Unzureichende Einbindung des Gruppen/Konzern-DSB und mangelnde Ressourcen? 18.000 EUR Bußgeld gegen ein Unternehmen in Luxemburg

Das Verwaltungsgericht des Großherzogtums Luxemburg bestätigte ein von der luxemburgischen Datenschutzbehörde gegen einen Verantwortlichen verhängtes Bußgeld in Höhe von 18.000 EUR, weil dieser 1) den Datenschutzbeauftragten der Gruppe nicht ausreichend eingebunden und 2) ihm nicht genügend Ressourcen zur Erfüllung seiner Aufgaben zur Verfügung gestellt hatte. Die Entscheidung wurde in Englisch auf GDPRhub zusammengefasst.

Sachverhalt

Eine Unternehmensgruppe benannte einen Datenschutzbeauftragten („Group DPO“) gemäß Art. 37 Abs. 2 DSGVO. Zur Unterstützung des Group DPO wurde ein Rechtsanwalt (wohl aus dem Unternehmen) als lokale Kontaktstelle in Luxemburg eingesetzt. Der Verantwortliche richtete auch ein „GDPR-Board“ ein, ein Gremium, das sich mit dem Datenschutz in Luxemburg befassen musste.

Der Group DPO war jedoch kein Mitglied dieses Gremiums und wurde nur durch die Protokolle der GDPR-Board-Sitzungen oder durch Fragen, die die lokale Kontaktstelle stellte, über die behandelten Themen informiert.

Entscheidung des Gerichts (Bestätigung der Bußgeldentscheidung)

Keine ausreichende Beteiligung des Group DPO

Gemäß Art. 38 Abs. 1 DSGVO hat der Verantwortliche sicherzustellen, dass der DSB in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen ordnungsgemäß und frühzeitig eingebunden wird. Insbesondere relevant ist diese Vorgabe im Hinblick auf die Aufgabe des DSB gem. Art. 39 Abs. 1 DSGVO, den Verantwortlichen hinsichtlich seiner Pflichten nach der DSGVO zu unterrichten und zu beraten.

Vor diesem Hintergrund stellte das Gericht fest, dass es notwendig und zwingend erforderlich ist, dass der DSB bei allen Themen und Projekten, die die mit dem Schutz personenbezogener Daten zusammenhängenden Fragen betreffen, in einem möglichst frühen Stadium eingebunden wird.

In diesem Fall wurde der Group DPO aber erst eingeschaltet, wenn eine betroffene Person mit der Bearbeitung ihrer Anfrage durch die lokale Kontaktstelle nicht zufrieden war. Der Verantwortliche verwies zwar auf die regelmäßige Kommunikation (Telefon, Video und E-Mail) zwischen der lokalen Kontaktstelle und dem Group DPO, legte aber keine Nachweise dieser Kommunikation vor.

Das Gericht stellte fest, dass der Datenschutzbeauftragte nicht unmittelbar an allen datenschutzrelevanten Angelegenheiten beteiligt und eingebunden war, was einen Verstoß gegen Art. 38 Abs. 1 & 39 Abs. 1 DSGVO darstellt.

Das Gericht sieht hier also strenge Anforderungen an die Einbindung des Datenschutzbeauftragten. Es genügt gerade nicht, diesen nur regelmäßig über bestimmte Themen zu informieren – er muss auch (bereits möglichst frühzeitig) in diese Themen und die interne Beratung hierzu aktiv eingebunden werden.

Dem Datenschutzbeauftragten zur Verfügung gestellte Ressourcen

Gemäß Art. 38 Abs. 2 DSGVO hat der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen, indem er ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellt und Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt.

Das Gericht stellte fest, dass der Verantwortliche keine Informationen zur formalen Festlegung der Arbeitszeit der lokalen Kontaktstelle vorgelegt hat. Nach Ansicht des Gerichts rechtfertigt der Umfang der Tätigkeit des Verantwortlichen in Luxemburg (70 Standorte, zwischen 1.600 und 2.100 Beschäftigte und 25.000 Verbraucher pro Tag) die Beschäftigung von mindestens einer Vollzeitkraft für den Datenschutz.

