Schwedische Datenschutzbehörde: wann werden personenbezogene Daten „unverzüglich“ gelöscht?

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

In der Praxis stellt sich oft die Frage, wie schnell denn nun Daten zu löschen sind? Was also „unverzüglich“ bedeutet (ausführlicher haben sich Philipp Quiel und ich hiermit in unserem Beitrag zur Herbstakademie 2020 „Bestimmt unbestimmt – Vorschläge zur Auslegung und Anwendung unklarer Formulierungen in der Datenschutz-Grundverordnung“ (DSRITB 2020, 1) befasst).

Generell ist bei der Anwendung von Unionsrecht (wie hier der DSGVO) zu beachten, dass bei einer unionsrechtlich autonom erfolgenden Interpretation rein nationale Rechtsverständnisse in der Regel nur sehr begrenzt zur Klärung des Regelungsinhalts einer Norm hinzugezogen werden können. Daher ist es meines Erachtens auch nicht richtig, bei der Auslegung eines europäischen Rechtsbegriffs wie „unverzüglich“ allein auf tradierte nationale Verständnisse abzustellen, wie etwa auf § 121 Abs. 1 S. 1 BGB und das Verständnis von „ohne schuldhaftes Zögern (unverzüglich)“. Hierfür wird davon ausgegangen, dass ein Zuwarten von zwei Wochen als nicht mehr unverzüglich anzusehen ist, wenn keine besonderen Umstände vorliegen (MüKom/BGB, 8. Aufl. 2018, § 121 Rn. 7).

Die schwedische Datenschutzbehörde hat nun in einem Prüfverfahren (PDF) (welches im One Stop Shop Verfahren nach der DSGVO bearbeitet wurde) entschieden, dass eine Löschung von personenbezogenen Daten innerhalb von 16 Tagen als „unverzüglich“ anzusehen war. Dies zeigt deutlich, dass bei Auslegung und Anwendung der DSGVO der rein nationale Blick oft zu kurz greift. Zum anderen gibt diese Entscheidung für die Praxis zumindest einen ersten Anhaltspunkt dafür, was aus Behördensicht eine „unverzügliche“ Löschung bedeuten kann.

Verwaltungsgericht: Recht auf Datenübertragbarkeit umfasst nicht Auswertungen oder Analysen

Gerichtliche Entscheidungen zum Recht auf Datenübertragbarkeit nach Art. 20 DSGVO sind sehr rar. Im März 2021 hatte sich nun das VG Weimar (Beschl. v. 02.03.2021, 3 E 209/21) zumindest am Rande mit dem Anwendungsbereich der Norm beschäftigt (jedoch direkt der Hinweis, dass keine tiefgehenden Ausführungen erfolgten).

Das VG hatte in einem Verfahren zum vorläufigen Rechtsschutz zu einem Antrag nach § 123 VwGO zu entscheiden. Der Antragsteller verlangte, dem Antragsgegner im Wege der einstweiligen Anordnung aufzugeben, „die Approbationsurkunde des Antragstellers über den Auftragsdatenverarbeiter D… zu verifizieren und elektronisch zu übermitteln“.

Das VG sah den Antrag jedoch nur zum Teil als begründet an. Der Antragsteller hat einen Anspruch auf eine elektronische Abschrift der Approbationsurkunde und darauf, diese an eine vom Antragsteller zu benennende E-Mail-Adresse zu versenden.

Jedoch lehnt das VG einen Anspruch auf elektronische Verifizierung ab (wobei ich ehrlich sagen muss, dass mir nicht ganz klar ist, was damit gemeint war). Es fehlte an einem Anordnungsanspruch, soweit der Antragsteller vom Antragsgegner eine elektronische Verifizierung seiner Approbationsurkunde begehrte.

Der Antragsteller stützte seinen Anspruch auf elektronische Verifizierung seiner Approbationsurkunde u.a. auf Art. 20 Abs. 1 und 2 DSGVO. Das VG ließ offen, ob und inwieweit die begehrte Verifizierung der Approbationsurkunde überhaupt vom Anspruchsinhalt des Art. 20 DSGVO umfasst ist.

Denn es fehle hier in jedem Fall an tatbestandlichen „Daten“ im Sinne der Vorschrift. Art. 20 Abs. 1 DSGVO verlangt, dass zu einer Person „sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat“ vorliegen müssen.

Nach Ansicht des VG zählen hierzu

nur diejenigen Daten, die die betroffene Person zuvor dem Verantwortlichen übermittelt hat. Von vornherein nicht erfasst sind Daten, die erst das Ergebnis einer Auswertung durch den Verantwortlichen darstellen“.

Leider begründet das VG seine Ansicht nicht näher und verweist auf die Literatur. In der Vergangenheit wurde durchaus diskutiert, was unter „bereitgestellte“ Daten fällt. Nach Ansicht (pdf) der ehemaligen Art. 29 Gruppe umfasst der Begriff auch personenbezogene Daten, die sich auf die Aktivität der betroffenen Person beziehen oder das Ergebnis einer Beobachtung des Verhaltens einer Person (jedoch nicht einer nachfolgenden Analyse dieses Verhaltens) sind (S. 12). Die Ansicht des VG scheint auch in diese Richtung zu gehen, wobei das VG auf eine „Übermittlung“ abstellt und damit wohl eine bewusste Aktivität der Betroffenen als erforderlich ansieht. Dies verlangt die Art. 29 Gruppe in ihrer Leitlinie gerade nicht.  

Internes EDSA Dokument: Territoriale Anwendung der ePrivacy-Richtlinie und Zuständigkeit der Aufsichtsbehörden

Im Rahmen der 50. Sitzung des Europäischen Datenschutzausschusses (EDSA) vom 18.6.2021 hat das Gremium ein internes Dokument mit dem Titel „Dokument 04/2021 über Kriterien der territorialen Zuständigkeit der Aufsichtsbehörden für die Durchsetzung von Artikel 5 Absatz 3 der Datenschutzrichtlinie für die elektronische Kommunikation“ (PDF) angenommen. Im Rahmen eines Antrags auf Zugang zu öffentlichen Dokumenten nach den Vorgaben des EU-Rechts, habe ich das Dokument nun erhalten.

Nach Angaben des federführenden Berichterstatters ziele das Dokument darauf ab, gemeinsame Kriterien für die territoriale Zuständigkeit der Aufsichtsbehörden gemäß Art. 5 (3) der Richtlinie 2002/58/EG (ePrivacy-RL) festzulegen, insbesondere in Situationen, in denen ein für die Verarbeitung Verantwortlicher bzw. Diensteanbieter Niederlassungen in mehreren Mitgliedstaaten hat.

