Europäische Kommission: Keine Planung für einen Angemessenheitsbeschluss für das Vereinigte Königreich im Fall eines No-Deal-Szenario

Die Europäische Kommission hat heute detaillierte Informationen zu den laufenden Vorbereitungen und Eventualfallplänen für ein „No Deal“-Szenario im Rahmen der Verhandlungen mit dem Vereinigten Königreich veröffentlicht. Dazu gehört auch eine Mitteilung (pdf), die einige sog. Eventualfallmaßnahmen enthält, die umgesetzt werden könnten, wenn keine Einigung mit dem Vereinigten Königreich erzielt wird.

In dieser Mitteilung wird auch kurz das Datenschutzrecht behandelt. Wie bereits in der Vergangenheit, weist die Kommission für den Fall eines No-Deal-Szenarios darauf hin, dass das Vereinigte Königreich ab dem 30. März 2019 als datenschutzrechtliches Drittland einzuordnen ist. Also etwa wie Indien, Russland, China oder die USA (mit Ausnahme des Bereichs des EU US Privacy Shields) behandelt werden müsste. Für Datenübermittlungen in das Vereinigte Königreich gelten dann die Vorgaben der Art. 44 ff. DSGVO.

In der Vergangenheit wird in der Datenschutzszene immer wieder darüber diskutiert, ob die Kommission nicht bereits an einem Angemessenheitsbeschluss nach Art. 45 DSGVO arbeite, der dann relativ zügig Sicherheit für Datenübermittlung bringen könnte.

Für den Fall des No-Deal-Szenario positioniert sich die Kommission in ihrer Mitteilung hierzu nun sehr deutlich.

In view of the options available under the legislative acts mentioned, the adoption of an adequacy decision is not part of the Commission’s contingency planning.

Die Abfassung eines Angemessenheitsbeschlusses ist also nicht Teil der Strategie der Kommission, sollte es zu einem No-Deal-Szenario kommen. Die Kommission verweist in ihrer Mitteilung auf andere Alternativen der Datenübermittlung in Drittstaaten, wie etwa die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit c DSGVO; frühere EU Standardvertragsklauseln) oder auch die Ausnahmen nach Art. 49 DSGVO.

Für Unternehmen bedeutet dies, dass sie in jedem Fall darüber nachdenken sollten, wie sie eventuell stattfindende Datenflüsse in das Vereinigte Königreich (ob nun etwa von Mitarbeiter- oder auch Kundendaten) rechtlich absichern können.

Oberster Gerichtshof in Österreich zur Kopplung der Einwilligung nach der DSGVO – grundsätzlich unzulässig?

Mit Urteil vom 31.08.2018 (Az. 6Ob140/18h) hat der Oberste Gerichtshof in Österreich (OGH) eine interessante und auch für andere Mitgliedstaaten sicherlich relevante Entscheidung zur Einwilligung und dem „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO gefällt.

Sachverhalt

Gegenstand des Verfahrens war eine Verbandsklage wegen gesetzwidriger AGB-Bestimmungen und einer Geschäftspraktik, welche von der Beklagten, einem Unternehmen, welches den Empfang digitaler Fernsehprogramme ermöglicht, eingesetzt wurde.

Für die hiesige Besprechung sind jedoch allein die AGB-Klauseln relevant. Diese lauteten auszugsweise wie folgt:

2. Der Kunde stimmt zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, EMail-Adresse, Gerätenummer (Client ID) des TVEmpfangsgeräts, Internet ID) von s***** verwendet werden, um dem Kunden Informationen über das Produktportfolio von s*****TV (Aktionen, neue Angebote, neue Programme, Programmhighlights), s***** Internet, TV-Empfangsgeräte, terrestrische Empfangsmöglichkeiten, per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen sowie…Diese Zustimmung kann der Kunde jederzeit schriftlich mit Brief oder E-Mail an s***** widerrufen.

