In Ergänzung zum Artikel zur Stellungnahme des Europäischen Datenschutzausschusses zu „pay-or-consent“-Modellen vom 31.05.2024:
Parallel zum Europäischen Datenschutzausschuss (EDSA) befasst sich mittlerweile auch die Europäische Kommission mit den „pay-or-consent“-Modellen von Meta, dem Konzern hinter Facebook und Instagram. Sie hat bereits am 25. März 2024 ein Verfahren gegen Meta eingeleitet. Die Kommission untersucht, ob Meta mit ihrem „pay-or-consent“-Modell gegen das Gesetz über digitale Märkte (DMA) verstößt.
Gesetz über digitale Märkte
Das Gesetz über digitale Märkte beschäftigt sich mit dem Wettbewerb im digitalen Raum. Unternehmen mit einer marktbeherrschenden Stellung in bestimmten Bereichen der Internetwirtschaft gelten als Gatekeeper und müssen sich so verhalten, dass sie den Wettbewerb nicht verhindern. Meta wurde im Rahmen des DMA als Gatekeeper eingestuft und muss daher strenge Regeln einhalten, um Wettbewerb zu ermöglichen. Aufgrund ihrer starken Stellung auf digitalen Märkten können Gatekeeper ihrer großen Nutzerzahl Dienstleistungsbedingungen auferlegen, die es ihnen ermöglichen, riesige Mengen personenbezogener Daten zu sammeln. Damit sind sie gegenüber Wettbewerbern, die keinen Zugang zu einer solch großen Datenmenge haben, deutlich im Vorteil, was zu hohen Hürden für die Online-Werbung und Diensten für soziale Netze geführt hat.
Meta hatte im Rahmen dessen das „pay-or-okay“-Modell eingeführt, bei dem die Nutzer von Meta-Netzwerken in der EU zwischen einem monatlichen Abonnement einer werbefreien Version oder dem kostenlosen Zugang zu einer Version dieser sozialen Netze mit personalisierten Anzeigen wählen mussten.
Untersuchung durch EU-Kommission
Margarethe Vestager, die für Wettbewerbspolitik zuständige Vizepräsidentin der Europäischen Kommission, sagte im Rahmen einer Pressekonferenz dazu: „Wir haben den Verdacht, dass die von den drei Unternehmen [Google, Apple und Meta] vorgeschlagenen Lösungen nicht vollständig im Einklang mit dem DMA stehen.“
Die Untersuchung wird voraussichtlich innerhalb von 12 Monaten nach der Eröffnung abgeschlossen sein, die Kommission hat jedoch bereits im Juli vorläufige Ergebnisse in einer Pressemitteilung veröffentlicht. Darin hat sie nun vorläufig festgestellt, dass Metas „pay-or-okay“-Modelle gegen das Gesetz über digitale Märkte verstößt.
Im Mittelpunkt der Untersuchung steht Art. 5 Abs. 2 des Gesetzes über digitale Märkte. Danach müssen Gatekeeper die Einwilligung der Nutzer in die Zusammenführung der Daten aus dienstübergreifenden Systemen einholen und dem Endnutzer dabei eine spezifische Wahl geben. Verweigert ein Nutzer eine solche Einwilligung, so sollten sie Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative haben. Gatekeeper dürfen den Dienst oder bestimmte Funktionalitäten nicht von der Einwilligung der Nutzer abhängig machen. Die von Meta angebotene Alternative zur Datenverarbeitung ist laut der Kommission nicht gleichwertig und zugleich weniger personalisiert. Somit sei eine ungezwungene Einwilligung der Nutzer zu der Zusammenführung ihrer Daten nicht möglich.
Die Kommission hat sich damit der Einschätzung des EDSA angeschlossen, indem sie die „pay-or-okay“-Modelle von Meta in ihrer derzeitigen Ausgestaltung als nicht zulässig ansieht und ausführt, dass das Abo-Modell die Nutzenden zwingt, der Verarbeitung ihrer persönlichen Daten zuzustimmen und sie einer weniger personalisierten, aber gleichwertigen Version der sozialen Netzwerke von Meta beraubt.
In Reaktion auf diese vorläufigen Ergebnisse hat Meta nun die Möglichkeit, seine Verteidigungsrechte wahrzunehmen, indem es die Unterlagen der Untersuchung prüft und schriftlich zu den vorläufigen Ergebnissen Stellung nimmt. Sollte sich die vorläufige Auffassung der Kommission im Endergebnis bestätigen, würde die Kommission einen Beschluss erlassen, in dem sie feststellt, dass das Modell von Meta nicht mit Art. 5 Abs. 2 des Gesetzes über digitale Märkte vereinbar ist. Im Fall einer Nichteinhaltung kann die Kommission Geldbußen in Höhe von bis zu 10% des weltweiten Jahresumsatzes des Konzerns verhängen. Bei systematischer Missachtung des Gesetzes kann die Kommission zusätzliche Abhilfemaßnahmen anordnen, wie den Verkauf des Unternehmens oder von Unternehmensteilen. Zunächst setze man jedoch seine „konstruktive Zusammenarbeit mit Meta fort, um einen zufriedenstellenden Weg hin zu einer wirksamen Einhaltung der Vorschriften zu finden.“
Anwendbarkeit auf andere Unternehmen
Die Untersuchung der Kommission konzentriert sich in diesem Fall auf Meta als große Online-Plattform und Gatekeeper im Sinne des Gesetzes über digitale Märkte und bewertet die Situation im Licht des Wettbewerbsrechts. Daraus ergibt sich der große Kritikpunkt der Kommission, dass Plattformen, wie Meta aufgrund ihrer großen Reichweite den Nutzenden bislang beliebige Geschäftsbedingungen aufdrücken und so große Datenmengen anhäufen können. Darauf stützt sich die Bewertung der Modelle als unzulässig. Dies ist ein Kriterium, das kleinere Plattformen und solche, die nicht als Gatekeeper eingestuft sind, meist nicht erfüllen. Der mögliche Vorteil, der sich nach Einschätzung der Kommission gegenüber anderen Wettbewerbern daraus ergeben kann, kann sich folglich nicht realisieren.
