Author Archives: Carlo Piltz

Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Posted on by

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung
Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).
Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

 Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.

Datenschutzbeauftragte in Kurzarbeit? Datenschutzbehörde NRW: geht nicht (komplett).

Posted on by

Im Zuge der Corona-Pandemie haben sehr viele Unternehmen auf Kurzarbeit umgestellt. Dies bedeutet, dass Arbeitnehmer ggfs. nicht mehr arbeiten müssen (je nachdem, welche Form der Kurzarbeit umgesetzt wird). Es können alle oder nur ein Teil der Arbeitnehmer des Betriebes betroffen sein.

Doch wie sieht es mit Funktionen im Unternehmen aus, die eine gesetzlich verpflichtend vorgegeben Rolle einnehmen? Wie der uns bekannte Datenschutzbeauftragte. Darf man Mitarbeiter, die intern als Datenschutzbeauftragte tätig sind, in Kurzarbeit „schicken“?

Meiner Meinung nach ist das sicherlich kein rein aus der datenschutzrechtlicher Sicht zu betrachtendes Thema, denn intern tätige Datenschutzbeauftragte befinden sich in einem Arbeitsverhältnis mit dem Arbeitgeber, welches durch die Kurzarbeit beeinflusst wird.

Die Datenschutzbehörde aus Nordrhein-Westfalen (LDI) hat sich nun auf ihrer Webseite zu der Frage geäußert, ob auch der Datenschutzbeauftragte von Kurzarbeit betroffen sein darf bzw. kann.

Nach Auffassung der LDI entstehen gerade in den jetzigen Zeiten neue datenschutzrechtliche Fragestellungen (z.B: Arbeiten aus dem Home-Office; Einsatz von Videokonferenzsystemen). Um so wichtiger sei es, dass auch das verantwortliche Unternehmen dem Datenschutzbeauftragten die Wahrnehmung der Kontroll- und Beratungsaufgaben ermöglicht. Die LDI verweist hierzu auf die entsprechende Pflicht in Art. 38 Abs. 2 DSGVO.

Die LDI geht davon aus, dass die Unterstützungspflicht des Verantwortlichen und des Auftragsverarbeiters den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben auch dann gilt,

wenn in einem Unternehmen Kurzarbeit eingeführt wurde. Meistens arbeitet ein Unternehmen in verringertem Umfang weiter. Und selbst wenn ein Unternehmen für bestimmte Zeit seine Tätigkeit einstellt, besteht es weiter, hat Beziehungen zu Beschäftigten, Kundinnen und Kunden und verarbeitet deren Daten. Deshalb werden Datenschutzbeauftragte weiter gebraucht und müssen ihre Aufgaben erfüllen können.

Die LDI gesteht zu, dass es durchaus möglich erscheint, dass der Arbeitsumfang eines zuvor in Vollzeit als Datenschutzbeauftragter tätigen Beschäftigten entsprechend reduziert wird.

Das Arbeitsfeld der oder des Datenschutzbeauftragten darf jedoch keinesfalls vollständig „brach liegen“. Vielmehr ist zu prüfen, unter welchen Voraussetzungen Datenschutzbeauftragte in der aktuellen Situation ihre Pflichten weiterhin wahrnehmen können.

Nach Ansicht der LDI dürfte also eine Kurzarbeit 0 durch einen Datenschutzbeauftragten nicht den gesetzlichen Anforderungen der DSGVO entsprechen. Es soll immer noch die Möglichkeit geben, regelmäßig Posteingänge sichten zu können, sowie telefonisch und/oder per E-Mail als Ansprechpartner für die Beschäftigten, Kundinnen und Kunden oder andere betroffene Personen erreichbar sein. Eine anteilige Kurzarbeit ist aber meines Erachtens nach Ansicht der Behörde zulässig.

Sicher kann man hierüber diskutieren. Die LDI begründet ihre Auffassung damit, dass auch in Unternehmen, die nicht mehr arbeiten, ja immer noch (quasi im Hintergrund) Daten vorgehalten und verarbeitet werden. Man könnte als weiteres Beispiel anführen, dass etwa weiterhin eine Webseite betrieben wird, über die Daten verarbeitet werden. Die Frage ist, ob diese Begründung ausreicht, die national geregelte (arbeitsrechtliche) Möglichkeit der Reduzierung der Arbeitszeit auf null auszuhebeln.