3. Der Kunde stimmt weiters zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse, Gerätenummer (Client ID) des TV-Empfangsgeräts, Internet ID) von s***** verwendet werden, um dem Kunden Informationen über Angebote (Produkte und Leistungen) der Kooperationspartner von s***** per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen. Kooperationspartner von s***** sind Unternehmen mit Sitz in Österreich, mit welchen s***** bei der Vermarktung der Angebote (Produkte und Leistungen) von s***** zusammenarbeitet und/oder welche ergänzende Leistungen zu den Angeboten von s***** anbietet. Kooperationspartner sind F***** GmbH, O***** GmbH & Co KG, Ö***** GmbH & Co KG, Ö***** Kundenservice GmbH & Co KG und G***** GmbH.Firmenbuchnummer *****. Diese Zustimmung kann der Kunde jederzeit schriftlich mit Brief oder E-Mail an s***** widerrufen.

Die Vorinstanzen verboten die Verwendung beider Klauseln, u.a. mit der Begründung, dass Klauseln 2 und 3 benachteiligend seien,

weil sie den Vertragsabschluss von der Zustimmung zu einer (für die Vertragserfüllung nicht erforderlichen) Datenverwendung (nämlich zu Werbezwecken) abhängig machen, womit es an einer Freiwilligkeit der Zustimmung nach § 4 Z 14 DSG 2000 („ohne Zwang“) mangle.

Urteil des OGH

Der OGH verweist zunächst, neben allgemeinen Ausführungen zum Datenschutzrecht, darauf, dass die Frage des „Koppelungsverbotes“, also ob der Vertragsabschluss von einer Zustimmung zu einer (dafür nicht erforderlichen) Datenverarbeitung abhängig gemacht werden kann, in der österreichischen höchstgerichtlichen Judikatur noch nicht behandelt wurde. Anders als in Deutschland (§ 28 Abs 3b BDSG aF) bestand in Österreich nach altem Datenschutzrecht auch keine diesbezügliche ausdrückliche Bestimmung.

Der OGH prüft den Fall jedoch nicht nur nach der alten Rechtslage, sondern auch unter Anwendbarkeit der DSGVO. Und hier wird es natürlich interessant.

Das Gericht erläutert, dass die materiell rechtlichen Voraussetzungen einer Einwilligung im Wesentlichen unverändert blieben. Jedoch enthalte die DSGVO nunmehr zusätzliche Regelungen zur Freiwilligkeit der Einwilligung in Art. 7 Abs 4 DSGVO:

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Der OGH nutzt zur Auslegung des Art. 7 Abs. 4 DSGVO auch den korrespondierenden Erwägungsgrund, ErwG 43 DSGVO. In diesem heißt es:

Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Danach spricht das Gericht richtigerweise einen sehr relevanten Punkt bei der Auslegung und Anwendung dieser Normen an. Nach dem Verordnungstext (Art. 7 Abs. 4 DSGVO) muss dem Umstand der Koppelung bei der Beurteilung der Freiwilligkeit größtmöglich Rechnung getragen werden. Der Artikel verbietet eine Kopplung mithin nicht per se, sondern verlangt, dass im Rahmend es Tatbestandsmerkmals der „Freiwilligkeit“ den Umständen des Einzelfalls Rechnung zu tragen ist.

ErwG 43 DSGVO hingegen formuliert das Verbot einer Kopplung finaler. Nach Ansicht des OGH

spricht der Erwägungsgrund eindeutig für ein unbedingtes Verbot der Koppelung.

Dem folgend verweist der OGH kurz auf den Meinungsstand in der Literatur. Die Stellungnahmen, ob nun ein unbedingtes Kopplungsverbot bestehe, seien nicht eindeutig.

Danach entscheidet sich der OGH, ohne größere Begründung (konkret in einem Absatz), für eine restriktive Auslegung der Vorschriften.

Das Spannungsverhältnis zwischen dem Text der Verordnung und dem Erwägungsgrund 43 ist offensichtlich dahin aufzulösen, dass an die Beurteilung der „Freiwilligkeit“ der Einwilligung strenge Anforderungen zu stellen sind. Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.