Somit kann die wettbewerbsrechtliche Einschätzung der Zulässigkeit von „pay-or-okay“-Modellen nicht ohne weiteres auf Plattformen, die nicht als Gatekeeper gelten, übertragen werden, da sie bereits die grundlegenden Kriterien nicht erfüllen, auf denen diese Einschätzung basiert. Wie jedoch im vorangegangenen Artikel aufgezeigt, werden die „pay-or-okay“-Modelle auch datenschutzrechtlich kritisch beurteilt, wonach sich wiederum eine Relevanz für kleinere Plattformen ergeben kann.
Im November 2023 führte Meta, der Konzern hinter Facebook und Instagram, ein „Pay or Consent“-Modell ein. Seitdem müssen die Nutzenden entweder eine Gebühr entrichten oder sie müssen dem Tracking durch Meta zustimmen. Dies erfolgte als Reaktion auf die Entscheidung C-252/21 des EuGHs („Bundeskartellamt“-Entscheidung), der nur eine Einwilligung als ausreichende Rechtsgrundlage für das Tracking durch Meta angesehen hat.
1. Stellungnahme des EDSA
Aufgrund datenschutzrechtlicher Bedenken haben die Datenschutzbehörden der Niederlande, Norwegens und Deutschlands (Hamburg) diesbezüglich den Europäischen Datenschutzausschuss (EDSA) angerufen. Dieser hat daraufhin im April 2024 eine Stellungnahme zu eben diesen „Pay or Consent“-Modellen veröffentlicht. Darin positioniert er sich zur Wirksamkeit der Einwilligung zur Verarbeitung personenbezogener Daten zum Zwecke der verhaltensbezogenen Werbung im Rahmen von Zustimmungs- oder Bezahlmodellen („Pay or Consent“-Modellen), die von großen Online-Plattformen eingesetzt werden.
In der Stellungnahme vertritt der EDSA die Auffassung, dass bei großen Online-Plattformen die Einwilligung unwirksam sei, wenn der Nutzer lediglich die Wahl zwischen einer kostenpflichtigen und einer kostenlosen Option in Verbindung mit Tracking zu Werbezwecken hat.
Vorab stellt der EDSA klar, dass sich seine Stellungnahme auf die Zulässigkeit von Zustimmungs- oder Bezahlmodellen bei großen Online-Plattformen beschränkt, die anhand ihrer Nutzerzahlen, ihrer Marktposition sowie der verarbeiteten Datenmenge zu definieren sein. Dieses Verständnis dürfte jedenfalls sehr große Online-Plattformen im Sinne des Digital Services Acts (Art. 33 ff.) sowie Gatekeeper im Sinne des Digital Markets Act (Art. 2 Abs. 1) umfassen, während im Übrigen den Plattformbetreibern selbst die Prüfung überlassen bleibt, ob sie vom Anwendungsbereich der Stellungnahme umfasst sind.
In seiner Kernthese führt der EDSA sodann aus, dass es in den meisten Fällen für große Online-Plattformen nicht möglich sein wird, die Anforderungen der DSGVO an eine wirksame Einwilligung zu erfüllen, wenn sie die Nutzer nur vor die Wahl stellen, entweder der Verarbeitung personenbezogener Daten zu Zwecken der verhaltensbezogenen Werbung zuzustimmen oder eine Gebühr zu zahlen, um Zugang zu den angebotenen Diensten zu erhalten.
In diesem Rahmen äußert der EDSA insbesondere Zweifel an der Freiwilligkeit der Einwilligung. Die derzeitige Vorgehensweise großer Online-Plattformen geht für die Nutzer der Dienste mit Nachteilen einher, die die Freiwilligkeit der Einwilligung ausschließt. Zum einen dürfen die erhobenen Gebühren nicht so hoch sein, dass die Betroffenen tatsächlich daran gehindert sind, eine freie Entscheidung zu treffen, zum anderen kann der Ausschluss von bestimmten Diensten etwa soziale oder berufliche Nachteile mit sich bringen. Auch im Hinblick auf die Punkte eines möglichen Machtungleichgewichts zwischen Betroffenen und Verantwortlichen, der Konditionalität, sowie der Granularität sieht der EDSA die Freiwilligkeit der Einwilligung in den meisten Fällen als nicht gegeben an. Im Kontext der Konditionalität ist zu beleuchten, ob eine Einwilligung erforderlich ist, um Zugang zu Waren oder Dienstleistungen zu erhalten, obwohl die Verarbeitung nicht für die Erfüllung des Vertrages erforderlich ist. Die Granularität setzt voraus, dass die betroffene Person frei wählen kann, welchen Zweck der Verarbeitung sie akzeptiert, anstatt mit einer Einwilligungsanfrage konfrontiert zu werden, die mehrere Zwecke bündelt. Das Angebot (nur) einer kostenpflichtigen Alternative zu dem Dienst, der die Verarbeitung zu Zwecken der verhaltensbezogenen Werbung voraussetzt, könne für die Verantwortlichen nicht der Standardweg sein. Vielmehr sollten die Verantwortlichen in Erwägung ziehen eine gleichwertige Alternative anzubieten, bei der keine personenbezogenen Daten zu Zwecken der verhaltensbezogenen Werbung werden und die im Idealfall nicht gebührenpflichtig ist. Dieser Faktor sei besonders wichtig bei der Bewertung einer gültigen Einwilligung nach der DSGVO.
