Schwedische Datenschutzbehörde: wann werden personenbezogene Daten „unverzüglich“ gelöscht?

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

In der Praxis stellt sich oft die Frage, wie schnell denn nun Daten zu löschen sind? Was also „unverzüglich“ bedeutet (ausführlicher haben sich Philipp Quiel und ich hiermit in unserem Beitrag zur Herbstakademie 2020 „Bestimmt unbestimmt – Vorschläge zur Auslegung und Anwendung unklarer Formulierungen in der Datenschutz-Grundverordnung“ (DSRITB 2020, 1) befasst).

Generell ist bei der Anwendung von Unionsrecht (wie hier der DSGVO) zu beachten, dass bei einer unionsrechtlich autonom erfolgenden Interpretation rein nationale Rechtsverständnisse in der Regel nur sehr begrenzt zur Klärung des Regelungsinhalts einer Norm hinzugezogen werden können. Daher ist es meines Erachtens auch nicht richtig, bei der Auslegung eines europäischen Rechtsbegriffs wie „unverzüglich“ allein auf tradierte nationale Verständnisse abzustellen, wie etwa auf § 121 Abs. 1 S. 1 BGB und das Verständnis von „ohne schuldhaftes Zögern (unverzüglich)“. Hierfür wird davon ausgegangen, dass ein Zuwarten von zwei Wochen als nicht mehr unverzüglich anzusehen ist, wenn keine besonderen Umstände vorliegen (MüKom/BGB, 8. Aufl. 2018, § 121 Rn. 7).

Die schwedische Datenschutzbehörde hat nun in einem Prüfverfahren (PDF) (welches im One Stop Shop Verfahren nach der DSGVO bearbeitet wurde) entschieden, dass eine Löschung von personenbezogenen Daten innerhalb von 16 Tagen als „unverzüglich“ anzusehen war. Dies zeigt deutlich, dass bei Auslegung und Anwendung der DSGVO der rein nationale Blick oft zu kurz greift. Zum anderen gibt diese Entscheidung für die Praxis zumindest einen ersten Anhaltspunkt dafür, was aus Behördensicht eine „unverzügliche“ Löschung bedeuten kann.

Verwaltungsgericht: Recht auf Datenübertragbarkeit umfasst nicht Auswertungen oder Analysen

Gerichtliche Entscheidungen zum Recht auf Datenübertragbarkeit nach Art. 20 DSGVO sind sehr rar. Im März 2021 hatte sich nun das VG Weimar (Beschl. v. 02.03.2021, 3 E 209/21) zumindest am Rande mit dem Anwendungsbereich der Norm beschäftigt (jedoch direkt der Hinweis, dass keine tiefgehenden Ausführungen erfolgten).

Das VG hatte in einem Verfahren zum vorläufigen Rechtsschutz zu einem Antrag nach § 123 VwGO zu entscheiden. Der Antragsteller verlangte, dem Antragsgegner im Wege der einstweiligen Anordnung aufzugeben, „die Approbationsurkunde des Antragstellers über den Auftragsdatenverarbeiter D… zu verifizieren und elektronisch zu übermitteln“.

Das VG sah den Antrag jedoch nur zum Teil als begründet an. Der Antragsteller hat einen Anspruch auf eine elektronische Abschrift der Approbationsurkunde und darauf, diese an eine vom Antragsteller zu benennende E-Mail-Adresse zu versenden.

Jedoch lehnt das VG einen Anspruch auf elektronische Verifizierung ab (wobei ich ehrlich sagen muss, dass mir nicht ganz klar ist, was damit gemeint war). Es fehlte an einem Anordnungsanspruch, soweit der Antragsteller vom Antragsgegner eine elektronische Verifizierung seiner Approbationsurkunde begehrte.

Der Antragsteller stützte seinen Anspruch auf elektronische Verifizierung seiner Approbationsurkunde u.a. auf Art. 20 Abs. 1 und 2 DSGVO. Das VG ließ offen, ob und inwieweit die begehrte Verifizierung der Approbationsurkunde überhaupt vom Anspruchsinhalt des Art. 20 DSGVO umfasst ist.

Denn es fehle hier in jedem Fall an tatbestandlichen „Daten“ im Sinne der Vorschrift. Art. 20 Abs. 1 DSGVO verlangt, dass zu einer Person „sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat“ vorliegen müssen.

Nach Ansicht des VG zählen hierzu

nur diejenigen Daten, die die betroffene Person zuvor dem Verantwortlichen übermittelt hat. Von vornherein nicht erfasst sind Daten, die erst das Ergebnis einer Auswertung durch den Verantwortlichen darstellen“.