Das Gericht nahm einen Verstoß gegen Art. 38 Abs. 2 DSGVO an, da dem Datenschutzbeauftragten die erforderlichen Ressourcen nicht im angemessenen Umfang zur Verfügung gestellt wurden.

Bußgeldhaftung nach der DSGVO: welche Faktoren sprechen für und gegen ein Verschulden? Bundesverwaltungsgericht Österreich zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“

Das Bundesverwaltungsgericht Österreich (BVwG) hat kürzlich eine wichtige Entscheidung gefällt, die sich mit den Faktoren für und auch gegen ein Verschulden im Rahmen von Art. 83 DSGVO befasst. Interessant ist dabei insbesondere, dass die Vorgaben des EuGH aus dem Deutsche Wohnen-Verfahren nun durch ein mitgliedstaatliches Gericht konkretisiert werden.

Hintergrund

Das Unternehmen betreibt ein Kundenbindungsprogramm, im Rahmen dessen auch Einwilligungen für die Verarbeitung zu werblichen Zwecken eingeholt wurden. Die österreichische Aufsichtsbehörde (DSB) leitete ein Prüfverfahren und aufgrund der Ermittlungsergebnisse auch ein Verwaltungsstrafverfahren ein, welches mit einem Bußgeldbescheid endete. Gegen diesen legte das Unternehmen Beschwerde ein.

Nach Ansicht der DSB habe das Ersuchen um Einwilligung der betroffenen Personen, die sich für das Kundenbindungsprogramm registriert hätten, nicht den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO entsprochen. Das Unternehmen habe daher personenbezogene Daten unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt habe werden können.

Im vorliegenden Verfahren ging um Fragen der Bußgeldhaftung des Unternehmens, also Art. 83 DSGVO. Konkret möchte ich mich hier mit dem Merkmal des Verschuldens (also der subjektiven Tatseite) befassen.

Merkmal des Verschuldens

Wie bekannt, hatte der EuGH in dem Deutsche Wohnen-Verfahren (C-807/21) im Dezember 2023 geurteilt, dass gegen einen Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Ein Verschulden liegt nach Rechtsprechung des EuGH wiederum dann vor, wenn das Unternehmen hätte erkennen können, dass sein Verhalten datenschutzwidrig war.

Die DSB sah ein Verschulden als gegeben an: die Geschäftsführer des Unternehmens hätten im konkreten Fall zunächst aufgrund objektiver Sorgfaltswidrigkeit die Entwürfe zu den gegenständlichen Ersuchen um Einwilligung genehmigt, obwohl diese dem Wortlaut der DSGVO bzw. den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO widersprechen würden. Zudem, so die DSB, hätten sie kein wirksames internes Kontrollsystem im Rahmen des Betriebs des Unternehmens implementiert, um die laufende Rechtsentwicklung in Bezug auf die gegenständlichen Einwilligungsersuchen zu überwachen.

Die beiden Kernvorwürfe waren also:

  • (Er)Kennenmüssen der Unzulässigkeit der Einwilligung, allein aufgrund der DSGVO-Anforderungen
  • Kein ausreichendes internes Compliance-System, das auch die aktuelle Rechtsprechung und Behördenansichten zu Anforderungen an die Einwilligung nach der DSGVO überwacht

Entscheidung des BVwG zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte

Das BVwG befasst sich mit der Frage des Verschuldens im Abschnitt „3.3.4.1. Zur strafrechtlichen Verantwortlichkeit und Verschulden der Beschwerdeführerin“.

Zunächst weist das Gericht auf die Grundlagen seiner nachfolgenden Bewertung hin. Insbesondere die Rechtsprechung des EuGH, wonach ein Verantwortlicher sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt.

Zur Haftung des Verantwortlichen setzt das BVwG vorab den generellen Pflichtenrahmen. Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich

auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind.“

Diese Haftung des Verantwortlichen bildet nach Ansicht des BVwG bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür, nach Art. 83 DSGVO eine Geldbuße zu verhängen.