Hintergrund

Hintergrund des Dokuments sind verschiedene Entscheidungen von Aufsichtsbehörden in Mitgliedstaaten zur Durchsetzung der Vorgaben des Art. 5 Abs. 3 ePrivacy-RL, also der Regelung zur Einwilligung (und den Ausnahmen) beim Einsatz von Cookies und anderen Trackingtechnologien. In dem ab 1.12.2021 geltenden § 25 TTDSG wird diese Vorgabe nun auch in deutsches Recht umgesetzt. Das EDSA-Dokument dürfte daher auch für Unternehmen von praktischer Relevanz sein, etwa im Fall ein Prüfverfahrens zum Einsatz von Cookies auf Webseiten oder in Apps, wenn ein Unternehmen mehrere Niederlassungen in der EU hat.

Inhalt

Grundsätzlich stellt der EDSA fest, dass es nach den Bestimmungen der ePrivacy-RL jedem Mitgliedstaat obliegt, die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die Ziele der Richtlinie erreicht werden. Jedoch enthält die ePrivacy-RL keine Angaben zu ihrem räumlichen Geltungsbereich.

Der EDSA trennt in dem Dokument zwei Situationen.

Zum einen den Fall, dass ein Unternehmen Niederlassungen in mehreren Mitgliedstaaten hat. Nach Ansicht der Datenschutzbehörden gibt die Rechtsprechung des EuGH zur territorialen Anwendung der aufgehobenen Richtlinie 95/46/EG einen Hinweis darauf, wie die territoriale Anwendung geregelt werden sollte. Der EDSA verweist hier auf die „Fanpage“-Entscheidung des EuGH, C-210/16 vom 5.6.2018. Bemerkenswert an dieser Einordnung ist freilich, dass die ePrivacy-RL diesen Verweis auf Vorgaben zum Anwendungsbereich und Zuständigkeit von Behörden nach der Richtlinie 95/46/EG gerade nicht vorsieht. Zwar stellen nach Art. 1 Abs. 2 ePrivacy-RL deren Bestimmungen eine „Detaillierung und Ergänzung der Richtlinie 95/46/EG“ dar. Gerade für den praktisch extrem relevanten Bereich des Art. 5 Abs. 3 ePrivacy-RL, passt dieser Verweis aber nicht, da es dort gerade nicht (!) um personenbezogene Daten geht.

Anknüpfungspunkt für den EDSA ist (durchaus verständlich, mit Blick auf den alten Art. 4 Richtlinie 95/46/EG) also das Vorhandensein einer Niederlassung in einem Mitgliedstaat. Daraus folgert der EDSA, dass jeder Mitgliedstaat berechtigt ist, sein nationales Recht zur Umsetzung der ePrivacy-RL durchzusetzen, „soweit es Nutzer betrifft, die sich in ihrem Hoheitsgebiet befinden“. Dies bedeutet nach Auffassung der Behörden auch, dass keine Gesetzgebung zur Umsetzung der ePrivacy-RL die Aufsichtsbehörde eines anderen Mitgliedstaats daran hindern kann die Richtlinie im Einklang mit ihren innerstaatlichen Bestimmungen in Bezug auf Nutzer in ihrem Hoheitsgebiet durchzusetzen.

Der EDSA orientiert sich also tatsächlich stark an dem vorbenannten Urteil des EuGH.

Zum anderen den Fall, dass keine Niederlassung in der EU vorhanden ist. In diesem Fall, so der EDSA, kann das nationale Recht eines Mitgliedstaats andere Kriterien als die Niederlassung vorsehen, um sein nationales Recht in Bezug auf diesen für die Verarbeitung Verantwortlichen bzw. Diensteanbieter durchsetzen.

Zusammengefasst, folgt daraus aus Sicht der europäischen Datenschutzbehörden.

Wenn die Verarbeitung ausschließlich durch die nationalen Rechtsvorschriften zur Umsetzung von Art. 5 Abs. 3 ePrivacy-RL geregelt ist, ist die für die Durchsetzung zuständige Behörde berechtigt, ihre Befugnisse auszuüben, wenn:

  • der für die Verarbeitung Verantwortliche/Dienstleister ist in ihrem Hoheitsgebiet niedergelassen;
  • die Verarbeitung erfolgt im Rahmen der Tätigkeiten einer Niederlassung in ihrem Hoheitsgebiet, auch wenn die ausschließliche Verantwortung für Erhebung und Verarbeitung für das gesamte Gebiet der Europäischen Union bei einer Niederlassung in einem anderen Mitgliedstaat liegt;
  • bei Fehlen eines für die Verarbeitung Verantwortlichen/Diensteanbieters oder einer Niederlassung in ihrem Hoheitsgebiet, das nationale Recht ein weiteres Kriterium für seine Durchsetzung enthalten kann.

Aus meiner Sicht dürfte für die Praxis vor allem die Interpretation in dem zweiten Bulletpoint relevant sein, wenn also mehrere Niederlassungen in mehreren Mitgliedstaaten vorhanden sind. Dann kommt es nach dem EDSA, auch im Anwendungsberiech des Art. 5 Abs. 3 ePrivacy-RL, auf die Frage an, ob der Zugriff auf Informationen oder das Speichern von Informationen in Endgeräten „im Rahmen der Tätigkeiten“ einer Niederlassung in dem jeweiligen Mitgliedstaat erfolgen. Ob diese analoge Anwendung der Vorgaben der Richtlinie 95/46/EG bzw. der Rechtsprechung des EuGH hierzu zwingend ist, erscheint mir jedoch (wie beschrieben) mindestens diskutabel. Zudem muss beachtet werden, dass zur Durchsetzung der e-Privacy-RL nicht zwingend die Datenschutzbehörden berufen sind. Die ePrivacy-RL eröffnet dem nationalen Gesetzgeber entsprechenden Spielraum bei der Umsetzung, was im Ergebnis bedeuten würde, die Rechtsprechung des EuGH zur Zuständigkeit von Datenschutzbehörden auf die Zuständigkeit anderer Behörden zu übertragen. Ich bin sehr gespannt, wie dieses Papier in Zukunft in Behördenentscheidungen Eingang findet.

Landessozialgericht NRW zur zweckfremden Ausübung und zum beschränkten Umfang des Auskunftsrechts nach Art. 15 DSGVO

In dem Verfahren vor dem Landessozialgericht (Beschl. v. 17.6.2021, L 15 U 144/21 B ER) ging es um eine Beschwerde im Sozialrecht, die inhaltlich jedoch Schnittmengen zum Datenschutzrecht aufweist. Der Antragsteller (und gleichzeitig Betroffener nach DSGVO) legte Beschwerde gegen eine Entscheidung des Sozialgerichts Dortmund ein. Dieses hatte seinen Antrag, im Wege einer einstweiligen Anordnung seinen in einem weiteren Verfahren gestellten Anträgen zu entsprechen abgelehnt. Mit diesen Anträgen sollte die Antragsgegnerin im Wege einer einstweiligen Anordnung verpflichtet werden, ihm die ihn betreffende Verwaltungsakte betreffend die Anerkennung und Folgen eines Arbeitsunfalls (betrieblich veranlasste Impfung mit anschließendem Guillain-Barré-Syndrom) mit dem Aktenzeichen 15 S 11 2010 012489 ab Seite 4658 in Kopie sowie vollständig in einer auf CD-ROM gespeicherten elektronischen Version kostenlos zur Verfügung zu stellen. Man ahnt bereits: es geht (auch) um einen Auskunftsanspruch nach Art. 15 DSGVO.