Leider führt der OGH für diese Sichtweise keine nähere Begründung an. Meines Erachtens kann man diese Auslegungskonflikt zwischen Artikel und Erwägungsgrund aber auch genau entgegengesetzt lösen. Denn die Bestimmungen in den Erwägungsgründen sind jener Teil des Rechtsakts, der die Begründung enthält und zwischen den Bezugsvermerken und dem verfügenden Teil des Rechtsakts steht. ErwG 43 DSGVO ist gerade nicht Inhalt des verfügenden Teils der DSGVO. Wenn man so will, kann man aus Sicht der verpflichtet Verantwortlichen auch davon ausgehen, dass zwingend bindend nur die Artikel sind, wohingegen die ErwG die Begründung des verbindlichen Teils darstellen.

Dieses Verhältnis zwischen ErwG und Artikel ergibt sich auch eindeutig aus dem „Gemeinsamen Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken“ (Stand, 2015):

Die Erwägungsgründe werden im Gegensatz zum verfügenden Teil so formuliert, dass ihre Unverbindlichkeit deutlich wird.

Zumindest lässt sich der Entscheidung des OGH entnehmen, dass das Gericht nicht von einem absoluten Kopplungsverbot auszugehen scheint („grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt“). Für die Ausnahmefälle, in denen eine Freiwilligkeit gegeben ist, verengt der OGH aber meines Erachtens den Spielraum massiv. Es müssten „besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen“. Nach Ansicht des OGH ist die fehlende Freiwilligkeit (und damit die Unzulässigkeit der Kopplung) also wohl die Regel.

Selbst wenn man der Ansicht des OGH folgen möchte, verwundert es doch, dass das Gericht eine Vorlage an den EuGH zu dieser Frage ablehnt, „weil sich das vorstehende Ergebnis bereits aus dem Wortlaut der DSGVO und dem zitierten Erwägungsgrund ergibt“. Im Grunde hat der OGH in seinem Urteil, ein paar Randziffern zuvor, bei dem Verweis auf die umstrittene und unklare Meinungslage in der Literatur, selbst schon deutlich gemacht, dass die Rechtslage in dieser Frage nicht eindeutig ist und die Klärung durch den EuGH wünschenswert wäre. Leider hält er dies hier aber nicht für geboten.

Relevant ist die Entscheidung meines Erachtens in jedem Fall, da es sich hier um eine höchstrichterliche Befassung mit den Vorgaben des Art. 7 Abs. 4 DSGVO handelt. Inhaltlich halte ich die Interpretation der DSGVO durch den OGH auf jeden Fall für angreifbar. Eventuell müssen wir uns aber noch ein wenig gedulden, bis der EuGH zu dieser Vorschrift entscheiden kann. Auch in Italien wurde in diesem Jahr bereits zu Art. 7 Abs. 4 DSGVO entschieden (Corte Suprema Di Cassazione, 2.7.2018, 17278/2018, S. 9 ff.).

Deutsche Datenschutzbehörden veröffentlichen neue Orientierungshilfe zur Datenverarbeitung für Werbezwecke unter der DSGVO

Vom 6. bis 8.11.2018 trafen sich die deutschen Aufsichtsbehörden zu der 96. Konferenz der Datenschutzkonferenz (DSK). Auf dieser Konferenz haben die Behörden auch die für die Praxis sehr relevante Orientierungshilfe zur Datenverarbeitung für Werbezwecke (pdf) überarbeitet und beschlossen.

Die Orientierungshilfe ist recht umfangreich (14 Seiten), daher möchte ich hier nur ein paar Punkte daraus ansprechen.

Die DSK weist darauf hin, dass Grundlage für die Beurteilung der Zulässigkeit einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung nach der DSGVO

abgesehen von einer Einwilligung der betroffenen Person, eine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO

ist. Die Darstellung der DSK mutet leider so an, als ob sie davon ausgeht, dass tatsächlich nur diese beiden Erlaubnistatbestände bei der Verarbeitung für Werbezwecke einschlägig wären. Dies würde aber einer Sperrung der anderen Erlaubnistatbestände (z.B. Vertrag nach Art. 6 Abs. 1 lit. b) DSGVO) mit sich bringen, die so in der DSGVO nicht angelegt ist und auch durch den EuGH zur vormaligen Datenschutz-Richtlinie im Rahmen der Auslegung des TMG als europarechtswidrig angesehen wurde.

