Bundesrat: Bayern möchte Benennungspflicht für Datenschutzbeauftragte einschränken

Das Bundesland Bayern hat im Bundesrat einen Antrag für eine „Entschließung des Bundesrates zur Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU“ (PDF) mit Datum vom 10.5.2022 eingebracht. In dem Antrag schlägt Bayern verschiedenste Anpassungen des BDSG vor dem Hintergrund des Berichts des Bundesministeriums des Innern zur Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes aus 2021 vor.

Pflicht zur Benennung eines Datenschutzbeauftragten

Kernbestandteil des Entwurfs ist die Beschränkung der Benennungspflicht für Datenschutzbeauftragte nach § 38 BDSG. Hinsichtlich dieser nationalen Regelung wird bereits ganz allgemein Kritik geäußert, in dem die Änderungsvorschläge wie folgt eingeleitet werden: „Soll an der zusätzlichen nationalen Regelung überhaupt weiterhin festgehalten werden…“.

In dem Entwurf schlägt Bayern vor, „in Anlehnung an den von der DSGVO verfolgten risikobasierten Ansatz“, § 38 Abs. 1 BDSG anzupassen. Die dort vorgegebene Grenze von mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, soll insofern modifiziert werden, dass als relevante Beschäftigte nur solche Personen gelten, die bei ihrer Tätigkeit die Voraussetzungen des Art. 37 Abs. 1 lit. b, c DSGVO erfüllen.

Derzeit bestehen nur die Anforderungen, dass die 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Voraussetzung soll nun noch verschärft werden, in dem zusätzlich an die Kriterien aus Art. 37 Abs. 1 lit. b und c DSGVO angeknüpft werden soll.

Der Antrag begründet hierzu:

Die zusätzliche Benennungspflicht nach nationalem Recht sollte demnach nur dann bestehen, soweit der Verantwortliche oder Auftragsverarbeiter mindestens 20 Personen beschäftigen, deren Kerntätigkeit in der Durchführung von Verarbeitungstätigkeiten besteht, welche aufgrund ihrer Art, ihres Umfangs und / oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder deren Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten i.S.d. Art. 9, 10 DSGVO besteht.“

Ziel dieses Vorschlags ist es, kleinere und mittlere Unternehmen zu entlasten.

Ich persönlich sehe solche Forderungen kritisch. Denn nur weil ggfs. die Benennungspflicht entfällt, bedeutet dies natürlich nicht, dass die Unternehmen sich nicht mehr an die DSGVO halten müssen. In der Praxis existiert aber leider die Vorstellung: „Kein DSB erforderlich – Keine Vorgaben aus dem Datenschutzrecht zu beachten“. Das ist natürlich falsch und für die Unternehmen im schlimmsten Fall auch rechtlich gefährlich. Politisch klingt ein solcher Vorschlag freilich super: wir entlasten die Unternehmen (von einer Pflicht…).

Verzeichnis von Verarbeitungstätigkeiten

Zudem schlägt Bayern vor, in die gegebenenfalls zu erstellende Gesetzbegründung den Hinweis aufzunehmen, dass Unternehmen, wenn sie nach (einem neuen) § 38 BDSG keinen Datenschutzbeauftragten benennen müssen, auch kein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen müssen.

Auch diesen Vorschlag empfinde ich eher als politisches Geschenk an die wählenden Unternehmen. Denn auch hier gilt: nur, weil ich als Unternehmen evtentuell kein Verzeichnis führen muss, muss ich dennoch die übrigen Pflichten der DSGVO einhalten. UND: das Verzeichnis ist in der Praxis eine extrem relevante Hilfe bei der Erfüllung weiterer Pflichten, wie etwa jener zur Informationserteilung nach Art. 13, 14 DSGVO oder auch zur Erfüllung von Auskunftsanträgen nach Art. 15 DSGVO. Fällt die Pflicht für das Verzeichnis weg, steht das Unternehmen im Zweifel „nackig“, ohne Übersicht zu seinen Datenverarbeitungen da, wenn der erste Betroffene Auskunft über seine Daten, die Empfänger etc. verlangt.

Institutionalisierung der DSK

Auch zur Zukunft der DSK enthält der Entwurf eine Position. So wird die Auffassung des BMI aus seinem Bericht geteilt, dass eine Regelung im BDSG

zur weitergehenden Institutionalisierung der DSK wegen des Verbots der Mischverwaltung an verfassungsrechtliche Grenzen stößt.“

Zudem schlägt Bayern vor, sich gegen Befugnisse der DSK zu verbindlichen Entscheidungen über Auslegungsmaximen des Datenschutzrechts und Angelegenheiten des Datenschutzes auszusprechen.

