their “off-Facebook” internet use; or

2) to use the network on the basis of a personalised user experience that only uses data disclosed on facebook.com by the users themselves.

Facebook was abusing its dominant market position by only offering the first of these options.

In its reasoning, the court stated that Facebook served two markets. On the one hand, the company enabled private users to use the platform to present themselves and their social relationships to other people, and to communicate. On the other, it enabled companies to distribute advertising via the Facebook network, with the online advertising market serving to finance the user platform, for which users did not have to pay (at any rate, not money).

(Facebook ist als Betreiber eines sozialen Netzwerks auf zwei Märkten tätig. Es bietet zum einen privaten Nutzern die Plattform als Medium zur Darstellung der Person des Nutzers in ihren sozialen Beziehungen und zur Kommunikation an. Es ermöglicht zum anderen Unternehmen Werbung im Netzwerk und finanziert damit auch die Nutzerplattform, für deren Nutzung die Nutzer kein (monetäres) Entgelt zahlen.)

Anti-competitive behaviour on two markets

Facebook was abusing its market position in both markets (social networking services for private users, and online advertising), the court ruled.

On the market for social networking services for private users, Facebook was using the platform effect, or rather the great obstacles that prevented users from switching to other social networking services (hohe Wechselhürden), to “lock in” users. Based on this “lock-in effect”, users were being “exploited” (ausgebeutet), i.e. practically forced to give away their personal data and give up their “informational self-determination” (informationelle Selbstbestimmung). “Informational self-determination” is a term coined by the German Federal Constitutional Court (Bundesverfassungsgericht) and is defined as “the authority of the individual to decide himself, on the basis of the idea of self-determination, when and within what limits information about his private life should be communicated to others”.

The lock-in effect was relevant to issues of competition law because, due to Facebook’s dominant market position, competitors were unable to provide any checks on Facebook’s market behaviour (der Wettbewerb kann wegen der marktbeherrschenden Stellung von Facebook seine Kontrollfunktion nicht mehr wirksam ausüben). According to the court, the German competition authority stated that many private Facebook users actually wanted to disclose less of their personal data. If effective competition were in place in the market for social networking services, the court opined, one would therefore expect a competitor to emerge who offered a service to match this demand.

(Nach den Feststellungen des Bundeskartellamts wünschen erhebliche Teile der privaten Facebook-Nutzer einen geringeren Umfang der Preisgabe persönlicher Daten. Bei funktionierendem Wettbewerb auf dem Markt sozialer Netzwerke wäre ein entsprechendes Angebot zu erwarten.)

Added revenue being used to strengthen a dominant position

Facebook’s terms of use were playing their part, however, in hindering any such competition. The company’s dominant position, and the obstacles preventing users from switching, were partly the result of the company’s great trove of data, which it was also amassing due to the disputed terms of use. The large amounts of data particularly benefited its financial position, because Facebook was able to sell more and pricier advertising due to its superior pool of data. The added advertising revenue enabled the company to invest more in its private-user platform, further strengthening the network’s appeal—and intensifying the lock-in effect (Die so ausgestalteten Nutzungsbedingungen sind auch geeignet, den Wettbewerb zu behindern. […] Der Zugang von Facebook zu einer erheblich größeren Datenbasis verstärkt die ohnehin schon ausgeprägten „Lock-in-Effekte“ weiter. Außerdem verbessert diese größere Datenbasis die Möglichkeiten der Finanzierung des sozialen Netzwerks mit den Erlösen aus Werbeverträgen.)

The terms of use therefore also conceivably had a negative impact on competition within the market for online advertising (not only within the market for private social networking services). Contrary to the findings of Düsseldorf Higher Regional Court, the lower court, the German Federal Court of Justice ruled that it was irrelevant in this respect whether a discrete market for online advertising on social media actually existed and whether, if it did exist, Facebook dominated this specific market as well. A company with a dominant market position was not allowed to abuse this position, and this included any type of abuse that was based on its dominant position, even if such abuse occurred within a different market from the one the company dominated.