Das Landessozialgericht (LSG) wies die Beschwerde als unbegründet.

Das LSG begründet seine Ablehnung vor allem sozialverfahrensrechtlich. Der Antrag auf Erlass der einstweiligen Anordnung ist bereits gemäß § 56a Satz 1 SGG unzulässig. Nach § 56a Satz 1 SGG können Rechtsbehelfe gegen behördliche Verfahrenshandlungen (hier: die Herausgabe von Unterlagen) nur gleichzeitig mit den gegen die Sachentscheidung zulässigen Rechtsbehelfen geltend gemacht werden. Zu diesen Verfahrenshandlungen, die danach nicht selbständig angegriffen werden können, gehört nach Ansicht des LSG auch die Verweigerung oder Beschränkung von Akteneinsicht, namentlich auch die Verweigerung der Übersendung von kostenlosen Kopien der Verwaltungsakte.

Aus datenschutzrechtlicher Sicht interessant ist die ergänzende Begründung des LSG zu Art. 15 DSGVO. Der Antragsteller hatte den Auskunftsanspruch wohl zusätzlich auf Art. 15 Abs. 3 DSGVO gestützt. Dies stellt eine Parallele zu Verfahren in anderen Rechtsgebieten dar, wie etwa im Arbeits- oder Medizinrecht, in denen Betroffene vermehrt Anträge auf Einsichtnahme oder Übersendung von Dokumenten zusätzlich auf Art. 15 Abs. 3 DSGVO stützten.

Nach Ansicht des LSG scheidet die Anwendung von § 56a Satz 1 SGG auch nicht deshalb aus, weil der Antragsteller sein Begehren zusätzlich auf datenschutzrechtliche Vorschriften stützt. Das LSG entscheidet (hier noch) nicht zur Reichweite von Art. 15 Abs. 3 DSGVO („Unabhängig davon, ob die vom Antragsteller als Anspruchsgrundlage genannte Vorschrift des Art 15 Abs. 3 Datenschutzgrundverordnung (DSGVO) inhaltlich sein Begehren stützt“), sondern lehnt die Anwendung von Art. 15 Abs. 3 DSGVO bereits aus einem anderen Grund, nämlich den Motiven des Antragstellers, ab.

Das LSG begründet dies wie folgt: „verfolgt der Antragsteller nach seinem gesamten Vorbringen im vorliegenden Verfahren wie auch im Hauptsachverfahren S 79 U 884/18 allein das Ziel, durch die begehrte kostenlose Zurverfügungstellung der Kopie der streitgegenständlichen Verwaltungsakte in Papierform sowie in einer auf Datenträger gespeicherten Version seine verfahrensrechtlichen Rechte u.a. in den Verfahren S 79 U 911/16 und S 79 U 275/17 zu sichern und die seiner Auffassung nach bestehenden Ansprüche auf Heilbehandlung und Verletztenrente effektiver verfolgen zu können. Um die Wahrung seines Rechts auf informationelle Selbstbestimmung geht es ihm offensichlich nicht, zumal ihm auch bekannt ist, über welche seiner personenbezogenen Daten die Antragsgegnerin verfügt. § 56a Satz 1 SGG ist dementsprechend nach seinem Sinn und Zweck einschlägig“.

Das LSG geht mithin davon aus, dass der geltend gemachte Anspruch auf Erhalt einer Kopie nach Art. 15 Abs. 3 DSGVO gegenüber § 56a S. 1 SGG nicht vorrangig gilt, weil der Antragsteller diesen Anspruch vorliegend gerade nicht geltend macht, um Zugang zu seinen personenbezogenen Daten zu erhalten bzw. darauf basierend weitere Betroffenenrechte geltend zu machen (vgl. ErwG 63 DSGVO). Der Antragsteller möchte Art. 15 Abs. 3 DSGVO dazu nutzen („allein das Ziel“) durch die begehrte kostenlose Zurverfügungstellung der Kopie der Verwaltungsakte in Papierform sowie in einer auf Datenträger gespeicherten Version seine verfahrensrechtlichen Rechte zu sichern und die seiner Auffassung nach bestehenden Ansprüche auf Heilbehandlung und Verletztenrente effektiver zu verfolgen.

Diese Begründung des LSG ist deshalb interessant, weil sie, abstrahiert betrachtet, auch in anderen Rechtsgebieten Anwendung finden könnte. Wird etwa ein Antrag nach Art. 15 Abs. 3 DSGVO offensichtlich allein deshalb gestellt, um schuld- oder haftungsrechtliche Ansprüche im Bereich des Arbeits- oder Medizinrechts zu verfolgen, könnte die Begründung des LSG dazu führen, diese Ansprüche abzulehnen. Erforderlich ist aber wohl nach Ansicht des LSG, dass absolut klar ist, dass der Anspruch nicht aus Datenschutzgesichtspunkten geltend gemacht wird. Zudem lässt sich darüber diskutieren, auf welcher Norm der DSGVO der Ausschluss begründet werden könnte. Evtl. mag man hier mit Art. 12 Abs. 5 DSGVO („offenkundig unbegründeten“) argumentieren.

In dem letzten de lege data Newsletter 6/2021 habe ich einen Beitrag zu dem Thema „Kennt die DSGVO eine „missbräuchliche“ Ausübung von Betroffenenrechten?“ veröffentlicht, der etwas tiefer in diese Frage einsteigt.

Zudem lehnt das LSG im vorliegenden Verfahren einen Anspruch aus Art. 15 Abs. 3 DSGVO aber auch inhaltlich ab.

Art. 15 Abs. 3 DSGVO beziehe sich ausschließlich auf personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO.

Darum geht es dem Antragsteller jedoch nicht, denn ihm sind sämtliche Informationen, die sich auf ihn beziehen und die Gegenstand der Verarbeitung der Antragsgegnerin im Sinne von Art. 4 Nr. 2 DSGVO sind, bereits bekannt. Ziel seines Begehrens ist ausweislich seines Vorbringens im Schriftsatz vom 20.03.2021 vielmehr, die genaue Struktur und die Seitenzahlen der streitgegenständlichen Verwaltungsakte zu erfahren, damit er etwaige Bezugnahmen der Antragsgegnerin auf einzelne Seiten der Verwaltungsakte in den anhängigen Klageverfahren nachvollziehen kann“.