Nach dem Urteil in der Rechtssache „Deutsche Wohnen“ hat man sich gefragt, was der EuGH konkret mit der Umschreibung „wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“ meint – welche Faktoren in der Praxis also für oder gegen ein Verschulden sprechen können. Hierzu gibt das BVwG einige praxisrelevante Hinweise:

A. Erkundigungspflicht des Verantwortlichen (bzw. der Geschäftsführung)

Das BVwG ist, mit der DSB, der Ansicht, dass das Unternehmen eine Erkundigungspflicht hinsichtlich der einschlägigen relevanten Bestimmungen der DSGVO (hier im Zusammenhang mit den verwendeten Einwilligungserklärungen), vor Verwendung eben dieser Einwilligung im Zuge des Markstarts des Programms traf. Nach Ansicht der DSB hätten die Geschäftsführer dann, bei bestehenden Zweifeln, diese durch weitere Erkundigungen beseitigen müssen, beispielsweise durch eine Auskunftsanfrage an die belangte Behörde oder mittels Rechtsgutachten von Sachverständigen, das sich mit dieser spezifischen Fragestellung beschäftige.

B. Erkennenmüssen allein aufgrund des Wortlauts der DSGVO-Norm

Nach Ansicht des BVwG hätten insbesondere die beiden Geschäftsführer sowie die Leiterin der Rechtsabteilung erkennen müssen, dass die gewählte Gestaltung der Einwilligung nicht im Einklang mit der DSGVO stand.

Hierbei sei nicht ausschlaggebend, ob sich das Unternehmen mit

  • dem Urteil des EuGH in der Rechtssache Planet49 (zur Frage der Anforderungen an die Einwilligung),
  • oder den Leitlinien 05/2020 der Art. 29 Datenschutzgruppe zur Einwilligung auseinandergesetzt habe.

Denn im vorliegenden Fall hätte bereits aufgrund des reinen Wortlautes der Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO von dem Unternehmen erkannt werden müssen, dass die von ihr gewählte optische Gestaltung aufgrund der dargestellten kumuliert irreführenden Faktoren nicht den Anordnungen einer in „informierter Weise und unmissverständlich abgegebenen Willensbekundung“ entspricht.

C. (Un)Kenntnis der internen Rechtsabteilung

Zudem geht das BVwG davon aus, dass insbesondere der mit der Beratung des Unternehmens betrauten Rechtsabteilung hätte auffallen müssen, dass die bei den Einwilligungserklärungen gewählte Vorgehensweise missverständlich und damit rechtswidrig war.

D. Rechtsprechung und Verwaltungspraxis

Als möglichen entlastenden (!) Faktor prüft das BVwG, ob zum Tatzeitpunkt eventuell entsprechende Rechtsprechung oder eine Praxis der Aufsichtsbehörden existierte, die gegen ein Verschulden sprechen könnte. Vorliegend, so das BVwG, lag aber

keine höchstgerichtliche Rechtsprechung oder entsprechende Verwaltungspraxis zu den zitierten Bestimmungen vor, aufgrund derer die Beschwerdeführerin entgegen der dargestellten, irreführenden Faktoren darauf vertrauen hätte können, dass die Gestaltung der DSGVO entspricht“.

Dies ist ein wichtiger Aspekt bei der Verteidigung gegen Bußgelder – eine entsprechende Verwaltungspraxis kann ein Verantwortlicher verwenden, um seine Rechtsansicht zu stützen und im Rahmen des Verschuldens

Im Grunde wird damit auch bestätigt, was aus meiner Sicht für datenverarbeitende Stellen ein großer Vorteil ist: die Pluralität des Aufsichtssystems in Deutschland. Mit 18 Datenschutzbehörden (inkl. BfDI, und die speziellen Aufsichtsbehörden noch nicht mitgezählt), finden sich sehr viele verschiedene Sichtweisen und rechtliche Interpretation der Behörden. Diese Sichtweisen und darauf beruhende Verwaltungspraxis (siehe oben) können und sollten Verantwortliche und Auftragsverarbeiter bei ihren eigenen Datenverarbeitungen und der rechtlichen Bewertung mit in den Blick nehmen.