Berliner Datenschutzbeauftragte: Verfassung von Berlin ist wegen fehlender Unabhängigkeit der Datenschutzbehörde europarechtswidrig

Posted on by

Die in der Verfassung von Berlin niedergelegte Dienstaufsicht des Präsidenten des Abgeordnetenhauses von Berlin über die Berliner Datenschutzbeauftragte verstößt gegen Europarecht. Diese Ansicht vertritt die Berliner Datenschutzbeauftragte in ihrem aktuellen Jahresbericht (pdf, S. 202 ff)

Diese sehr klar Positionierung ist, soweit ersichtlich, bislang noch nicht öffentlich kommentiert oder diskutiert worden, birgt jedoch durchaus Konfliktpotential. Beispielsweise könnte die Europäische Kommission aufgrund der aktuellen Regelung ein Vertragsverletzungsverfahren gegen Deutschland einleiten.

Derzeit lautet Art. 47 Abs. 1 Verfassung von Berlin (VvB) wie folgt:

Zur Wahrung des Rechts der informationellen Selbstbestimmung wählt das Abgeordnetenhaus einen Datenschutzbeauftragten. Er wird vom Präsidenten des Abgeordnetenhauses ernannt und unterliegt dessen Dienstaufsicht.

Art. 52 Abs. 1 DSGVO sieht vor, dass jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse völlig unabhängig handelt. Nach Ansicht der BlnBfDI wird diese Vorgabe noch durch Art. 52 Abs. 2 DSGVO konkretisiert.

Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen“.

Die BlnBfDI begründet ihre Ansicht insbesondere mit Verweisen auf das europäische Primärrecht sowie die Rechtsprechung des EuGH zur Unabhängigkeit der Datenschutzbehörden (noch zur alten EU Datenschutz-Richtlinie).

Nach Art. 16 Abs. 2 S. 2 AEUV wird die Einhaltung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten von unabhängigen Behörden überwacht. Ähnliches sieht auch Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union vor:

Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

In seinem Urteil vom 9. März 2010 (C-518/07) hatte sich der EuGH mit der entsprechenden Vorgabe zur Unabhängigkeit der Aufsichtsbehörden unter Geltung der EU Datenschutz-Richtlinie befasst (Art. 28 Abs. 1 RL 95/46). Dieser lautete:

Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.“

Der EuGH befand, dass die staatliche Aufsicht gleich welcher Art es der Regierung des betroffenen Landes oder einer Stelle der ihr untergeordneten Verwaltung grundsätzlich ermöglicht, auf Entscheidungen der Kontrollstellen unmittelbar oder mittelbar Einfluss zu nehmen bzw. diese Entscheidungen aufzuheben und zu ersetzen.

Zwar mag es sein, dass die staatliche Aufsicht nur sicherstellen soll, dass das Handeln der Kontrollstellen den geltenden nationalen und gemeinschaftsrechtlichen Bestimmungen entspricht, und demnach nicht darauf abzielt, diese Stellen dazu zu zwingen, politische Zielsetzungen zu verfolgen, die dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den Grundrechten zuwiderlaufen.

Jedoch, so der EuGH, lasse sich nicht ausschließen, dass die Aufsichtsstellen, die Teil der allgemeinen Staatsverwaltung und damit der Regierung des jeweiligen Landes unterstellt sind, nicht zu objektivem Vorgehen in der Lage sind, wenn sie die Vorschriften über die Verarbeitung personenbezogener Daten auslegen und anwenden. Hinzu kommt, dass bereits die bloße Gefahr einer politischen Einflussnahme der Aufsichtsbehörden auf die Entscheidungen der Kontrollstellen ausreicht, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen.

Nach Ansicht der BlnBfDI ermöglicht eine staatliche Aufsicht „gleich welcher Art“ jedoch eine solche Einflussnahme. Selbst wenn die Aufsicht einer übergeordneten Stelle in der Praxis regelmäßig nicht zu konkreten Weisungen an die Aufsichtsbehörden führe, reiche die bloße Gefahr einer politischen Einflussnahme, um deren unabhängige Aufgabenwahrnehmung zu beeinträchtigen.

Da Art. 47 Abs. 1 Verfassung von Berlin eine Dienstaufsicht über die BlnBfDI vorsieht, verstoße diese Vorschrift gegen die europäischen Vorgaben.

Die in der Berliner Verfassung noch immer geregelte Dienstaufsicht der Berliner Beauftragten für Datenschutz und Informationsfreiheit durch den Präsidenten des Abgeordnetenhauses verstößt gegen Art. 52 Abs. 1 und 2 DS-GVO.

Zudem weist die BlnBfDI darauf hin, dass Art. 52 DSGVO auf nationaler Ebene unmittelbar anwendbares Unionsrecht darstellen und somit dem nationalen Recht vorrangig anzuwenden sind. Die Folge eines Verstoßes des Landes Berlin gegen die DSGVO kann etwa die Einleitung eines Vertragsverletzungsverfahrens gegen Deutschland sein.