Datenschutzbehörde Brandenburg: „Einstellungen oder ablehnen“-Button im Cookie-Banner ist nicht ausreichend

Die korrekte (bzw. rechtskonforme) Ausgestaltung von Consent Management Plattformen (und auch von Cookie-Bannern) zur Einholung von Einwilligungen für den Einsatz von Cookies und anderen Tracking-Technologien ist bereits seit einiger Zeit in der Diskussion.

In ihrem jüngsten Tätigkeitsbericht 2021 (PDF) äußert sich die Landesdatenschutzbehörde Brandenburg (LDA) unter anderem auch zu diesem Thema. Das LDA informiert dort (Ziffer 4) über die Prüfung eines brandenburgischen Medienunternehmens im Rahmen der koordinierten Prüfung von Webseiten verschiedener Medienunternehmen in Deutschland.

Eine Anforderung des LDA für eine wirksame Einwilligung nach Art. 7 DSGVO ist, dass diese freiwillig abgegeben wird. Hierfür verlangt das LDA:

Hiervon kann im Kontext der Ausgestaltung des Cookie-Banners nur ausgegangen werden, wenn eine wirkliche Wahl besteht, der Datenverarbeitung zuzustimmen oder diese abzulehnen.“

Dieses Merkmal wird nach Ansicht des LDA jedoch unter gewissen Umständen nicht erfüllt. Insbesondere dann nicht, wenn keine wirkliche Wahlmöglichkeit für Betroffene besteht. Dies ist nach Ansicht des LDA der Fall, wenn eine „eindeutige Ablehnungsmöglichkeit“ auf der ersten Ebene des Cookie-Banners fehlt. Dann

„gilt die Einwilligung als nicht freiwillig erteilt und ist damit unwirksam.“

Das LDA stellt hierbei insbesondere darauf ab, ob die Ablehnung einen Mehraufwand (im Vergleich zur Erteilung der Einwilligung) erfordert. Was nach Ansicht des LDA ein solcher Mehraufwand ist, wird ebenfalls erläutert:

„Der Mehraufwand besteht dabei nicht nur darin, dass die betroffene Person, die eine Ablehnung äußern möchte, einmal mehr klicken muss als für die Zustimmung. Vielmehr müssen die weiteren Informationen und Einstellungsmöglichkeiten, mit denen sie auf einer zweiten Ebene des Einwilligungsdialoges konfrontiert wird, lesen, nachvollziehen und dann unter den weiteren Optionen die richtige auswählen.“

Ein solcher Mehraufwand stelle einen spürbaren Nachteil für die Betroffenen dar und die Einwilligung wäre in diesem Fall nicht wirksam erteilt.

Konkret schildert das LDA dann die Erfahrungen aus der Prüfung eines Unternehmens in Brandenburg.

Das Unternehmen fragte, ob eine Abwandlung des Cookie-Banners – nämlich die Änderung der Bezeichnung der Schaltfläche „Optionen“ in „Einstellungen oder ablehnen“ – eine datenschutzgerechte Verarbeitung ermöglichen würde.

Die Ansicht des LDA:

Auch hier wiesen wir den Verantwortlichen darauf hin, dass diese Form des Einwilligungsdialoges ebenso zu einem spürbaren Nachteil und Mehraufwand für die betroffenen Personen führt und dazu dient, in treuwidriger Art und Weise Einfluss auf sie zu nehmen.“

Das LDA verlangt, dass eine Schaltfläche auf erster Ebene des Cookie-Banners eingerichtet wird, mit der Nutzer den Einsatz von einwilligungsbedürftigen Cookies und Tracking-Maßnahmen sowie die Einbindung von Drittdiensten ablehnen können.

Wie genau diese Schaltfläche grafisch ausgestaltet werden muss, wird nicht beschrieben. Hier dürften in der Praxis also weiterhin verschiedenste Gestaltungsoptionen für Unternehmen in Betracht kommen.

Generalanwalt: Zulässigkeit der (zweckändernden) Verarbeitung von Kundendaten für Zwecke der Datensicherheit

In seinen Schlussanträgen in der Rs. C-77/21 vom 31.03.2022 des Generalanwalts Pikamäe, äußert sich dieser zu zwei interessanten Fragen, wenn es um eine Verarbeitung von Kundendaten nicht nur für die Vertragsdurchführung, sondern auch für Zwecke der Datensicherheit (insbesondere der Verfügbarkeit der Daten) geht.

