Europäische Kommission: Keine Planung für einen Angemessenheitsbeschluss für das Vereinigte Königreich im Fall eines No-Deal-Szenario

Die Europäische Kommission hat heute detaillierte Informationen zu den laufenden Vorbereitungen und Eventualfallplänen für ein „No Deal“-Szenario im Rahmen der Verhandlungen mit dem Vereinigten Königreich veröffentlicht. Dazu gehört auch eine Mitteilung (pdf), die einige sog. Eventualfallmaßnahmen enthält, die umgesetzt werden könnten, wenn keine Einigung mit dem Vereinigten Königreich erzielt wird.

In dieser Mitteilung wird auch kurz das Datenschutzrecht behandelt. Wie bereits in der Vergangenheit, weist die Kommission für den Fall eines No-Deal-Szenarios darauf hin, dass das Vereinigte Königreich ab dem 30. März 2019 als datenschutzrechtliches Drittland einzuordnen ist. Also etwa wie Indien, Russland, China oder die USA (mit Ausnahme des Bereichs des EU US Privacy Shields) behandelt werden müsste. Für Datenübermittlungen in das Vereinigte Königreich gelten dann die Vorgaben der Art. 44 ff. DSGVO.

In der Vergangenheit wird in der Datenschutzszene immer wieder darüber diskutiert, ob die Kommission nicht bereits an einem Angemessenheitsbeschluss nach Art. 45 DSGVO arbeite, der dann relativ zügig Sicherheit für Datenübermittlung bringen könnte.

Für den Fall des No-Deal-Szenario positioniert sich die Kommission in ihrer Mitteilung hierzu nun sehr deutlich.

In view of the options available under the legislative acts mentioned, the adoption of an adequacy decision is not part of the Commission’s contingency planning.

Die Abfassung eines Angemessenheitsbeschlusses ist also nicht Teil der Strategie der Kommission, sollte es zu einem No-Deal-Szenario kommen. Die Kommission verweist in ihrer Mitteilung auf andere Alternativen der Datenübermittlung in Drittstaaten, wie etwa die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit c DSGVO; frühere EU Standardvertragsklauseln) oder auch die Ausnahmen nach Art. 49 DSGVO.

Für Unternehmen bedeutet dies, dass sie in jedem Fall darüber nachdenken sollten, wie sie eventuell stattfindende Datenflüsse in das Vereinigte Königreich (ob nun etwa von Mitarbeiter- oder auch Kundendaten) rechtlich absichern können.

Oberster Gerichtshof in Österreich zur Kopplung der Einwilligung nach der DSGVO – grundsätzlich unzulässig?

Mit Urteil vom 31.08.2018 (Az. 6Ob140/18h) hat der Oberste Gerichtshof in Österreich (OGH) eine interessante und auch für andere Mitgliedstaaten sicherlich relevante Entscheidung zur Einwilligung und dem „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO gefällt.

Sachverhalt

Gegenstand des Verfahrens war eine Verbandsklage wegen gesetzwidriger AGB-Bestimmungen und einer Geschäftspraktik, welche von der Beklagten, einem Unternehmen, welches den Empfang digitaler Fernsehprogramme ermöglicht, eingesetzt wurde.

Für die hiesige Besprechung sind jedoch allein die AGB-Klauseln relevant. Diese lauteten auszugsweise wie folgt:

2. Der Kunde stimmt zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, EMail-Adresse, Gerätenummer (Client ID) des TVEmpfangsgeräts, Internet ID) von s***** verwendet werden, um dem Kunden Informationen über das Produktportfolio von s*****TV (Aktionen, neue Angebote, neue Programme, Programmhighlights), s***** Internet, TV-Empfangsgeräte, terrestrische Empfangsmöglichkeiten, per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen sowie…Diese Zustimmung kann der Kunde jederzeit schriftlich mit Brief oder E-Mail an s***** widerrufen.

3. Der Kunde stimmt weiters zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse, Gerätenummer (Client ID) des TV-Empfangsgeräts, Internet ID) von s***** verwendet werden, um dem Kunden Informationen über Angebote (Produkte und Leistungen) der Kooperationspartner von s***** per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen. Kooperationspartner von s***** sind Unternehmen mit Sitz in Österreich, mit welchen s***** bei der Vermarktung der Angebote (Produkte und Leistungen) von s***** zusammenarbeitet und/oder welche ergänzende Leistungen zu den Angeboten von s***** anbietet. Kooperationspartner sind F***** GmbH, O***** GmbH & Co KG, Ö***** GmbH & Co KG, Ö***** Kundenservice GmbH & Co KG und G***** GmbH.Firmenbuchnummer *****. Diese Zustimmung kann der Kunde jederzeit schriftlich mit Brief oder E-Mail an s***** widerrufen.

Die Vorinstanzen verboten die Verwendung beider Klauseln, u.a. mit der Begründung, dass Klauseln 2 und 3 benachteiligend seien,

weil sie den Vertragsabschluss von der Zustimmung zu einer (für die Vertragserfüllung nicht erforderlichen) Datenverwendung (nämlich zu Werbezwecken) abhängig machen, womit es an einer Freiwilligkeit der Zustimmung nach § 4 Z 14 DSG 2000 („ohne Zwang“) mangle.

Urteil des OGH

Der OGH verweist zunächst, neben allgemeinen Ausführungen zum Datenschutzrecht, darauf, dass die Frage des „Koppelungsverbotes“, also ob der Vertragsabschluss von einer Zustimmung zu einer (dafür nicht erforderlichen) Datenverarbeitung abhängig gemacht werden kann, in der österreichischen höchstgerichtlichen Judikatur noch nicht behandelt wurde. Anders als in Deutschland (§ 28 Abs 3b BDSG aF) bestand in Österreich nach altem Datenschutzrecht auch keine diesbezügliche ausdrückliche Bestimmung.