Leider begründet das VG seine Ansicht nicht näher und verweist auf die Literatur. In der Vergangenheit wurde durchaus diskutiert, was unter „bereitgestellte“ Daten fällt. Nach Ansicht (pdf) der ehemaligen Art. 29 Gruppe umfasst der Begriff auch personenbezogene Daten, die sich auf die Aktivität der betroffenen Person beziehen oder das Ergebnis einer Beobachtung des Verhaltens einer Person (jedoch nicht einer nachfolgenden Analyse dieses Verhaltens) sind (S. 12). Die Ansicht des VG scheint auch in diese Richtung zu gehen, wobei das VG auf eine „Übermittlung“ abstellt und damit wohl eine bewusste Aktivität der Betroffenen als erforderlich ansieht. Dies verlangt die Art. 29 Gruppe in ihrer Leitlinie gerade nicht.  

Internes EDSA Dokument: Territoriale Anwendung der ePrivacy-Richtlinie und Zuständigkeit der Aufsichtsbehörden

Im Rahmen der 50. Sitzung des Europäischen Datenschutzausschusses (EDSA) vom 18.6.2021 hat das Gremium ein internes Dokument mit dem Titel „Dokument 04/2021 über Kriterien der territorialen Zuständigkeit der Aufsichtsbehörden für die Durchsetzung von Artikel 5 Absatz 3 der Datenschutzrichtlinie für die elektronische Kommunikation“ (PDF) angenommen. Im Rahmen eines Antrags auf Zugang zu öffentlichen Dokumenten nach den Vorgaben des EU-Rechts, habe ich das Dokument nun erhalten.

Nach Angaben des federführenden Berichterstatters ziele das Dokument darauf ab, gemeinsame Kriterien für die territoriale Zuständigkeit der Aufsichtsbehörden gemäß Art. 5 (3) der Richtlinie 2002/58/EG (ePrivacy-RL) festzulegen, insbesondere in Situationen, in denen ein für die Verarbeitung Verantwortlicher bzw. Diensteanbieter Niederlassungen in mehreren Mitgliedstaaten hat.

Hintergrund

Hintergrund des Dokuments sind verschiedene Entscheidungen von Aufsichtsbehörden in Mitgliedstaaten zur Durchsetzung der Vorgaben des Art. 5 Abs. 3 ePrivacy-RL, also der Regelung zur Einwilligung (und den Ausnahmen) beim Einsatz von Cookies und anderen Trackingtechnologien. In dem ab 1.12.2021 geltenden § 25 TTDSG wird diese Vorgabe nun auch in deutsches Recht umgesetzt. Das EDSA-Dokument dürfte daher auch für Unternehmen von praktischer Relevanz sein, etwa im Fall ein Prüfverfahrens zum Einsatz von Cookies auf Webseiten oder in Apps, wenn ein Unternehmen mehrere Niederlassungen in der EU hat.

Inhalt

Grundsätzlich stellt der EDSA fest, dass es nach den Bestimmungen der ePrivacy-RL jedem Mitgliedstaat obliegt, die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die Ziele der Richtlinie erreicht werden. Jedoch enthält die ePrivacy-RL keine Angaben zu ihrem räumlichen Geltungsbereich.

Der EDSA trennt in dem Dokument zwei Situationen.

Zum einen den Fall, dass ein Unternehmen Niederlassungen in mehreren Mitgliedstaaten hat. Nach Ansicht der Datenschutzbehörden gibt die Rechtsprechung des EuGH zur territorialen Anwendung der aufgehobenen Richtlinie 95/46/EG einen Hinweis darauf, wie die territoriale Anwendung geregelt werden sollte. Der EDSA verweist hier auf die „Fanpage“-Entscheidung des EuGH, C-210/16 vom 5.6.2018. Bemerkenswert an dieser Einordnung ist freilich, dass die ePrivacy-RL diesen Verweis auf Vorgaben zum Anwendungsbereich und Zuständigkeit von Behörden nach der Richtlinie 95/46/EG gerade nicht vorsieht. Zwar stellen nach Art. 1 Abs. 2 ePrivacy-RL deren Bestimmungen eine „Detaillierung und Ergänzung der Richtlinie 95/46/EG“ dar. Gerade für den praktisch extrem relevanten Bereich des Art. 5 Abs. 3 ePrivacy-RL, passt dieser Verweis aber nicht, da es dort gerade nicht (!) um personenbezogene Daten geht.

