Kundenbeschwerde wegen 1,50 EUR führt zu DSGVO-Bußgeld in Höhe von ca. 172.000 EUR – Ein Problem: Teilzeit-DSB, der seine Aufgaben nicht erfüllen konnte

Die Datenschutzbehörde aus Belgien (APD) verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 172.431 EUR, weil es das Unternehmen unter anderem versäumt hatte, die personenbezogenen Daten einer betroffenen Person im Zusammenhang mit Direktwerbung zu löschen und weil es einen Teilzeit-DSB beschäftigte, der aber überlastet war und seine Aufgaben nicht wirksam wahrnehmen konnte (hier die englische Zusammenfassung der Entscheidung bei noyb).

Hintergrund

Die betroffene Person kaufte ein Produkt von dem Verantwortlichen und entdeckte auf der Rechnung eine unerwartete Gebühr von 1,50 EUR für einen „Energiebeitrag“. Die betroffene Person bat um die Erstattung dieses Zuschlags und verlangte die Löschung aller ihrer personenbezogenen Daten. Der Verantwortliche lehnte die Erstattung der Gebühr ab, bestätigte jedoch den Eingang des Löschungsantrags und bestätigte, dass dieser umgehend bearbeitet werde.

Es kam, wie es kommen musste. Die Daten wurden zunächst nicht gelöscht. Die betroffene Person erhielt weiterhin Werbung von dem Verantwortlichen. Der Betroffene wandte sich dann mit der Bitte um Schlichtung an die belgische Datenschutzbehörde. 

Spätestens jetzt hätten bei dem Verantwortlichen wirklich alle Hebel in Bewegung gesetzt werden müssen. Aber: der Verantwortliche reagierte nicht auf Anschreiben der APD. Daraufhin legte die betroffene Person Beschwerde bei der Datenschutzbehörde ein.

Der Verantwortliche räumte im Verfahren Fehler des früheren eigenen Datenschutzbeauftragten (DSB) ein und erklärte außerdem, dass das Ausbleiben einer Antwort an die APD während der Schlichtung auf den früheren DSB zurückzuführen war und dass weder der derzeitige DSB noch die Geschäftsleitung von diesen Problemen wussten und der frühere DSB weder die Korrespondenz mit der APD oder der betroffenen Person bearbeitet noch diese Informationen intern weitergegeben hat.

Im Rahmen des Verfahrens erläuterte der Verantwortliche, dass er Initiativen ergriffen habe, um seine Reaktionsfähigkeit zu verbessern, insbesondere durch die Einstellung eines neuen DSB, der in Vollzeit mit einem Team von zwei Personen arbeitet.

Entscheidung der Datenschutzbehörde 

Die APD geht unter anderem von Verstößen gegen Art. 5 Abs. 2 und Art. 24 DSGVO aus. Insbesondere kritisiert die Behörde, dass der frühere Teilzeit-DSB nicht die erforderliche Zeit und Ressourcen zur Verfügung hatte, um seinen Tätigkeiten nachzukommen. 

Die APD weist ganz generell darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss, um sicherzustellen, dass er in der Lage ist, nachzuweisen, dass die Verarbeitung im Einklang mit der DSGVO durchgeführt wird. Die Unfähigkeit des Verantwortlichen im vorliegenden Fall, die tatsächliche Löschung der Daten der betroffenen Person zu überprüfen oder schlüssig zu bestätigen, ließen Zweifel an der Wirksamkeit der bestehenden technischen und organisatorischen Maßnahmen aufkommen.

Als Verstoß gegen Art. 5 Abs. 1und Art. 24 DSGVO sah die Behörde auch die Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren. Nach Ansicht der APD verdeutlichte dies das Versäumnis, Maßnahmen zur Gewährleistung der Einhaltung der DSGVO entsprechend Art. 5 und 24 DSGVO zu ergreifen.

Zudem verweist die Behörde auch auf die Anforderungen des Art. 38 Abs. 2 DSGVO hinsichtlich der Aufgaben des internen Datenschutzbeauftragten. Der Verantwortliche muss den DSB unterstützen, indem er ihm die zur Erfüllung seiner Aufgaben erforderlichen Mittel zur Verfügung stellt und hierbei muss er folgende Faktoren berücksichtigen.

  • der DSB muss gegebenenfalls in alle datenschutzrelevanten Angelegenheiten einbezogen werden
  • der Verantwortliche muss dem DSB ausreichend Zeit für die Wahrnehmung seiner Aufgaben zur Verfügung stellen
  • der Verantwortliche muss die Bestellung des DSB allen Mitarbeitern mitteilen, um sicherzustellen, dass seine Rolle innerhalb der Organisation weithin bekannt ist
  • der Verantwortliche muss für laufende Schulungen sorgen, um die Kenntnisse des DSB auf dem neuesten Stand zu halten.