(Wegen der negativen Auswirkungen auf den Wettbewerb um Werbeverträge lässt sich schließlich auch eine Beeinträchtigung des Marktes für Online-Werbung nicht ausschließen. Entgegen der Auffassung des Beschwerdegerichts bedarf es insoweit keiner Feststellung, dass es einen eigenständigen Markt für Online-Werbung für soziale Medien gibt und Facebook auch auf diesem Markt über eine marktbeherrschende Stellung verfügt. Die Beeinträchtigung muss nicht auf dem beherrschten Markt eintreten, sondern kann auch auf einem nicht beherrschten Drittmarkt eintreten.)

In 2019, Facebook not only applied for a stay of enforcement, but also contested the effectiveness of the competition authority’s decision itself. The main proceedings on the issue of whether or not the decision ordering Facebook to change its terms of use is effective have yet to take place before the Federal Court of Justice. Legal expert Christian Rath believes, however, that the court will rule along lines similar to those taken in the current proceedings. That the court used such strong expressions as “exploitation” (Ausbeutung) to describe the way Facebook treats its (non-paying) customers really does seem to bode ill for Facebook’s chances of success.

Edward Viesel

Please note: in order to improve readability of this article, when quoting from German texts in the original German, I have often shortened phrases or adapted them to the present English-language text without indicating such changes. If in doubt, please refer to the original sources provided as links.

30. Juni 202028. Dezember 2020

EN| Berlin Data Protection Commissioner Warns Companies and Public Authorities Against Using US Videoconferencing Services

A public spat between Microsoft and the Berlin Data Protection Commissioner in May 2020 highlighted the privacy issues surrounding the use of videoconferencing services like Zoom, Microsoft Teams or Skype. One of the bones of contention was whether the European DSGVO and other European or national laws would take precedence over US law if a conflict between these two legal spheres were to arise. The controversy also showed how differently data-protection actors assess the significance of well thought-through privacy policies and of comprehensive data protection arrangements.

Berlin Data Protection Commissioner Maja Smoltczyk (full title: Berliner Beauftragte für Datenschutz und Informationsfreiheit) published two documents on her official website on 30 April 2020 in which she commented on the use of videoconferencing services during the Covid-19 crisis. In her “Memorandum” (Vermerk), the original version of which is no longer online, she mentioned that using the videoconferencing services Microsoft Teams as well as Skype for Business Online carries legal and privacy risks.

According to German news service t–online.de, which broke the story, Microsoft responded by sending the commissioner a cease-and-desist letter (Abmahnung) on 5 May 2020, requesting the authority to “remove incorrect statements as quickly as is technically possible, and to withdraw them” (unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen).

Microsoft additionally issued a publicly available press release on 6 May 2020, in which it stated that “Microsoft Teams und Skype for Business Online can be used for conversations and content of a sensitive nature without any reservations” (können ohne Einschränkung auch für sensible Gespräche und Inhalte genutzt werden).

Microsoft also added that “by design, Microsoft Teams und Skype for Business do not enable anyone to carry out wire tapping. Furthermore, Microsoft does not carry out wire tapping—defined as the systematic and content-based collection of content data—in the course of operating Microsoft Teams and Skype for Business Online” (Microsoft Teams und Skype for Business sehen keine Abhörmöglichkeiten vor. Ein Abhören, als das systematische und inhaltsbezogene Erfassen von Inhaltsdaten, findet auch im Rahmen des Betriebs von Microsoft Teams und Skype for Business Online durch Microsoft nicht statt.)

What Berlin’s Data Protection Commissioner actually said

The data protection commissioner’s comments (which were reissued in a slightly altered version on 22 May 2020) were addressed to “companies, public authorities, and other institutions subject to its supervision” (Unternehmen, Behörden und andere ihrer Aufsicht unterliegende Institutionen). The comments were therefore mainly addressed to educational establishments, companies and public authorities in the city state of Berlin. The commissioner’s statements were intended “to provide advice on the requirements that apply to the use of videoconferencing systems, and to describe the risks that may be incurred if such requirements are not observed” (Hinweise zu den Anforderungen an die Nutzung von Videokonferenzsystemen zu geben und die Risiken zu beschreiben, die entstehen, wenn sie nicht eingehalten werden).