Der OGH prüft den Fall jedoch nicht nur nach der alten Rechtslage, sondern auch unter Anwendbarkeit der DSGVO. Und hier wird es natürlich interessant.

Das Gericht erläutert, dass die materiell rechtlichen Voraussetzungen einer Einwilligung im Wesentlichen unverändert blieben. Jedoch enthalte die DSGVO nunmehr zusätzliche Regelungen zur Freiwilligkeit der Einwilligung in Art. 7 Abs 4 DSGVO:

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Der OGH nutzt zur Auslegung des Art. 7 Abs. 4 DSGVO auch den korrespondierenden Erwägungsgrund, ErwG 43 DSGVO. In diesem heißt es:

Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Danach spricht das Gericht richtigerweise einen sehr relevanten Punkt bei der Auslegung und Anwendung dieser Normen an. Nach dem Verordnungstext (Art. 7 Abs. 4 DSGVO) muss dem Umstand der Koppelung bei der Beurteilung der Freiwilligkeit größtmöglich Rechnung getragen werden. Der Artikel verbietet eine Kopplung mithin nicht per se, sondern verlangt, dass im Rahmend es Tatbestandsmerkmals der „Freiwilligkeit“ den Umständen des Einzelfalls Rechnung zu tragen ist.

ErwG 43 DSGVO hingegen formuliert das Verbot einer Kopplung finaler. Nach Ansicht des OGH

spricht der Erwägungsgrund eindeutig für ein unbedingtes Verbot der Koppelung.

Dem folgend verweist der OGH kurz auf den Meinungsstand in der Literatur. Die Stellungnahmen, ob nun ein unbedingtes Kopplungsverbot bestehe, seien nicht eindeutig.

Danach entscheidet sich der OGH, ohne größere Begründung (konkret in einem Absatz), für eine restriktive Auslegung der Vorschriften.

Das Spannungsverhältnis zwischen dem Text der Verordnung und dem Erwägungsgrund 43 ist offensichtlich dahin aufzulösen, dass an die Beurteilung der „Freiwilligkeit“ der Einwilligung strenge Anforderungen zu stellen sind. Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.

Leider führt der OGH für diese Sichtweise keine nähere Begründung an. Meines Erachtens kann man diese Auslegungskonflikt zwischen Artikel und Erwägungsgrund aber auch genau entgegengesetzt lösen. Denn die Bestimmungen in den Erwägungsgründen sind jener Teil des Rechtsakts, der die Begründung enthält und zwischen den Bezugsvermerken und dem verfügenden Teil des Rechtsakts steht. ErwG 43 DSGVO ist gerade nicht Inhalt des verfügenden Teils der DSGVO. Wenn man so will, kann man aus Sicht der verpflichtet Verantwortlichen auch davon ausgehen, dass zwingend bindend nur die Artikel sind, wohingegen die ErwG die Begründung des verbindlichen Teils darstellen.

Dieses Verhältnis zwischen ErwG und Artikel ergibt sich auch eindeutig aus dem „Gemeinsamen Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken“ (Stand, 2015):

Die Erwägungsgründe werden im Gegensatz zum verfügenden Teil so formuliert, dass ihre Unverbindlichkeit deutlich wird.

Zumindest lässt sich der Entscheidung des OGH entnehmen, dass das Gericht nicht von einem absoluten Kopplungsverbot auszugehen scheint („grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt“). Für die Ausnahmefälle, in denen eine Freiwilligkeit gegeben ist, verengt der OGH aber meines Erachtens den Spielraum massiv. Es müssten „besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen“. Nach Ansicht des OGH ist die fehlende Freiwilligkeit (und damit die Unzulässigkeit der Kopplung) also wohl die Regel.

Selbst wenn man der Ansicht des OGH folgen möchte, verwundert es doch, dass das Gericht eine Vorlage an den EuGH zu dieser Frage ablehnt, „weil sich das vorstehende Ergebnis bereits aus dem Wortlaut der DSGVO und dem zitierten Erwägungsgrund ergibt“. Im Grunde hat der OGH in seinem Urteil, ein paar Randziffern zuvor, bei dem Verweis auf die umstrittene und unklare Meinungslage in der Literatur, selbst schon deutlich gemacht, dass die Rechtslage in dieser Frage nicht eindeutig ist und die Klärung durch den EuGH wünschenswert wäre. Leider hält er dies hier aber nicht für geboten.

Relevant ist die Entscheidung meines Erachtens in jedem Fall, da es sich hier um eine höchstrichterliche Befassung mit den Vorgaben des Art. 7 Abs. 4 DSGVO handelt. Inhaltlich halte ich die Interpretation der DSGVO durch den OGH auf jeden Fall für angreifbar. Eventuell müssen wir uns aber noch ein wenig gedulden, bis der EuGH zu dieser Vorschrift entscheiden kann. Auch in Italien wurde in diesem Jahr bereits zu Art. 7 Abs. 4 DSGVO entschieden (Corte Suprema Di Cassazione, 2.7.2018, 17278/2018, S. 9 ff.).

Deutsche Datenschutzbehörden veröffentlichen neue Orientierungshilfe zur Datenverarbeitung für Werbezwecke unter der DSGVO

Vom 6. bis 8.11.2018 trafen sich die deutschen Aufsichtsbehörden zu der 96. Konferenz der Datenschutzkonferenz (DSK). Auf dieser Konferenz haben die Behörden auch die für die Praxis sehr relevante Orientierungshilfe zur Datenverarbeitung für Werbezwecke (pdf) überarbeitet und beschlossen.

Die Orientierungshilfe ist recht umfangreich (14 Seiten), daher möchte ich hier nur ein paar Punkte daraus ansprechen.