E. Externe Rechtsgutachten

Auch würde das BVwG als entlastenden Faktor wohl das Vorliegen von externen Einschätzungen, wie etwa Rechtsgutachten, bewerten. Vorliegend habe das Unternehmen aber keine

Rechtsgutachten hinsichtlich der DSGVO Konformität der gegenständlichen Einwilligungserklärungen erstellen lassen“.

F. Nachfrage bei der Aufsichtsbehörde

Ja, auch dies könnte ein entlastender Faktor beim Verschulden sein. Andererseits muss man als anfragendes Unternehmen aber natürlich auch mit der Antwort leben, wenn sie „nicht gefällt“. Das BVwG stellt vorliegend fest, dass bei der belangten Behörde (DSB) als Spezialbehörde diesbezüglich keine Auskünfte eingeholt wurden.

G. Fehlende Dokumentation zur internen oder externen rechtlichen Bewertung

Negativ bewertet das BVwG den Umstand, dass das Unternehmen keine (aussagekräftigen) Unterlagen zu stattgefundener interner und externer Beratung der Beschwerdeführerin im Hinblick auf die (Gestaltung der) Einwilligungserklärungen vorgelegt hat. Hieraus hätte sich (durchaus auch positiv) ergeben können, dass die angeführten Faktoren aus rechtlicher Sicht ausführlich diskutiert bzw. problematisiert worden wären.

H. Anforderungen an das interne Kontrollsystem (Compliance)

Nach Ansicht des BVwG muss für die Wirksamkeit eines internen Kontrollsystems dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen. Zwar habe das Unternehmen hier gewisse Kontroll- und Beratungsmechanismen im Bereich des Datenschutzes eingeführt. Jedoch habe dieses System im konkreten Fall nicht funktioniert.

Fazit

Insgesamt geht das BVwG daher davon aus, „dass auf subjektiver Tatseite zumindest Verschulden in Form von Fahrlässigkeit der Beschwerdeführerin vorliegt“. Die Entscheidung gibt für die Praxis einen guten Leitfaden für verschiedenste Faktoren und (Gegen)Argumente, die im Rahmen des Verschuldens durch Verantwortliche und Auftragsverarbeiter bei der Bußgeldhaftung nach Art. 83 DSGVO in der Praxis berücksichtigt werden sollten.

Endlich: Keine Anwendbarkeit des Fernmeldegeheimnisses für Arbeitgeber bei erlaubter / geduldeter privater Nutzung von betrieblichen E-Mail- oder Internetdiensten – Datenschutzbehörde NRW

„Halleluja“, möchte man fast ausrufen. Eine seit Ewigkeiten bestehende rechtliche Diskussion um die Anwendbarkeit der strengen Vorgaben des Fernmeldegeheimnisses auf Arbeitgeber scheint sich aufzulösen – und zwar im positiven Sinne für Arbeitgeber.

Rückblick

Seit Jahren wird bekanntlich darüber diskutiert, geschrieben und geurteilt, ob und wann Arbeitgeber als Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten (§ 3 Abs. 2 TDDDG) gelten – womit auch das Fernmeldegeheimnis greifen würde – wenn sie ihren Mitarbeitern die private Nutzung von beruflichen E-Mail-Postfächern und/oder Internetzugang gestatten oder dies dulden.

In ihrer Orientierungshilfe (PDF) aus 2016 ging die DSK davon aus, dass wenn der Arbeitgeber den Beschäftigten auch die private Nutzung von Internet und/oder des betrieblichen E-Mail-Postfaches erlaubt, zusätzlich zum allgemeinen Datenschutzrecht das (damals noch geltende) Telekommunikationsgesetz (TKG) bzw. das Telemediengesetz (TMG) zu beachten ist.

Nach Auffassung der Aufsichtsbehörden ist der Arbeitgeber in diesem Fall Telekommunikationsdienste- bzw. Telemediendienste-Anbieter. Dies hat die Konsequenz, dass er an das Fernmeldegeheimnis des § 88 Abs. 2 S. 1 TKG gebunden ist“.