Among the risks, the commissioner counted the fact that “the provider of the videoconferencing system may make a recording of the call or the conference, be it for his own purposes or because a public authority requires him to do so” (der Betreiber des Videokonferenzsystems selbst kann ein Interesse haben oder behördlich dazu verpflichtet sein, einen Mitschnitt anzufertigen). Personal health data and data on political views were described as particularly sensitive data that might fall into the wrong hands (das Risiko ist am größten, wenn in dem Austausch sensible Themen angesprochen werden wie z.B. der Gesundheitszustand oder die politischen Auffassungen einer Person.)

After some general comments on the privacy risks associated with using supposedly European videoconferencing services that actually process substantial amounts of data outside Europe, the commissioner described two videoconferencing business models that Berlin institutions, public authorities and companies should steer clear of:

1) providers that solely act as resellers of services that are actually provided by companies from the United States (Anbieter, die lediglich als Wiederverkäufer von Leistungen US-amerikanischer Unternehmen fungieren), and

2) providers that provide a significant proportion of the service through a non-European company that is part of the same group of companies (andere lassen einen wesentlichen Teil der Dienstleistung von außereuropäischen Unternehmen der gleichen Unternehmensgruppe erbringen).

Even if Berlin companies, institutions and public authorities possess a European contractual partner in each of the above cases , the commissioner warned that this was no guarantee that the actual provider would comply with European law, rather than with the law of its country of establishment, should a conflict between the two legal spheres arise (In den beiden letztgenannten Fällen gewinnen Sie zwar einen europäischen vertraglichen Ansprechpartner. Jedoch ist auch dadurch nicht sichergestellt, dass der Anbieter sich im Konfliktfall an EU-Recht hält und nicht an sein lokales Recht.)

Commissioner Maja Smoltczyk then specifically mentioned Microsoft Corporation, headquartered in the United States, (and its videoconferencing service Microsoft Teams) as well as the Microsoft subsidiary Skype Communications S.à.r.l., domiciled in Luxembourg, as examples.

German consumer safety group heavily criticises privacy policies

According to a news report of 18 May 2020 published by German broadsheet newspaper Süddeutsche Zeitung, a potential conflict of legal systems might not be the only problem affecting the general use of videoconferencing services. The privacy policy (Datenschutzerklärung) provided by Microsoft Teams whenever it is used for free or by consumers could also be an issue, Süddeutsche reported. The leading German consumer safety group Stiftung Warentest had tested twelve “video chat” systems in May 2020; the privacy policies of ten of these systems (including Microsoft Teams and Skype) were deemed by Stiftung Warentest to display “very grave deficiencies” (sehr deutliche Mängel); this precluded systems that actually gained good marks for technology and technical data security (Microsoft Teams and Skype, again, among them) from receiving an overall good mark.

Stiftung Warentest slammed the privacy policies of all twelve providers it had tested in no uncertain terms: “The providers show no sign of ever having seriously concerned themselves with the European General Data Protection Regulation (GDPR). Furthermore, Google’s and Microsoft’s documents are unreasonably long (Anbieter lassen keine ernsthafte Befassung mit der europäischen Datenschutzgrundverordnung (DSGVO) erkennen. Die Dokumente von Google und Microsoft sind außerdem unzumutbar lang.)

So what do the privacy policies actually say? The Microsoft Privacy Statement that applies to Teams whenever it is used for free is simply the generic Microsoft privacy statement. Among other things, the Privacy Statement contains the following wording under the heading “How we use personal data”:

“In particular, we use data to: […] advertise and market to you, which includes sending promotional communications, targeting advertising, and presenting you with relevant offers.”

“We also use the data to operate our business, which includes analysing our performance, meeting our legal obligations, developing our workforce and doing research.”

“In carrying out these purposes, we combine data we collect from different contexts (for example, from your use of two Microsoft products) or obtain from third parties.”