Hinsichtlich der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO geht die DSK davon aus, dass sowohl

  • die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen sind (siehe ErwG 47 DSGVO), als auch
  • zu fragen ist, was objektiv vernünftigerweise erwarten werden kann und darf. Entscheidend sei daher auch, ob die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung in bestimmten Bereichen der Sozialsphäre typischerweise akzeptiert oder abgelehnt wird.

Hinsichtlich der Erwartungen der betroffenen Person geht die DSK davon aus, dass diese auch durch die Informationen nach Art. 13 und 14 DSGVO geformt werden.

Informiert der Verantwortliche transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung, geht die Erwartung der betroffenen Personen in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden.

Diese Klarstellung ist meines Erachtens als positiv anzusehen, denn sie zeigt, dass die DSK davon ausgeht, dass Unternehmen die Erwartungen der Betroffenen durchaus selbst gestalten können. Zumindest zu einem gewissen Teil. Denn die DSK fügt direkt hinzu, dass die

Erwartungen an dem objektiven Maßstab der Vernunft gemessen werden müssen.

Sehr relevant sind dann die von der DSK aufgestellten Praxisfälle zur Interessenabwägung:

  • Schutzwürdige Interessen dürften in der Regel nicht überwiegen, wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weitere Produkte des Verantwortlichen zugesendet wird.
  • Auch bei der Nutzung eines Selektionskriteriums zur Einteilung in Werbegruppen und wen sich kein zusätzlicher Erkenntnisgewinn aus der Selektion ergibt, wird die Interessenabwägung in der Regel ebenfalls zugunsten des Verantwortlichen ausfallen.
  • Im Fall von eingriffsintensiveren Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, überwiege jedoch nach Ansicht der DSK ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung.

Den letztgenannten Fall sieht die DSK als „Profiling“ an, das nicht mehr auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden könne und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht.

Interessant ist auch die Auslegung der Vorschriften der DSGVO im Hinblick auf die Wechselwirkung mit dem UWG. Nach Auffassung der DSK sind

auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mit zu berücksichtigen.

Hinsichtlich der Bestandskundenwerbung (§ 7 Abs. 3 UWG) bestätigt die DSK, dass die damit verbundene Datenverarbeitung auf der Grundlage einer Interessenabwägung zulässig ist. Überwiegende schutzwürdige Interessen

sind insbesondere dann nicht gegeben, wenn die in § 7 Abs. 3 UWG enthaltenen Vorgaben für elektronische Werbung eingehalten werden.

Hinsichtlich der Telefonwerbung, für Anrufe bei Verbrauchern, weist die DSK darauf hin, dass das UWG (§ 7 Abs. 2 Nr. 2) keine Ausnahme vom Einwilligungserfordernis vorsieht. Hieraus leitet die DSK ab, dass

ein solches Nutzen von Telefonnummern ohne vorherige Einwilligung wegen der besonderen Auswirkungen dieser Werbeform (stärkere Belästigung/Störung) datenschutzrechtlich an den überwiegenden schutzwürdigen Interessen der betroffenen Personen gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO scheitert.

Es wird also deutlich, dass die DSK die wettbewerbsrechtlichen Anforderungen des UWG in die Interessenabwägung nach der DSGVO mit hineinliest. Diese Ansicht mag man nicht unbedingt teilen, etwa mit dem Argument, dass es sich um zwei verschiedene Gesetze und auch zugrundeliegende europäischen Gesetze handelt (einmal die RL 2002/58/EG und zum anderen DSGVO), die nebeneinander und voneinander getrennt anzuwenden und zu prüfen sind.