Die DSK weist darauf hin, dass Grundlage für die Beurteilung der Zulässigkeit einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung nach der DSGVO

abgesehen von einer Einwilligung der betroffenen Person, eine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO

ist. Die Darstellung der DSK mutet leider so an, als ob sie davon ausgeht, dass tatsächlich nur diese beiden Erlaubnistatbestände bei der Verarbeitung für Werbezwecke einschlägig wären. Dies würde aber einer Sperrung der anderen Erlaubnistatbestände (z.B. Vertrag nach Art. 6 Abs. 1 lit. b) DSGVO) mit sich bringen, die so in der DSGVO nicht angelegt ist und auch durch den EuGH zur vormaligen Datenschutz-Richtlinie im Rahmen der Auslegung des TMG als europarechtswidrig angesehen wurde.

Hinsichtlich der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO geht die DSK davon aus, dass sowohl

  • die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen sind (siehe ErwG 47 DSGVO), als auch
  • zu fragen ist, was objektiv vernünftigerweise erwarten werden kann und darf. Entscheidend sei daher auch, ob die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung in bestimmten Bereichen der Sozialsphäre typischerweise akzeptiert oder abgelehnt wird.

Hinsichtlich der Erwartungen der betroffenen Person geht die DSK davon aus, dass diese auch durch die Informationen nach Art. 13 und 14 DSGVO geformt werden.

Informiert der Verantwortliche transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung, geht die Erwartung der betroffenen Personen in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden.

Diese Klarstellung ist meines Erachtens als positiv anzusehen, denn sie zeigt, dass die DSK davon ausgeht, dass Unternehmen die Erwartungen der Betroffenen durchaus selbst gestalten können. Zumindest zu einem gewissen Teil. Denn die DSK fügt direkt hinzu, dass die

Erwartungen an dem objektiven Maßstab der Vernunft gemessen werden müssen.

Sehr relevant sind dann die von der DSK aufgestellten Praxisfälle zur Interessenabwägung:

  • Schutzwürdige Interessen dürften in der Regel nicht überwiegen, wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weitere Produkte des Verantwortlichen zugesendet wird.
  • Auch bei der Nutzung eines Selektionskriteriums zur Einteilung in Werbegruppen und wen sich kein zusätzlicher Erkenntnisgewinn aus der Selektion ergibt, wird die Interessenabwägung in der Regel ebenfalls zugunsten des Verantwortlichen ausfallen.
  • Im Fall von eingriffsintensiveren Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, überwiege jedoch nach Ansicht der DSK ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung.

Den letztgenannten Fall sieht die DSK als „Profiling“ an, das nicht mehr auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden könne und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht.

Interessant ist auch die Auslegung der Vorschriften der DSGVO im Hinblick auf die Wechselwirkung mit dem UWG. Nach Auffassung der DSK sind

auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mit zu berücksichtigen.

Hinsichtlich der Bestandskundenwerbung (§ 7 Abs. 3 UWG) bestätigt die DSK, dass die damit verbundene Datenverarbeitung auf der Grundlage einer Interessenabwägung zulässig ist. Überwiegende schutzwürdige Interessen

sind insbesondere dann nicht gegeben, wenn die in § 7 Abs. 3 UWG enthaltenen Vorgaben für elektronische Werbung eingehalten werden.

Hinsichtlich der Telefonwerbung, für Anrufe bei Verbrauchern, weist die DSK darauf hin, dass das UWG (§ 7 Abs. 2 Nr. 2) keine Ausnahme vom Einwilligungserfordernis vorsieht. Hieraus leitet die DSK ab, dass

ein solches Nutzen von Telefonnummern ohne vorherige Einwilligung wegen der besonderen Auswirkungen dieser Werbeform (stärkere Belästigung/Störung) datenschutzrechtlich an den überwiegenden schutzwürdigen Interessen der betroffenen Personen gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO scheitert.

Es wird also deutlich, dass die DSK die wettbewerbsrechtlichen Anforderungen des UWG in die Interessenabwägung nach der DSGVO mit hineinliest. Diese Ansicht mag man nicht unbedingt teilen, etwa mit dem Argument, dass es sich um zwei verschiedene Gesetze und auch zugrundeliegende europäischen Gesetze handelt (einmal die RL 2002/58/EG und zum anderen DSGVO), die nebeneinander und voneinander getrennt anzuwenden und zu prüfen sind.

Daneben geht die DSK auch auf die nach Art. 13 und 14 DSGVO zu erteilenden Informationen ein. Hier weisen die Aufsichtsbehörden darauf hin, dass zwar grundsätzlich zum Zeitpunkt der Datenerhebung über alle Themen nach Art. 13 Abs. 1 und 2 DSGVO zu informieren ist. Allerdings bestehe nicht immer die Möglichkeit, der betroffenen Person alle Informationen auf einmal vollständig zu erteilen. In diesem Fall spricht sich die DSK für die Umsetzung eines zweistufigen Informationsmodells aus.

Hinsichtlich der Nachweisbarkeit einer Einwilligung empfehlen die Behörden, das Double-Opt-In-Verfahren zu nutzen. Wie der Nachweis inhaltlich gestaltet sein soll, geben die Behörden nicht vor. Jedoch weisen sie darauf hin, dass die Anforderungen des Art. 5 Abs. 2 DSGVO und des BGH (Urteil vom 10. Februar 2011, I ZR 164/09) bei der Protokollierung zu berücksichtigen sind.

Das bloße Abspeichern der IP-Adressen von Anschlussinhabern und die Behauptung, dass von diesen eine Einwilligung vorliege, genügen dem BGH nicht. Der Nachweis der Einwilligung erfordert mehr, z. B. die Protokollierung des gesamten Opt-In-Verfahrens und des Inhalts der Einwilligung.