“Our processing of personal data for these purposes includes both automated and manual (human) methods of processing. Our automated methods often are related to and supported by our manual methods.”

In a blog entry of 17 May 2020—referenced in a positively-rated comment on a news story that appeared on the influential German computer news site Heise Online—Matthias Eberl, a well-known German data-protection journalist, commented on the “uselessness”, as he saw it, of the generic Microsoft privacy statement for the use of Teams: “The GDPR requires that data must be processed in a comprehensible way. The manner of processing must be clearly explained; a generic description is too unclear. One can deduce everything and nothing from it, e.g. that ‘Microsoft analyses video data with AI and then uses the data for research’. What does this mean?” (Die DSGVO erfordert, dass Daten in nachvollziehbarer Weise verarbeitet werden. Dies muss präzise dargestellt werden, eine generische Darstellung ist zu unklar: Man kann alles und nichts herauslesen, zum Beispiel, dass Microsoft Videodaten mit KI analysiert und dann für Forschung verwendet. Hm?).

Microsoft’s DPA, and the guarantees provided therein

With regard to private persons using Teams at no cost it might be true that the generic Microsoft privacy statement is too unspecific about the way their personal data will be used. In its press release of 6 May 2020, Microsoft—speaking about companies as customers—stated, however, that “the Online Service Terms and the Data Protection Addendum (“DPA”), which are available on our website in the German language as well, contain all the contractual details required by applicable European data protection law (die Online Service Terms und das Data Protection Addendum (“DPA”) – die auf unserer Webseite auch in deutscher Sprache zur Verfügung stehen – enthalten alle nach dem geltenden europäischen Datenschutzrecht erforderlichen vertraglichen Inhalte).

The Microsoft download website (last accessed on 17 June 2020) further clarifies: “When you subscribe to an Online Service under the terms of the OST [Microsoft Volume Licensing Online Services Terms], the data processing and security terms are defined in Microsoft Online Services Data Protection Addendum (DPA). The DPA is an addendum to the OST.”

Wikipedia defines the term “volume licensing” thus: “In software licensing, a volume licensing is the practice of selling a license authorizing one computer program to be used on a large number of computers or by a large number of users. Customers of such licensing schemes are typically business, governmental or educational institutions.” Therefore Microsoft’s DPA probably does not apply to private individuals using free versions of Microsoft Teams. It does, however, apply to the target audience of the Berlin commissioner’s memorandum.

In its press release, Microsoft furthermore stated that “to the extent that customer data and personal data are transferred to, or stored or processed in, the US or any other country in which Microsoft provides services, either itself or via any of its sub-processors, Microsoft always uses suitable guarantees that are recognised by data protection law (Soweit Kundendaten und personenbezogenen Daten in die USA oder in ein anderes Land, in dem Microsoft oder ihre Unterauftragsverarbeiter tätig sind, übermittelt und dort gespeichert bzw. verarbeitet werden, werden stets geeignete und vom Datenschutzrecht anerkannte Garantien eingesetzt). The German adjectives “geeignet” (suitable) and “anerkannt” (recognised) do not have a well-defined legal meaning when it comes to guarantees, however. The phrase sounds rather vague in German.

The EU’s standard contractual clauses (2010/87/EU)

With regard to the actual guarantees provided, Microsoft explained that “for this purpose it uses the standard contractual clauses (2010/87/EU) enacted by the European Commission, which are set out in Attachment 2 of the DPA” (Microsoft nutzt hierzu die von der EU Kommission erlassenen EU Standardvertragsklauseln (2010/87/EU); diese finden Sie in Anlage 2 zum DPA). This statement can be easily verified.

The standard contractual clauses are part of the Microsoft Online Services Data Protection Addendum (DPA) of January 2020. In the completed form that Microsoft executed as Attachment 2 of the DPA of January 2020 (more specifically as Appendix 1 to the Standard Contractual Clauses), the company stipulates the following: “Data exporter: Customer is the data exporter”, and: “Data importer: The data importer is MICROSOFT CORPORATION”.