Sollten die Verantwortlichen eine Gebühr erheben, sollten sie in einer Fall-zu-Fall-Prüfung untersuchen, ob, und wenn in welcher Höhe, eine Gebühr angemessen ist. Dabei erinnert der EDSA daran, dass personenbezogene Daten nicht als handelbare Ware betrachtet werden können und, dass die Verantwortlichen berücksichtigen sollten, dass das Grundrecht auf Datenschutz nicht in ein Merkmal umgewandelt werden darf, für dessen Inanspruchnahme die betroffenen Personen bezahlen müssen.
2. Kritik an der Rechtsauffassung des EDSA
Mit dieser Stellungnahme erteilt der EDSA also dem derzeit von großen Online-Plattformen praktizierten Zustimmungs- oder Bezahlmodell eine Absage. Die Stellungnahme des EDSA zeichnet jedoch ein realitätsfernes und paternalistisches Bild. Es wird das Bild eines unmündigen Verbrauchers impliziert, der das Ausmaß seiner Entscheidungen nicht überblicken kann und den es vor sich selbst zu schützen gilt. Der EDSA-Vorsitzenden Anu Talus zufolge „stimmen die meisten Nutzer der Verarbeitung zu, um einen Dienst zu nutzen und sie verstehen nicht die vollen Auswirkungen ihrer Entscheidungen.“ Dieser Ansatz steht im Widerspruch zur Datensouveränität des Einzelnen. Grundsätzlich kann nach der Digitale-Inhalte-Richtlinie und den daraufhin eingeführten §§ 312 Abs. 1a, 327 Abs. 3 BGB jeder frei über seine Daten verfügen und eben auch mit ihnen bezahlen. Indem der EDSA sich gegen das Konzept von Daten als Zahlungsmittel ausspricht, schlägt er eine gegensätzliche Linie zur Datenstrategie der EU und auch der Bundesregierung ein, die die Datennutzung und den Datenschutz in ein harmonisches Gleichgewicht bringen wollen. „Daten gegen Leistung“ ist ein gesetzlich niedergeschriebenes, anerkanntes Prinzip. Zudem scheint der EDSA zu verkennen, dass es auch in der digitalen Welt zur Bereitstellung von Dienstleistungen und Waren einer Gegenleistung bedarf. Eine Zahlungsunwilligkeit oder auch -unfähigkeit führt sowohl in der digitalen als auch in der analogen Welt nicht zur Unzulässigkeit des angewandten Modells.
Auch wenn der EDSA auf den ersten Blick mit seiner Stellungnahme an die oben genannte „Bundeskartellamt“-Entscheidung des EuGH anknüpft, widerspricht er ihm letztlich. Die durch den EuGH akzeptierte kostenpflichtige Alternative scheint ihm nicht auszureichen, um der Freiwilligkeit der Einwilligung zu genügen. Dem geforderten dritten Modell fehlen jedoch die klaren Umrisse. Die aufgeführten Kriterien und Bewertungsmaßstäbe sind offen und allgemein gehalten und schaffen keine Rechtssicherheit.
3. Anwendbarkeit auch auf andere Verantwortliche?
Die EDSA-Stellungnahme richtet sich ausdrücklich nur an große Online-Plattformen. Die Argumente des EDSA gegen ein „pay or consent“-Modell sind jedoch auch auf andere Konstellationen übertragbar. Wenn beispielsweise, wie vom EDSA behauptet, personenbezogene Daten nicht „handelbar“ sind, würde dies einem „pay or consent“-Modell auch dann entgegenstehen, wenn es sich beim Anbieter nicht um eine „große Online-Plattform“ im Sinne des DSA oder DMA handelt.
So verbleibt eine große Unsicherheit auf Seiten der Verantwortlichen. Der EDSA hat es leider versäumt, die Rechtssicherheit zu schaffen. Es bleibt abzuwarten, wie Meta und Co. reagieren. Es bleibt aber auch abzuwarten, wie sich die EDSA-Stellungnahme auf vergleichbare Geschäfts- und Einwilligungsmodelle andere Verantwortlicher auswirkt.
Der „Dauerbrenner“ Microsoft 365 beschäftigt nach wie vor die Datenschutz-Aufsichtsbehörden. Nun hat sich der Europäische Datenschutzbeauftragte (EDPS) zu Wort gemeldet, der als unabhängige Aufsichtsbehörde für die Organe und Einrichtungen der EU zuständig ist.
Mit einer Entscheidung vom 11. März 2024 (https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en) hat der EDPS der EU-Kommission angewiesen, bis zum 9. Dezember 2024
- alle Datenflüsse, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben und die nicht unter einen Angemessenheitsbeschluss fallen, auszusetzen und
- die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.
Die Entscheidung des EDPS stellt nicht auf die DSGVO, sondern auf die Verordnung 2018/1725 ab. Dabei handelt es sich um das Datenschutzrecht für Organe und Einrichtungen der EU. Die Verordnung entspricht jedoch inhaltlich weitgehend der DSGVO.
Nach der Meinung des EDPS hat die Kommission nicht ausreichend geprüft und vereinbart, welche personenbezogenen Daten von Microsoft zu welchen Zwecken verarbeitet und an Subunternehmer übermittelt werden.
Der Kommission wurde insbesondere aufgegeben,
- ein „Transfer-Mapping“ durchzuführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien erfolgen. Dies soll auch Weiterübermittlung (onward transfers) beinhalten, d.h. die gesamte, von Microsoft eingesetzte Subunternehmer-Kette:
„appraise […] what personal data will be transferred to which recipients in which third countries and for which purposes, thereby […] obtaining the minimum information necessary to determine whether any supplementary measures are required to ensure the essentially equivalent level of protection […]”
Die Datenübermittlung an Subunternehmer in Drittländer ohne angemessenes Schutzniveau ist zu unterlassen.