Zuletzt möchte ich noch darauf hinwiesen, dass die Behörden auf den „Verfall“ von Einwilligungen eingehen. Die Aufsichtsbehörden weisen darauf hin, dass die Zivilgerichte

bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit“ sehen. Dazu wird auf das LG München I (Urteil vom 8. April 2010, Az. 17 HK O 138/10) verweisen).

Leider weisen die Aufsichtsbehörden in diesem Zusammenhang nicht auf ein aktuelleres Urteil des BGH (Urteil vom 1.2.2018 – III ZR 196/17) hin. In diesem Urteil entschied der BGH zu § 7 UWG:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Notifizierungspflicht nach der DSGVO: welche nationalen Vorschriften hat Deutschland an die Europäische Kommission gemeldet?

Bekanntlich hat die DSGVO zwar das Ziel einer Harmonisierung des europäischen Datenschutzrechts. In Gänze erreicht wurde dies jedoch nicht. Die DSGVO enthält an vielen Stellen Öffnungs- oder Spezifizierungsmöglichkeiten für die Mitgliedstaaten, über die es den Ländern zum Teil gestattet ist, weiterhin nationale Datenschutzgesetze zu erlassen. Zum Teil sind die Mitgliedstaaten auch zu nationalen Regelungen verpflichtet.

Wenn Mitgliedstaaten entsprechende Regelungen erlassen, sind sie nach der DSGVO dazu verpflichtet, diese nationalen Vorgaben der EU Kommission mitzuteilen (zu notifizieren). Beispiele für diese Pflichten:
Art. 49 Abs. 5 DSGVO: „Die Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit.“

Art. 51 Abs. 4 DSGVO: „Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit.“

Art. 84 Abs. 2 DSGVO: „Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.“

Art. 88 Abs. 3 DSGVO: „Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.“

Auf eine schriftliche Anfrage im Bundestag hat der Parlamentarische Staatssekretär des BMI, Dr. Günter Krings, am 8. Oktober 2018 nun geantwortet (PDF, S. 24), dass mit Nachricht vom 28. September 2018 das Bundesministerium des Innern, für Bau und Heimat das Auswärtige Amt um Abgabe der Notifizierungsmeldung gebeten hat. Welche Rechtsvorschriften die Bundesregierung der Europäischen Kommission auf Basis der DSGVO melden will, ist einer der Drucksache als Anhang beigefügten Übersicht zu entnehmen.

Da diese Übersicht mit der gesamten Drucksache in einem Dokument enthalten war und zudem noch quer eingefügt wurde, habe ich die Übersicht der gemeldeten Rechtsvorschriften aus der Drucksache herausgezogen und als einzelnes PDF erstellt: Übersicht der notifizierten Vorschriften (PDF). Das Dokument enthält sowohl Vorschriften auf Bundes- als auch Landesebene.

Interessant ist natürlich auch, welche Vorschriften nicht notifiziert wurden: §§ 22, 23 KUG.

Austrian data protection authority: Data subjects have no right to demand implementation of certain data protection measures under GDPR

Decisions on the GDPR (from supervisory authorities and courts) are still rare and therefore I am always very pleased when such a decision, in which the new European law is applied and interpreted, sees the light of day.

According to Art. 32 para 1 lit. a GDPR, the controller and the processor shall, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate the pseudonymisation and encryption of personal data.

According to Art. 5 para 1 lit. c GDPR, personal data shall be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’).

In a current procedure, the Austrian Data Protection Authority (DPA) issued an official decision (German) on 13. September 2018 in response to a complaint regarding these two articles of the GDPR.

Facts

On 23 June 2018, the complainant in the proceedings filed two complaints against two respondents, alleging a violation of the fundamental right to data protection (Section 1 of the Data Protection Act in Austria) due to the failure to delete data or pseudonymize it. The respondents to the complaint were public authorities, specifically the Federal Ministry for Europe, Integration and the Exterior and the Federal Chancellery. The facts of the case themselves are somewhat more comprehensive (since at the beginning it was also a question of deletion of data). In the end, however, the subject-matter of the complaint was only the question of whether the respondents had violated the complainant’s right to confidentiality by failing to pseudonymize the complainant’s personal data in their electronic file systems (ELAK).

Decision oft he DPA

First, I believe that DPA correctly points out that the complainant did not, until the conclusion of the proceedings, establish any concrete act which would have violated her fundamental right to secrecy.

Rather, the complainant limited itself to bringing to light events not manifested in the ELAK, such as potential hacker attacks, data leaks or foreseeable technological innovations, in the course of which the complainant could in future suffer damage through the disclosure of her data, due to a “failure to pseudonymise” her data.

However, such a potential violation of rights is not sufficient, why the complaint regarding possible future violations had already been dismissed on this ground. Then the DPA comes to interesting interpretations of the regulations of the GDPR. In the opinion of the DPA, no right can be derived from the GDPR,

according to which a data subject could demand specific data security measures within the meaning of Art. 32 GDPR from the controller. Nor can a data subject – as requested by the complainant – demand specific measures to minimise data within the meaning of Art. 5 para 1 lit. c GDPR.

Admittedly, it is in principle possible for a data subject to be violated in its fundamental right to confidentiality due to inadequate data security measures taken by a controller (e.g. because this leads to disclosure to unauthorised third parties). However, even in this case, the data subject would not have the right to choose a specific data security measure.

According to the DPA, it is clear from Art. 32 GDPR that the obligation to ensure the security of the processing of personal data applies to the data controller or the processor,

which, taking into account the elements referred to in paragraph 1 of this provision, may be provided in a number of ways“.

The DPA also systematically interprets the relevant provisions of the GDPR. The rights of data subjects are expressly regulated in Chapter III. Pseudonymisation can be found as a measure, however, in Chapter IV, which regulates the objective duties of controllers and processors.

The data protection authority can only investigate this obligation of the controller within the framework of an officially initiated examination procedure (Art. 55 para. 1 in conjunction with Art. 57 para. 1 lit a and h GDPR) and, if necessary, instruct the controller to comply with the regulation (Art. 58 para. 2 lit d GDPR).”