Interessant ist hier zudem ein weiterer Hinweis der BlnBfDI:

Im Fall von Verstößen der Mitgliedsstaaten gegen Art. 52 DS-GVO können sich die Aufsichtsbehörden unmittelbar auf die DS-GVO berufen und gerichtlichen Rechtsschutz suchen.

Die BlnBfDI deutet hier also an, dass sie eventuell selbst gegen die aus ihrer Sicht europarechtswidrige Regelung vorgehen möchte. Zuletzt schlägt die BlnBfDI auch einen neuen Text für Art. 47 Abs. 1 VvB vor.

Hessische Datenschutzbehörde: Keine hohen Anforderungen an „Schriftform“ von Auftragsverarbeitungsverträgen

Posted on by

Der Hessische Datenschutzbeauftragte (HBDI) hat kürzlich seinen neuen, 48. Tätigkeitsbericht veröffentlicht (pdf).

Unter anderem befasst sich die Aufsichtsbehörde dort auch mit einem immer noch praxisrelevanten Thema: in welcher Form dürfen bzw. müssen Verträge zur Auftragsverarbeitung (AVV) abgeschlossen werden?

Bereits in der Vergangenheit hatte ich darauf hingewiesen, dass selbst die Europäische Kommission keine allzu hohen Anforderungen an die Form eines AVV stellt.

Art. 28 Abs. 9 DSGVO gibt vor:

Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“

Bedeutend ist also, was mit „schriftlich“ und „elektronischen Format“ gemeint ist.

Nach Ansicht des HBDI ist das Schriftformerfordernis des Art. 28 Abs. 9 DSGVO nicht identisch mit der Schriftform nach § 126 BGB. Meines Erachtens ist diese Ansicht zutreffend. Unter anderem auch deshalb, weil es sich bei der DSGVO um EU-Recht handelt und eine europarechtsautonome Auslegung erforderlich ist. Der Verweis auf nationale Formvorschriften im Zivilrecht passt daher nicht.

Der HBDI geht davon aus, dass demnach nicht wie nach § 126 Abs. 1 BGB zwingend eine vom Aussteller eigenhändig unterschriebene Urkunde erstellt werden muss. Oder anders ausgedrückt: ein AVV muss nicht handschriftlich unterzeichnet werden.

Danach geht der HBDI auf den Sinn und Zweck der Formvorschrift in Art. 28 DSGVO ein. Mit der in der DSGVO angeordneten Schriftform soll sichergestellt werden, dass die Beteiligten die Möglichkeit haben, sich dauerhaft und zuverlässig über den Inhalt des AVV oder einer einseitigen Verpflichtungserklärung zu informieren.

Diese dauerhafte Informationsfunktion erfüllt auch die Textform, wie sie in § 126b BGB geregelt ist.

Der HBDI lässt also auch solche AVV als wirksam gelten, die „nur“ das deutsche Erfordernis an die Textform erfüllen würden.

Und dann nennt der HBDI auch konkrete Beispiele, wie in der Praxis ein AVV wirksam abgeschlossen werden kann:

  • Austausch von Computerfaxen
  • Austausch von E-Mails mit oder ohne PDF-Anhang

Beide Varianten genügen dem Schriftformerfordernis des Art. 28 Abs. 9 DSGVO.

Zudem weist der HBDI darauf hin, dass der Auftragsverarbeiter auch einen Vertragstext auf seiner Webseite einstellen und der Verantwortliche die Annahmeerklärung durch Anklicken eines Kästchens wirksam abgeben kann.

Jedoch muss dann sichergestellt sein, dass der Verantwortliche den Vertrag speichern und ausdrucken kann. Nach Ansicht des HBDI verlangt die DSGVO nicht, dass ein Download tatsächlich erfolgt.

Zudem geht der HBDI auch auf das Merkmal „elektronischem Format“ ein. Hiermit kann nicht ein nach § 126 a BGB elektronisch signiertes Dokument gemeint sein. Begründet wird diese Ansicht (meines Erachtens zutreffend) u.a. damit, dass sich in Art. 30 Abs. 3 DSGVO für das Führen des Verarbeitungsverzeichnisses eine wortgleiche Schriftformregelung findet.

Es ist jedoch kein Grund ersichtlich, weshalb ein Verzeichnis von Verarbeitungstätigkeiten mit einer qualifizierten elektronischen Signatur versehen werden sollte. Es gibt aber auch keine Anhaltspunkte, dass der Unionsgesetzgeber den Begriff „elektronisches Format“ in den beiden Regelungen mit unterschiedlichem Inhalt verwendet hat.