Einen Verstoß gegen diese Vorgaben sah die Behörde unter anderem in der Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren.

Bayerische Datenschutzbehörden: keine eigene Verantwortlichkeit des Mitarbeiters beim Missbrauch von beruflichen Daten für private Zwecke (Exzess)?

Der BayLfD hat jüngst eine aus meiner Sicht wirklich gelungene und hilfreiche Orientierungshilfe zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO veröffentlicht. In der Orientierungshilfe befasst sich die Behörde auch mit der Frage der Verantwortlichkeit in Situationen des sog. Mitarbeiterexzesses – Fälle, „bei denen Beschäftigte von Verantwortlichen Daten, auf die sie nur für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden“.

Die „bayerische Auffassung“ – Arbeitgeber / Dienstherr bleibt Verantwortlicher

In diesem Zug war ich durchaus überrascht, von der sog. „bayerischen Auffassung“ zu lesen (ab S. 42 ff.). Diese Ansicht wird vom BayLfD wie folgt zusammengefasst:

Die beiden bayerischen Aufsichtsbehörden – der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht – vertreten übereinstimmend die Auffassung, dass ein Beschäftigter nicht zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO wird, wenn er Daten, die ihm für dienstliche Zwecke zur Verfügung stehen, mittels dienstlicher Abfragesysteme für private Zwecke abruft“.

Nach Auffassung des BayLfD und wohl auch des BayLDA stellt diese zweckwidrige Verwendung von Daten aus dem beruflichen Kontext noch keine Handlung dar, die den Beschäftigten zu einem eigenen datenschutzrechtlichen Verantwortlichen machen würde.

Die Konsequenzen dieser Auffassung sind praxisrelevant:

  • „Die öffentliche Stelle bleibt damit im Fall des bloß zweckwidrigen Datenabrufs Einzelverantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, auch für den Datenschutzverstoß durch ihren Beschäftigten“
  • „Der rechtswidrige Abruf dienstlich zugänglicher Daten zu rein privaten Zwecken stellt einen Datenschutzverstoß dar, aufgrund dessen gegen den Verantwortlichen gemäß Art. 83 DSGVO grundsätzlich eine Geldbuße verhängt werden kann“

Gründe für die Ansicht des BayLfD und BayLDA

Der BayLfD begründet seine Auffassung unter anderem damit, dass Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO nur ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ausschlaggebend sei dabei die Entscheidung über die grundsätzlichen Zwecke und Mittel der Abfragesysteme.

Über diese entscheidet ein Beschäftigter jedoch auch dann nicht, wenn er dienstliche Daten für private Zwecke missbraucht“.

Er verwende vielmehr lediglich die ihm zur Verfügung gestellten Abfragesysteme und diese für außerdienstliche, private Zwecke. Der BayLfD verweist in den Fußnoten auch auf die Ansicht des BayLDA in drei Tätigkeitsberichten.

So geht das BayLDA im Tätigkeitsbericht 2020 (ab S. 78 f.) unter anderem davon aus, dass ein Mitarbeitender beim bloßen Datenabruf aus Datenbanken des Unternehmens, bei dem er beschäftigt ist bzw. der bloßen Einsichtnahme in personenbezogene Daten in entsprechende Unterlagen zu privaten Zwecken, nicht zum eigenständigen Verantwortlichen wird, da die beiden dort genannten Kriterien – Zweck- und Mittelbestimmung – nach dem Wortlaut („und“) kumulativ vorliegen müssen. Der Mitarbeitende bestimme nicht über den Mitteleinsatz.

Als zweites Argument verweist der BayLfD auf die vorhandene Vorgabe in Art. 28 Abs. 10 DSGVO für Auftragsverarbeiter. Für den Fall, dass ein Auftragsverarbeiter in rechtswidriger Weise seine Befugnisse überschreitet, wird er insoweit eigener Verantwortlicher. Eine solche Regelung fehle aber in Art. 29 DSGVO in Bezug auf Beschäftigte.

Etwas anderes soll nur dann gelten, wenn der Beschäftigte die abgerufenen Daten mittels arbeitgeberfremder Ressourcen weiterverarbeitet. Also etwa über seinen privaten Laptop oder sein Smartphone. Ab diesem Zeitpunkt greife Art. 4 Nr. 7 DSGVO für den Beschäftigten.