Österreichische Datenschutzbehörde: Betroffene haben kein Recht auf Einhaltung bestimmter Datenschutzmaßnahmen

Entscheidungen zur DSGVO (von Aufsichtsbehörden und Gerichten) sind noch rar und daher freut es mich immer sehr, wenn einmal eine solche Entscheidung, in der das neue europäische Recht angewendet und ausgelegt wird, das Licht der Öffentlichkeit erblickt.

Nach Art. 32 Abs. 1 lit. a) DSGVO müssen der Verantwortliche und der Auftragsverarbeiter, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein.

Nach Art. 5 Abs. 1 lit. c) DSGVO muss der Verantwortliche darauf achten, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind („Datenminimierung“).

Die Österreichische Datenschutzbehörde (DSB) hat in einem aktuellen Verfahren mit Bescheid vom 13.09.2018 auf eine Beschwerde zu diesen beiden Regelungen der DSGVO Stellung genommen.

Sachverhalt

Die Beschwerdeführerin des Verfahrens brachte am 23. Juni 2018 zwei Beschwerden gegen zwei Beschwerdegegner ein und behauptete darin eine Verletzung im Grundrecht auf Datenschutz (§ 1 Datenschutzgesetz – DSG) wegen unterlassener Datenlöschung bzw. Pseudonymisierung. Beschwerdegegner waren öffentliche Stellen, konkret das Bundesministerium für Europa, Integration und Äußeres und das Bundeskanzleramt. Der Sachverhalt selbst ist noch etwas umfassender (da es zu Anfang auch um eine Löschung ging). Beschwerdegegenstand war am Ende aber nur die Frage, ob die Beschwerdegegner die Beschwerdeführerin „im Recht auf Geheimhaltung verletzt haben, indem sie die Pseudonymisierung personenbezogener Daten der Beschwerdeführerin in ihren elektronischen Aktensystemen (ELAK) unterlassen haben“.

Entscheidung der DSB

Zunächst weist die DSB meines Erachtens zutreffend darauf hin, dass die Beschwerdeführerin bis zum Abschluss des Verfahrens keine konkrete Handlung dargetan hat, durch die sie in ihrem Grundrecht auf Geheimhaltung verletzt worden wäre.

Sie beschränkte sich vielmehr darauf, aufgrund einer „unterlassenen Pseudonymisierung“ ihrer Daten im ELAK (noch) nicht manifestierte Ereignisse, wie potenzielle Hacker-Angriffe, „Datenlecks“, oder absehbare technologische Innovationen ins Treffen zu führen, in deren Rahmen die Beschwerdeführerin durch Offenlegung ihrer Daten zukünftig Schaden nehmen könnte.

Jedoch reicht eine solche potentielle Verletzung der Rechte nicht aus,

weshalb die Beschwerde hinsichtlich möglicherweise in Zukunft eintretender Verletzungen bereits aus diesem Grunde abzuweisen war“.

Dann gelangt die DSB zu interessanten Interpretationen der Vorschriften der DSGVO. Nach Ansicht der DSB ist aus der DSGVO kein Recht abzuleiten,

wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen iSv Art. 32 DSGVO von einem Verantwortlichen verlangen könnte. Ebenso wenig kann eine betroffene Person – wie von der Beschwerdeführerin begehrt – spezifische Maßnahmen zur Datenminimierung iSv Art. 5 Abs. 1 lit. c DSGVO verlangen.

Zwar sei es grundsätzlich möglich, dass eine betroffene Person aufgrund unzureichender Datensicherheitsmaßnahmen eines Verantwortlichen im Grundrecht auf Geheimhaltung verletzt wird (etwa, weil es dadurch zur Offenlegung an unbefugte Dritte kommt). Jedoch würde der betroffenen Person auch in diesem Fall kein Recht auf Wahl einer spezifischen Datensicherheitsmaßnahme erwachsen

Nach Ansicht der DSB ist nämlich aus Art. 32 DSGVO ersichtlich, dass die Verpflichtung zur Sicherheit der Verarbeitung personenbezogener Daten den Verantwortlichen bzw. den Auftragsverarbeiter trifft,

wobei diese Sicherheit – unter Berücksichtigung der in Abs. 1 dieser Bestimmung genannten Elemente – auf mehrere Arten gewährleistet sein kann“.

Zudem legt die DSB die entsprechenden Vorschriften der DSGVO auch systematisch aus. Die Rechte betroffener Personen sind ausdrücklich in Kapitel III geregelt. Die Pseudonymisierung findet sich als Maßnahme aber in Kapitel IV, das die objektiven Pflichten von Verantwortlichen und Auftragsverarbeitern regelt.

Diese Verpflichtung des Verantwortliche kann die Datenschutzbehörde nur im Rahmen eines amtswegig eingeleiteten Prüfverfahrens untersuchen (Art. 55 Abs. 1 iVm Art. 57 Abs. 1 lit a und h DSGVO) und den Verantwortlichen gegebenenfalls zur Einhaltung der Verordnung anweisen (Art. 58 Abs. 2 lit d DSGVO).

Eine meines Erachtens sehr interessante Entscheidung zu den neuen Regelungen der DSGVO. Die Interpretation der DSB mag womöglich nicht jeder teilen. Die Begründung ist aber meines Erachtens schlüssig.

Auch für Unternehmen in Deutschland kann diese Interpretation einer europäischen Aufsichtsbehörde relevant sein, da die hier maßgebenden Vorschriften auch in Deutschland unmittelbar gelten.