Das LSG begründet hier also im Tatbestand des Art. 15 Abs. 3 DSGVO, dass es dem Betroffenen ganz eindeutig (weil er es selbst so begründet) nicht um personenbezogene Daten geht. In diesem Fall war sicher besonders, dass der Antragsteller diese Begründung (außerhalb des Datenschutzes) auch och selbst explizit lieferte. Nach Ansicht des LSG richtet sich aber Art. 15 DSGVO eben gerade allein auf einen Zugang zu personenbezogenen Daten.

Danach folgen einige sehr praxisrelevante Ansichten des LSG, die in der Literatur bzw. von anderen Gerichten natürlich auch (schon) anders beurteilt werden, meines Erachtens derzeit absolut vertretbar sind.

Erstens:Die Ansprüche aus Art. 15 Abs. 1 und 3 DSGVO erstrecken sich jedoch nicht auf rein interne Verwaltungsvorgänge, rechtliche Bewertungen und Analysen, sondern sollen sicherstellen, dass die Betroffenen den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen können. Sie dienen allein dem Schutz des Rechts auf informationelle Selbstbestimmung und nicht wie die aus § 25 SGB X und § 120 SGG folgenden Akteneinsichtsrechte dazu, rechtliches Gehör oder „Waffengleichheit“ in einem gerichtlichen Verfahren zu gewährleisten“.

Zweitens:Art. 15 DSGVO begründet dementsprechend keinen Anspruch der betroffenen Person auf Kopien aller sie betreffenden Schriftstücke, Dateien oder Akten selbst, sondern lediglich auf eine aggregierte Auskunft bzw. zusammenfassende Übersicht über in Schriftstücken oder Dateien enthaltene bzw. gespeicherte oder verarbeitete aussagekräftige einzelne konkrete personenbezogene Daten der betroffenen Person bzw. eine Kopie dieser Daten“. Das LSG tendiert damit zu einer stark am Sinn und Zweck des Art. 15 Abs. 3 DSGVO orientierten Auslegung. Meines Erachtens ist dies der richtige Weg. Natürlich wird es aber auch Ansichten geben, die bereits den Sinn und Zweck weiter verstehen, als das LSG.

BayLDA: Newsletter-Anmeldungen als Gegenleistung für kostenlose Produkte – „freiwillig“ nach DSGVO?

In seinem jüngsten Tätigkeitsbericht (PDF, 13.7.2021) befasst sich das BayLDA mit der Vorgabe des Art. 7 Abs. 4 DSGVO und der Frage, wann eine Einwilligung „freiwillig“ abgegeben wurde.

Die Behörde berichtet von einem Fall, in dem ein Verlag eine nahezu kostenlose Software auf einem Online-Portal im Gegenzug zu einer verpflichtenden Einwilligung in die Newsletter-Anmeldung zur Verfügung gestellt hat. Alternativ konnte die Software auf einem eigenen Portal des Verlags kostenpflichtig ohne Einwilligung in die werbliche Nutzung erworben werden.

Dabei spielt bei der Beurteilung der Freiwilligkeit der Einwilligung das Vorhandensein von Wahlmöglichkeiten eine zentrale Rolle.

Die Behörde verweist auf die Leitlinien des EDSA zur Einwilligung. Die dortigen Erläuterungen versteht die Behörde so, dass Anmeldungen zu einem Newsletter im Gegenzug zu einen kostenlosen Produkt nur dann freiwillig sind, wenn das gleiche Produkt auf derselben Plattform kostenpflichtig und ohne Pflicht zur Newsletter-Anmeldung angeboten wird.

Ansicht der Behörde: „Es reicht dabei nicht aus, dieses Produkt kostenpflichtig auf einer völlig anderen Plattform von einem Drittanbieter anzubieten„.

Denn, so die Behörde, dies würde bedeuten, dass der Verantwortliche die Entwicklungen des Marktes verfolgen müsste, um eine fortgesetzte Gültigkeit der Einwilligung in die Datenverarbeitungstätigkeiten sicherzustellen, da der Drittanbieter seine Dienstleistungen zu einem späteren Zeitpunkt ändern könnte.

Die Ansicht der Behörde finde ich nachvollziehbar. Aber man mag auch anders argumentieren. Etwa, dass eine fortgesetzte Überwachung der Gültigkeit der Einwilligung in der DSGVO nicht vorgesehen ist. Man könnte zB argumentieren, dass im Moment der Abgabe der Einwilligung die Voraussetzungen erfüllt sein müssen. Auch die Freiwilligkeit. Wenn dann auf dieser Grundlage Daten verarbeitet werden, erfolgt diese auf der einmal erteilten Einwilligung. So hat etwa auch das OVG Saarlouis in einem Urteil zum Nachweis der erteilten Einwilligung entschieden, „dass der für die Verarbeitung Verantwortliche den Umstand einer wirksamen Einwilligungserteilung – wie hier z.B. gegenüber der Beklagten als Aufsichtsbehörde – nachweisen muss„. Das OVG stellt klar auf die Situation der Erteilung ab. Auch der EuGH ging in Orang Romania davon aus, dass sich der Nachweis einer wirksamen Einwilligung auf die Situation der Erteilung bezieht („dass es dem für die Verarbeitung von Daten Verantwortlichen obliegt, nachzuweisen, dass die betroffene Person ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet hat„).

Wann können Verantwortliche sich weigern, einer Anfrage der betroffenen Person nachzukommen?

Nach Art. 12 Abs. 5 DSGVO muss der Verantwortliche grundsätzlich „Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34“ unentgeltlich zur Verfügung stellen. Also insbesondere auch den Auskunftsanspruch nach Art. 15 DSGVO per se unentgeltlich erfüllen. Hiervon macht die DSGVO jedoch zwei Ausnahmen.

Bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Die Datenschutzbehörde des Vereinigten Königreichs (ICO) hat auf ihrer Webseite einige interessante Aussagen dazu veröffentlicht, wann ihrer Ansicht nach ein Antrag eines Betroffenen als „offensichtlich unbegründet“ bewertet werden kann.

Die kann der Fall sein, wenn:

  • die Person eindeutig nicht die Absicht hat, ihr Recht auf Auskunft auszuüben. Zum Beispiel stellt eine Person einen Antrag, bietet dann aber an, ihn im Gegenzug für irgendeine Form von Vorteil für die Organisation zurückzuziehen; oder
  • der Antrag in böswilliger Absicht gestellt wird und dazu dient, eine Organisation zu schikanieren, ohne einen anderen Zweck als die Störung zu verfolgen.