Daneben geht die DSK auch auf die nach Art. 13 und 14 DSGVO zu erteilenden Informationen ein. Hier weisen die Aufsichtsbehörden darauf hin, dass zwar grundsätzlich zum Zeitpunkt der Datenerhebung über alle Themen nach Art. 13 Abs. 1 und 2 DSGVO zu informieren ist. Allerdings bestehe nicht immer die Möglichkeit, der betroffenen Person alle Informationen auf einmal vollständig zu erteilen. In diesem Fall spricht sich die DSK für die Umsetzung eines zweistufigen Informationsmodells aus.

Hinsichtlich der Nachweisbarkeit einer Einwilligung empfehlen die Behörden, das Double-Opt-In-Verfahren zu nutzen. Wie der Nachweis inhaltlich gestaltet sein soll, geben die Behörden nicht vor. Jedoch weisen sie darauf hin, dass die Anforderungen des Art. 5 Abs. 2 DSGVO und des BGH (Urteil vom 10. Februar 2011, I ZR 164/09) bei der Protokollierung zu berücksichtigen sind.

Das bloße Abspeichern der IP-Adressen von Anschlussinhabern und die Behauptung, dass von diesen eine Einwilligung vorliege, genügen dem BGH nicht. Der Nachweis der Einwilligung erfordert mehr, z. B. die Protokollierung des gesamten Opt-In-Verfahrens und des Inhalts der Einwilligung.

Zuletzt möchte ich noch darauf hinwiesen, dass die Behörden auf den „Verfall“ von Einwilligungen eingehen. Die Aufsichtsbehörden weisen darauf hin, dass die Zivilgerichte

bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit“ sehen. Dazu wird auf das LG München I (Urteil vom 8. April 2010, Az. 17 HK O 138/10) verweisen).

Leider weisen die Aufsichtsbehörden in diesem Zusammenhang nicht auf ein aktuelleres Urteil des BGH (Urteil vom 1.2.2018 – III ZR 196/17) hin. In diesem Urteil entschied der BGH zu § 7 UWG:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Notifizierungspflicht nach der DSGVO: welche nationalen Vorschriften hat Deutschland an die Europäische Kommission gemeldet?

Bekanntlich hat die DSGVO zwar das Ziel einer Harmonisierung des europäischen Datenschutzrechts. In Gänze erreicht wurde dies jedoch nicht. Die DSGVO enthält an vielen Stellen Öffnungs- oder Spezifizierungsmöglichkeiten für die Mitgliedstaaten, über die es den Ländern zum Teil gestattet ist, weiterhin nationale Datenschutzgesetze zu erlassen. Zum Teil sind die Mitgliedstaaten auch zu nationalen Regelungen verpflichtet.

Wenn Mitgliedstaaten entsprechende Regelungen erlassen, sind sie nach der DSGVO dazu verpflichtet, diese nationalen Vorgaben der EU Kommission mitzuteilen (zu notifizieren). Beispiele für diese Pflichten:
Art. 49 Abs. 5 DSGVO: „Die Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit.“

Art. 51 Abs. 4 DSGVO: „Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit.“

Art. 84 Abs. 2 DSGVO: „Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.“

Art. 88 Abs. 3 DSGVO: „Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.“

Auf eine schriftliche Anfrage im Bundestag hat der Parlamentarische Staatssekretär des BMI, Dr. Günter Krings, am 8. Oktober 2018 nun geantwortet (PDF, S. 24), dass mit Nachricht vom 28. September 2018 das Bundesministerium des Innern, für Bau und Heimat das Auswärtige Amt um Abgabe der Notifizierungsmeldung gebeten hat. Welche Rechtsvorschriften die Bundesregierung der Europäischen Kommission auf Basis der DSGVO melden will, ist einer der Drucksache als Anhang beigefügten Übersicht zu entnehmen.

Da diese Übersicht mit der gesamten Drucksache in einem Dokument enthalten war und zudem noch quer eingefügt wurde, habe ich die Übersicht der gemeldeten Rechtsvorschriften aus der Drucksache herausgezogen und als einzelnes PDF erstellt: Übersicht der notifizierten Vorschriften (PDF). Das Dokument enthält sowohl Vorschriften auf Bundes- als auch Landesebene.