EU Kommission: Geltendmachung von Rechtsbehelfen Betroffener ist in der DSGVO abschließend geregelt

Im Rahmen einer schriftlichen Anfrage im Europäischen Parlament hat sich die Europäische Kommission, konkret Justizkommissarin Jourová, zu der abschließenden Wirkung der Regelungen der DSGVO zur Geltendmachung von Rechtsbehelfen (Art. 77 ff. DSGVO) für Betroffene geäußert.

Nach Art. 77 Abs. 1 DSGVO steht etwa jeder betroffenen Person das Recht zu, Beschwerde bei einer Aufsichtsbehörde einzulegen. Nach Art. 78 Abs. 1 und 2 DSGVO haben betroffene Personen das Recht auf einen gerichtlichen Rechtsbehelf gegen Entscheidungen einer Aufsichtsbehörde oder bei deren Untätigkeit. Zudem steht betroffenen Personen nach Art. 79 Abs. 1 DSGVO ein Recht auf einen Rechtsbehelf gegen einen Verantwortlichen oder Auftragsverarbeiter zu, wenn die betroffene Person von einer Verletzung ihrer Rechte ausgeht.

Betroffene können diese Rechte entweder selbst geltend machen oder aber nach Art. 80 Abs. 1 DSGVO (in Verbindung mit nationalem Recht) Vereinigungen oder Organisationen beauftragen, in ihrem Namen die in Art. 77, 78 und 79 DSGVO genannten Rechte geltend zu machen. Zudem ist in Art. 80 Abs. 2 DSGVO die Möglichkeit vorgesehen, dass solche Vereinigungen auch ohne Beauftragung tätig werden können.

In ihrer Antwort auf die parlamentarische Anfrage stellt die Justizkommissarin klar, dass in anderen als den in Art. 80 DSGVO genannten Fällen, Dritte (also zB Vereine, Unternehmen oä) keine Klagebefugnis haben, um die Rechte, die Betroffenen in der DSGVO eingeräumt werden, geltend zu machen.

Except where this is allowed pursuant to Article 80 GDPR, other persons wishing to act independently of a data subject’s mandate do not have standing to exercise the rights granted to individuals under the GDPR”.

Interessant könnte diese Aussage eventuell auch für die derzeit in Deutschland stattfindende Diskussion sein, ob Unternehmen auf der Grundlage des UWG Verstöße gegen das Datenschutzrecht gegenüber Wettbewerbern abmahnen und etwa mit Unterlassungsansprüchen dagegen vorgehen dürfen. Zum einen könnte man, vor dem Hintergrund der Meinung der Kommission, vertreten, dass diese dafür spricht, dass das Rechtsbehelfssystem der DSGVO abschließend ist. Die Aussage der Kommission in ihrer Antwort ist diesbezüglich sehr klar. Andererseits muss wohl berücksichtigt werden, dass sich die Kommission hier konkret auf die Rechte der Betroffenen bezieht und sich nicht mit der Frage auseinandersetzt, ob auch Unternehmen Verstöße gegen die DSGVO (die ja nicht immer Betroffenenrechte betreffen müssen) auf der Grundlage des UWG, also außerhalb der DSGVO, abmahnen können.

Update zu Fanpages: Facebook stellt erforderliche Vereinbarung zur Verfügung

Gestern habe ich über den aktuellen Beschluss der deutschen Datenschutzbehörden zum Betrieb von Fanpages berichtet. Die deutschen Behörden haben darin u.a. festgestellt, dass der Betrieb einer Fanpage rechtswidrig ist, wenn nicht mit Facebook die erforderliche Vereinbarung nach Art. 26 DSGVO zur gemeinsamen Verantwortlichkeit geschlossen wird.

Facebook hat, praktisch über Nacht, reagiert und stellt nun ein Dokument mit dem Titel „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ zur Verfügung. Zwar wird nicht ausdrücklich darauf verwiesen, dass es sich hierbei um die Vereinbarung zur gemeinsamen Verantwortlichkeit nach der DSGVO handelt. Jedoch ergibt sich dies aus dem Text. Art. 26 DSGVO verlangt auch per se keine spezielle Benennung der Vereinbarung.

Das Addendum gilt für den Fall, dass ein Seitenbetreiber die Funktion „Seiten-Insights“ nutzt. Hierbei handelt es sich um die Möglichkeit, statistische Auswertungen der Nutzung der Fanpage anzuzeigen.

Viel wichtiger für Seitenbetreiber ist natürlich, ob die Vereinbarung nun genutzt werden kann, um damit den Anforderungen der DSGVO gerecht zu werden. Die gesetzlichen Anforderungen an die Vereinbarung stellt Art. 26 Abs. 1 DSGVO auf. In der Vereinbarung muss

  • in transparenter Form festgelegt werden,
  • wer von den gemeinsam Verantwortlichen welche Verpflichtung gemäß der DSGVO erfüllt.

Insbesondere, was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13 und 14 DSGVO nachkommt. Zudem kann in der Vereinbarung eine Anlaufstelle für die betroffenen Personen angegeben werden.

Laut der Vereinbarung sind der Seitenbetreiber mit Facebook Ireland gemeinsam Verantwortliche für die Verarbeitung von Insights-Daten. Das Addendum bezieht sich also nicht auf jegliche Datenverarbeitung über eine Fanpage, sondern nur auf jene Daten, die zur statistischen Auswertung genutzt werden.

Zudem wird festgelegt, dass Facebook Ireland die primäre Verantwortung gemäß der DSGVO für die Verarbeitung von Insights-Daten übernimmt.

Im Hinblick auf die nach der DSGVO zu erfüllenden Pflichten, insbesondere der Rechte der Betroffenen nach den Art. 12 bis 22 DSGVO, stimmt Facebook Ireland zu

sämtliche ihr gemäß DSGVO obliegenden Pflichten im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO)“.