Recital 23 of 2010/87/EU clarifies, however, that the Standard Contractual Clauses apply “only to subcontracting by a data processor established in a third country of his processing services to a sub-processor established in a third country” (finden nur Anwendung, wenn ein in einem Drittland niedergelassener Datenverarbeiter einen in einem Drittland niedergelassenen Unterauftragsverarbeiter mit seinen Verarbeitungsdiensten beauftragt) (Microsoft also uses the term “Unterauftragsverarbeiter” [sub-processor] in its press release of 6 May 2020; see above). Commission Decision 2010/87/EU does not guarantee the way the (principal) processor, who is the “data importer”, uses the data. The processor, and data importer, in this case is Microsoft.

No guarantee of non-disclosure to US law enforcement authorities

It would seem difficult to state that Attachment 2 of the Microsoft DPA of January 2020 invalidates the Berlin commissioner’s claim that there is no guarantee that the actual provider of the service (the processor, i.e. Microsoft, domiciled in Redmond, USA) will comply with European law rather than with the law of its country of establishment (the United States), since Commission Decision 2010/87/EU is really only meant to regulate the relationship between the “data importer” (Microsoft) and any of its sub-processors outside the EU or EEA with regard to tort and liability.

Preventing the disclosure of personal data, like medical data or data on political views, is not within the scope of application of 2010/87/EU. After all, Clause 5(d) of the Standard Contractual Clauses (also contained in Attachment 2 of the Microsoft DPA) stipulates: “The data importer [this is Microsoft; E.V.] agrees and warrants: (d) that it will promptly notify the data exporter [e.g. a company or public authority in Berlin; E.V.] about: (i) any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation.”

Being informed about the unpreventable disclosure of one’s personal data (and sometimes not even being informed, because this is “otherwise prohibited” under a third country’s law) is obviously not the same as such disclosure being physically (or perhaps one should say legally) impossible due to the data not being in the jurisdiction in question. It would seem that Commissioner Maja Smoltczyk was talking about this very issue when she said that “the provider of the videoconferencing system might make a recording of the call or the conference, be it for his own purposes or because a public authority requires him to do so” (der Betreiber des Videokonferenzsystems selbst kann ein Interesse haben oder behördlich dazu verpflichtet sein, einen Mitschnitt anzufertigen).

The fact that the Microsoft press release used the German verb “etwas vorsehen” (which could be translated as “to provide something by design” or “to be designed for some purpose”) might also not be entirely coincidental. Software products that do not provide a certain feature, e.g. wire tapping, “by design” (sehen keine Abhörmöglichkeiten vor), might easily be programmed to provide such a feature, even if this was not in the interest of the original provider of the software or the service, and was not intended. A provider might simply be legally required to alter the software to provide a certain (new) feature.

Microsoft did not press its case, and in June 2020 the Memorandum could still be accessed in its revised version of 22 May 2020 (version 1.1, quoted in this article). There were no further reports in the media of legal action or any other communications between the two parties involved. The issue whether institutions, public authorities and companies are always safe from a data-protection perspective to use videoconferencing systems that are not based in the EU or EEA therefore remains largely unresolved. The fact remains, however, that the way privacy policies are provided and handled does not greatly help to clarify the issue. It seems that no one is too sure about the specific legal and technical framework that regulates data protection in videoconferencing services. This can also be seen in the way the German language was used in the press release cited at length in this article.

Edward Viesel

30. April 202028. Dezember 2020

DE| High Court: Menschliche Gedanken sind keine „Daten“ gemäß Datenschutzgesetzgebung

Das menschliche Gehirn ist kein Speicherort, und ein Gespräch per Telefon ist keine Verarbeitung personenbezogener Daten, das hat nun der High Court of England and Wales (EWHC) erstmals konkret in einem Urteil aus dem März 2020 (neutrale Zitiernummer: [2020] EWHC 483 (QB)) entschieden.