Andere Ansichten

Nun gesteht der BayLfD in seiner Orientierungshilfe aber auch ein, dass diese bayerische Ansicht nicht der einzige derzeit vorgeschlagene Weg ist und von einigen anderen Aufsichtsbehörden nicht geteilt wird. So sehen etwa die Landesdatenschutzbeauftragten in Baden-Württemberg und Nordrhein-Westfalen den Beschäftigten, der dienstliche Daten für private Zwecke verwendet, als Verantwortlichen an.

Zudem verweist der BayLfD auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts (Erkenntnis vom 21. Dezember 2021, W258 2238615-1/16E) und auch die andere Auffassung des Europäischen Datenschutzausschusses (Leitlinien 07/2020), der allein an die Zwecke der Verarbeitung knüpft und hieraus bereits die eigene Verantwortlichkeit des Mitarbeiters ableitet.

Der BayLfD geht in Fn. 140 davon aus, dass die Entscheidung des österreichischen Bundesverwaltungsgerichts – soweit ersichtlich – die erste Entscheidung eines Gerichts im deutschsprachigen Raum zu dieser Frage sei. Ergänzen lässt sich insoweit noch eine ältere Entscheidung des Verwaltungsgerichts (VG) Mainz (Urteil vom 17.12.2020 – 1 K 778/19.MZ), das ebenfalls nicht die Ansichten von BayLfD und BayLDA vertritt.

Nach dem VG ist von einem den Zurechnungszusammenhang unterbrechenden „Exzess“ jedenfalls dann auszugehen, wenn Beschäftigte Daten unbefugt für eigene Zwecke verarbeiten – wie z.B. bei der Einsichtnahme in behördliche Datenbanken für private Zwecke oder Entwendung von Kundendaten. Das VG lässt also, entgegen der bayerischen Auflassung, die eigene Zweckbestimmung durch den Mitarbeiter durchaus für eine eigene Verantwortlichkeit ausreichen. Der jeweilige Beschäftigte schwinge sich dann insoweit selbst zum Verantwortlichen auf, indem er anfängt, selbst darüber zu entscheiden, wie und warum mit Daten umgegangen wird.

Einschätzung

Ich war von der Ansicht beim ersten Lesen der Orientierungshilfe tatsächlich überrascht, da ich bisher auch immer die eigenständige Zweckänderung durch den Mitarbeiter als ausreichend für die Einstufung als Verantwortlicher gesehen habe.

Die Argumentation der Behörden, dass der Mitarbeiter deshalb nicht verantwortlich ist, da er ja nicht über die Mittel der Verarbeitung entscheide, ist aus meiner Sicht zudem diskutabel. Denn wenn der Mitarbeiter etwa eine CRM-Software verwendet, um dort für private Zwecke nach Kundendaten zu suchen, bestimmt er meines Erachtens natürlich auch in diesem Moment über den Einsatz des Mittels „CRM-Software“ – eben allein für seine privaten Zwecke. Zudem könnte man hierfür ergänzend die Ansicht des Generalanwalts in der Rs. C-579/21 anführen (hierzu mein Blogbeitrag), in der er davon ausgeht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann, da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Fazit

Überspitzt formuliert kann man konstatieren: solange Mitarbeiter in Bayern (im privaten oder öffentlichen Bereich) allein über Systeme ihres Arbeitgebers missbräuchlich mit Daten umgehen, droht ihnen von Seiten der Datenschutzaufsicht kein Ungemach. Der Arbeitgeber müsste befürchten, wegen eines Verstoßes gegen Art. 32 DSGVO geprüft oder ggfs. sanktioniert zu werden.

Kurioses (und falsches) Urteil des Arbeitsgerichts Mainz – 5.000 EUR für verspätete Auskunft an einen Bewerber

Klagen auf Zahlung von Schadenersatz nach Art. 82 DSGVO sind vor allem im arbeitsgerichtlichen Bereich im Vergleich zu anderen Gerichtsbarkeiten eher erfolgreich (zumindest in den unteren Instanzen). Wenn aber die Gerichte die zum Teil gefestigte Rechtsprechung des EuGH nicht beachten, ist dies mehr als ärgerlich. Ein solcher Fall ereignete sich am Arbeitsgericht (ArbG) Mainz (Urteil vom 08.04.2024 – 8 Ca 1474/23. Derzeit nur bei BeckOnline abrufbar).

Sachverhalt

Die Parteien streiten über Auskunfts- und Entschädigungsansprüche auf der Grundlage von Art. 15 DSGVO. Der Kläger bewarb sich auf eine Stelle bei der Beklagten und forderte, nachdem er eine Absage erhalten hatte, dass man ihm eine „umfassende Auskunft sowie eine vollständige Datenkopie auf Grundlage von Art. 15 DSGVO“ erteilen soll.