- ausdrücklich festzulegen, welche Daten zu welchen Zwecken von Microsoft verarbeitet werden und dabei den Zweckbindungsgrundsatz zu berücksichtigen:
„sufficiently determine the types of personal data collected under the […] agreement concluded with Microsoft […] in relation to each of the purposes of the processing so as to allow those purposes to be specified and explicit; ensure that the purposes for which Microsoft is permitted to collect personal data [….] are specified and explicit; provide sufficiently clear documented instructions for the processing […]”.
Es muss transparent geregelt werden, welche Daten zu welchen Zwecken vereinbart werden. Diese Verarbeitungen müssen natürlich rechtmäßig sein. Insbesondere soll durch klare und detaillierte Regelungen sichergestellt werden, dass die Daten von Microsoft wirklich nur im Auftrag der Kommission genutzt werden.
Die Kritikpunkte des EDPS entsprechen dabei zum Teil der Kritik der deutschen Aufsichtsbehörden, die zuletzt in der „Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung“ vom 2.11.2022 veröffentlicht wurde (https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf). Es bleibt abzuwarten, welche praktischen Konsequenzen die Entscheidung des EDPS für deutsche Unternehmen haben wird und ob die deutschen Aufsichtsbehörden die Entscheidung zum Anlass nehmen werden, ihre eigene Prüfungspraxis zu verschärfen.
Vor kurzem hat sich das Landgericht Berlin in einem interessanten Urteil mit der Do-Not-Track-Funktion beschäftigt. Do-Not-Track ist eine Technologie, die es bereits seit 2009 gibt und die einen ähnlichen Zweck verfolgte wie die allseits beliebten Cookie-Banner – sie soll es nämlich ermöglichen, der Verarbeitung von personenbezogenen Daten beim Surfen im Internet automatisiert zu widersprechen. „Do-Not-Track“ ist im Grunde nur eine Einstellung im Browser. Ist das Feature aktiviert, sendet der Browser beim Abruf von Seiten das „Do-Not-Track“-Signal, mit dem man so Websites mitteilen kann, dass man nicht „verfolgt“ werden will, während man im Internet surft. Die Berücksichtigung dieses Signals durch die Website-Betreiber erfolgte bisher nur selten – sie war nämlich nicht rechtsverbindlich.
Urteil des Landgerichts Berlin
Nach dem kürzlich ergangenen Urteil des LG Berlin (Urteil vom 24.08.2023 – 16 O 420/19) wird sich die Herangehensweise an die Einbeziehung der Do-Not-Track-Funktion voraussichtlich ändern müssen.
Das Gericht entschied, dass die Verwendung dieser Technologie einen wirksamen Widerspruch gegen die Verarbeitung personenbezogener Daten (wie z. B. auch der IP-Adresse) darstellt und daher beachtet und respektiert werden sollte.
Anlass für die Entscheidung des Gerichts waren Aussagen von LinkedIn, die Do-Not-Track-Einstellung nicht für einen wirksamen Widerspruch zu halten und zu ignorieren. Gegen diese Äußerungen hat die Verbraucherzentrale Bundesverband (vzbv) geklagt.
Do-Not-Track als ein Widerspruch gegen Verarbeitung der persönlichen Daten?
Aus datenschutzrechtlicher Sicht ist für das Tracking – insbesondere unter Verwendung von Cookies – gem. § 25 TTDSG i.d.R. eine Einwilligung erforderlich. Darüber hinaus kommen als Rechtsgrundlagen eine datenschutzrechtliche Einwilligung gem. Art. 6 Abs. 1a DSGVO und das berechtigte Interesse gem. Art. 6 Abs. 1f DSGVO in Betracht.
Wird keine Einwilligung erteilt oder diese widerrufen, ist die Datenverarbeitung i. d. R. rechtswidrig.
Durch die Einstellung „Do-Not-Track“ im Browser wird der Datenverarbeitung widersprochen (auch bevor man durch das Cookie-Banner dazu aufgefordert wird). Dies könnte gleichzeitig einen Widerspruch in möglicherweise schon erteilte Einwilligungen darstellen oder eine Willensäußerung, dass keine Einwilligung abgegeben werden soll.
Das LG Berlin stellt in seiner Entscheidung aber nicht auf den Zusammenhang zwischen Do-Not-Track und Einwilligungen ab, sondern ausschließlich auf einen Widerspruch nach Art. 21 Abs. 1 und 2 DSGVO. Das erstaunt etwas, da es im Zusammenhang mit Tracking in erster Linie auf die Einwilligung nach § 25 TTDSG ankommt.
Die Konsequenzen dieser gerichtlichen Entscheidung?
Das Urteil könnte Auswirkungen auf die derzeitige Funktionsweise von Cookie-Bannern haben. Folgt man der strengen Auffassung des LG Berlin, wären demnach Cookie-Banner nicht notwendig, wenn „Do-Not-Track“ aktiviert ist: der Nutzer bringt damit seinen „Widerspruch“ gegen Tracking-Maßnahmen und seine fehlende Einwilligungsbereitschaft zum Ausdruck. Andererseits ist es auch denkbar, dass Websites trotz Aktivierung von „Do-Not-Track“ erneut über das Cookie-Banner nachfragen, ob wirklich kein Tracking erfolgen soll und keine Cookies verwendet werden dürfen – es ist auf den ersten Blick nicht ersichtlich, warum eine solche Praxis unzulässig sein sollte.