Gerade die zuerst genannte Fallgruppe kommt meiner Erfahrung nach in der Praxis durchaus öfter vor, insbesondere in streitigen Verfahren im Arbeitsrecht wird ein Auskunftsantrag durchaus verwendet, um auf der Gegenseite für Aufwand zu sorgen und um auf Fehler zu hoffen. Wenn dann aber z. B. ein monetärer Vergleich angeboten wird, wird der Antrag zurückgenommen.

Die ICO geht davon aus, dass die zweite Fallgruppe zum Beispiel vorliegen kann, wenn die betroffene Person:

  • in der Anfrage selbst oder in anderen Mitteilungen ausdrücklich erklärt, dass sie beabsichtigt, eine Störung zu verursachen;
  • unbegründete Anschuldigungen gegen die Organisation oder bestimmte Mitarbeiter erhebt, die eindeutig durch Böswilligkeit veranlasst sind;
  • auf einen bestimmten Mitarbeiter abzielt, gegen den sie einen persönlichen Groll hegt; oder
  • systematisch verschiedene Anfragen an die Organisation als Teil einer Kampagne sendet, z. B. einmal pro Woche, mit der Absicht, Störungen zu verursachen.

Die Datenschutzbehörde weist zurecht darauf hin, dass diese Fallgruppen und Beispiele natürlich stets im Einzelfall geprüft werden müssen. Organisationen müssen eine Anfrage in dem Kontext betrachten, in dem sie gestellt wird. Wenn die Person wirklich ihre Rechte wahrnehmen möchte, ist es unwahrscheinlich, dass die Anfrage offensichtlich unbegründet ist.

Zuletzt weist die ICO noch darauf hin, dass aggressive oder beleidigende Ausdrücke zwar nicht akzeptabel sind, aber die Verwendung solcher Ausdrücke eine Anfrage nicht unbedingt offensichtlich unbegründet macht.

Bayerische Datenschutzbehörde: Auskunftsanspruch von Beschäftigten kann gestuft beantwortet werden

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seinen neuen Tätigkeitsbericht (PDF) für das Jahr 2020 vorgelegt. Die Behörde äußert sich auch zu dem (praktisch wichtigen) Thema des Auskunftsanspruch von (ehemaligen) Beschäftigten gegenüber ihrem Arbeitgeber.

Nach Ansicht der Behörde genügt es, wenn Beschäftigte von ihren Arbeitgebern pauschal Auskunft über die zu ihrer Person gespeicherten Daten begehren, dass Arbeitgeber zunächst eine konkrete Auskunft zu den Personalstammdaten und im Übrigen zu den Kategorien verarbeiteter personenbezogener Daten erteilen. Für eine weitergehende Auskunft dürfen Arbeitgeber die Betroffenen bitten, ihren Anspruch zu präzisieren.

Die Behörde hält – angesichts der typischerweise größeren Anzahl unterschiedlicher vom Arbeitgeber durchgeführten Verarbeitungstätigkeiten und von verarbeiteten Daten der Beschäftigten – eine gestufte Vorgehensweise für gut vertretbar.

Schritt 1: Auskunft über die Personalstammdaten im Klartext, so dass der Beschäftigte erkennen kann, ob sie richtig sind. Das betrifft Name, Vorname, Geburtstag, Adresse und Geburtsort. Ansonsten genügt es, wenn Auskunft zu den Kategorien von personenbezogenen Daten, erteilt wird.

Schritt 2: Möchte der Betroffene mehr Daten, muss er seinen Auskunftsanspruch gemäß ErwG 63 Satz 7 DSGVO dahingehend präzisieren, auf welche Informationen und/oder Verarbeitungstätigkeiten sich das Auskunftsersuchen bezieht.

Erst nach dieser erfolgten Präzisierung ist dann der Arbeitgeber in der Pflicht, die entsprechenden Auskünfte mit konkreten Daten zu erteilen„.

Landesarbeitsgericht Baden-Württemberg: umfassendes Urteil zur Reichweite und den Ausnahmen des Auskunftsanspruchs nach Art. 15 DSGVO

Das LAG Baden-Württemberg hat ein wirklich lesenswertes Urteil (17.3.2021, 21 Sa 43/20) rund um verschiedenste (immer noch umstrittene Fragen) des Auskunftsanspruchs nach Art. 15 DSGVO gefällt. Hier kam zudem die besondere Situation im Arbeitsverhältnis hinzu.

Nachfolgend möchte ich einige Kernaussagen des Gerichts darstellen.

Sachverhalt

Arbeitnehmer und Arbeitgeber streiten darüber, ob und in welchem Umfang der Arbeitgeber (noch) verpflichtet ist, dem Kläger bestimmte Informationen gem. Art. 15 Abs. 1 2. Halbs. 2. Alt. DSGVO über bei dem Arbeitgeber verarbeitete verhaltens- und leistungsbezogene Daten des Klägers zu erteilen und darüber hinaus über die Verpflichtung des Arbeitgebers, dem Kläger gem. Art. 15 Abs. 3 Satz 1 DSGVO Kopien der leistungs- und verhaltensbezogenen Daten des Klägers, die Gegenstand der Verarbeitung waren, zur Verfügung zu stellen. Interessant ist, dass es in diesem Fall erneut auch um Daten aus einem internen Hinweisgebersystem (BPO) handelt.

Entscheidung

Bestimmtheit des Klageantrags

Wir erinnern uns an das Urteil des BAG aus April, in dem das BAG wegen Unbestimmtheit des Klageantrags eine Klage gestützt auf Art. 15 Abs. 3 DSGVO zurückwies (Urt. v. 27.4.2021, 2 AZR 342/20; hierzu sind nun übrigens auch die Gründe erschienen).

Das LAG sieht die Anforderungen nicht so streng. Es geht davon aus, dass der Kläger mit seinen geltend gemachten Informationsansprüchen gemäß Art. 15 Abs. 1 2. HS DSGVO Auskunft über alle Daten geltend machen kann, die seine Person betreffen und die von der Beklagten im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet werden oder worden sind.

Das LAG begründet dies damit, dass sich aus Art. 4 Nr. 2 DSGVO hinreichend deutlich ergibt, was „verarbeiten“ ist, ohne dass der Kläger dies näher bestimmen müsste.

Zudem, so das LAG, sei die vom Kläger gemachte Einschränkung dahingehend, dass er von der Beklagten – nur – Information über die seine Person betreffenden Daten geltend macht, die sein Verhalten und seine (Arbeits)Leistung betreffen haben will, hinreichend bestimmt.

Keine Pflicht zur Konkretisierung der Daten

Spannend und praktisch relevant ist die Ansicht des LAG, dass Betroffene nicht weiter spezifizieren müssen, welche Daten sie beauskunftet haben möchtet.