Die Folge in der Praxis: Arbeitgeber durften (bei gestatteter / geduldeter privater Nutzung) im Grunde nur mit Einwilligung der Mitarbeiter Zugriff auf beruflich bereitgestellte Postfächer nehmen oder den Internetverkehr prüfen. Zudem galt ein strafrechtliches Verbot nach § 206 StGB.

Diese Auffassung wurde insbesondere in der Literatur und auch Teilen der Rechtsprechung nicht geteilt (vgl. etwa LAG Berlin-Brandenburg, Urt. v. 14.1.2016 – 5 Sa 657/15; LG Krefeld, Urt. v. 7.2.2018 – 7 O 198/17; LG Erfurt, Urt. v. 28.4.2021 – 1 HK O 43/20). Diese Ansicht lehnte die Anwendung des Fernmeldegeheimnisses ab.

Aktuelle Entwicklung

Letzte Woche hat die Datenschutzbehörde NRW (LDI) ihren Jahresbericht 2024 veröffentlicht (PDF). Dort wird unter Ziff. 12.2. festgehalten:

Für Arbeitgeber*innen gilt nicht mehr das Fernmeldegeheimnis, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden.“

Dieser Trend hat sich schon letztes Jahr abgezeichnet (vgl. Datenschutzbehörde Hessen, Jahrsebericht 2022, S. 30, PDF).

Sehen dies alle deutschen Aufsichtsbehörden so? Hierzu gibt es derzeit keine neuere Aussage der DSK. Nach Angaben der LDI NRW gehen aber mehrere deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich nach Inkrafttreten des TTDSG (jetzt: TDDDG) die rechtliche Bewertung geändert hat: Arbeitgeber, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, unterliegen nicht mehr dem Telekommunikationsrecht.

Deshalb haben sie gegenüber ihren Beschäftigten auch nicht das Fernmeldegeheimnis zu garantieren.

Ein, aus meiner Sicht zutreffendes, Argument der LDI: Bei Arbeitgebern, die die private Nutzung erlauben oder dulden, fehlt es in der Regel am Rechtsbindungswillen. Arbeitgeber treten gegenüber ihren Beschäftigten nicht als geschäftsmäßige Telekommunikationsdienstleister auf.

Die Folge in der Praxis ist, dass bei der Verarbeitung von Mitarbeiterdaten im Rahmen der Zurverfügungstellung von betrieblichen E-Mail-Postfächern oder des Internetzugangs, die allgemeinen Vorgaben der DSGVO und auch des BDSG (oder von Landesdatenschutzgesetzen) zu beachten sind. Es bedarf aber nach Ansicht der LDI NRW gerade keiner Einwilligung, speziell für den Schutzbereich des Fernmeldegeheimnisses. Diese Ansicht dürfte in der Praxis einige Unsicherheiten beseitigen.

Die LDI NRW nennt auch ein konkretes Beispiel: in der Vergangenheit galt, dass Arbeitgeber nur auf die Protokolldaten oder E-Mails der Beschäftigten zugreifen konnten, wenn dafür deren Einwilligung vorlag.

Mit dem TTDSG finden statt der spezifischen telekommunikationsrechtlichen Regeln nun die Vorschriften der DS-GVO Anwendung. Die DS-GVO sichert ein ähnlich hohes Schutzniveau für die personenbezogenen Daten der Beschäftigten.“

Bedeutet: es kann sein, dass auch nach der DSGVO je nach Verarbeitungszweck und Umfang der Verarbeitung dennoch eine Einwilligung erforderlich ist – aber eben nicht per se aufgrund der Geltung des Fernmeldegeheimnisses. Die LDI empfiehlt zurecht, dass wie bisher über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung getroffen bzw. interne Vorgaben erstellt werden sollten. Darin sollen etwa die Fragen des Zugriffs, der Protokollierung, der Auswertung und der Durchführung von Kontrollen geklärt werden.