Es ist gleichwohl denkbar, dass Cookie-Banner in naher Zukunft angepasst werden. Dies ist mit einem größeren technischen Aufwand verbunden. Fraglich ist auch, ob sich die „Do-Not-Track“-Einstellung bzw. „Willenserklärung“ nur auf Funktionen und Cookies bezieht, die im engeren Sinne zu Tracking-Zwecken verwendet werden – oder auch auf Cookies, die für erweiterte Funktionalitäten verwendet werden, wie z. B. bei der Einbettung von YouTube-Videos oder Google Maps. Es bleibt abzuwarten, ob die Linie des LG Berlin in Zukunft durch weitere Gerichtsentscheidungen konkretisiert wird.
Am 13. November 2023 referiert Norman Müller erneut ganztags (9-16 Uhr) zur „Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud“ für das Führungskräfte-Forum des Behörden-Spiegels.
Mit Beschluss vom 11. Februar 2022 hat der IT-Planungsrat die EVB-IT Cloud gebilligt und seinen Mitgliedern zur Anwendung empfohlen. Auch die Mitglieder des Bitkom-Arbeitskreises Öffentliche Aufträge haben sich für die Veröffentlichung der zwischen Öffentlicher Hand und der Verhandlungsdelegation des Bitkom abgestimmten EVB-IT Cloud ausgesprochen.
Die EVB-IT Cloud schließen als 11. Vertragstyp eine Lücke in den EVB-IT, die immer schmerzlicher wurde.
Sie sind das Ergebnis eines intensiven Verhandlungsprozesses mit der IT-Wirtschaft. Die EVB-IT Cloud enthalten eine Reihe neuer Regelungen, die unter anderem auf die Spezifika des hochstandardisierten und weitgehend globalisierten Cloudgeschäfts zurückzuführen sind, aber auch auf die technischen Herausforderungen und die damit verbundenen IT-Sicherheitsaspekte. Sie beziehen die aktuellen Anforderungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) mit ein.
Die Besonderheit der EVB-IT Cloud drückt sich aber auch darin aus, dass dazu zwei völlig neuartige Dokumente gehören, einerseits ein Kriterienkatalog zur Abbildung von Spezifika der Cloudleistungen und andererseits eine Anlage mit deren Hilfe auftragnehmerseitige AGB vergaberechtskonform einbezogen werden können.
Themenüberblick:
- Anwendungsbereich der neuen EVB-IT Cloud
- Besonderheiten der EVB-IT Cloud im Vergleich zu anderen EVB-IT
- Wesentliche Punkte aus den AGB
- Kriterienkatalog für Cloudleistungen, ein neues Werkzeug
- Einbeziehung auftragnehmerseitiger AGB, Verwendung der entsprechenden Anlage zu den EVB-IT Cloud
- Beschaffungen mit den neuen EVB-IT Cloud
Zur Teilnahme an diesem Webinar benötigen Sie lediglich einen Internetbrowser und Internetzugang. Es handelt sich um eine webbasierte Software, die keine Installation erfordert. Ihre Zugangsdaten sowie weitere relevante Informationen zur Teilnahme und zu den technischen Voraussetzungen erhalten Sie nach Anmeldung.
In letzter Zeit werden vermehrt Ansprüche auf Schadensersatz wegen der Verletzung von Regelungen der DSGVO geltend gemacht. Schon seit Inkrafttreten der DSGVO gab es Befürchtungen, dass es zu „Klagewellen“ bzw. der massenhaften Geltendmachung von Schadensersatzansprüchen schon aufgrund geringfügiger DSGVO-Verstöße kommen würde.
Dazu gab es in letzter Zeit einige interessante Gerichtsentscheidungen:
- Der EuGH hat in seinem Urteil „Österreichische Post“ vom 4.5.2023 (Az. C-300/21) zwar einerseits ausgeführt, dass es für immaterielle Schadensersatzansprüche Betroffener nach der DSGVO keine Erheblichkeitsschwelle gibt. Andererseits ist ein solcher immaterieller Schaden erforderlich. Der bloße Verstoß gegen die DSGVO begründet noch keinen Schadensersatzanspruch. In dem der Entscheidung zugrundeliegenden Sachverhalt hatte die Österreichische Post Daten von Kunden und deren politische Einstellung analysiert. Auf der Grundlage der Analyse hat sie den Betroffenen Mailings, d.h eine einmalige Werbesendung, entsprechend ihren politischen Präferenzen zugesandt – ohne jedoch ihre Daten an Dritte weiterzugeben. Darin liegt zwar eine Verletzung der DSGVO – es konnte jedoch nicht festgestellt werden, dass den Empfängern des Mailings dadurch in irgendeiner Weise ein Schaden erstanden ist.
- In einer Entscheidung des OLG Hamm vom 15.08.2023 (AZ: 7 U 19/23), ging es um das Ausleiten von Facebook–Daten im Wege des „Scraping“. Dritte konnten u.a. Namen und Telefonnummern über Suchfunktionen bei Facebook auslesen. Das Facebook dies nicht mit geeigneten Maßnahmen verhindert hat, begründet nach Auffassung des Gerichts einen Verstoß gegen Art. 32, 24 DSGVO. Schadensersatz hat das Gericht der Klägerin jedoch nicht zugesprochen. Ein immaterieller Schaden entsteht nicht durch einen bloßen Verstoß gegen Vorschriften des DSVGO, sondern nur dann, wenn eine persönliche oder psychische Beeinträchtigung vorliegt. Ein pauschal behaupteter „völliger Kontrollverlust“ stellt zwar ein generelles Risiko dar, aber noch keinen konkreten Schaden.