Interessant ist natürlich auch, welche Vorschriften nicht notifiziert wurden: §§ 22, 23 KUG.

Austrian data protection authority: Data subjects have no right to demand implementation of certain data protection measures under GDPR

Decisions on the GDPR (from supervisory authorities and courts) are still rare and therefore I am always very pleased when such a decision, in which the new European law is applied and interpreted, sees the light of day.

According to Art. 32 para 1 lit. a GDPR, the controller and the processor shall, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate the pseudonymisation and encryption of personal data.

According to Art. 5 para 1 lit. c GDPR, personal data shall be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’).

In a current procedure, the Austrian Data Protection Authority (DPA) issued an official decision (German) on 13. September 2018 in response to a complaint regarding these two articles of the GDPR.

Facts

On 23 June 2018, the complainant in the proceedings filed two complaints against two respondents, alleging a violation of the fundamental right to data protection (Section 1 of the Data Protection Act in Austria) due to the failure to delete data or pseudonymize it. The respondents to the complaint were public authorities, specifically the Federal Ministry for Europe, Integration and the Exterior and the Federal Chancellery. The facts of the case themselves are somewhat more comprehensive (since at the beginning it was also a question of deletion of data). In the end, however, the subject-matter of the complaint was only the question of whether the respondents had violated the complainant’s right to confidentiality by failing to pseudonymize the complainant’s personal data in their electronic file systems (ELAK).

Decision oft he DPA

First, I believe that DPA correctly points out that the complainant did not, until the conclusion of the proceedings, establish any concrete act which would have violated her fundamental right to secrecy.

Rather, the complainant limited itself to bringing to light events not manifested in the ELAK, such as potential hacker attacks, data leaks or foreseeable technological innovations, in the course of which the complainant could in future suffer damage through the disclosure of her data, due to a “failure to pseudonymise” her data.

However, such a potential violation of rights is not sufficient, why the complaint regarding possible future violations had already been dismissed on this ground. Then the DPA comes to interesting interpretations of the regulations of the GDPR. In the opinion of the DPA, no right can be derived from the GDPR,

according to which a data subject could demand specific data security measures within the meaning of Art. 32 GDPR from the controller. Nor can a data subject – as requested by the complainant – demand specific measures to minimise data within the meaning of Art. 5 para 1 lit. c GDPR.

Admittedly, it is in principle possible for a data subject to be violated in its fundamental right to confidentiality due to inadequate data security measures taken by a controller (e.g. because this leads to disclosure to unauthorised third parties). However, even in this case, the data subject would not have the right to choose a specific data security measure.

According to the DPA, it is clear from Art. 32 GDPR that the obligation to ensure the security of the processing of personal data applies to the data controller or the processor,

which, taking into account the elements referred to in paragraph 1 of this provision, may be provided in a number of ways“.

The DPA also systematically interprets the relevant provisions of the GDPR. The rights of data subjects are expressly regulated in Chapter III. Pseudonymisation can be found as a measure, however, in Chapter IV, which regulates the objective duties of controllers and processors.

The data protection authority can only investigate this obligation of the controller within the framework of an officially initiated examination procedure (Art. 55 para. 1 in conjunction with Art. 57 para. 1 lit a and h GDPR) and, if necessary, instruct the controller to comply with the regulation (Art. 58 para. 2 lit d GDPR).”

Österreichische Datenschutzbehörde: Betroffene haben kein Recht auf Einhaltung bestimmter Datenschutzmaßnahmen

Entscheidungen zur DSGVO (von Aufsichtsbehörden und Gerichten) sind noch rar und daher freut es mich immer sehr, wenn einmal eine solche Entscheidung, in der das neue europäische Recht angewendet und ausgelegt wird, das Licht der Öffentlichkeit erblickt.

Nach Art. 32 Abs. 1 lit. a) DSGVO müssen der Verantwortliche und der Auftragsverarbeiter, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein.