Bundesregierung plant „Entbürokratisierung“ des Datenschutzes – Erhöhung der Benennungsschwelle für DSB, Konzentration von Behördenzuständigkeiten und verbindliche Beschlüsse der DSK

Der Bundeskanzler, der Vizekanzler und der Bundesminister der Finanzen haben sich am 5. Juli 2024 auf eine „umfassende Wachstumsinitiative“ geeinigt. Der Text des Dokuments ist hier abrufbar (PDF). Laut der Einleitung hat sich die Bundesregierung auf ein umfassendes Maßnahmenpaket verständigt, das der deutschen Wirtschaft umgehend Impulse für mehr wirtschaftliche Dynamik geben wird.

Zum Zeitplan (immerhin ist bald Sommerpause im Parlament und im September 2025 stehen Bundestagswahlen an) wird dort beschrieben, dass die Bundesregierung die in diesem Paket enthaltenen Maßnahmen „nun schnell umsetzen“ werde. Soweit es neuer Gesetze oder weiterer gesetzlicher Anpassungen bedarf, werden die entsprechenden Regelungsvorschläge gemeinsam mit dem Haushaltsgesetz oder später im zweiten Halbjahr 2024 im Kabinett beschlossen. Klingt aus meiner Sicht sehr optimistisch.

Nachfolgend möchte ich schlaglichtartig einen Blick auf die Vorschläge und mögliche Konsequenzen im Bereich Datenschutzrecht werden.

Die Sicht der Bundesregierung auf den Datenschutz

Zunächst fällt auf, unter welchen Schlagworten die Parteien SPD, Die Grünen und die FDP den Datenschutzschutz verorten. Vorschläge im Bereich des Datenschutzrechts finden sich im Abschnitt „II. Unternehmerische Dynamik stärken: Unnötige Bürokratie abbauen“. Ein wenig mag man sich hierbei schon die Augen reiben. Parteien wie die SPD, die insbesondere für die Interessen der Arbeitnehmer (und damit den Mitarbeiterdatenschutz) eintritt oder Die Grünen, deren Mitglied und früheres Mitglied des Europäischen Parlaments, Jan Philipp Albrecht, die DSGVO überhaupt erst möglich gemacht hat, verstehen den Datenschutz als „unnötige Bürokratie“. Die FDP vertritt ohnehin die Position, dass der bürokratische Aufwand überprüft werden muss.

Ziel der Bundesregierung ist: die Anwendung datenschutzrechtlicher Anforderungen reduzieren. Das klingt zunächst politisch natürlich super – wer soll da widersprechen? Wenn wir uns gleich einige Vorschläge aus der Initiative anschauen, können Sie ja einmal für sich prüfen, welche Anforderungen dadurch auch tatsächlich reduziert werden.

Die Bundesregierung strebt in Abstimmung mit den Ländern folgende Maßnahmen an:

1. Zuständigkeitskonzentration bei einer Aufsichtsbehörde

Für bestimmte Branchen/Sektoren wird mit den Ländern vereinbart, die Zuständigkeit bei der Aufsichtsbehörde eines Landes zu konzentrieren, damit es bundesweit für die Unternehmen eine Aufsicht und damit u.a. eine einheitliche Ansprechstelle mit besonderer Expertise für komplexe Fragestellungen gibt.“

Die Bundesregierung hat hier wahrscheinlich die Schaffung von ausschließlich zuständigen Aufsichtsbehörden für bestimmten Themenbereiche im Sinne. Bsp: alle Fragen des Online-Handels werden bei der Behörde in Hamburg gebündelt. Alle anderen Aufsichtsbehörden der Länder wären dann z.B. für Fragen des Datenschutzes bei Kunden- & Gastkonten, der Löschung von Kundendaten etc. nicht mehr zuständig.

Zunächst wird es hier aus meiner Sicht einer Herausforderung sein, die „Branchen/Sektoren“ für die Praxis und Aufsicht sauber zu trennen. Zum obigen Beispiel: gehört zum Online-Shopping auch das Tracking in der App / auf der Webseite? Gehören dazu auch Verarbeitungen von bloßen Webseitenbesuchern von Online-Shops, die aber noch nicht kaufen? Gehören hierzu auch Verträge mit Dienstleistern, die etwa eine Chatfunktion im Shop bereitstellen?