Anknüpfungspunkt für den EDSA ist (durchaus verständlich, mit Blick auf den alten Art. 4 Richtlinie 95/46/EG) also das Vorhandensein einer Niederlassung in einem Mitgliedstaat. Daraus folgert der EDSA, dass jeder Mitgliedstaat berechtigt ist, sein nationales Recht zur Umsetzung der ePrivacy-RL durchzusetzen, „soweit es Nutzer betrifft, die sich in ihrem Hoheitsgebiet befinden“. Dies bedeutet nach Auffassung der Behörden auch, dass keine Gesetzgebung zur Umsetzung der ePrivacy-RL die Aufsichtsbehörde eines anderen Mitgliedstaats daran hindern kann die Richtlinie im Einklang mit ihren innerstaatlichen Bestimmungen in Bezug auf Nutzer in ihrem Hoheitsgebiet durchzusetzen.

Der EDSA orientiert sich also tatsächlich stark an dem vorbenannten Urteil des EuGH.

Zum anderen den Fall, dass keine Niederlassung in der EU vorhanden ist. In diesem Fall, so der EDSA, kann das nationale Recht eines Mitgliedstaats andere Kriterien als die Niederlassung vorsehen, um sein nationales Recht in Bezug auf diesen für die Verarbeitung Verantwortlichen bzw. Diensteanbieter durchsetzen.

Zusammengefasst, folgt daraus aus Sicht der europäischen Datenschutzbehörden.

Wenn die Verarbeitung ausschließlich durch die nationalen Rechtsvorschriften zur Umsetzung von Art. 5 Abs. 3 ePrivacy-RL geregelt ist, ist die für die Durchsetzung zuständige Behörde berechtigt, ihre Befugnisse auszuüben, wenn:

  • der für die Verarbeitung Verantwortliche/Dienstleister ist in ihrem Hoheitsgebiet niedergelassen;
  • die Verarbeitung erfolgt im Rahmen der Tätigkeiten einer Niederlassung in ihrem Hoheitsgebiet, auch wenn die ausschließliche Verantwortung für Erhebung und Verarbeitung für das gesamte Gebiet der Europäischen Union bei einer Niederlassung in einem anderen Mitgliedstaat liegt;
  • bei Fehlen eines für die Verarbeitung Verantwortlichen/Diensteanbieters oder einer Niederlassung in ihrem Hoheitsgebiet, das nationale Recht ein weiteres Kriterium für seine Durchsetzung enthalten kann.

Aus meiner Sicht dürfte für die Praxis vor allem die Interpretation in dem zweiten Bulletpoint relevant sein, wenn also mehrere Niederlassungen in mehreren Mitgliedstaaten vorhanden sind. Dann kommt es nach dem EDSA, auch im Anwendungsberiech des Art. 5 Abs. 3 ePrivacy-RL, auf die Frage an, ob der Zugriff auf Informationen oder das Speichern von Informationen in Endgeräten „im Rahmen der Tätigkeiten“ einer Niederlassung in dem jeweiligen Mitgliedstaat erfolgen. Ob diese analoge Anwendung der Vorgaben der Richtlinie 95/46/EG bzw. der Rechtsprechung des EuGH hierzu zwingend ist, erscheint mir jedoch (wie beschrieben) mindestens diskutabel. Zudem muss beachtet werden, dass zur Durchsetzung der e-Privacy-RL nicht zwingend die Datenschutzbehörden berufen sind. Die ePrivacy-RL eröffnet dem nationalen Gesetzgeber entsprechenden Spielraum bei der Umsetzung, was im Ergebnis bedeuten würde, die Rechtsprechung des EuGH zur Zuständigkeit von Datenschutzbehörden auf die Zuständigkeit anderer Behörden zu übertragen. Ich bin sehr gespannt, wie dieses Papier in Zukunft in Behördenentscheidungen Eingang findet.

Landessozialgericht NRW zur zweckfremden Ausübung und zum beschränkten Umfang des Auskunftsrechts nach Art. 15 DSGVO

In dem Verfahren vor dem Landessozialgericht (Beschl. v. 17.6.2021, L 15 U 144/21 B ER) ging es um eine Beschwerde im Sozialrecht, die inhaltlich jedoch Schnittmengen zum Datenschutzrecht aufweist. Der Antragsteller (und gleichzeitig Betroffener nach DSGVO) legte Beschwerde gegen eine Entscheidung des Sozialgerichts Dortmund ein. Dieses hatte seinen Antrag, im Wege einer einstweiligen Anordnung seinen in einem weiteren Verfahren gestellten Anträgen zu entsprechen abgelehnt. Mit diesen Anträgen sollte die Antragsgegnerin im Wege einer einstweiligen Anordnung verpflichtet werden, ihm die ihn betreffende Verwaltungsakte betreffend die Anerkennung und Folgen eines Arbeitsunfalls (betrieblich veranlasste Impfung mit anschließendem Guillain-Barré-Syndrom) mit dem Aktenzeichen 15 S 11 2010 012489 ab Seite 4658 in Kopie sowie vollständig in einer auf CD-ROM gespeicherten elektronischen Version kostenlos zur Verfügung zu stellen. Man ahnt bereits: es geht (auch) um einen Auskunftsanspruch nach Art. 15 DSGVO.