„Eine weitergehende konkretere Benennung der von ihm verlangten Daten ist dem Kläger nicht möglich und deshalb auch eine weitergehende Konkretisierung von dem, was er von der Beklagten will, nicht zumutbar“

Das LAG begründet dies damit, dass der Betroffene als Kläger gerade nicht weiß oder nicht mehr ohne Weiteres wissen kann, welche verhaltens- und leistungsbezogene Daten seiner Person die Beklagte verarbeitet hat. Würde man ihm insoweit eine weitere Konkretisierung abverlangen,

würde sich sein in Art. 15 Abs. 1 DSGVO weit gefasster Auskunfts- und Informationsanspruch derart gegen ihn wenden, dass ihm die Unkenntnis der von der Beklagten für seine Person verarbeiteten Daten diese Ansprüche rauben würde“.

Damit, so das LAG, könnte effektiver Rechtsschutz aber gerade nicht erreicht werden.

Dasselbe gilt nach Ansicht des LAG für den geltend gemachten Anspruch nach Art. 15 Abs. 3 Satz 1 DSGVO. Auch hier sei es dem Arbeitnehmer nicht möglich, genauere Angaben dazu zu machen, von welchen personenbezogenen Daten er eine Kopie zur Verfügung gestellt haben will.

Achtung: das Urteil des LAG erging vor dem Urteil des BAG zur Bestimmtheit des Klageantrags.

Verhältnis von Art. 15 Abs. 3 zu Abs. 1 DSGVO

Das LAG vertritt die Ansicht, dass ein Arbeitgeber, der Daten seines Arbeitnehmers im Sinne des Art. 4 DSGVO verarbeitet, diesem eine „Kopie“ der in Art. 15 Abs. 1 DSGVO geregelten Angaben zur Verfügung stellen muss.

Aus Sicht der erkennenden Kammer geht der Anspruch auf Erteilung einer Kopie im Sinne des Art. 15 Abs. 3 Satz 1 DSGVO aufgrund des Gesetzeswortlauts deshalb nicht über die Auskünfte hinaus, über die der Arbeitgeber dem Arbeitnehmer gemäß Art. 15 Abs. 1 2. HS DSGVO (vor dem „und“) Auskunft zu erteilen hat

Dies ist eine wichtige Aussage des Gerichts. Denn in der Praxis stellt sich oft die Frage, wie denn eine Kopie der Daten auszusehen hat. Was also Inhalt sein muss? Das LAG vertritt die Ansicht, dass Abs. 3 nicht über den Umfang des Abs. 1 hinausgeht.

Erfüllung des Anspruchs auf Kopie nach Art. 15 Abs. 3 DSGVO

Sehr interessant finde ich die Aussagen des LAG dazu, wie der Anspruch auf Kopie der personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO zu erfüllen ist.

Da der Normzweck in der Transparenz und der Rechtmäßigkeitskontrolle der Verarbeitung der Daten durch die betroffene Person liege und gleichzeitig eine Vielzahl von Daten eines Arbeitnehmers beim Arbeitgeber verarbeitet sein können, über die dieser Auskunft zu erteilen hat, geht das LAG davon aus,

dass der Auskunftsersuchende gemäß Art. 15 Abs. 3 Satz 1 DSGVO die verarbeiteten Daten in einem einheitlichen Dokument erhalten soll.“

Das LAG geht weiter davon aus, dass dieses Dokument nicht notwendig aus nur einer einzigen Kopie, sondern auch aus einer Mehrzahl oder gar Vielzahl von Kopien bestehen kann.

Und, eine wichtige Ergänzung des LAG:

Dies bedeutet hingegen nicht, dass Ablichtungen/Ausdrucke der papierenen oder elektronischen Dokumente, in denen sich die personenbezogenen Daten des Arbeitnehmers befinden, zur Verfügung zu stellen sind“.

Entscheidend für den Auskunftsanspruch, so das LAG, sei lediglich, dass der Arbeitgeber die von ihm verarbeiteten Daten des Arbeitnehmers diesem zusammengefasst zur Verfügung stellt. Ob er von den Dokumenten, in denen die Daten enthalten sind, tatsächlich Kopien oder Ausdrucke im technischen Sinne auf einem Kopierer oder mittels Drucker fertigt und daraufhin Passagen, die Rechte Dritter beeinträchtigen oder die keine personenbezogenen Daten des Arbeitnehmers beinhalten, möglicherweise schwärzt oder ob er personenbezogene Daten des Arbeitnehmers, die in Dokumenten enthalten sind, bündelt und dem Arbeitnehmer die vom Arbeitgeber gebündelten Daten und nicht auch die (gegebenenfalls geschwärzten) Dokumente zur Verfügung stellt, obliege der Entscheidung des Arbeitgebers.

Das sind meines Erachtens ganz wichtige Ansichten für die praktische Erfüllung des Art. 15 Abs. 3 DSGVO. Das LAG geht nicht davon aus, dass 1zu1 Kopien von Dokumenten mit personenbezogenen Daten herauszugeben sind. Man kann die Daten auch in ein gesondertes Auskunftsdokument ziehen.

Ausnahme entsprechen Art. 14 Abs. 5b DSGVO (unverhältnismäßiger Aufwand)?

In dem Urteil befasst sich das LAG auch mit der Frage, ob die Ausnahmeregelungen für Informationspflichten in Art. 13 und 14 DSGVO direkt oder analog anwendbar sind. Das Gericht lehnt dies jedoch ab.

Art. 14 Abs. 5 b DSGVO sei bei Ansprüchen nach Art. 15 Abs. 1 2. HS und Abs. 3 Satz 1 DSGVO nicht, auch nicht analog, anwendbar. Danach kann die Erteilung von Informationen unterbleiben, wenn diese sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Der Unterschied zwischen Art. 13/14 DSGVO und Art. 15 DSGVO sei, dass Art. 13/14 „nur“ Informationspflichten regele. Bei Art. 15 DSGVO handele es sich aber um das Auskunftsrecht der von der Datenerhebung betroffenen Person.

Im Hinblick darauf, dass die betroffene Person die Rechtmäßigkeit der Datenverarbeitung und die Richtigkeit der von ihr verarbeiteten Daten prüfen können soll, geht Art. 15 DSGVO insoweit über die Informationspflicht des Verantwortlichen im Sinne der Art. 4 Nr. 7, 13 und 14 DSGVO hinaus“.

Nach Ansicht des LAG regelt Art. 15 DSGVO hingegen ganz bewusst nicht, wie in den Art. 13 Abs. 4 und 14 Abs. 5 DSGVO vorgesehen, die dort enthaltenen Ausnahmen, sondern enthält als Ausnahme ausschließlich, dass das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Person nicht beeinträchtigen darf. Diese andersgeartete Ausnahme (als jene in Art. 13 Abs. 4 und 14 Abs. 5 DSGVO) ist aus Sicht des LAG der Überprüfbarkeit der Verarbeitung über die personenbezogenen Daten der betroffenen Person durch diese geschuldet.