LAG Nürnberg: Nationaler Kündigungs- und Abberufungsschutz für Datenschutzbeauftragte ist mit DSGVO vereinbar

Posted on by

Mit Urteil vom 19.2.2020 (Az. 2 Sa 274/19, pdf) hat das Landesarbeitsgericht Nürnberg den im BDSG geregelten besonderen Kündigungs- und Abberufungsschutz für Datenschutzbeauftragte als europarechtskonform angesehen. Die Regelungen verstoßen nach Ansicht des LAG nicht gegen die Vorgaben der DSGVO.

Sachverhalt

Die Klägerin wurde mit Schreiben vom 15.1.2018 von der Beklagten zur betrieblichen Datenschutzbeauftragten bestellt. Mit weiteren späteren Schreiben wurde die Klägerin zur betrieblichen Datenschutzbeauftragten von Tochterunternehmen bestellt

Mit Schreiben vom 13.7.2018 wurde das Arbeitsverhältnis der Klägerin durch die Beklagte mit Wirkung zum 15.08.2018 gekündigt. Im Kündigungsschreiben wurde der Klägerin mitgeteilt, dass ihre bisherige Stellung als Datenschutzbeauftragte – vorsorglich auch im Auftrag der Tochterunternehmen – spätestens zum 15.08.2018 enden und hilfsweise aus wichtigem Grund widerrufen wird.

Die Klägerin begehrt gegenüber der Beklagten u.a. die Feststellung der Unwirksamkeit einer Kündigung des zwischen beiden bestehenden Arbeitsverhältnisses und die Feststellung des Bestehens einer Rechtsstellung der Klägerin als interne Beauftragte für den Datenschutz.

Das Arbeitsgericht hatte festgestellt, dass das Arbeitsverhältnis der Klägerin zur Beklagten nicht durch die Kündigung vom 13.7.2018 mit Ablauf des 15.8.2018 beendet wurde, und dass die Rechtsstellung der Klägerin als Beauftragte für den Datenschutz der Beklagten nicht durch den Widerruf der Beklagten vom 13.7.2018 beendet wurde. Hiergegen wendeten sich die Beklagten mit einer Berufung.

Urteil

Besonderer Kündigungs- und Abberufungsschutz

Nach Ansicht des LAG genoss die Klägerin zum Zeitpunkt der Kündigung den besonderen Kündigungsschutz für Datenschutzbeauftragte nach §§ 38 Abs. 2, 6 Abs. 4 S. 2 BDSG.

Nach § 6 Abs. 4 S. 1 BDSG ist die Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB zulässig. Nach S. 2 ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.

Nach Ansicht des LAG gilt dieser Sonderkündigungsschutz auch bereits in der Probezeit.

Nationale Regelung zum Kündigungsschutz verstößt nicht gegen DSGVO

Fraglich war sodann, ob der nationale Gesetzgeber überhaupt befugt ist, entsprechende Regelungen im BDSG zur Stellung und Abberufung bzw. Kündigung des Datenschutzbeauftragten zu treffen.

Nach Ansicht des LAG verstößt der besondere Kündigungsschutz auf nationaler Ebene nicht gegen Art. 38 Abs. 3 S. 2 DSGVO. Nach dieser Vorschrift darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Zwar ist davon auszugehen, dass die DSGVO als EU-Verordnung unmittelbar und zwingend im Sinne einer Vollharmonisierung gilt und nicht lediglich Mindeststandards setzt („Mindestharmonisierung“). Die Mitgliedstaaten dürfen somit von ausdrücklichen Vorgaben der DSGVO nur insoweit abweichen, wie dies die DSGVO ausdrücklich oder durch Auslegung ermittelbar zulässt, und im Übrigen die Vorgaben der DSGVO lediglich konkretisieren.

Zwar existiere eine ausdrückliche Öffnungsklausel für den nationalen Gesetzgeber, einen besonderen Kündigungsschutz für Datenschutzbeauftragte zu regeln, in der DSGVO nicht.

Allerdings ergibt die Auslegung, dass die DSGVO spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten zulässt, soweit der Schutz nicht hinter des DSGVO zurückbleibt.

Das LAG betrachtet für seine Begründung zunächst die Kompetenzgrundlagen des europäischen Gesetzgebers. Die DSGVO regele den Datenschutz als Querschnittsmaterie mit Art. 16 Abs. 2 AEUV als Kompetenzgrundlage. Das LAG weist dann darauf hin, dass die Kompetenznorm für spezifisch arbeitsrechtliche Regelungen hingegen in Art. 153 AEUV und hier insbesondere für Arbeitsbedingungen in Abs. 1 lit. b und für den Schutz der Arbeitnehmer bei Beendigung des Arbeitsvertrags in Abs. 1 lit. d. zu finden sei.

