≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 30. TB 2020 > 11. Weitere rechtliche Themen

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2021

11. Weitere rechtliche Themen

11.1. Telemedienrecht: Webseiten bayerischer öffentlicher Stellen und Nutzung von Cookies

Häufiges Thema meiner Beratungstätigkeit waren auch in diesem Berichtszeitraum die Vorgaben für den Einsatz von Cookies auf den Webseiten bayerischer öffentlicher Stellen. Konkret ging es oft darum, in welchen Fällen das Einholen einer Einwilligung der Webseitennutzenden erforderlich ist und wie entsprechende Erklärungen gegebenenfalls zu gestalten sind.

Ausgangspunkt war dabei häufig der Wunsch der öffentlichen Stellen, Informationen darüber zu erhalten, wie ihre Webseiten genutzt werden, beispielsweise, welche Inhalte am häufigsten aufgerufen werden, um ihr Informationsangebot bedarfsgerecht am Informationsinteresse der Bürgerinnen und Bürger ausrichten zu können. Um entsprechende Seitenaufrufe auswerten zu können, wird oft auf Analysetools zurückgegriffen, die mit Cookies arbeiten, die auf dem jeweiligen Endgerät der Webseitennutzenden gespeichert werden.

In der von ihr am 29. März 2019 veröffentlichten "Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien", analysierte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK) die Rechtslage insbesondere zur Reichweitenmessung und zum Tracking auf Webseiten, jedoch beschränkt auf die Internetauftritte nicht öffentlicher Stellen. Sie ging dabei davon aus, dass insbesondere § 15 Telemediengesetz (TMG) nach Inkrafttreten der Datenschutz-Grundverordnung nicht mehr anzuwenden ist; eine europarechtskonforme Auslegung von § 15 Abs. 3 TMG im Sinne des Art. 5 Abs. 3 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation; nichtamtlich: ePrivacy-Richtlinie) scheide aus. Anzuwenden sei vielmehr die Datenschutz-Grundverordnung. Im Ergebnis wird aber auch bei Anwendung der Datenschutz-Grundverordnung häufig das Einholen einer Einwilligung erforderlich sein.

§ 15 TMG

Nutzungsdaten

[...]

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

[...]

Art. 5 Datenschutzrichtlinie für elektronische Kommunikation

Vertraulichkeit der Kommunikation

[...]

(3) Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

11.1.1. Rechtsprechung des Europäischen Gerichtshofes sowie desBundesgerichtshofes

Bereits in einer Entscheidung aus dem Jahr 2019 hatte der Europäische Gerichtshof Aussagen zu den Voraussetzungen einer wirksamen Einwilligung bei Verwendung von Cookies im Internet getroffen. Er entschied, dass keine wirksame Einwilligung vorliege, wenn die Speicherung von oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Webseite gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Dabei komme es nicht darauf an, ob es sich bei den im Endgerät des Nutzers einer Webseite gespeicherten oder abgerufenen Informationen um personenbezogene Daten handele oder nicht.

Zudem wies das Gericht darauf hin, dass Art. 5 Abs. 3 Datenschutzrichtlinie für elektronische Kommunikation die Mitgliedstaaten dazu verpflichte, sicherzustellen, dass die Speicherung oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet sei, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er über die Zwecke der Verarbeitung erhält, seine Einwilligung hierzu gegeben habe.

Auf Grundlage dieses Urteils entschied der Bundesgerichtshof 2020, dass § 15 Abs. 3 Satz 1 TMG mit Blick auf Art. 5 Abs. 3 Satz 1 der Datenschutzrichtlinie für elektronische Kommunikation dahingehend richtlinienkonform auszulegen sei, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf.

Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG stehe nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen habe. Es sei anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG sei eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung könne mit Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

11.1.2. Reaktion der deutschen Datenschutzaufsichtsbehörden

Vor dem Hintergrund, dass der Bundesgerichtshof von der Möglichkeit einer europarechtskonformen Auslegung des § 15 Abs. 3 TMG ausgeht, forderte die Datenschutzkonferenz in ihrer Entschließung vom 25. November 2020 vom Bundesgesetzgeber, Rechtssicherheit bezüglich der Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation zu schaffen:

Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 25. November 2020

Betreiber von Webseiten benötigen Rechtssicherheit

Bundesgesetzgeber muss europarechtliche Verpflichtungender "ePrivacyRichtlinie" endlich erfüllen

Der Gesetzgeber ist verpflichtet, die EU-Richtlinie über den europäischen Kodex für die elektronische Kommunikation vom 11. Dezember 2018 (RL 2018/1972/EU) bis zum 20. Dezember 2020 umzusetzen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) fordert den Gesetzgeber auf, endlich Regelungen zu erlassen, um die ePrivacy-Richtlinie vollständig und im Einklang mit der Datenschutz-Grundverordnung (DSGVO) umzusetzen.

Die DSK hat in der Vergangenheit wiederholt kritisch darauf hingewiesen, dass der Gesetzgeber Art. 5 Abs. 3 ePrivacy-Richtlinie nicht oder nicht ordnungsgemäß umgesetzt hat. Das Urteil des Bundesgerichtshofs (BGH) vom 28. Mai 2020 (I ZR 7/16 - "Planet49") verstärkt nach Auffassung der DSK den seit langem bestehenden, dringenden Handlungsbedarf.

Die DSK hat bereits im April 2018 in der Positionsbestimmung "Zur Anwendbarkeit des TMG für nichtöffentliche Stellen ab dem 25. Mai 2018" den Standpunkt vertreten, dass die Datenschutzvorschriften des Telemediengesetzes neben der Datenschutz-Grundverordnung (DSGVO) nicht mehr anwendbar sind. Eine ausführliche Begründung zu dieser Rechtsauffassung wurde von der DSK in der Orientierungshilfe für Anbieter von Telemedien im März 2019 veröffentlicht.

Der BGH hatte im Planet49-Verfahren einen Streit zu entscheiden, in dem das beklagte Unternehmen personenbezogene Daten über das Nutzungsverhalten von Verbrauchern mittels Cookies zu pseudonymisierten Nutzungsprofilen verarbeitete und diese für personalisierte Werbung nutzte. Nach dem Wortlaut des § 15 Abs. 3 Telemediengesetz (TMG) wäre ein solches Vorgehen dann zulässig, wenn die Personen entsprechend informiert wurden und nicht widersprochen haben (sogenannte Widerspruchslösung). Mit Blick auf Art. 5 Abs. 3 ePrivacy-Richtlinie legt der BGH § 15 Abs. 3 TMG dahingehend aus, schon in dem Fehlen einer wirksamen Einwilligung könne ein solcher Widerspruch gesehen werden, weshalb eine aktive Einwilligung erforderlich sei. Unter Zugrundelegung dieser Auslegung von § 15 Abs. 3 TMG wendet er diese Vorschrift neben der DSGVO an. Letztlich ist der BGH der Vorabentscheidung des Europäischen Gerichtshofes gefolgt und bestätigt das grundsätzliche Erfordernis einer wirksamen Einwilligung für das Setzen von Cookies.

Schon die Tatsache, dass die DSK und der BGH bei einer sehr praxisrelevanten Rechtsfrage zwar im Ergebnis darin übereinstimmen, dass eine Verarbeitung, wie sie den Gerichten zur Entscheidung vorlag, einwilligungsbedürftig ist, jedoch bei der Herleitung dieses Ergebnisses voneinander abweichende Auffassungen vertreten, verdeutlicht das Ausmaß der Rechtsunklarheit.

Mit der Entscheidung wird die Abgrenzung der Regelungsbereiche zwischen ePrivacyRichtlinie, DSGVO und den Datenschutzvorschriften des TMG deutlich erschwert. Der BGH stellt ausdrücklich heraus, dass ePrivacy-Richtlinie und DSGVO unterschiedliche Schutzrichtungen verfolgen. Die Vorschriften in den §§ 12 bis 15 TMG knüpfen ausdrücklich an den Begriff der Verarbeitung personenbezogener Daten an. Diese Materie ist auf europäischer Ebene weitgehend abschließend durch die Datenschutz-Grundverordnung geregelt. Art. 5 Abs. 3 ePrivacy-Richtlinie hat hingegen auch Informationen ohne Personenbezug zum Regelungsgegenstand. Es bleibt daher offen, ob § 15 Abs. 3 TMG - entgegen des Wortlautes - auch dann eine Umsetzung des Art. 5 Abs. 3 ePrivacy-Richtlinie darstellen soll, wenn die Informationen, die im Endgerät eines Teilnehmers gespeichert werden oder auf die zugegriffen wird, keinen Personenbezug haben.