Der Kläger, die Privatperson David Paul Scott, hatte sich im Juni und Juli 2016 in Manchester an die Beklagte, die LGBT Foundation [LGBT-Stiftung] gewandt. Die LGBT Foundation ist eine private Wohltätigkeitsorganisation, die Schwule, Lesben, Bisexuelle und Transgender [lesbian, gay, bisexual and transgender people – LGBT people] unterstützt und berät, vor allem hinsichtlich ihrer seelischen Gesundheit.

Kläger hatte Probleme mit seelischer und körperlicher Gesundheit

Der Kläger hatte in der Vergangenheit Probleme mit Drogenmissbrauch und selbstverletzendem Verhalten. Er nahm zur Zeit des streitgegenständlichen Vorfalls Medikamente ein, die aus Persönlichkeitsschutzgründen im Urteil nicht näher bezeichnet werden, deren Absetzen der Kläger jedoch selbst als lebensbedrohlich einstufte.

Bei seinem Aufnahmegespräch bei der Stiftung gab der Kläger an, er habe derzeit zwar keine Pläne sich „aktiv selbst zu töten“, aber er denke daran, die Einnahme seiner Medikamente zu beenden, „da er einfach nicht mehr leben wolle“ [He had no current plans to „actively kill“ himself, he was „seriously considering stopping taking my [deletion] meds because I just don’t want to be alive anymore“] (Rn. 20).

Im Aufnahmeformular (self-referral form) gab der Kläger außerdem unter dem folgenden (hier übersetzten) Passus die Kontaktdetails seines Hausarztes an:

„Wir weisen Sie darauf hin, dass wir im Rahmen unserer Verschwiegenheitsrichtlinien unter Umständen aus Gründen Ihrer Gesunderhaltung unsere Pflicht zur Vertraulichkeit ohne Ihre Zustimmung verletzen müssen, falls es Anlass zu schwerwiegenden Bedenken hinsichtlich Ihres Wohlergehens gibt. Falls dieser Fall eintrifft, werden wir zunächst versuchen, Ihre Zustimmung einzuholen. Dies wird aber unter Umständen nicht in jedem Falle möglich sein.“

[Please note that as part of our confidentiality policy, if there is reason to be seriously concerned about your welfare, we may need to break confidentiality without your consent to help you stay safe. We will try to get your consent first but this may not always be possible (Rn. 23).]

Beklagte kontaktierte selbstständig Hausarzt des Klägers

Diese Regelung wurde mit dem Kläger auch bei seinem Aufnahmegespräch mit der ihm zugewiesenen Therapeutin, Frau Lambe, Ende Juli 2016 besprochen. Der Kläger akzeptierte diese Regelung mündlich (Rn. 26). Im Aufnahmegespräch stellte sich zudem heraus, dass der Konsum illegaler Drogen durch den Kläger so gravierend war, dass die von ihm beantragte Gesprächstherapie keinen Sinn ergeben würde, jedoch eine Drogen- und Alkoholtherapie in Frage käme (Rn. 40).

Der Kläger hatte im Aufnahmegespräch immer wieder geäußert, dass er eine lange Geschichte von Drogenmissbrauch und selbstverletzendem Verhalten habe. Die Intensität des Gedankens, sich selbst töten zu wollen, schätzte er auf einer Skala von 0 bis 10 selbst als „8“ ein (Rn. 32).

Am selben Tag rief die Therapeutin Frau Lambe von der LGBT Foundation beim Hausarzt (general practitioner – GP) des Klägers an und verständigte die dortige medizinische Fachangestellte (Arzthelferin) über den Inhalt des Gespräches. Die medizinische Fachangestellte notierte unter anderem Folgendes in der Patientenakte des Klägers (hier in Übersetzung):

„David [der Kläger] hat zugegeben, dass er [Angabe aus Persönlichkeitsschutzgründen im Urteil gelöscht] nimmt. Er erklärte, dass er diese im Rahmen einer Bewältigungsstrategie einnimmt, aber dass diese Einnahme auch eine Art ist, sich selbst zu verletzen. Er gab an, dass er am vergangenen Donnerstag Suizidgedanken hatte. Er macht jedoch die Einnahme der Drogen dafür verantwortlich.“

[David admitted he was using [deletion], he stated he uses them as a coping strategy but also stated it is a way of self-harming. He said he had suicidal thoughts last Thursday but blames the drugs for him feeling this way (Rn. 47).]