Das Landessozialgericht (LSG) wies die Beschwerde als unbegründet.

Das LSG begründet seine Ablehnung vor allem sozialverfahrensrechtlich. Der Antrag auf Erlass der einstweiligen Anordnung ist bereits gemäß § 56a Satz 1 SGG unzulässig. Nach § 56a Satz 1 SGG können Rechtsbehelfe gegen behördliche Verfahrenshandlungen (hier: die Herausgabe von Unterlagen) nur gleichzeitig mit den gegen die Sachentscheidung zulässigen Rechtsbehelfen geltend gemacht werden. Zu diesen Verfahrenshandlungen, die danach nicht selbständig angegriffen werden können, gehört nach Ansicht des LSG auch die Verweigerung oder Beschränkung von Akteneinsicht, namentlich auch die Verweigerung der Übersendung von kostenlosen Kopien der Verwaltungsakte.

Aus datenschutzrechtlicher Sicht interessant ist die ergänzende Begründung des LSG zu Art. 15 DSGVO. Der Antragsteller hatte den Auskunftsanspruch wohl zusätzlich auf Art. 15 Abs. 3 DSGVO gestützt. Dies stellt eine Parallele zu Verfahren in anderen Rechtsgebieten dar, wie etwa im Arbeits- oder Medizinrecht, in denen Betroffene vermehrt Anträge auf Einsichtnahme oder Übersendung von Dokumenten zusätzlich auf Art. 15 Abs. 3 DSGVO stützten.

Nach Ansicht des LSG scheidet die Anwendung von § 56a Satz 1 SGG auch nicht deshalb aus, weil der Antragsteller sein Begehren zusätzlich auf datenschutzrechtliche Vorschriften stützt. Das LSG entscheidet (hier noch) nicht zur Reichweite von Art. 15 Abs. 3 DSGVO („Unabhängig davon, ob die vom Antragsteller als Anspruchsgrundlage genannte Vorschrift des Art 15 Abs. 3 Datenschutzgrundverordnung (DSGVO) inhaltlich sein Begehren stützt“), sondern lehnt die Anwendung von Art. 15 Abs. 3 DSGVO bereits aus einem anderen Grund, nämlich den Motiven des Antragstellers, ab.

Das LSG begründet dies wie folgt: „verfolgt der Antragsteller nach seinem gesamten Vorbringen im vorliegenden Verfahren wie auch im Hauptsachverfahren S 79 U 884/18 allein das Ziel, durch die begehrte kostenlose Zurverfügungstellung der Kopie der streitgegenständlichen Verwaltungsakte in Papierform sowie in einer auf Datenträger gespeicherten Version seine verfahrensrechtlichen Rechte u.a. in den Verfahren S 79 U 911/16 und S 79 U 275/17 zu sichern und die seiner Auffassung nach bestehenden Ansprüche auf Heilbehandlung und Verletztenrente effektiver verfolgen zu können. Um die Wahrung seines Rechts auf informationelle Selbstbestimmung geht es ihm offensichlich nicht, zumal ihm auch bekannt ist, über welche seiner personenbezogenen Daten die Antragsgegnerin verfügt. § 56a Satz 1 SGG ist dementsprechend nach seinem Sinn und Zweck einschlägig“.

Das LSG geht mithin davon aus, dass der geltend gemachte Anspruch auf Erhalt einer Kopie nach Art. 15 Abs. 3 DSGVO gegenüber § 56a S. 1 SGG nicht vorrangig gilt, weil der Antragsteller diesen Anspruch vorliegend gerade nicht geltend macht, um Zugang zu seinen personenbezogenen Daten zu erhalten bzw. darauf basierend weitere Betroffenenrechte geltend zu machen (vgl. ErwG 63 DSGVO). Der Antragsteller möchte Art. 15 Abs. 3 DSGVO dazu nutzen („allein das Ziel“) durch die begehrte kostenlose Zurverfügungstellung der Kopie der Verwaltungsakte in Papierform sowie in einer auf Datenträger gespeicherten Version seine verfahrensrechtlichen Rechte zu sichern und die seiner Auffassung nach bestehenden Ansprüche auf Heilbehandlung und Verletztenrente effektiver zu verfolgen.