- In diese Linie der Rechtsprechung fügt sich auch eine Entscheidung des Landgerichts Berlin (07.06.2023 – 26 O 240/22) ein. Auch hier ging es um ein Daten-Scraping bei Facebook. Zum behaupteten „Kontrollverlust“ führt das LG Berlin aus, dass ein Verstoß gegen die DSGVO immer einen Kontrollverlust desjenigen bedeutet, der seine Daten dem Datenverarbeiter anvertraut hat. Deshalb könne nicht gleichzeitig der Kontrollverlust für sich genommen ein Schaden sein. Bloßer Ärger und Zorn stellt noch keinen Schaden dar. Nicht jede im Grunde nicht spürbare Beeinträchtigung oder individuell empfundene Unannehmlichkeit reicht mithin aus, sondern es sind ein messbarer Nachteil und eine objektiv nachvollziehbare tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen notwendig.
Die klare Linie der Rechtsprechung scheint also bislang „Klagewellen“ und Massenverfahren erfolgreich einzudämmen. Der bloße „Kontrollverlust“ aufgrund eines DSGVO-Verstoßes begründet noch keine Schadensersatzansprüche. Hinzukommen muss ein konkreter, belegbarer materieller oder immaterieller Schaden.
Am Mittwoch und Donnerstag (jeweils 3 Stunden; 10 – 13 Uhr) folgt das Vertiefungs-Webinar zum Thema EVB-IT. Auch dieses wird von Norman Müller seit Jahren regelmäßig durchgeführt.
Die EVB-IT, die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen, sind mit Vertretern der IT-Industrie abgestimmte Vertragsbedingungen der Öffentlichen Hand, die diese zur Beschaffung von IT-Leistungen einsetzt. Die EVB-IT werden von einer Arbeitsgruppe aus Vertretern des Bundes, der Länder und von Gemeinden unter Leitung des Bundesministeriums des Innern, für Bau und Heimat erstellt und dann mit einer Delegation des BITKOM verhandelt. Die bisherigen Vertragstypen konnten im Ergebnis dieser Verhandlungen stets einvernehmlich veröffentlicht werden.
Die EVB-IT haben zwischenzeitlich die Vorgängerbedingungen, namentlich die „Besonderen Vertragsbedingungen für die Beschaffung DV-technischer Anlagen und Geräte“ (BVB) fast vollständig abgelöst. Die EVB-IT selbst existieren teilweise auch bereits in der zweiten Version. So wurden seit 2015 fast alle klassischen EVB-IT erfolgreich überarbeitet und in Version 2.0 veröffentlicht.
Sowohl im Bund als auch in den Ländern ist die Anwendung der EVB-IT bzw. der noch geltenden BVB aufgrund des Haushaltsrechts verbindlich vorgegeben. Für den Bund ergibt sich dies aus der Verwaltungsvorschrift zu § 55 BHO, in den Ländern aus der jeweiligen LHO und auf kommunaler Ebene zumeist aus entsprechenden Anwendungserlassen.
Dieses Webinar ist vor allem für Praktiker gedacht, die bereits Erfahrung im Umgang mit den EVB-IT haben, über Grundlagenwissen verfügen und ihre vorhandenen Kenntnisse vertiefen möchten.
Die Teilnehmer werden nach einer kurzen Einführung mit ausgewählten EVB-IT Vertragstypen im Detail vertraut gemacht. Breiten Raum nehmen die Übungen der praktischen Verwendung der EVB-IT und deren sinnvolle Einbeziehung in das Vergabeverfahren ein. Die Teilnehmer lernen insbesondere
- wann welche EVB-IT Anwendung finden können und welche Spielräume hier bestehen
- den praktischen Umgang mit den EVB-IT Vertragsformularen,
- sinnvolle Ergänzungen und Änderungen der Standardregelungen
- die Verwendung der EVB-IT im Vergabeverfahren, z.B.
- wie die EVB-IT und die weiteren Vergabeunterlagen im Vergabeverfahren zusammenwirken und aufeinander abgestimmt werden
- wie Preisblätter, Leistungsbeschreibungen und Bewertungsmatrices zur Verwendung mit den EVB-IT erstellt werden sollten
- wie typische Fehler beim Ausfüllen der Vertragsformulare, bei der Änderung bzw. beim Hinzufügen eigener Regelungen und bei der Verwendung im Vergabeverfahren vermieden werden können.
Weitere Informationen zum Inhalt des Webinars finden Sie hier.
Die Anmeldung können Sie auf der Webseite des Führungskräfte Forums des Behördenspiegels vornehmen oder klicken Sie hier.
Am Dienstag, den 5. September 2023 findet das Grundlagen-Webinar von Norman Müller statt, welches er seit Jahren unter anderem für das Führungskräfte Forum des Behördenspiegels durchführt.
Gegenstand des Webinars:
Die EVB-IT, die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen, sind mit Vertretern der IT-Industrie abgestimmte Vertragsbedingungen der Öffentlichen Hand, die diese zur Beschaffung von IT-Leistungen einsetzt. Die EVB-IT werden von einer Arbeitsgruppe aus Vertretern des Bundes, der Länder und von Gemeinden unter Leitung des Bundesministeriums des Innern, für Bau und Heimat erstellt und dann mit einer Delegation des BITKOM verhandelt. Die bisherigen Vertragstypen konnten im Ergebnis dieser Verhandlungen stets einvernehmlich veröffentlicht werden.
Die EVB-IT haben zwischenzeitlich die Vorgängerbedingungen, namentlich die „Besonderen Vertragsbedingungen für die Beschaffung DV-technischer Anlagen und Geräte“ (BVB) fast vollständig abgelöst. Die EVB-IT selbst existieren teilweise auch bereits in der zweiten Version. So wurden seit 2015 fast alle klassischen EVB-IT erfolgreich überarbeitet und in Version 2.0 veröffentlicht.