Ziel: Schadensersatz aufgrund von Datenschutzverletzung

Im Jahre 2018 trat sowohl die DSGVO als auch das darauf basierende britische Datenschutzgesetz von 2018 (Data Protection Act 2018) in Kraft. Im Juli 2016 galt dagegen für den Bereich Datenschutz noch das britische Datenschutzgesetz von 1998 (Data Protection Act 1998 – DPA 1998). Der Kläger stützte sich unter anderem auf dieses Gesetz und reichte wegen „unrechtmäßiger Offenlegung sensibler personenbezogener Daten“ in Bezug auf sein Sexualleben und seinen seelischen Gesundheitszustand Klage ein (unlawful disclosure of „sensitive personal data“ concerning his sexual life and mental health) (Rn. 53).

Die Klage verfolgte auch den Zweck, finanziellen Schadensersatz geltend zu machen. Herr Scott war bis einschließlich 2016 als Berater für nukleare Sicherheit tätig. In diesem Zusammenhang musste er sich regelmäßig Sicherheitsüberprüfungen durch die britische Behörde für Sicherheitsüberprüfungen unterziehen (United Kingdom Security Vetting – UKSV; im Urteil fälschlicherweise als UKVS abgekürzt).

Die Patientenakte seines Hausarztes würde von der genannten Behörde im Rahmen der Sicherheitsüberprüfungen eingesehen, so dass seine berufliche Karriere wegen der Offenlegung der LGBT-Stiftung „nun ruiniert“ sei (Rn. 8).

Interessant ist hier, dass § 1 Abs. 1 Buchst. c des britischen Datenschutzgesetzes von 1998 Folgendes als sachlichen Anwendungsbereich des Gesetzes definiert: „Informationen, die mit der Absicht aufgezeichnet werden, sie mit automatisierten und von Menschen gesteuerten Einrichtungen zu verarbeiten“ (information which is recorded with the intention that it should be processed by means of such equipment [= equipment operating automatically in response to instructions given for that purpose]). Dies entspricht ungefähr dem sachlichen Anwendungsbereich der DSGVO in Art. 2 Abs. 1.

Kläger: Das menschliche Gedächtnis zeichnet Daten auf

Der Kläger argumentierte im Kern, dass die im Gehirn von Frau Lambe (der Mitarbeiterin der LGBT Foundation) vorhandenen Informationen von ihr im Gedächtnis mit dem Ziel gespeichert oder aufgezeichnet worden waren, sie zu gegebener Zeit in einem automatisierten Datei- bzw. Ablagesystem zu speichern bzw. abzulegen. Daher seien diese Informationen schützenswerte Daten im Sinne der Datenschutzgesetzgebung. (Mr Scott sought to argue that the material was in effect „stored“ in Ms Lambe’s mind with a view or intention to it being put into an automated record/filing system in due course, and therefore it was „data” as defined in the DPA) (Rn. 62).

Der Vorsitzende Richter am High Court of England and Wales (EWHC) Sir Pushpinder Saini wies diese Einlassung jedoch zurück. Das Vorbringen stimme nicht mit der Systematik des britischen Datenschutzgesetzes von 1998 überein (this submission does not fit within the DPA scheme) (Rn. 62).

Im Gegenteil: „Eine verbale Offenlegung stellt keine Verarbeitung personenbezogener Daten dar.“ (a verbal disclosure does not constitute the processing of personal data) (Rn. 61). „Das britische Datenschutzgesetz von 1998 findet auf rein verbale Kommunikation keine Anwendung“ (the DPA does not apply to purely verbal communications) (Rn. 55).