§ 15 Abs. 3 TMG bezieht sich ausdrücklich und ausschließlich auf die Erstellung von pseudonymen Nutzungsprofilen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien. Die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, kann jedoch auch zu anderen Zwecken erfolgen und ist nicht auf die in § 15 Abs. 3 TMG genannten Zwecke beschränkt.

Schließlich fordert Art. 5 Abs. 3 ePrivacy-Richtlinie grundsätzlich ohne Berücksichtigung konkreter Zwecke eine Einwilligung. Lediglich in Art. 5 Abs. 3 Satz 2 ePrivacy-Richtlinie finden sich Ausnahmen von diesem Grundsatz. Dieses Regel-Ausnahme-Prinzip findet sich im TMG nicht wieder.

Webseitenbetreiber und andere Akteure, die ihre Dienste u. a. in Bezug auf "Cookies" rechtskonform gestalten müssen, brauchen Rechtsklarheit. Der Gesetzgeber ist deshalb aufgefordert, bestehende Rechtsunsicherheiten umgehend durch eine klare und europarechtskonforme Gesetzgebung zu beseitigen."

Gegen Ende des Beurteilungszeitraums verdichteten sich nun tatsächlich die Anzeichen, dass der Bundesgesetzgeber vorhat, diesen Appell aufzugreifen und eine Neuregelung zur Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation plant. Ob, wann und welche Regelungen schließlich getroffen werden, konnte ich zum Redaktionsschluss dieses Berichts jedoch noch nicht einschätzen.

11.1.3. Ausblick

Unabhängig vom möglichen Ergebnis eines solchen Gesetzgebungsverfahrens auf Bundesebene habe ich für meinen Zuständigkeitsbereich die genannte Entscheidung des Bundesgerichtshofes jedoch bereits zum Anlass genommen, auf die federführenden Ressorts der Bayerischen Staatsregierung zuzugehen, damit diese unter meiner Beteiligung die Verwendung von Cookies sowie die Ausgestaltung erforderlicher Einwilligungserklärungen auf staatlichen Webseiten in den Blick nehmen und vorhandene Muster für die Datenschutzhinweise auf staatlichen Webseiten überarbeiten. Zum Ende des Berichtszeitraums konnte dieser Anpassungsprozess noch nicht abgeschlossen werden. Ich bin allerdings zuversichtlich, dass dies zeitnah gelingt.

Die bayerischen öffentlichen Stellen sollten für die Zukunft jedoch ebenso wie ich im Blick behalten, dass an sich geplant ist, die rechtlichen Vorgaben auch zur Verwendung von Cookies auf europäischer Ebene durch eine Verordnung neu zu regeln. Bereits seit Januar 2017 (!) läuft dort ein Gesetzgebungsverfahren, das darauf gerichtet ist, die Datenschutzrichtlinie für elektronische Kommunikation durch eine Verordnung über Privatsphäre und elektronische Kommunikation (nichtamtlich: ePrivacy-Verordnung) abzulösen, welche dann unmittelbare Geltung in den Mitgliedstaaten beanspruchen würde. Mit der geplanten ePrivacy-Verordnung habe ich mich bereits in meinem 28. Tätigkeitsbericht unter Nr. 13.2 beschäftigt.

Ob, wann und mit welchem Inhalt dieses europäische Gesetzgebungsverfahren seinen Abschluss finden wird, bleibt derzeit offen. Ich werde mich allerdings dafür einsetzen, dass das Datenschutzniveau bei einer europäischen Neuregelung nicht abgesenkt wird.