Zweitens wird eine solche Konzentration aus meiner Sicht für die betroffenen Unternehmen nicht immer „positiv ausgehen“. Bsp: Online-Shops werden in Zukunft allein aus Hamburg beaufsichtigt. Unternehmen mit Zentralen in Bayern, Baden-Württemberg oder etwa NRW erhalten für alltägliche Fragen zu ihrem Angebot damit neue Ansprechpartner und vor allem verschwindet damit für die Mehrheit der Unternehmen natürlich auch der lokale Bezug der Aufsichtsbehörden. Man mag es kaum glauben, aber ja, man kann (und viele Unternehmen tun dies sehr erfolgreich) mit seiner zuständigen Aufsicht proaktiv in den Austausch gehen – man kann sich vor Ort treffen, Trends besprechen und die Umsetzung des Datenschutzes proaktiv begleiten. Ob diese Arbeitsweise auch noch stattfindet, wenn allein eine (aus Sicht des Unternehmens unbekannte und weit entfernte) Behörde zuständig ist?

Nun mag man einwenden: heutzutage kein Problem. Dann macht man das alles per Videokonferenz. Das Bsp. Online-Shop ist natürlich nur eines von vielen Themen – bzw. knüpft die Regieurng ja eher an Branchen/Sektoren.

Ich gebe Ihnen ein anderes (sehr provokatives) Bsp: für Fragen des Datenschutzes im Automobilbereich (automatisiertes Fahren, Datenverarbeitung im Bereich Infotainment) ist in Zukunft Thüringen zuständig. Hersteller wie VW, BMW und Mercedes (aber auch 1st Tier Zulieferer) müssen dann in allen Fragen des Datenschutzes mit dieser einen Behörde sprechen – und ggfs. auch Kämpfe führen. Und das ist dann eben nicht mehr die Behörde vor Ort.

Meine Erfahrung mit Mandanten ist, dass Unternehmen mit der „eigenen“ Behöre oft sehr gut und vertrauensvoll zusammenarbeiten. Und gerade diese, langjährige Zusammenarbeit, spart am Ende Aufwand im Datenschutzrecht, den man hätte, wenn man einfach mal „drauf los entwickelt“ und sich nicht abstimmt.

2. Verbindliche Beschlüsse der DSK

Stärkere bundesweite Vereinheitlichung der Anwendung des Datenschutzrechts durch verbindliche Beschlüsse der Datenschutzkonferenz; damit Rechtsunsicherheiten und bürokratischer Aufwand für Unternehmen reduziert werden und die Unternehmen sich innerhalb von Deutschland auf eine möglichst einheitliche Anwendung durch die verschiedenen Aufsichtsbehörden der Länder verlassen können.“

Zunächst eine, aus meiner Sicht, gute Nachricht – die Regierung möchte die föderale Struktur der Behörden zumindest im Grundsatz weiter fortführen. In welcher inhaltlichen Form, wird sich zeigen, siehe Ziffer 1.

Die Beschlüsse der DSK sollen, wohl für die Aufsichtsbehörden selbst, bindend werden. Also eine Orientierung an Art. 65 DSGVO zur Streitbeilegung im EDSA. Eine solche Initiative ist aus meiner Sicht durchaus sinnvoll. Vor allem mit Blick auf die Rechts(un)sicherheit bei der Anwendung des Datenschutzrechts. Spannend wird natürlich dann, in welcher Form Rechtsschutzmöglichkeiten der Aufsichtsbehörden selbst (Klagen gegen den Beschluss) und betroffener Unternehmen ausgestaltet werden, wenn Unternehmen inhaltlich nicht mit der Meinung der DSK übereinstimmen.