Sowohl im Bund als auch in den Ländern ist die Anwendung der EVB-IT bzw. der noch geltenden BVB aufgrund des Haushaltsrechts verbindlich vorgegeben. Für den Bund ergibt sich dies aus der Verwaltungsvorschrift zu § 55 BHO, in den Ländern aus der jeweiligen LHO und auf kommunaler Ebene zumeist aus entsprechenden Anwendungserlassen.
Die Teilnehmenden des Webinars werden mit den Grundlagen der EVB-IT, den insoweit relevanten weiteren Vorschriften und den verschiedenen EVB-IT-Vertragstypen vertraut gemacht. Dazu werden die beliebtesten EVB-IT Vertragstypen vom Seminarleiter vorgestellt und gemeinsam erörtert. Anhand eines oder mehrerer Beispielfälle wird die praktische Verwendung der EVB-IT geübt.
Themenüberblick:
- Einführung
- Anwendungsbereich, Abgrenzungen, Verhältnis der EVB-IT zu VOL/B und BGB
- Vertragscharakter, Aufbau und Struktur der EVB-IT
- Basis-EVB-IT:
- EVB-IT Überlassung Typ A und Pflege S
- EVB-IT Dienstleistung
- EVB-IT Kauf und Instandhaltung
- EVB-IT Überlassung Typ B (bei Bedarf)
- Kurzübersicht der komplexen EVB-IT am Beispiel der EVB-IT System
- EVB-IT System
- EVB-IT Systemlieferung
- EVB-IT Erstellung
- Praxisübung: Abbildung eines Beispielfalls in den EVB-IT
Zur Teilnahme an diesem Webinar benötigen Sie lediglich einen Internetbrowser und Internetzugang. Es handelt sich um eine webbasierte Software, die keine Installation erfordert. Ihre Zugangsdaten sowie weitere relevante Informationen zur Teilnahme und zu den technischen Voraussetzungen erhalten Sie nach Anmeldung.
Hier geht es zur Anmeldung: Führungskräfte Forum des Behördenspiegels
Norman Müller referiert ganztags am 31. August 2023 erneut zur „Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud“ für das Führungskräfte-Forum des Behörden-Spiegels.
Mit Beschluss vom 11. Februar 2022 hat der IT-Planungsrat die EVB-IT Cloud gebilligt und seinen Mitgliedern zur Anwendung empfohlen. Auch die Mitglieder des Bitkom-Arbeitskreises Öffentliche Aufträge haben sich für die Veröffentlichung der zwischen Öffentlicher Hand und der Verhandlungsdelegation des Bitkom abgestimmten EVB-IT Cloud ausgesprochen.
Die EVB-IT Cloud schließen als 11. Vertragstyp eine Lücke in den EVB-IT, die immer schmerzlicher wurde.
Sie sind das Ergebnis eines intensiven Verhandlungsprozesses mit der IT-Wirtschaft. Die EVB-IT Cloud enthalten eine Reihe neuer Regelungen, die unter anderem auf die Spezifika des hochstandardisierten und weitgehend globalisierten Cloudgeschäfts zurückzuführen sind, aber auch auf die technischen Herausforderungen und die damit verbundenen IT-Sicherheitsaspekte. Sie beziehen die aktuellen Anforderungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) mit ein.
Die Besonderheit der EVB-IT Cloud drückt sich aber auch darin aus, dass dazu zwei völlig neuartige Dokumente gehören, einerseits ein Kriterienkatalog zur Abbildung von Spezifika der Cloudleistungen und andererseits eine Anlage mit deren Hilfe auftragnehmerseitige AGB vergaberechtskonform einbezogen werden können.
Themenüberblick:
- Anwendungsbereich der neuen EVB-IT Cloud
- Besonderheiten der EVB-IT Cloud im Vergleich zu anderen EVB-IT
- Wesentliche Punkte aus den AGB
- Kriterienkatalog für Cloudleistungen, ein neues Werkzeug
- Einbeziehung auftragnehmerseitiger AGB, Verwendung der entsprechenden Anlage zu den EVB-IT Cloud
- Beschaffungen mit den neuen EVB-IT Cloud
Zur Teilnahme an diesem Webinar benötigen Sie lediglich einen Internetbrowser und Internetzugang. Es handelt sich um eine webbasierte Software, die keine Installation erfordert. Ihre Zugangsdaten sowie weitere relevante Informationen zur Teilnahme und zu den technischen Voraussetzungen erhalten Sie nach Anmeldung.
Bislang wurde nicht abschließend geklärt, ob zur Erfüllung des datenschutzrechtlichen Auskunftsanspruchs gemäß Art. 15 DSGVO die Benennung der Kategorie des Empfängers, etwa deren Branchenzugehörigkeit, ausreicht oder eine Offenlegung der konkreten Identität des Empfängers vorzunehmen ist. Diese Frage hat der EuGH mit seinem Urteil vom 12.01.2023 beantwortet und entschieden, dass bei einem Auskunftsgesuch nach Art. 15 DSGVO konkrete Angaben über den bzw. die Empfänger der personenbezogenen Daten des Betroffenen gemacht werden müssen.
Im konkreten Fall wandte sich der spätere Kläger an die Österreichische Post, um gemäß Art. 15 DSGVO die Auskunft darüber zu erhalten, welche personenbezogenen Daten über ihn gespeichert werden und wer die Empfänger bei der Weitergabe der Daten waren. Die Österreichische Post teilte zunächst nur mit, dass sie die Daten im Rahmen ihrer Tätigkeit als Herausgabe von Telefonbüchern Geschäftskunden für Marketingzwecken anbiete; später ergänzten sie ihre Angaben dahingehend, dass die Daten zu den werbetreibenden Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spenderorganisationen, Nichtregierungsorganisationen oder politische Parteien weitergegeben wurden.