11.2. Internationaler Datenverkehr: Übermittlung personenbezogener Daten in Drittländer, insbesondere in die Vereinigten Staaten von Amerika

Bayerische öffentliche Stellen nutzen zur Erfüllung ihrer gesetzlichen Aufgaben häufig (Software-)Anwendungen und sonstige Dienstleistungen von Unternehmen, die ihren Hauptsitz in den Vereinigten Staaten von Amerika (USA) haben. Auch bei Vertragsbeziehungen mit hiesigen Niederlassungen US-amerikanischer Unternehmen oder Einschaltung anderer Dienstleister kann es dazu kommen, dass personenbezogene Daten, die von den öffentlichen Stellen in solchen Anwendungen oder im Zusammenhang mit diesen Dienstleistungen verarbeitet werden, in die USA übermittelt werden.

11.2.1. Aktuelle Rechtsprechung

Solche Datenübermittlungen erfolgten bislang in vielen Fällen auf Grundlage des Durchführungsbeschlusses (EU) 2016/1250 der Europäischen Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (Privacy Shield), einem Angemessenheitsbeschluss im Sinne von Art. 45 DSGVO. Zum Privacy Shield habe ich mich bereits in meinem 27. Tätigkeitsbericht 2016 unter Nr. 13.2 und in meinem 28. Tätigkeitsbericht 2018 unter Nr. 14.1 geäußert.

In seinem Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof diesen Durchführungsbeschluss nunmehr für ungültig erklärt. Datenübermittlungen in die USA können hierauf somit nicht mehr gestützt werden. Zugleich hat er festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln grundsätzlich weiterhin gültig ist.

Soll eine Übermittlung personenbezogener Daten auf der Grundlage von Garantien in Standarddatenschutzklauseln (Art. 46 Abs. 2 Satz 1 Buchst. c DSGVO) erfolgen, müssen Verantwortliche jedoch prüfen, ob den betroffenen Personen, deren personenbezogene Daten in ein Drittland übermittelt werden, ein Schutzniveau gewährt wird, das dem Schutzniveau in der Europäischen Union im Wesentlichen gleichwertig ist.

Bei konsequenter Auslegung des Urteils hielt das Gericht die Übermittlung personenbezogener Daten in die USA auf Grundlage der Standardvertragsklauseln ohne zusätzliche Schutzmaßnahmen grundsätzlich nicht für ausreichend.

11.2.2. Reaktion der deutschen und europäischen Datenschutzaufsichtsbehörden

Um den Interessenträgern erste Erläuterungen und vorläufige Anhaltspunkte zur Verwendung von Rechtsinstrumenten zur Übermittlung personenbezogener Daten an Drittländer, einschließlich der USA, zur Verfügung zu stellen, veröffentlichte der Europäische Datenschutzausschuss bereits am 23. Juli 2020 das Dokument "Häufig gestellte Fragen" als Hilfestellung im Zusammenhang mit der Umsetzung des Urteils.

In ihrer Pressemitteilung vom 28. Juli 2020, die ich in einer eigenen Pressemitteilung vom 29. Juli 2020 aufgegriffen habe, äußerte sich auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK) zu der dargestellten Entscheidung und wies darauf hin, dass diese den Datenschutz für EU-Bürgerinnen und -Bürger stärke. In diesem Zusammenhang stellte die Datenschutzkonferenz auch ihre erste Einschätzung zu den Auswirkungen des Urteils dar (nachfolgend in Auszügen):

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28. Juli 2020

Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer ("Schrems II") stärkt den Datenschutzfür EU-Bürgerinnen und Bürger

[...]

Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

  1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. [...]
  2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers, zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können. Wenn das nicht der Fall ist, sollte geprüft werden, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen jedoch nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.

[...]

  1. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

Inzwischen hat zudem der Europäische Datenschutzausschuss Empfehlungen zu ergänzenden Maßnahmen für Übertragungsinstrumente zur Gewährleistung des EU-Schutzniveaus sowie Empfehlungen zu den grundlegenden europäischen Garantien für Überwachungsmaßnahmen veröffentlicht.