Nach Art. 5 Abs. 1 lit. c) DSGVO muss der Verantwortliche darauf achten, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind („Datenminimierung“).

Die Österreichische Datenschutzbehörde (DSB) hat in einem aktuellen Verfahren mit Bescheid vom 13.09.2018 auf eine Beschwerde zu diesen beiden Regelungen der DSGVO Stellung genommen.

Sachverhalt

Die Beschwerdeführerin des Verfahrens brachte am 23. Juni 2018 zwei Beschwerden gegen zwei Beschwerdegegner ein und behauptete darin eine Verletzung im Grundrecht auf Datenschutz (§ 1 Datenschutzgesetz – DSG) wegen unterlassener Datenlöschung bzw. Pseudonymisierung. Beschwerdegegner waren öffentliche Stellen, konkret das Bundesministerium für Europa, Integration und Äußeres und das Bundeskanzleramt. Der Sachverhalt selbst ist noch etwas umfassender (da es zu Anfang auch um eine Löschung ging). Beschwerdegegenstand war am Ende aber nur die Frage, ob die Beschwerdegegner die Beschwerdeführerin „im Recht auf Geheimhaltung verletzt haben, indem sie die Pseudonymisierung personenbezogener Daten der Beschwerdeführerin in ihren elektronischen Aktensystemen (ELAK) unterlassen haben“.

Entscheidung der DSB

Zunächst weist die DSB meines Erachtens zutreffend darauf hin, dass die Beschwerdeführerin bis zum Abschluss des Verfahrens keine konkrete Handlung dargetan hat, durch die sie in ihrem Grundrecht auf Geheimhaltung verletzt worden wäre.

Sie beschränkte sich vielmehr darauf, aufgrund einer „unterlassenen Pseudonymisierung“ ihrer Daten im ELAK (noch) nicht manifestierte Ereignisse, wie potenzielle Hacker-Angriffe, „Datenlecks“, oder absehbare technologische Innovationen ins Treffen zu führen, in deren Rahmen die Beschwerdeführerin durch Offenlegung ihrer Daten zukünftig Schaden nehmen könnte.

Jedoch reicht eine solche potentielle Verletzung der Rechte nicht aus,

weshalb die Beschwerde hinsichtlich möglicherweise in Zukunft eintretender Verletzungen bereits aus diesem Grunde abzuweisen war“.

Dann gelangt die DSB zu interessanten Interpretationen der Vorschriften der DSGVO. Nach Ansicht der DSB ist aus der DSGVO kein Recht abzuleiten,

wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen iSv Art. 32 DSGVO von einem Verantwortlichen verlangen könnte. Ebenso wenig kann eine betroffene Person – wie von der Beschwerdeführerin begehrt – spezifische Maßnahmen zur Datenminimierung iSv Art. 5 Abs. 1 lit. c DSGVO verlangen.

Zwar sei es grundsätzlich möglich, dass eine betroffene Person aufgrund unzureichender Datensicherheitsmaßnahmen eines Verantwortlichen im Grundrecht auf Geheimhaltung verletzt wird (etwa, weil es dadurch zur Offenlegung an unbefugte Dritte kommt). Jedoch würde der betroffenen Person auch in diesem Fall kein Recht auf Wahl einer spezifischen Datensicherheitsmaßnahme erwachsen

Nach Ansicht der DSB ist nämlich aus Art. 32 DSGVO ersichtlich, dass die Verpflichtung zur Sicherheit der Verarbeitung personenbezogener Daten den Verantwortlichen bzw. den Auftragsverarbeiter trifft,

wobei diese Sicherheit – unter Berücksichtigung der in Abs. 1 dieser Bestimmung genannten Elemente – auf mehrere Arten gewährleistet sein kann“.

Zudem legt die DSB die entsprechenden Vorschriften der DSGVO auch systematisch aus. Die Rechte betroffener Personen sind ausdrücklich in Kapitel III geregelt. Die Pseudonymisierung findet sich als Maßnahme aber in Kapitel IV, das die objektiven Pflichten von Verantwortlichen und Auftragsverarbeitern regelt.