Facebook wird sich also um die Erfüllung der Rechte der Betroffenen kümmern, soweit es die Insights Daten betrifft. Meines Erachtens ist dieser Passus aber leider noch nicht ganz deutlich. Denn es wird auf die „ihr…obliegenden Pflichten“ verwiesen, also die Pflichten der Facebook Ireland. Dann stellt sich natürlich unweigerlich die Frage, was mit den gesetzlichen Pflichten der Seitenbetreiber nach den Art. 12 bis 22 DSGVO passiert? Denn Informationspflichten obliegen den Seitenbetreibern auch. In der Vereinbarung nach Art. 26 DSGVO kann geregelt werden, wer sich um die Erfüllung dieser Pflichten für beide Verantwortliche kümmert. Den obigen Passus kann man wohl einerseits so lesen, dass er sich nur auf die Pflichten bezieht, die Facebook treffen, oder doch auch die Pflichten umfasst, die für die Seitenbetreiber gelten und im Innenverhältnis dann von Facebook erfüllt werden. Sinn macht für dieses Addendum eigentlich nur die letztgenannte Auslegung. Eine etwas klarere Formulierung wäre hier sicher hilfreich. UPDATE: Facebook hat das Addendum in genau diesem Punkt angepasst. Es wird nun auf “sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten” verwiesen, also nicht mehr nur auf die Facebook Ireland treffenden Pflichten.

Zu beachten ist, dass jeder Seitenbetreiber daneben selbst dafür Sorge tragen muss, dass die Verarbeitung der Insights-Daten auf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO beruht. Unternehmen müssen sich also Gedanken dazu machen, welcher Erlaubnistatbestand für die Erhebung personenbezogener Daten für den Zweck der statistischen Auswertung genutzt werden kann. In Betracht dürfte hier vor allem die Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO kommen.

Nach Art. 26 Abs. 2 DSGVO muss die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung muss der betroffenen Person zur Verfügung gestellt werden.

In dem Addendum verpflichtet sich Facebook dazu, das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen. Damit ist die gesetzliche Vorgabe auch erfüllt. Jedoch ist aktuell noch kein Link oder Hinweis vorhanden, wo man als betroffene Person diese Informationen findet.

Das Addendum enthält keine Regelungen zur Haftung im Innenverhältnis zwischen Seitenbetreiber und Facebook. Eine solche Regelung ist auch nicht zwingend in Art. 26 DSGVO vorgesehen, wäre aber zwischen den Parteien durchaus möglich.

Interessant an der Ergänzung ist, dass in dem Addendum vereinbart wird, dass Facebook Ireland in der EU die Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche ist. Diese Formulierung bezieht sich auf die in Art. 4 Nr. 16 DSGVO definierte „Hauptniederlassung“ von der im Rahmen des One-Stop-Shop Prinzips der DSGVO abhängig gemacht wird, welche Datenschutzbehörde in Europa bei grenzüberschreitenden Verarbeitungen als „federführende Behörde“ agiert (Art. 56 DSGVO). Für die Datenverarbeitung der Insights-Daten ist, nach der vorliegenden Regelung, dann die Datenschutzbehörde in Irland europaweit zuständig.

Wie dieses Addendum Bestandteil von Verträgen zwischen Facebook und Seitenbetreibern wird, ist in der Ergänzung nicht konkret beschrieben. Im Grunde kann man sich folgende Szenarien vorstellen:

  • Existierende Kunden (Unternehmen mit Fanpages) werden über die Ergänzung informiert und diese wird, durch weitere Nutzung, Teil des Vertrages (so wohl auch die Information von Facebook im Unternehmensblog).
  • Neue Kunden schließen dieses Addendum bei der Registrierung der Fanpage mit ab.

Jetzt muss man sehen, wie und ob die Aufsichtsbehörden reagieren werden. Unternehmen sollten auf jeden Fall beachten, dass der in dem neuen Beschluss der DSK enthaltene Fragenkatalog noch weitere Fragen enthält, die ein Seitenbetreiber im Zweifel beantworten können sollte.

Neuer Beschluss der deutschen Datenschutzbehörden: Betrieb einer Facebook Fanpage ohne Vereinbarung mit Facebook rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen neuen Beschluss (pdf) zum Betrieb von Facebook Fanpages veröffentlicht, der konkretere Vorgaben aufstellt, welche Anforderungen durch Unternehmen, die eine Fanpage betreiben, zu erfüllen sind.

Die erste Entschließung der DSK, die kurz nach dem Urteil des EuGH (Rs. C-210/16) veröffentlicht wurde, blieb noch recht vage, was die konkreten Maßnahmen betraf, die Fanpage Betreiber umsetzen sollten (mein Beitrag dazu).

In dem neuen Beschluss stellt die DSK insbesondere (anders als in der ersten Entschließung) heraus:

Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“

Gemeint ist hier die Vereinbarung zwischen gemeinsam Verantwortlichen nach Art. 26 DSGVO. In einer solchen Vereinbarung müssen die Verantwortlichen (nach dem Urteil des EuGH sind dies der Betreiber der Fanpage und Facebook) in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten nach den Art. 13 und 14 DSGVO nachkommt.

Die DSK präzisiert ihre Anforderungen an Betreiber einer Fanpage und Facebook weiter. Die gemeinsam Verantwortlichen sollen „Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen“.

Der Beschluss der DSK liest sich meines Erachtens wie ein Hinweis der Behörden, was man nun von Unternehmen und auch Facebook erwartet. Die Anforderungen konkretisiert der Beschluss zudem in der Form eines Fragenkataloges im Anhang. Nach Ansicht der DSK müssen die im Anhang aufgeführten Fragen sowohl von Facebook als auch und von Fanpage Betreibern beantwortet wer-den können.