Einige Leser/innen wissen, dass ich ein großer Verfechter der föderalen Struktur in Deutschland und auch der manchmal unterschiedlichen Auslegungen des Datenschutzrechts bin. In der Praxis kommt es aus meiner Sicht einfach darauf an, was man aus den verschiedenen Ansichten von Datenschutzbehörden macht. Denn dies kann für Unternehmen durchaus auch positive Effekte (Stichwort: Bußgeldrisiko bei unterschiedlichen Meinungen der Aufsichtsbehörden?) haben. Als kleines lokales Unternehmen hat man andererseits immer die Möglichkeit, die Sichtweise seiner Aufsichtsbehörde zu folgen, um „Ruhe“ zu habe.

3. Weniger Datenschutzbeauftragte = besserer Datenschutz?

Aus meiner Sicht ein Evergreen der letzten Jahre. Die Regierung möchte § 38 BDSG zwar nicht mehr in Gänze streichen, nun aber (wieder einmal) die Benennungsschwelle erhöhen.

Erhöhung der Schwelle, ab der Unternehmen einen Datenschutzbeauftragten bestellen müssen von derzeit 20 Mitarbeitenden auf 50 Mitarbeitende.“

Die Regierung betreibt hier aus meiner Sicht reinen Populismus. Denn: nur, weil ein kleines Unternehmen evtl. keinen DSB mehr benennen muss, bedeutet dies ja nicht, dass es sich nicht mehr an das Datenschutzrecht halten muss. Viele betroffenen Unternehmen denken aber so. Leider. Kein DSB, dann auch keine DSGVO.

Das ist ein absoluter Trugschluss, den die Regierung aber auch mit keinem Wort aufklärt. Weniger Bürokratie? Auf dem Papier entfällt ggfs. eine Pflicht. Jene zur Benennung des DSB. Aber dennoch müssen diese kleinen Unternehmen ja immer noch voll die DSGVO einhalten. Und wir können nun gemeinsam überlegen, wie gut dies in der Praxis funktioniert, wenn es in diesen Unternehmen keine zuständige Person mehr für Fragen des Datenschutzes geben soll. Wer kümmert sich dann (wenn überhaupt noch)? Am Ende könnte gerade diese Maßnahme sogar zu noch mehr Frust bei betroffenen Unternehmen führen, wenn gegen sie z.B. eine Beschwerde eingereicht wird und sie dann merken, dass die DSGVO dennoch voll anwendbar ist.

Achso, und noch ein kleiner Nachtrag: dass nach § 38 Abs. 1 S. 2 BDSG eigentlich ohnehin viele Unternehmen, auch mit weniger als 20 oder dann 50 Mitarbeitenden, einen DSB benötigen, wird natürlich auch nicht beachtet. Denn danach muss jedes Unternehmen, unabhängig von der Mitarbeiterzahl, einen DSB benennen, wenn die Voraussetzungen zur Durchführung einer DSFA nach Art. 35 DSGVO vorliegen. Und wenn man nun die Blacklists der DSK, der Aufsichtsbehörden und auch die Kriterienkataloge des EDSA betrachtet, ist man schneller in einer DSFA-Pflicht, als man „Piep“ sagen kann.

4. Europäische Ebene

Eher als Absichtserklärung zu verstehen, sind die geplanten Maßnahmen auf europäischer Ebene.

Auf europäischer Ebene wird sich die Bundesregierung dafür einsetzen, dass a. die Anwendung und Durchsetzung der DSGVO auf europäischer Ebene mit dem Ziel der Vereinfachung harmonisiert und die Zusammenarbeit der Aufsichtsbehörden der Mitgliedstaaten (insbesondere im Europäischen Datenschutzausschuss) verbessert wird“.

Welche konkreten Maßnahmen die Regierung hier auf Ebene des EDSA im Blick, wird nicht klar. Aktuell geht die Tendenz auf europäischer Ebene aber aus meiner Sicht eher nicht Richtung „Vereinfachung“ der Zusammenarbeit der Behörden, sondern in die andere Richtung. Denn bald wird eine neue Verordnung zur Durchsetzung der DSGVO das Licht der Welt erbblicken, die Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679. Aus meiner Sicht hat diese bislang in Deutschland noch wenige Platz in der Diskussion gefunden, obwohl sie einige extrem relevante Regelungen enthält. Hier ein Blogbetrag dazu von mir.