Diese Verpflichtung des Verantwortliche kann die Datenschutzbehörde nur im Rahmen eines amtswegig eingeleiteten Prüfverfahrens untersuchen (Art. 55 Abs. 1 iVm Art. 57 Abs. 1 lit a und h DSGVO) und den Verantwortlichen gegebenenfalls zur Einhaltung der Verordnung anweisen (Art. 58 Abs. 2 lit d DSGVO).

Eine meines Erachtens sehr interessante Entscheidung zu den neuen Regelungen der DSGVO. Die Interpretation der DSB mag womöglich nicht jeder teilen. Die Begründung ist aber meines Erachtens schlüssig.

Auch für Unternehmen in Deutschland kann diese Interpretation einer europäischen Aufsichtsbehörde relevant sein, da die hier maßgebenden Vorschriften auch in Deutschland unmittelbar gelten.

EU Kommission: Geltendmachung von Rechtsbehelfen Betroffener ist in der DSGVO abschließend geregelt

Im Rahmen einer schriftlichen Anfrage im Europäischen Parlament hat sich die Europäische Kommission, konkret Justizkommissarin Jourová, zu der abschließenden Wirkung der Regelungen der DSGVO zur Geltendmachung von Rechtsbehelfen (Art. 77 ff. DSGVO) für Betroffene geäußert.

Nach Art. 77 Abs. 1 DSGVO steht etwa jeder betroffenen Person das Recht zu, Beschwerde bei einer Aufsichtsbehörde einzulegen. Nach Art. 78 Abs. 1 und 2 DSGVO haben betroffene Personen das Recht auf einen gerichtlichen Rechtsbehelf gegen Entscheidungen einer Aufsichtsbehörde oder bei deren Untätigkeit. Zudem steht betroffenen Personen nach Art. 79 Abs. 1 DSGVO ein Recht auf einen Rechtsbehelf gegen einen Verantwortlichen oder Auftragsverarbeiter zu, wenn die betroffene Person von einer Verletzung ihrer Rechte ausgeht.

Betroffene können diese Rechte entweder selbst geltend machen oder aber nach Art. 80 Abs. 1 DSGVO (in Verbindung mit nationalem Recht) Vereinigungen oder Organisationen beauftragen, in ihrem Namen die in Art. 77, 78 und 79 DSGVO genannten Rechte geltend zu machen. Zudem ist in Art. 80 Abs. 2 DSGVO die Möglichkeit vorgesehen, dass solche Vereinigungen auch ohne Beauftragung tätig werden können.

In ihrer Antwort auf die parlamentarische Anfrage stellt die Justizkommissarin klar, dass in anderen als den in Art. 80 DSGVO genannten Fällen, Dritte (also zB Vereine, Unternehmen oä) keine Klagebefugnis haben, um die Rechte, die Betroffenen in der DSGVO eingeräumt werden, geltend zu machen.

Except where this is allowed pursuant to Article 80 GDPR, other persons wishing to act independently of a data subject’s mandate do not have standing to exercise the rights granted to individuals under the GDPR”.

Interessant könnte diese Aussage eventuell auch für die derzeit in Deutschland stattfindende Diskussion sein, ob Unternehmen auf der Grundlage des UWG Verstöße gegen das Datenschutzrecht gegenüber Wettbewerbern abmahnen und etwa mit Unterlassungsansprüchen dagegen vorgehen dürfen. Zum einen könnte man, vor dem Hintergrund der Meinung der Kommission, vertreten, dass diese dafür spricht, dass das Rechtsbehelfssystem der DSGVO abschließend ist. Die Aussage der Kommission in ihrer Antwort ist diesbezüglich sehr klar. Andererseits muss wohl berücksichtigt werden, dass sich die Kommission hier konkret auf die Rechte der Betroffenen bezieht und sich nicht mit der Frage auseinandersetzt, ob auch Unternehmen Verstöße gegen die DSGVO (die ja nicht immer Betroffenenrechte betreffen müssen) auf der Grundlage des UWG, also außerhalb der DSGVO, abmahnen können.