Art. 15 DSGVO gewährt Betroffenen im Sinne der DSGVO einen Anspruch auf Auskunft hinsichtlich Art und Umfang der Verarbeitung von sie betreffenden personenbezogenen Daten. Neben der Information darüber, ob überhaupt Daten des Betroffenen verarbeitet werden, umfasst der Anspruch zahlreiche weitere in Art. 15 Abs. 1 lit. a) bis h) DSGVO aufgelistete Aspekte der Verarbeitung, z.B. die – streitgegenständliche – Offenlegung von den Empfängern der personenbezogenen Daten.
Aufgrund des nicht eindeutigen Wortlautes des Art. 15 Abs. 1 lit. c) DSGVO – denn auf ein Vorrangverhältnis zwischen Empfängern und Kategorien von Empfängern lässt sich nicht schließen –, sowie der Bedeutung des Aufwandes für den Verantwortlichen je nach Auslegung, stritten sich die Parteien um die Frage nach der Benennung von den Empfängern.
Der EuGH erteilte eine Absage an die für den Verantwortlichen günstige Auslegung und verpflichtet, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen. Dabei lässt der EuGH nur wenige Ausnahmen von dieser Verpflichtung zu, nämlich:
- wenn es nicht möglich ist, die Empfänger zu identifizieren, oder
- wenn der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind.
Diese Auslegung stützt der EuGH auf den Zusammenhang sowie auf die Zwecke und Ziele der Vorschrift. Der Erwägungsgrund 63 Satz 3 zur DSGVO sieht vor, dass jede betroffene Person ein Anrecht darauf haben sollte, zu wissen, wer die Empfänger der personenbezogenen Daten sind. Dieses Recht wird nicht auf „Kategorien von Empfängern“ beschränkt. Zudem trage die Preisgabe der konkreten Identität der Empfänger zu einem hohen Datenschutzniveau bei (Erwägungsgrund 10 der DSGVO) und komme dem Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a) DSGVO nach. Weiterhin müsse das Auskunftsrecht die betroffene Person in die Lage versetzen, die Überprüfung von den Daten, deren Verarbeitung und Befugnis der Offenlegung gegenüber den Empfängern vornehmen zu können, und ggf. weitere Rechte wahrnehmen zu können.
Eine Frage, die sich aufgrund des Urteils stellt, ist, ob die zu Art. 15 Abs. 1 lit. c) DSGVO getroffene Auslegung auch auf die Informationspflichten aus Art. 13, 14 DSGVO übertragbar sind. Denn diese verlangen vom Verantwortlichen als Teil der Datenschutzinformationen auch die Angabe von „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“. Allerdings haben die beiden Regelungen zur Informations- bzw. Auskunftspflicht unterschiedliche Zwecke und – vor allem – unterschiedliche Zeitpunkte im Blick: Im Zusammenhang mit Art. 13, 14 DSGVO steht zum Zeitpinkt der eigenständigen, proaktiven Pflicht im Zweifel nicht fest an welche konkreten Empfänger (Dritte oder Auftragsverarbeiter) Daten weitegegeben werden. Dagegen sind die Auskünfte im Sinne von Art. 15 DSGVO stets reaktiv und auf eine gezielte Nachfrage eines Betroffenen hin zu erteilen. Zu diesem Zeitpunkt sind dem Verantwortlichen alle Empfänger der Daten bekannt. Deshalb zieht der EuGH wohl auch Art. 13, 14 DSGVO nicht in einer Weise heran, die eine Art. 15 Abs. 1 lit. c) DSGVO vergleichbare Auslegung naheliegen würde. Auch der Generalanwalt formulierte in seinen Schlussanträgen (Nr. 21), dass die Informationspflichten eine andere Zielrichtung als das Auskunftsrecht haben.
Praktisch bedeutet die Entscheidung des EuGH vor allem „mehr Aufwand“ für die Verantwortlichen im Datenschutz: Mehr Aufwand bei der Pflege des Datenschutzmanagements, mehr Aufwand bei der Einholung von Informationen bei der Beantwortung von Auskunftsersuchen, mehr Aufwand bei der Nachhaltung von Auftragsverarbeitern und etwaigen Unterauftragnehmern in der Leistungskette.
Es ist zu beachten, dass das Urteil nicht nur Auswirkungen bezüglich der Identität von „direkten“ Empfängern hat, sondern aufgrund des weiten Empfängerbegriffes aus Art. 4 Nr. 9 DSGVO auch alle Personen oder Stellen außerhalb des Verantwortlichen, die unter der Verantwortung des Verantwortlichen befugt sind, personenbezogenen Daten zu verarbeiten, umfasst sind. Dies schließt alle etwaige Unterauftragnehmer ein, also auch die sogenannten weiteren Auftragsverarbeiter i.S.v. Art. 28 Abs. 1, Abs. 4 DSGVO. Somit ist in der Regel die Preisgabe der Identität aller Empfänger in der Leistungskette erforderlich.
Ehemalige Empfänger der Daten müssen jedoch nicht benannt werden, wenn der Verantwortliche positive Kenntnis davon hat, dass der „nicht mehr aktuelle“ Empfänger die Daten der betroffenen Person bereits gelöscht hat. Ansonsten würde das Recht auf Löschung leerlaufen.
Schließlich hat der EuGH – mit Blick auf die Vorlagefrage – nur einen umfassenden Auskunftsanspruch bejaht, wenn die betroffene Person auch dementsprechend konkrete Auskunft begehrt hat. Nicht entschieden hat der EuGH die Frage, ob der Verantwortliche generell zur umfassenden Auskunft verpflichtet ist. Dies könnte im Umkehrschluss bedeuten, dass die umfassende Offenbarung der Empfänger-Identitäten der Daten nicht bei jeglicher Anfrage durchzuführen ist und der konkrete Wortlaut der Anfrage maßgeblich ist.