Im Bereich der arbeitsrechtlichen Regelungen handelt die EU nach Art. 153 Abs. 2 AEUV in diesem Bereich jedoch durch Richtlinien, nicht durch Verordnung. Dies spricht aus Sicht des LAG dafür, dass die DSGVO keine genuinen abschließenden arbeitsrechtlichen Regelungen trifft,

jedenfalls nicht für das Arbeitsverhältnis, das der Tätigkeit als Datenschutzbeauftragtem zu Grunde liegt.

Zudem argumentiert das LAG mit der DSGVO selbst. Für seine Sicht spreche auch der Wortlaut des Art. 38 Abs. 3 S. 2 DSGVO. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Das LAG geht daher davon aus, dass er deshalb auch nicht gekündigt werden darf.

Jedoch, so das LAG, enthält Art. 38 Abs. 3 S. 2 DSGVO keine spezifischen Regeln des Kündigungsschutzes für Datenschutzbeauftragte und

verbietet somit auch vom Wortlaut her keinen darüber hinaus gehenden Kündigungsschutz, um die Unabhängigkeit des im Übrigen abhängig beschäftigten Arbeitnehmers von der Einflussnahme seines Arbeitgebers auf die Arbeit als Datenschutzbeauftragten zu gewährleisten.

Der Ausschluss der ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten während seiner Bestellung und ein Jahr danach steht daher mit der DSGVO in Einklang

Nationale Regelung zur Abberufung des Datenschutzbeauftragten ist DSGVO-konform

Neben der Frage der Zulässigkeit der Kündigung, musste sich das LAG auch mit der Abberufung als Datenschutzbeauftragte befassen.

Nach Ansicht des LAG bedurfte die Beklagte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Auch diese, in §§ 38 Abs. 2 iVm § 6 Abs. 4 S. 1 BDSG enthaltene nationale Regelung, verstoße nicht gegen Art. 38 Abs. 3 S. 2 DSGVO.

Zunächst stellt das LAG fest, dass auch die Modalitäten der Abberufung des Datenschutzbeauftragten in der DSGVO nicht abschließend geregelt sind. Nach Art. 38 Abs. 3 S. 2 DSGVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden.

Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann.

Unter Verweis auf die Rechtsprechung des BAG (Urt. v. 23.3.2011, Az. 10 AZR 652/09; mit Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten) legt das LAG dar, dass auch die Abberufung als interner Datenschutzbeauftragter damit im Umkehrschluss ebenfalls auf eine Änderung der arbeitsvertraglichen Pflichten ziele. Damit handele es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 S. 1 BDSG im Kern um eine arbeitsrechtliche Regelung.

Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel.

Denn wie der Kündigungsschutz diene auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann. Das LAG geht zudem davon aus, dass es sich auch

bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DSGVO auch im BDSG n. F. beibehalten werden kann.

Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag hier nach Ansicht des LAG gerade nicht vor.

Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen.

Fazit

Das LAG legt, meines Erachtens durchaus überzeugend, dar, warum im nationalen Recht die spezifische Ausgestaltung des Beschäftigungsverhältnisses des Datenschutzbeauftragten noch näher ausgestaltet werden kann. Hinsichtlich der Kündigung des zugrundeliegenden Arbeitsverhältnisses, dürfte dies auch recht klar sein. Allenfalls bei dem Thema der Abberufung könnte man ggfs. überlegen, ob der vom LAG eröffnete Konnex zur Kündigung (da auch durch die Abberufung nach der Respr. des BAG das Arbeitsverhältnis geändert wird) so eindeutig ist.

Da insbesondere die Frage, ob § 6 Abs. 4 S. 1 iVm § 38 Abs. 2 BDSG mit Art. 38 Abs. 3 S. 2 DSGVO vereinbar ist, höchstrichterlich noch nicht geklärt ist, hat das LAG die Revision zugelassen.

Die Revision wurde beim BAG am 16.04.2020 unter dem Az 2 AZR 225/20 eingelegt.

Gesetzentwurf zu DSGVO-Bußgeldverfahren – aktuelle Regelungen verfassungswidrig?

Posted on by

Sind Entscheidungen in Bußgeldverfahren über 100.000 EUR wegen Datenschutzverstößen verfassungsrechtlich angreifbar? Diese Ansicht scheint zumindest das Land Hessen in einem aktuellen Gesetzesentwurf im Bundesrat zu vertreten. Wenn dem so ist, wäre das natürlich ein ziemlicher „Knaller“.

Der Gesetzentwurf

Das Land Hessen hat im Bundesrat einen Gesetzentwurf eingebracht. Eventuell geht dieser Entwurf auch auf einen Beschluss der Justizministerkonferenz aus November 2018 zurück (pdf).

In dem „Entwurf eines Gesetzes zur Effektivierung des Bußgeldverfahrens“ (BR Drs 107/20, pdf, 2.3.2020) wird vorgeschlagen, § 41 Abs. 1 S. 3 BDSG zu streichen.