Wenn nämlich der Verantwortliche eine Vielzahl von personenbezogenen Daten der betroffenen Person verarbeitet, würde dies bei einer analogen Anwendung, insbesondere der Vorschrift des Art. 14 Abs. 5 b DSGVO, dazu führen, dass gerade eine umfassende personenbezogene Datenverarbeitung zur Folge hätte, dass der Verantwortliche weder aktiv eine Auskunft, noch eine Auskunft in Folge der Initiative der von der Datenverarbeitung betroffenen Person schulden würde (da er sich dann zb auf die Ausnahme „unverhältnismäßiger Aufwand“ berufen könnte).

Dies liefe aber nach Ansicht des LAG Sinn und Zweck des Art. 15 DSGVO und des Datenschutzes an sich zuwider, wenn gerade der Verantwortliche, der besonders viele personenbezogene Daten einer betroffenen Person verarbeitet, eine Überprüfung seiner Datenverarbeitung durch die betroffene Person vermeiden könnte.

Fazit

Das Urteil enthält noch einige weitere wichtige Passagen, etwa zur Pflicht des Verantwortlichen, für jedes Datum einzeln nachweisen zu können, warum dessen Beauskunftung Rechte Dritter beeinträchtigen würde. Das LAG hierzu: „Danach kann die Beklagte nicht mit dem bloß abstrakten Hinweis auf ihr Hinweisgebersystem den Informationsanspruch gänzlich verweigern“.

Generalanwalt am EuGH: Inbox-Werbung bei Freemail-Diensten ist wie E-Mail-Werbung zu behandeln – Einwilligung erforderlich

Am 24. Juni 2021 hat der Generalanwalt (GA) am EuGH in der Rs. C-102/20 seine Schlussanträge vorgestellt. Sollte der EuGH der Begründung des GA folgen, würde dies eine Einwilligungspflicht auf für Inbox-Werbung bedeuten.

Hintergrund

Der BGH legte dem EuGH mit Beschluss vom 30.1.2020 (Az. I ZR 25/19) einige interessante Fragen zur Anwendung der strengen Anforderungen an E-Mail-Werbung auf sog. Inbox-Werbung vor. Fraglich war für den BGH, ob bei dieser Art von Werbeeinblendungen die Voraussetzungen für E-Mail-Werbung ebenso zu beachten sind. Dies würde im Grundsatz eine Einwilligungspflicht nach § 7 Abs. 2 Nr. 3 UWG nach sich ziehen. Auslegungsgrundlage waren in den Vorlagefragen die relevanten europarechtlichen Vorschriften zur Einwilligungspflicht, also Art. 2 Abs. 2 lit. h RL 2002/58/EG (Begriff der „elektronischen Post“) und Art. 13 Abs. 1 RL 2002/58/EG.

In dem zugrundliegenden Verfahren wurde eine Werbeagentur damit beauftragt, Werbeeinblendungen in E‑Mail-Postfächern von Nutzern des kostenlosen E‑Mail-Dienstes T‑Online umzusetzen. Die Werbenachrichten erschienen im privaten Postfach eines Nutzers von T‑Online. In seiner Inbox, d. h. in dem Bereich, in dem die eingegangenen E‑Mails listenförmig angezeigt werden. Die Werbenachrichten waren in eingegangene E‑Mails eingebettet. Im Unterschied zu normalen E‑Mails war die Werbenachricht mit dem Wort „Anzeige“ versehen, grau unterlegt und enthielt weder ein Datum noch einen Absender, konnte nicht archiviert oder weitergeleitet werden und konnte auch nicht mit den vom E‑Mail-Dienstleister zur Verfügung gestellten Möglichkeiten zur Bearbeitung von E‑Mails beantwortet werden. Die Einblendung der Werbenachrichte erfolgte nach dem Zufallsprinzip.

Begründung des GA

Nach Auffassung des GA erfüllt die hier streitgegenständliche Anzeige in den eingegangen Mails das Merkmal der „elektronischen Post“.

Dies ist nach Art. 2 Abs. 2 lit. h RL 2002/58/EG „jede … Text‑, Sprach‑, Ton- oder Bildnachricht“. Nach dem GA ist dieses Merkmal hier durch eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende sicherlich erfüllt (Rz 42).

Zudem muss die Nachricht „über ein öffentliches Kommunikationsnetz [verschickt]“ werden. Zweitens muss diese Nachricht „im Netz oder im Endgerät des Empfängers gespeichert werden“ können. Drittens muss diese Nachricht von ihrem Empfänger abgerufen werden können.

Der GA befürwortet eine Argumentation im Sinne einer funktionalen Auslegung des Begriffs „elektronische Post“, die zu der Annahme führen könnte, dass eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende die Voraussetzungen erfüllt. Auf jeden Fall, so der GA, dürfe dieser Begriff nicht isoliert, sondern müsse unter Berücksichtigung der Bestimmung, in der er verwendet wird, d. h. im vorliegenden Fall des Art. 13 Abs. 1 RL 2002/58/EG, ausgelegt werden.

Daher befasst sich der GA nachfolgend mit den Vorgaben des Art. 13 Abs. 1. Eine Einwilligung bedürfen Nachrichten für die Zwecke der Direktwerbung, d. h. Nachrichten zu kommerziellen Zwecken, die sich direkt und individuell an die Nutzer elektronischer Kommunikationsdienste richten. Zum anderen müssen diese Nachrichten den Nutzern durch „[d]ie Verwendung von automatischen Anruf- und Kommunikationssystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post“ zugehen (Rz. 51). Abzugrenzen sind die Vorgaben des Art. 13 Abs. 1 daher von Werbefenstern oder Bannern, die beim Aufrufen von Internetseiten erscheinen können.

Danach geht der GA zur Auslegung noch auf ErwG 67 der RL 2009/136/EG und ErwG 40 der RL 2002/58/EG ein. Danach ist für den GA deutlich, dass der Unionsgesetzgeber von einem weiten, über E‑Mails allein hinausgehenden Verständnis der elektronischen Kommunikationsmittel, mit denen Direktwerbung durchgeführt wird, ausgehen wollte (Rz. 53).

Danach wird es etwas konkreter und der GA prüft das Vorliegen der Voraussetzungen im konkreten Fall. Entscheidend sei hier, dass die in Rede stehenden Werbenachrichten ihre Adressaten tatsächlich durch die Verwendung elektronischer Post erreichen.