Ziel dieser Ausarbeitungen ist es, die Verantwortlichen (und Auftragsverarbeiter), die als Datenexporteure tätig sind, bei ihrer Pflicht, geeignete ergänzende Maßnahmen aufzufinden und umzusetzen, zu unterstützen und Hilfestellung bei der Bewertung zu geben, ob der rechtliche Rahmen im Drittland, der den Zugang von Behörden zu Daten für Überwachungszwecke regelt, die Garantien des Übertragungsinstruments nach Art. 46 DSGVO beeinträchtigt.

Zu den genannten Empfehlungen zu ergänzenden Maßnahmen hat der Europäische Datenschutzausschuss auch ein öffentliches Konsultationsverfahren eingeleitet.

11.2.3. Ausblick und Handlungsbedarf der bayerischen öffentlichen Stellen

Die Entscheidung des Europäischen Gerichtshofs wird für eine Vielzahl bayerischer öffentlicher Stellen erhebliche Auswirkungen auf deren Verarbeitungs- und Übermittlungsabläufe haben. In vielen Fällen wird dies Fragen der grundsätzlichen Vertragsgestaltung mit den jeweiligen Anbietern betreffen. Denn können nicht in einem ausreichenden Maße zusätzliche Maßnahmen zur Sicherstellung eines mit der Europäischen Union vergleichbaren Datenschutzniveaus getroffen werden, so wird häufig nur noch der Einsatz von solchen Systemen in Betracht kommen, bei denen die Problematik eines Datentransfers in die USA von vornherein nicht besteht oder aber der Abschluss einer Vereinbarung, wonach ein solcher Datentransfer effektiv ausgeschlossen wird. Die Problematik kann sich auch für Datenübermittlungen in andere Drittländer stellen, abhängig insbesondere von der Rechtslage im jeweiligen Drittland.

Vor diesem Hintergrund habe ich mich bereits Anfang August 2020 unter anderem an die Amtschefinnen und Amtschefs der Bayerischen Staatskanzlei und der bayerischen Staatsministerien gewandt. Dabei habe ich auf die sich aus dem Urteil ergebenden datenschutzrechtlichen Probleme und den daraus resultierenden unmittelbaren Handlungsbedarf mit Blick auf die jeweiligen Geschäftsbereiche hingewiesen. Auch die Vielzahl von Beratungsanfragen, die bayerische öffentliche Stellen im Nachgang der Entscheidung an mich gerichtet haben, lässt einen erheblichen Anpassungsbedarf in der bayerischen Verwaltung erkennen. Ich gehe davon aus, dass die Aufarbeitung der durch das Urteil für die bayerischen öffentlichen Stellen aufgeworfenen Fragen von einer bayernweiten Koordinierung profitieren würde. Die Staatsregierung hat mich hierzu auch bereits kontaktiert. Bei allem Verständnis für die Komplexität der hier für die bayerische Verwaltung entstehenden Herausforderungen werde ich darauf achten, dass sie aus datenschutzrechtlicher Sicht zufriedenstellend gelöst werden.

  1. Internet: https://www.datenschutz-konferenz-online.de/orientierungshilfen.html (externer Link). [Zurück]
  2. Europäischer Gerichtshof, Urteil vom 1. Oktober 2019, C-673/17. [Zurück]
  3. Bundesgerichtshof, Urteil vom 28. Mai 2020, I ZR 7/16, NJW 2020, S. 2540 ff. [Zurück]
  4. Europäischer Gerichtshof, Urteil vom 16. Juli 2020, C-311/18. [Zurück]
  5. Internet: https://edpb.europa.eu/our-work-tools/our-documents/ohrajn/frequently-asked-questions-judgment-court-justice-european-union_de (externer Link). [Zurück]
  6. Internet: https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_ (externer Link) schrems2.pdf. [Zurück]
  7. Internet: https://www.datenschutz-bayern.de/presse/20200729_PMEuGH1.html. [Zurück]
  8. Internet: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf (externer Link). [Zurück]
  9. Internet: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf (externer Link). [Zurück]
  10. Vgl. hierzu die Pressemitteilung des Europäischen Datenschutzausschusses vom 11. November 2020: EDPB adopts recommendations on supplementary measures following Schrems II, https://edpb.europa.eu/news/news/2020/european-data-protection-board-41st-plenary-session-edpb-adopts-recommendations_de (externer Link). [Zurück]