Artikel 2 des Entwurfs sieht vor: § 41 Absatz 1 Satz 3 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) wird aufgehoben.“

§ 41 Abs. 1 S. 3 BDSG bestimmt für das Bußgeldverfahren die Anwendung des § 68 OWiG mit der Maßgabe, dass das Landgericht entscheidet, wenn die festgesetzte Geldbuße den Betrag von einhunderttausend Euro überschreitet. Ungeachtet des Umstandes, dass die Amtsgerichte in anderen Rechtsgebieten befugt sind, Geldbußen in Millionenhöhe festzusetzen (§§ 30, 130 Abs. 3 OWiG),

sind bisher keine verfahrensrechtlichen Vorschriften zur Besetzung der Kammern der Landgerichte in Bußgeldsachen gegeben.

§ 41 Abs. 1 S. 3 BDSG verweist allein auf § 68 OWiG. In dem Entwurf wird als mögliche Neuregelung angedacht, ob man über §§ 46 Abs. 1, 71 Abs. 1 OWiG auf die Vorschriften der Strafprozessordnung und des Gerichtsverfassungsgesetzes Bezug nehmen könnte. Dann, so der Entwurf, müsste man wohl von einer Besetzung der Kammern der Landgerichte mit zwei Richtern und zwei Schöffen ausgehen. Es wird davon ausgegangen, dass dies nicht intendiert war.

Es zeigt sich, dass aktuell tatsächlich unklar und nicht gesetzlich vorgegeben ist, in welcher Besetzung das Landgericht in Bußgeldverfahren bei Datenschutzverstößen entscheidet.

Zwar sieht § 46 Abs. 7 OWiG derzeit vor, dass im gerichtlichen Verfahren beim Landgericht Kammern für Bußgeldsachen entscheiden. Jedoch fehlt es an einer Regelung im GVG und es stellt sich die Frage der Besetzung der Kammer.

Der Entwurf stellt die Folge dieser Situation sehr konkret dar:

Da bisher keine entsprechenden verfahrensrechtlichen Vorschriften existieren, dürfte dies wohl nicht nur bei der entsprechenden Geschäftsverteilung der Landgerichte im Hinblick auf die Fälle des § 41 Absatz 1 Satz 3 BDSG zu Problemen führen können, sondern es dürfte zusätzlich nahezu ausgeschlossen sein, das gerichtliche Verfahren ohne entsprechende Vorschriften ordnungsgemäß vollziehen zu können. (Hervorhebungen durch mich)

Diese Einschätzung hat meines Erachtens durchaus Sprengkraft, zu der ich gleich noch ausführe.

Der Gesetzesentwurf sieht daher die Streichung des § 41 Abs. 1 S. 3 BDSG vor. Hierdurch würde in sämtlichen Fällen von Bußgeldverfahren die Zuständigkeit der Amtsgerichte nach § 68 Abs. 1 OWiG begründet.

Angreifbarkeit landgerichtlicher Entscheidungen in Bußgeldverfahren?

Die soeben dargestellte Situation könnte für Unternehmen, die sich aktuell oder zukünftig (bis zu einer Anpassung) Bußgeldern über 100.000 EUR ausgesetzt sehen, einen möglichen Angriffspunkt gegen entsprechende Entscheidungen der Landgerichte bieten. Dann würde praktisch über all diesen gerichtlichen Verfahren gegen Bußgelder das Damoklesschwert der Verfassungswidrigkeit schweben.

Aufgrund der Einschätzung des Landes Hessen in dem Gesetzesentwurf, wird man meines Erachtens zumindest darüber diskutieren können, ob denn nicht eine Situation, in der es „nahezu ausgeschlossen“ ist, dass gerichtliche Verfahren ordnungsgemäß durchgeführt werden können, auch verfassungsrechtliche Probleme aufwirft.

Das Bundesverfassungsgericht (BVerfG) sieht etwa von der Garantie des gesetzlichen Richters (Art. 101 Abs. 1 S. 2 GG) den Bestand von Rechtssätzen umfasst, die für jeden Streitfall den Richter bezeichnen, der für die Entscheidung zuständig ist. Art. 101 Abs. 1 S. 2 GG verpflichtet auch dazu, Regelungen zu treffen, aus denen sich der gesetzliche Richter ergibt (vgl. etwa BVerfG, Beschl. v. 08.04.1997 – 1 PBvU 1/95). Andererseits ist eine sich aus der Sache ergebende und unvermeidbare Ungewissheit darüber, wer den Rechtsstreit entscheiden wird (insbesondere in Fällen des Ausscheidens, der Krankheit, der Verhinderung, des Urlaubs) hinzunehmen.