Diese Begründung des LSG ist deshalb interessant, weil sie, abstrahiert betrachtet, auch in anderen Rechtsgebieten Anwendung finden könnte. Wird etwa ein Antrag nach Art. 15 Abs. 3 DSGVO offensichtlich allein deshalb gestellt, um schuld- oder haftungsrechtliche Ansprüche im Bereich des Arbeits- oder Medizinrechts zu verfolgen, könnte die Begründung des LSG dazu führen, diese Ansprüche abzulehnen. Erforderlich ist aber wohl nach Ansicht des LSG, dass absolut klar ist, dass der Anspruch nicht aus Datenschutzgesichtspunkten geltend gemacht wird. Zudem lässt sich darüber diskutieren, auf welcher Norm der DSGVO der Ausschluss begründet werden könnte. Evtl. mag man hier mit Art. 12 Abs. 5 DSGVO („offenkundig unbegründeten“) argumentieren.

In dem letzten de lege data Newsletter 6/2021 habe ich einen Beitrag zu dem Thema „Kennt die DSGVO eine „missbräuchliche“ Ausübung von Betroffenenrechten?“ veröffentlicht, der etwas tiefer in diese Frage einsteigt.

Zudem lehnt das LSG im vorliegenden Verfahren einen Anspruch aus Art. 15 Abs. 3 DSGVO aber auch inhaltlich ab.

Art. 15 Abs. 3 DSGVO beziehe sich ausschließlich auf personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO.

Darum geht es dem Antragsteller jedoch nicht, denn ihm sind sämtliche Informationen, die sich auf ihn beziehen und die Gegenstand der Verarbeitung der Antragsgegnerin im Sinne von Art. 4 Nr. 2 DSGVO sind, bereits bekannt. Ziel seines Begehrens ist ausweislich seines Vorbringens im Schriftsatz vom 20.03.2021 vielmehr, die genaue Struktur und die Seitenzahlen der streitgegenständlichen Verwaltungsakte zu erfahren, damit er etwaige Bezugnahmen der Antragsgegnerin auf einzelne Seiten der Verwaltungsakte in den anhängigen Klageverfahren nachvollziehen kann“.

Das LSG begründet hier also im Tatbestand des Art. 15 Abs. 3 DSGVO, dass es dem Betroffenen ganz eindeutig (weil er es selbst so begründet) nicht um personenbezogene Daten geht. In diesem Fall war sicher besonders, dass der Antragsteller diese Begründung (außerhalb des Datenschutzes) auch och selbst explizit lieferte. Nach Ansicht des LSG richtet sich aber Art. 15 DSGVO eben gerade allein auf einen Zugang zu personenbezogenen Daten.

Danach folgen einige sehr praxisrelevante Ansichten des LSG, die in der Literatur bzw. von anderen Gerichten natürlich auch (schon) anders beurteilt werden, meines Erachtens derzeit absolut vertretbar sind.

Erstens:Die Ansprüche aus Art. 15 Abs. 1 und 3 DSGVO erstrecken sich jedoch nicht auf rein interne Verwaltungsvorgänge, rechtliche Bewertungen und Analysen, sondern sollen sicherstellen, dass die Betroffenen den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen können. Sie dienen allein dem Schutz des Rechts auf informationelle Selbstbestimmung und nicht wie die aus § 25 SGB X und § 120 SGG folgenden Akteneinsichtsrechte dazu, rechtliches Gehör oder „Waffengleichheit“ in einem gerichtlichen Verfahren zu gewährleisten“.

Zweitens:Art. 15 DSGVO begründet dementsprechend keinen Anspruch der betroffenen Person auf Kopien aller sie betreffenden Schriftstücke, Dateien oder Akten selbst, sondern lediglich auf eine aggregierte Auskunft bzw. zusammenfassende Übersicht über in Schriftstücken oder Dateien enthaltene bzw. gespeicherte oder verarbeitete aussagekräftige einzelne konkrete personenbezogene Daten der betroffenen Person bzw. eine Kopie dieser Daten“. Das LSG tendiert damit zu einer stark am Sinn und Zweck des Art. 15 Abs. 3 DSGVO orientierten Auslegung. Meines Erachtens ist dies der richtige Weg. Natürlich wird es aber auch Ansichten geben, die bereits den Sinn und Zweck weiter verstehen, als das LSG.