  • Zum einen, ob die Verarbeitung, die auf die Einhaltung der Pflichten aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO gerichtet ist, eine Zweckänderung darstellt
  • Zum anderen, ob, bei Vorliegen eines anderen Zwecks, die Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO zulässig ist

Sachverhalt

In dem Verfahren aus Ungarn ging es um eine Klage eines Anbieters von Internet- und Fernsehdiensten (Digi) gegen eine Entscheidung der ungarischen Datenschutzbehörde.

Im April 2018 richtete Digi, nach einer technischen Serverstörung unter der Bezeichnung „test“ eine Datenbank ein, in die es personenbezogene Daten von ungefähr einem Drittel der Privatkunden kopierte. Am 23.09.2019 erfuhr Digi, dass ein „ethischer Hacker“ auf die personenbezogenen Daten von rund 322.000 Personen zugegriffen hatte. Der Hacker setzte das Unternehmen schriftlich davon in Kenntnis. Digi behob den Fehler, schloss mit dem Hacker eine Vertraulichkeitsvereinbarung und zahlte ihm eine Belohnung.

Digi meldete danach am 25.09.2019 die Verletzung des Schutzes personenbezogener Daten der Datenschutzbehörde, die daraufhin ein Untersuchungsverfahren einleitete. Die Behörde stellte nachfolgend Verstöße gegen Art. 5 Abs. 1 lit. b und e DSGVO fest. U.a. mit dem Argument, dass Digi die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht gelöscht und dadurch in dieser Testdatenbank eine große Menge personenbezogener Daten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert habe, die die Identifizierung der betroffenen Personen ermöglicht habe.

Einschätzung des Generalanwalts

In seinen Schlussanträgen befasst sich der Generalanwalt u.a. mit den beiden oben beschriebenen Fragen.

Liegt eine Zweckänderung vor?

Fraglich war zunächst, ob das Kopieren und Speichern der Daten in der „test“ Datenbank eine Zweckänderung im Vergleich zu dem Zweck der Erhebung der Kundendaten darstellt.

Interessant ist hier, dass die Europäische Kommission nicht von einer zweckändernden Verarbeitung ausgeht. Die Verarbeitung der Daten für den Zweck der Sicherheit der Daten also von dem ursprünglichen Erhebungszweck (Durchführung der Kundenverträge) umfasst sieht. Eine solche Verarbeitung,

die auf die Einhaltung der dem für die Verarbeitung Verantwortlichen durch Art. 5 Abs. 1 Buchst. f der DSGVO auferlegten und in deren Art. 32 näher erläuterten Sicherheitspflicht abziele, könne nicht als Verfolgung eines neuen oder anderen Zwecks angesehen werden“.

Dies würde in der Konsequenz auch bedeuten, dass keine Vereinbarkeitsprüfung der Zweck nach Art. 6 Abs. 4 DSGVO erfolgen müsste.

Der Generalanwalt lehnt diese Auffassung jedoch ab. Dieser, seiner Ansicht nach, abstrakte und systematische Ansatz stehe im Widerspruch zu dem Erfordernis, die Rechtmäßigkeit jedes einzelnen Verarbeitungsvorgangs unter Berücksichtigung aller relevanten Umstände des Einzelfalls zu beurteilen.

Vereinbarkeit der Zwecke oder gesetzliche Grundlage (Art. 6 Abs. 4 DSGVO)

Daher ist der Generalanwalt gezwungen, in die Prüfung nach Art. 6 Abs. 4 DSGVO einzusteigen.

Er verweist zusätzlich auf die Vorgaben in ErwG 50 DSGVO. Beide Vorschriften bringen seiner Ansicht nach eine Verbindung zwischen dem Grundsatz der Zweckbindung und der Rechtsgrundlage der betreffenden Verarbeitung zum Ausdruck.

Eine Vereinbarkeitsprüfung der Zwecke ist nach Art. 6 Abs. 4 DSGVO nicht erforderlich, wenn die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht. Dann müssen die Zwecke also gerade nicht miteinander vereinbar sein.

Wenn ja, ist der für die Verarbeitung Verantwortliche gemäß Abs. 2 des 50. Erwägungsgrundes der DSGVO berechtigt, personenbezogene Daten unabhängig von der Vereinbarkeit der Zwecke weiterzuverarbeiten“.

Ich bin ja ein Verfechter der Ansicht, dass personenbezogene Daten für Zwecke der Datensicherheit, also der Erfüllung gesetzlicher Pflichten nach Art. 32 DSGVO, auf der Grundlage von Art. 6 Abs. 1 lit. c) (Erfüllung rechtlicher Pflichten) verarbeitet werden dürfen.