Vorliegend erscheinen die Nachrichten in der Inbox des Kontos eines Nutzers eines E‑Mail-Dienstes, d. h. an einer Stelle, die normalerweise elektronischer Post im engeren Sinne, nämlich privaten E‑Mails, vorbehalten ist.

Der Absender dieser Nachrichten bedient sich somit der elektronischen Post, um den Verbraucher zu erreichen, so dass es sich in Übereinstimmung mit dem 67. Erwägungsgrund der Richtlinie 2009/136, in dessen Licht Art. 13 Abs. 1 der Richtlinie 2002/58 auszulegen ist, tatsächlich um Nachrichten für die Zwecke der Direktwerbung „per elektronischer Post“ handelt.“ (Rz. 54)

Die Einblendung von Nachrichten wie hier, in die Liste privater E‑Mails ist daher nach Ansicht des GA als Verwendung „elektronischer Post“ für die Zwecke der Direktwerbung einzustufen.

Und das bedeutet: es gilt das Einwilligungserfordernis des Art. 13 Abs. 1 RL 2002/58/EG.

Dass die Werbeeinblendungen hier deutlich anders gestaltet sind als normale E-Mails, macht für den GA keinen Unterschied. So argumentiert der GA, dass die streitige Werbung auf derselben Ebene wie private E‑Mails erscheint. Daher komme ihr dieselbe Aufmerksamkeit zu wie die, die der Nutzer diesen privaten E‑Mails widmet. Zudem, so der GA, bestehe die Gefahr einer Verwechslung durch die Nutzer, da die Werbenachrichten Zeilen in der Inbox einnehmen, die normalerweise privaten E‑Mails vorbehalten sind und Ähnlichkeit mit privaten E‑Mails aufweisen (Rz. 55).

Auch der Umstand, dass die Werbenachricht im Gegensatz zu privaten E‑Mails grau unterlegt ist, keinen Speicherplatz einnimmt und nicht die üblichen Funktionalitäten von E‑Mails bietet, ändert für den GA nichts an seiner Einschätzung. Nach seiner Ansicht kann sich aus solchen Werbenachrichten trotzdem eine Beeinträchtigung der Privatsphäre von Nutzern eines E‑Mail-Dienstes ergeben, die Art. 13 Abs. 1 RL 2002/58/EG verhindern möchte (Rz. 56).

Der GA folgert daraus insgesamt:

Daraus folgt, dass eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende meines Erachtens in den Anwendungsbereich von Art. 13 Abs. 1 der Richtlinie 2002/58 fällt. Folglich ist eine solche Maßnahme der Direktwerbung unzulässig, wenn der Empfänger ihr nicht zuvor zugestimmt hat.“ (Rz. 63)

Ausblick

Wenn auch der EuGH der Begründung des GA folgt, müsste Inbox-Werbung in Zukunft nur mit vorheriger Einwilligung angezeigt werden. Eine (enge) Ausnahme mag es noch im Rahmen der Bestandskundenansprache geben (§ 7 Abs. 3 UWG). Die dortigen Voraussetzungen passen auf den hier relevanten Fall aber nicht ganz, denn so verlangt etwa Abs. 3 Nr. 1, dass ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat. Wenn aber Inbox-Werbung nach dem Zufallsprinzip (in Bezug auf de Nutzer) erfolgt, hat der Unternehmer im Zweifel gar nicht die E-Mail-Adresse des Kunden bzw. weiß er nicht, ob der Nutzer auch Kunde ist. Spannend wäre dann die Frage, ob auch die Ausnahmen nach § 7 Abs. 3 UWG (Art. 13 Abs. 2 RL 2002/58/EG) entsprechend technologieneutral ausgelegt werden dürfen.

Haftungsbegrenzung in den neuen SCC – rein kommerziell oder unzulässige Abweichung?

Bereits im Rahmen des Abschlusses der noch geltenden SCC war die Frage nach der Haftungsbegrenzung zwischen Exporteur und Importeur ein praktisch relevantes Thema. Zum Teil wurden SCC selbst angepasst, zum Teil wurde auf die Haftungsklausel in Hauptverträgen verwiesen.

Fraglich und meines Erachtens diskutabel ist, ob die nun von der EU-Kommission veröffentlichten Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO eine solche Haftungsbegrenzung erlauben. Die Antwort auf diese Frage dürfte gerade für Dienstleister als Auftragsverarbeiter elementar sein. Kann, im Fall des Verstoßes gegen den Vertrag oder die DSGVO, eine Haftung der verstoßenden Partei gegenüber dem Vertragspartner begrenzt werden? Es soll hier nicht um die Begrenzung von Schadenersatzansprüchen gegenüber Betroffenen gehen. Ich denke, es gibt diesbezüglich keine Diskussion, dass dies nicht möglich ist.

Ich meine, dass es wohl für beide Ansichten Argumente gibt. Nachfolgend möchte ich einige (mir schnell in den Sinn kommende) Argumente auflisten.

Pro Haftungsbegrenzung

Es soll allein die schuldrechtliche Haftung zwischen den Parteien begrenzt werden. Gegenüber Betroffenen erfolgt keine Begrenzung. Daher sind auch deren Rechte nicht beschränkt.

Nach ErwG 3 des Beschlusses der Kommission können Exporteur und Importeur ausdrücklich weitere Klauseln hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Die Begrenzung einer internen Haftung ist jedoch in den SCC nicht geregelt, womit auch kein Widerspruch besteht. Es handelt sich hierbei allein um eine „kommerzielle“ Regelung.

Contra Haftungsbegrenzung

Nach ErwG 14 des Beschlusses sollen die SCC Vorschriften über die Haftung zwischen den Parteien vorsehen. Also gerade die interne Haftung betreffend. Dann ist schwer zu argumentieren, dass eine solche Regelung rein „kommerziellen“ Charakter hat und von den SC nicht abweicht, wenn sie doch in dem Beschluss ausdrücklich als verpflichtender Bestandteil angesprochen ist.

Art. 12 SCC enthält ausdrücklich eine Klausel zur Haftung zwischen den Parteien (vergleiche in allen Modulen jeweils lit. a)). Dort ist keine Regelung für eine Begrenzung gegenüber dem Vertragspartner enthalten. Führt man eine solche Beschränkung aber ein, würde man von lit. a) abweichen.

Eine Haftungsbegrenzung könnte dazu führen, dass eine Partei (wegen des geringen finanziellen Risikos selbst bei Verstößen) ihre Pflichten aus dem Vertrag nicht so ernst nimmt, womit auch die Rechte der Betroffenen mittelbar beeinträchtigt sein könnten.

Aus meiner Sicht ein praktisch wahnsinnig relevantes und spannendes Thema, welches bei den nun anstehenden Abschlüssen der neuen SCC sicher auch für Diskussionen sorgt.