Gesetzlicher Richter im Sinne des Art. 101 Abs. 1 S. 2 GG ist nach der Rechtsprechung des BVerfG

nicht nur das Gericht als organisatorische Einheit oder das erkennende Gericht als Spruchkörper, sondern sind auch die zur Entscheidung im Einzelfall berufenen Richter.

(BVerfG, Beschl. v. 30.03.1965 – 2 BvR 341/60)

Daher müssen die Geschäftsverteilungspläne, die der Bestimmung des gesetzlichen Richters dienen,

von vornherein so eindeutig wie möglich festlegen, welche Spruchkörper und welche Richter zur Entscheidung des Einzelfalls berufen sind

(ebenda)

Übertragen auf die aktuelle Situation mit fehlenden Regelungen zur Besetzung der Spruchkörper, wird man sicher darüber nachdenken können, ob etwa Unternehmen, die sich gegen ein hohes Bußgeld zu Wehr setzen (man denke an die Fälle Delivery Hero, Deutsche Wohnen SE oder 1&1 Telecom GmbH), am Ende gegen eine entsprechende Entscheidung des erkennenden Gerichts bzw. eine ablehnende Entscheidung zu einer Besetzungsrüge nicht eine Verfassungsbeschwerde einlegen können.

Das Recht auf den gesetzlichen Richter steht natürlichen und juristischen Personen zu. Darauf kann sich berufen, wer nach den einschlägigen Prozessnormen parteifähig ist (BVerfG, Beschl. v. 26.02.1954 – 1 BvR 537/53).

Es wird davon ausgegangen, dass für die Verfassungsbeschwerde wegen Verletzung des Rechts auf den gesetzlichen Richter die üblichen Zulässigkeitsvoraussetzungen gelten. Also auch das Erfordernis der Rechtswegerschöpfung. Daher wäre es wohl erforderlich, Besetzungsrügen schon vor dem zuständigen Gericht zu erheben. Der Beschluss über ein Ablehnungsgesuch ist eine Zwischenentscheidung, die selbstständig mit der Verfassungsbeschwerde angegriffen werden kann (BVerfG, Beschl. v. 25.06.1968 – 2 BvR 599, 677/67).

Zudem muss, für den Erfolg der Verfassungsbeschwerde, die angegriffene Entscheidung auf einer Verletzung des Art. 101 Abs. 1 S. 2 GG beruhen. Dies könnte dann der Fall sein, wenn eine andere Besetzung des Gerichts ohne den Fehler nicht ausgeschlossen werden kann (BVerfG, Urt. v. 20.03.1956 – 1 BvR 479/55).

Daneben ist meines Erachtens auch über einen Verstoß der Bundesrepublik Deutschland gegen die Vorgabe des Art. 83 Abs. 8 DSGVO nachzudenken: „Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde … muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen“. Hier könnte das Erfordernis der „ordnungsgemäßen Verfahren“ nicht erfüllt sein.

Fazit

Ich würde mich sehr drüber freuen, wenn wir zu dieser juristisch wirklich spannenden Frage eine Entscheidung sehen. Ob es soweit kommt, wird aber an den Parteien der aktuell bei den Gerichten anhängigen Bußgeldverfahren liegen.

Rundfunkdatenschutzbeauftragter: Zweistufiges Auskunftsverfahren ist DSGVO-konform

Posted on by

In seinem aktuellen (und ersten) Tätigkeitsbericht für 2019 (pdf, S. 50 ff.) berichtet der  gemeinsame Rundfunkdatenschutzbeauftragter für den Bayerischen Rundfunk, den Saarländischen Rundfunk, den Westdeutschen Rundfunk, das Deutschlandradio und das Zweite Deutsche Fernsehen u.a. auch über die Erteilung von Auskünften durch den Beitragsservice.

In einigen Fällen beschwerten sich Betroffene, dass die ihnen erteilte Auskunft nicht vollständig gewesen sei. Hintergrund dieser Beschwerden ist, dass der Beitragsservice, Auskünfte grundsätzlich im Rahmen eines zweistufigen Verfahrens erteilt.

  • Die Erstauskunft umfasst die wichtigsten Informationen über die Umstände der Datenverarbeitung wie etwa die Herkunft der Daten, die Datenverarbeitungskategorien und die Verarbeitungszwecke. Hierbei orientiert man sich an Daten der Anzeigepflicht nach § 8 Abs. 4 RBStV.
  • Diese Erstauskunft wird um die Mitteilung der etwa vorhandenen weiteren Daten ergänzt, sofern die Antragsteller dies wünschen.

Nach Aussage des Rundfunkdatenschutzbeauftragten genügt den Antragstellern die auf diese Angaben beschränkte Erstauskunft des Beitragsservice in den weitaus meisten Fällen.