Der Generalanwalt scheint diese Ansicht jedoch abzulehnen, wie sich aus seinen Anmerkungen in Fußnote 28 ergibt. Dort begründet er, dass

dass die auf Art. 6 Abs. 1 Buchst. c der DSGVO gestützten Verarbeitungen, die für die Erfüllung einer rechtlichen Verpflichtung erforderlich sind, der der für die Verarbeitung Verantwortliche unterliegt, und insbesondere die in Art. 5 Abs. 1 Buchst. f dieser Verordnung vorgesehene Verpflichtung zur Gewährleistung einer angemessenen Datensicherheit, nicht zu den vom Erfordernis der Vereinbarkeit befreiten Verarbeitungen gehören“.

Diese „befreite“ Verarbeitung wäre eine solche, die auf Grundlage der Einwilligung oder auf einer Rechtsvorschrift der Union beruht, also etwa Art. 32, Art. 6 Abs. 1 lit. c DSGVO. Der Generalanwalt, lehnt dies jedoch ab. Ich vermute, er würde die Datenverarbeitung dann auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO stützen.

Danach erfolgt logischerweise der Vereinbarkeitstest der beiden Zwecke nach den Vorgaben des Art. 6 Abs. 4 DSGVO.

Der Generalanwalt geht davon aus, dass

unbestreitbar eine Verbindung zwischen dem Zweck der ursprünglichen Datenerhebung, nämlich der Erfüllung des Vertrags über ein Internet- und Fernsehabonnement, und einer Verarbeitung zur Sicherung dieser Daten in einer zusätzlichen internen Datenbank und zur sicheren Durchführung von Tests zur Behebung einer technischen Störung, die für die Erbringung der vertraglich vereinbarten Dienstleistung potenziell schädlich sein könnte

besteht.

Zwar überschneiden sich die Zwecke nicht. Sie stünden aber dennoch logisch miteinander in Verbindung. Zudem geht der Generalanwalt davon aus, dass eine zusätzliche Speicherung von Daten auf einem internen Datenträger, die durch die Notwendigkeit begründet ist, eine technische Störung zu beheben, die den Zugang zu den Daten in der ursprünglichen Datenbank beeinträchtigt,

nicht als überraschend oder unwahrscheinlich angesehen werden

kann. Diese Feststellung ist sowohl für Art. 6 Abs. 4 DSGVO, aber auch für Art. 6 Abs. 1 lit. f DSGVO, nämlich die berechtigten Erwartungen der Betroffenen, relevant.

Zudem, so der Generalanwalt, werden die betreffenden Daten weiterhin von demselben Verantwortlichen verarbeitet. Insgesamt scheint er davon auszugehen, dass die Verarbeitung für Zwecke der Sicherheit der Daten also recht unproblematisch den Vereinbarkeitstest nach Art. 6 Abs. 4 DSGVO bestehen würde.

Fazit

Das Ergebnis teile ich. Wie beschrieben, würde ich aber einen anderen Weg wählen und von einer Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Anforderungen des Art. 32 DSGVO ausgehen. Eventuell äußert sich ja auch noch der EuGH zu der Frage der Rechtsgrundlage. Für die Praxis könnte man natürlich überlegen, ob man bereits bei Erhebung darüber informiert, dass die Daten gerade auch für Zwecke der Datensicherheit (insb. Verfpgbarkeit) verarbeitet werden. Dies könnte gegen eine Zweckänderung sprechen, da man die Daten schon von Beginn an für diesen Zweck verwendet.

Missbräuchliche Ausübung von Betroffenenrechten – Klarheit durch neuen Richtlinienvorschlag der EU-Kommission?

In der Praxis ist die Geltendmachung und Bearbeitung von Betroffenenrechten der DSGVO ein wichtiges Thema. Dabei fällt auf, dass gerade Rechte wie der Auskunftsanspruch (Art. 15 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO) auch in Situationen geltend gemacht werden, in denen der Datenschutz ganz offensichtlich nicht im Fokus der Betroffenen steht. Sondern es geht, etwa in Verfahren vor Arbeitsgerichten, darum, der Gegenseite weiteren Aufwand zu machen bzw. diese, wenn möglich „auszuforschen“ (je nachdem, wie das Gericht den Umfang des Auskunftsrechts versteht). Oft stellt sich dann die Frage, ob denn der Verantwortliche nicht eine missbräuchliche Geltendmachung des Betroffenenrechts einwenden und die Erfüllung ablehnen kann. Mein Kollege Johannes Zwerschke und ich haben zu dem Thema „Missbräuchliche Ausübung von DS-GVO-Betroffenenrechten – zulässiger Verteidigungseinwand für Verantwortliche?“ einen Aufsatz in Heft 1/2022 der RDV veröffentlicht.