Meines Erachtens kann aus dem Fragenkatalog bereits abgeleitet werden, was aus Sicht der Behörden als elementare Voraussetzungen des Betriebs einer Fanpage zu betrachten sind. Man braucht wohl auch nicht viel Fantasie, um sich vorzustellen, dass genau dieser Fragenkatalog in naher Zukunft durch Aufsichtsbehörden an Betreiber von Fanpages verschickt wird. U.a. enthält der Anhang folgenden Frage:

  • In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
  • Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
  • Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
  • Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?

Einige dieser Fragen werden von Unternehmen, die eine Fanpage betreiben, nicht beantwortet werden können, da diesen hierzu wohl faktische Informationen fehlen.

Für Unternehmen, die eine Fanpage betreiben, bedeutet dies nun, sich darüber Gedanken zu machen, wie man mit der eigenen Seite umgeht. Die Aussagen der DSK und die damit meines Erachtens intendierte Stoßrichtung, ist in jedem Fall klarer, als in der ersten Entschließung.

Derzeit liegt ein Entwurf für eine Vereinbarung nach Art. 26 DSGVO von Facebook leider noch nicht vor. Jedoch soll ein solcher Vertrag sehr bald veröffentlicht werden. Zwar sieht Art. 26 DSGVO keine zwingende Form für die Vereinbarung vor, so dass diese nicht unbedingt schriftlich abgeschlossen werden muss. Per se würde also sogar eine mündliche Vereinbarung ausreichen.  Jedoch verlangt Art 26 Abs. 1 DSGVO, dass die Vereinbarung in transparenter Form vorliegen muss. Zudem muss das „Wesentliche“ der Vereinbarung den betroffenen Personen nach Art. 26 Abs. 2 S. 2 DSGVO zur Verfügung gestellt werden. Diese Voraussetzungen könnten bei einer rein mündlichen Vereinbarung nur schwer erfüllbar sein.

Als ad hoc Maßnahme könnte man sich auch vorstellen, Informationen von Facebook Seiten (aus den AGB, Hilfeseiten und Erläuterungen zu Fanpages) zusammenzusammeln, um so eine Informationsbasis zu schaffen. Dieses Vorgehen dürfte aber immer noch das Risiko bergen, dass man als Unternehmen nicht alle Informationen abschließend erhält oder nicht validieren kann.

Am Ende wird man konstatieren müssen, dass zur gemeinsamen Verantwortlichkeit sinnlogisch mehrere Stellen gehören und Facebook nun hoffentlich so schnell wie möglich die Vereinbarung zur gemeinsamen Verantwortlichkeit bereitstellt.

Europäische Kommission zum Formerfordernis für Auftragsverarbeitungsverträge nach der DSGVO

Eine Neuerung der Datenschutz-Grundverordnung (DSGVO) ist, dass nach Art. 28 Abs. 9 DSGVO der Auftragsverarbeitungsvertrag oder das andere Rechtsinstrument im Sinne der Art. 28 Abs. 3 und 4 DSGVO, schriftlich abzufassen sind, was aber „auch in einem elektronischen Format erfolgen kann“.

Die DSGVO selbst definiert nicht, was konkret das „Rechtsinstrument“ ist oder was unter dem „elektronischen Format“ zu verstehen ist. Die Europäische Kommission hat nun, basierend auf einer Anfrage im Europäischen Parlament, im Rahmen einer Antwort in dieser Hinsicht für etwas mehr Klarheit gesorgt.

Elektronisches Format

Hinsichtlich des Begriffs „elektronisches Format“ weist die Kommission darauf hin, dass die Regeln für den Abschluss von Verträgen oder anderen Rechtsakten, auch in elektronischer Form, nicht in der DSGVO, sondern in anderen EU- und/oder nationalen Gesetzen festgelegt sind. Insbesondere die Richtlinie über den elektronischen Geschäftsverkehr (Richtlinie 2000/31/EG) sieht die Beseitigung rechtlicher Hindernisse für die Nutzung von elektronischen Verträgen vor. Zwar harmonisiere diese Richtlinie nicht die Form, in der elektronische Verträge zustande kommen können.

Im Prinzip, so die Kommission, seien automatisierte Vertragsprozesse aber zulässig und so geschlossene Verträge auch rechtmäßig. Zum Teil wird in der Kommentarliteratur vertreten, dass das „elektronische Format“ praktisch nur eine qualifizierte elektronische Signatur (§ 126a BGB) meinen könne. Dieser, meines Erachtens nicht zutreffenden Ansicht, widerspricht nun die Kommission.

It is not necessary to append an electronic signature to contracts for them to have legal effects. E-signatures are one of several means to prove their conclusion and terms.”

Eine elektronische Signatur ist für die Rechtswirksamkeit von Verträgen gerade nicht erforderlich. Signaturen sind eines von mehreren Mitteln, um den Vertragsschluss beweisen zu können. Dies bedeutet, dass Autragsverarbeitungsverträge auch „einfach“ elektronisch, zB per PDF Dokument oder über eine Webseite, abgeschlossen werden können.

Rechtsinstrument

Nach Art. 28 Abs. 3 DSGVO erfolgt die Verarbeitung durch einen Auftragsverarbeiter entweder auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten. Auch der Begriff des „Rechtsinstruments“ wird in der der DSGVO nicht näher umschrieben. Zum Teil wird davon ausgegangen, dass ein „Rechtsinstrument“ im Sinne von Gesetzen oder Rechtsverordnungen zu verstehen sei. Auch diese Sichtweise wird von der Kommission nicht gestützt.

A legal act may be an ordinance or other type of administrative decision whereby controllers vested in public authority may stipulate the conditions for processing personal data on their behalf.”

Danach kann das Rechtsinstrument irgendeine Art von Verwaltungsentscheidung sein, mit der der Verantwortliche, hier die öffentliche Stelle, die Bedingungen für die Verarbeitung personenbezogener Daten in ihrem Namen festlegen können. Die Kommission verlangt in ihrer Antwort nicht das Vorliegen eines Gesetzes.