Die Beklagte antwortete hierauf nur mit einer Mail und fügte die Datenschutzhinweise bei. Weitere Anfragen sollten an die dort genannte E-Mail-Adresse gerichtet werden. Danach erhob der Bewerber Klage – irgendwie auch nicht überraschend, denn die Übersendung der Datenschutzhinweise stellt natürlich keine Auskunft dar.

Der Kläger forderte unter anderem, an ihn eine Geldentschädigung, die einen Betrag in Höhe von 5.000,00 Euro aber nicht unterschreiten sollte, zu zahlen.

Entscheidung

Nach Ansicht des ArbG hat der Kläger einen Anspruch auf den begehrten Schadensersatz aus Art. 82 Abs. 1 DSGVO. Und zwar tatsächlich in Höhe der 5.000 EUR.

Richtig geht das ArbG noch davon aus, dass das Auskunftsrecht des Betroffenen nicht erfüllt wurde.

Die Nennung einer E-Mail-Adresse, über welche man die fraglichen Auskünfte erhalten könne, ersetzt nicht die Erteilung derselben“.

Bei der Begründung des Schadenersatzes ist die Begründung dann meines Erachtens aber nicht mehr haltbar bzw. angreifbar.

Kritik 1

Das ArbG begründet, dass nach Art. 82 Abs. 1 DSGVO „ein Verstoß gegen die Verordnung einen Schadensersatzanspruch im Falle eines materiellen oder immateriellen Schadens, wobei die maßgebende Rechtsprechung des Europäischen Gerichtshofes den Schadensbegriff derart weit auslegt, dass er auch im vorliegenden Falle zu bejahen ist.“

Das Gericht lässt hier meines Erachtens unbeachtet, dass der EuGH gerade nicht allein von einem verstoß gegen die DSGVO direkt auf das Vorliegen eines Schadens schließt.

  • C-300/21, Rz. 33: „Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet.“
  • C-456/22, Rz. 21: „Der bloße Verstoß gegen die Bestimmungen dieser Verordnung reicht nämlich nicht aus, um einen Schadenersatzanspruch zu begründen.“

Kritik 2

Das Gericht begründet nicht bzw. fehlerhaft (siehe Kritik 3), wie es zu einem Schaden in Höhe von 5.000 EUR gelangt und vor allem nicht, ob und wie der Kläger diesen Schaden nachgewiesen hat

Der dem Kläger entstandene „Schaden“ ist zwar schwindend gering, gleichwohl hält die Kammer die begehrten 5.000,00 € für einen angemessenen Betrag“. Auch dies entspricht nicht der Rechtsprechung des EuGH und die (fehlende) Begründung des ArbG verstößt gegen diese Rechtsprechung.  

  • C-300/21, Rz. 32: „Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt,…“
  • C-687/21, Rz. 60: „Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen,…“

Kritik 3

Nach Ansicht des ArbG sind 5.000 EUR Schadenersatz hier gerechtfertigt, „weil Verfahren der vorliegenden Art auch eine präventive Funktion haben sollen“.

Zudem komme es „weniger darauf an, wie sehr der Kläger „gelitten“ hat, als vielmehr darauf, bei welchem Betrag ein entsprechender Leidensdruck bei der Beklagten entsteht“. Das Gericht stellt sich auch hier konträr zur Rechtsprechung des EuGH und nimmt eine Straffunktion des Schadenersatzes nach Art. 82 DSGVO an.

  • C-667/21, Rz. 85: „Insoweit ist zu betonen, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – keine Straf‑, sondern eine Ausgleichsfunktion hat.“
  • C-687/21, Rz. 48: „Der Gerichtshof hat hinzugefügt, dass sich, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch keine abschreckende oder gar Straffunktion erfüllt, sondern eine Ausgleichsfunktion hat,…“
  • C-687/21, Rz. 50: „… da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.“

Das ArbG gesteht hier also 5.000 EUR Schadenersatz für eine verspätete und ungenügende Auskunft zu, ohne die Tatbestandsvoraussetzung von Art. 82 DSGVO entsprechend den Vorgaben des EuGH zu beachten. Wenn man dann auch noch im Blick hat, dass der EuGH selbst in einem jüngeren Urteil „nur“ 2.000 EUR Schadenersatz auf Grundlage von Art. 50 der sog. Europol-Verordnung (VO 2016/794) zugesprochen hatte (hierzu der Beitrag von Philipp Quiel), obwohl es dort um sensibelste Daten aus dem Intimbereich ging, scheint das vorliegende Urteil noch diskutabler.