Merkmal „offenkundig unbegründet“

Fraglich ist hierbei unter anderem, wie das Merkmal „offenkundig unbegründet“ in Art. 12 Abs. 5 DSGVO in Bezug auf Anträge von Betroffenen zu verstehen ist. Die DSGVO gibt hierauf keine konkrete Antwort. Da es sich hierbei um unmittelbar anwendbares europäisches Recht handelt, ist das Merkmal nicht allein aus nationaler Sicht, sondern europarechtsautonom auszulegen.

Richtlinienvorschlag der Kommission zu missbräuchlichen Gerichtsverfahren

Spannend ist daher ein neuer Richtlinienvorschlag der EU-Kommission vom 27.4.2022. Es geht um eine Richtlinie zum Schutz von Personen, die sich öffentlich beteiligen, vor offenkundig unbegründeten oder missbräuchlichen Gerichtsverfahren („strategische Klagen gegen öffentliche Beteiligung“) (COM(2022) 177 final, PDF). Hintergrund des Vorschlags ist der Wunsch, Maßnahmen zur Verbesserung des Schutzes von Journalisten und Menschenrechtsverteidigern vor missbräuchlichen Gerichtsverfahren zu schaffen. „Strategische Klagen gegen öffentliche Beteiligung“ oder „SLAPP-Klagen“ (strategic lawsuits against public participation) sind nach Ansicht der Kommission eine besondere Form der Belästigung, um Äußerungen zu Angelegenheiten im öffentlichen Interesse zu verhindern oder zu sanktionieren. Die vorgeschlagene Richtlinie „ermöglicht es Richtern, offenkundig missbräuchliche Klagen gegen Journalisten und Menschenrechtsverteidiger rasch abzuweisen“.

Und hier wird es natürlich für uns aus DSGVO-Sicht interessant. Zum einen verwendet die Richtlinie exakt dasselbe Merkmal wie die DSGVO („offenkundig unbegründet“). Zum anderen ist die Ausgangssituation auch sehr ähnlich: es geht darum zu verhindern, dass Rechte missbräuchlich genutzt werden. Die Parallele zu Situationen unter der DSGVO, ergibt sich etwa aus ErwG 20 der Richtlinie: „Bei missbräuchlichen Gerichtsverfahren handelt es sich in der Regel um bösgläubige Verfahrenstaktiken, z. B. die Verzögerung von Verfahren, das Verursachen unverhältnismäßig hoher Kosten für den Beklagten im Verfahren oder die Wahl des günstigsten Gerichtsstands“. Und: „Diese Taktiken werden von den Klägern zu anderen Zwecken eingesetzt, als um Zugang zur Justiz zu erhalten“.

Was versteht die Kommission unter „offenkundig unbegründet“?

Und was versteht die Kommission nun unter dem Begriff „offenkundig unbegründet“? Eine abschließende Definition dieses Merkmals bzw. des Oberbegriffs „missbräuchliche Gerichtsverfahren“ liefert die Richtlinie nicht. Art. 3 der Richtlinie zählt eine nicht erschöpfende Liste der häufigsten Indikatoren von Missbrauch auf. Darunter fallen nach Ansicht der Kommission:

  • Unverhältnismäßigkeit,
  • Maßlosigkeit oder
  • Unangemessenheit der Forderung oder eines Teils davon,
  • Vorhandensein mehrerer Verfahren, die vom Antragsteller oder mit ihm verbundenen Parteien in ähnlichen Angelegenheiten angestrengt wurden,
  • Einschüchterungen, Belästigungen oder Drohungen von Seiten des Klägers oder seiner Vertreter.

In den Erläuterungen zu dem Entwurf geht die Kommission noch etwas genauer auf mögliche Merkmale ein, die meines Erachtens durchaus auch im Bereich der DSGVO herangezogen werden können.

Bei missbräuchlichen Gerichtsverfahren handelt es sich häufig um bösgläubige Verfahrenspraktiken, z. B. die Verzögerung von Verfahren, das Verursachen unverhältnismäßig hoher Kosten für den Beklagten im Verfahren oder die Wahl des günstigsten Gerichtsstands. Diese Taktiken, die von den Klägern zu anderen Zwecken als dem Zugang zur Justiz eingesetzt werden…

Gerade diese letzte Erläuterungen ist meiner Ansicht nach sehr gut auf die missbräuchliche Geltendmachung von Betroffenenrechten übertragebar (wie etwa: Verursachen unverhältnismäßig hoher Kosten; zu anderen Zwecken als dem Zugang zur Justiz (bzw. dem Schutz personenbezogener Daten)).