Laut dem Blog der Londoner Anwaltskanzlei des Verteidigers der beklagten LGBT Foundation gelten diese vom Gericht aufgestellten Grundsätze sinngemäß auch für den sachlichen Anwendungsbereich von Art. 2 Abs. 1 DSGVO (automatisierte Verarbeitung oder zumindest Speicherung) (the reason [for rejecting the claim for breach of the DPA 1998] is that data, as defined in section 1 of the DPA and Article 2(1) of the GDPR, needs to be recorded in electronic or manual form) (Quelle: Link in diesem Absatz). Die DSGVO ist derzeit – und zumindest noch bis 31. Dezember 2020 („Brexit“) – in Großbritannien in Kraft.

Der Anwalt Christopher Knight, ein Kollege des Anwalts der Beklagten, merkte in diesem Blogeintrag an: „Wir wussten ja schon immer mehr oder weniger, dass das britische Datenschutzgesetz von 1998 nicht auf von Menschen mündlich Geäußertes anwendbar ist. Sich jedoch auf eine autoritative Quelle zu beziehen, die dies bestimmt hätte, war schon schwieriger. Glücklicherweise haben wir jetzt solch eine Quelle: Scott v LGBT Foundation Ltd.“(We all sort of know that the Data Protection Act 1998 didn’t apply to stuff people say orally, don’t we? But pointing to an authority that said so is rather harder. Luckily, now we have one: Scott v LGBT Foundation Ltd.)

Datenschutz dreht sich um Akten und Datensätze

Der Kläger merkte während des Verfahrens an, dass eine solch enge Definition von Daten „unfair“ sei (Rn. 63). Die Offenlegung sensibler privater Informationen würde nur deshalb nicht vom Datenschutzgesetz abgedeckt, weil diese Offenlegung verbal und aus dem Gedächtnis erfolgt sei. Der Vorsitzende Richter Saini wies in seiner Entscheidung jedoch darauf hin, dass das Datenschutzgesetz eben eine spezifische Systematik aufweise, die sich um „Akten, Aufzeichnungen und Datensätze sowie die Verarbeitung von Informationen drehe“ (but that is not what the DPA is concerned with: it is a very specific scheme based around records and processing) (Rn. 63).

Andere rechtliche Bereiche, insbesondere die Gesetzgebung im Bereich von Vertraulichkeit und Verschwiegenheitspflichten (the law of confidentiality), könnten durchaus auf den vorliegenden Fall Anwendung finden. Ein solcher Anspruch scheitere jedoch an der vom Kläger unterschriebenen Einschränkung der an und für sich geltenden Pflicht zur Verschwiegenheit, die deshalb in Bezug auf seinen Hausarzt in bestimmter und eingeschränkter Hinsicht nicht gelte (the duty of confidence which was undoubtedly owed to Mr Scott had a qualifier to confidentiality, or „carve out“, which permitted the very limited Disclosure to his GP) (Rn. 63).

Die Klage wurde in vollem Umfang abgewiesen (Rn. 108).

Zwar war das menschliche Gehirn sicher das Modell für die Erfindung von Registraturen und des Computers. Trotz dieser Ähnlichkeit ist es – zumindest nach englischer Rechtsprechung – aber keine „Verarbeitungseinrichtung“ und auch kein „Ablageort“ oder „Speichersystem“, und die im Gedächtnis vorhandenen Informationen sind daher auch keine „Daten“ im Sinne der Datenschutzgesetzgebung. Menschen, die Angst vor einer Zukunft haben, die von Cyborgs bestimmt wird, können aufatmen: Zumindest in dieser Hinsicht gibt es eine klare Trennung zwischen Mensch und Maschine.

Edward Viesel

Hinweis: Die Originalzitate wurden aus Gründen der besseren Lesbarkeit in der Regel ohne Hinzufügen von Auslassungszeichen gekürzt oder angepasst. Außerdem kann im Einzelfall der Numerus an den deutschen Text angepasst worden sein. Im Falle von Unklarheiten nehmen Sie bitte Bezug auf das im Text verlinkte Originalurteil (HTML sowie PDF-Datei unter „Printable PDF version“).