Nach Ansicht des Rundfunkdatenschutzbeauftragten erfüllt ein solches zweistufiges Verfahren

sowohl den Sinn und Zweck als auch materiell die Anforderungen des Art. 15 DSGVO.

Zur Begründung führt er aus, dass dies nicht zuletzt den Verwaltungsaufwand deutlich reduziert und damit im Interesse aller Beitragszahler unnötige Kosten vermeidet.

Zudem können Aspekte der

Verhältnismäßigkeit bzw. des vertretbaren Aufwands in die Anwendung bzw. Umsetzung der Vorgaben zum Auskunftsanspruch nach Art. 15 DSGVO einfließen.

Dies ergibt sich aus ErwG 63 DSGVO sowie Vorschriften wie etwa § 34 Abs. 1, 4 BDSG, § 12 Abs. 1 LDSG NRW, Art. 10 Abs. 2 Nr. 4 und 5 BayDSG oder § 9 Abs. 2 LDSG B-W. Dabei ist insbesondere zu berücksichtigen, dass der Beitragsservice einen außerordentlich großen Datenbestand zu verwalten und dabei auf ein Höchstmaß an Effizienz, Wirtschaftlichkeit und Sparsamkeit zu achten hat, vgl. § 14 RStV.

Der Rundfunkdatenschutzbeauftragte stellt für seine Begründung mit Blick auf ErwG 63 DSGVO wohl vor allem darauf ab, dass dort für Verantwortliche die Möglichkeit der Bitte um Präzisierung vorgesehen ist, wenn der Verantwortliche eine große Menge von Informationen über die betroffene Person verarbeitet.

Das interessante und praxisrelevante an der Begründung ist, dass hier per se ein gestuftes Auskunftsverfahren als zulässig angesehen wird. Der Rundfunkdatenschutzbeauftragte verlangt also nicht eine Prüfung im Einzelfall, ob wirklich eine große Menge an Daten verarbeitet werden. Dieser Faktor wird sicherlich auch bei vielen Unternehmen in der Privatwirtschaft (gerade im B2C Bereich) relevant sein.

Daneben ist die Begründung des Rundfunkdatenschutzbeauftragten basierend auf dem Gebot der Wirtschaftlichkeit interessant. Geht man davon aus, dass die Masse an Anfragen mit der ersten Stufe der Auskunft zufriedenstellend erfüllt ist, würde es unnötigen Aufwand und personellen als auch finanziellen Aufwand bedeuten, wenn man (quasi überschießend) immer eine Vollauskunft erteilt. Die Besonderheit im konkreten Fall dürfte hier darin liegen, dass aufgrund einer ausdrücklichen Regelung (nach § 14 RStV) der Finanzbedarf des öffentlich-rechtlichen Rundfunks regelmäßig entsprechend den Grundsätzen von Wirtschaftlichkeit und Sparsamkeit geprüft und ermittelt werden muss. Die Sparsamkeit also gesetzlich angeordnet ist.

Ob man dieses Argument auch auf den privatwirtschaftlichen Bereich übertragen kann, wird man diskutieren können. Unternehmen sind nicht gesetzlich zur Wirtschaftlichkeit oder Sparsamkeit verpflichtet. Andererseits müssen auch Unternehmen die „Kosten im Blick“ behalten, da sich eine Erhöhung eben dieser auch insgesamt negativ auf die wirtschaftliche Entwicklung auswirken kann.

Wichtig ist noch die Klarstellung des Rundfunkdatenschutzbeauftragten, dass das Recht auf Auskunft weder inhaltlich beschränkt noch unzumutbar erschwert werden darf. Der Beitragsservice informiert die Betroffenen hinreichend klar auf das abgestufte Verfahren und das Recht des Betroffenen, die Auskunft vervollständigen zu lassen. Bei einer entsprechenden Umsetzung in Unternehmen, sollten dieser Aspekt der Transparenz und Erleichterung der Geltendmachung des Auskunftsrechts (vgl. Art. 12 Abs. 2 DSGVO) ebenfalls besonders berücksichtigt werden.

Gesetzgeber erlaubt Sitzungen des Betriebsrats per Videokonferenz – Darstellung der Voraussetzungen

Posted on by

Am 23.4.2020 hat der Bundestag die Beschlussempfehlung und den Bericht des Ausschusses für Arbeit und Soziales (BT Drs 19/18753, pdf) zu dem Entwurf für ein Gesetz zur Förderung der beruflichen Weiterbildung im Strukturwandel und zur Weiterentwicklung der Ausbildungsförderung (BT Drs. 19/17740) angenommen, mit dem auch ein neuer § 129 in das Betriebsverfassungsgesetz (BetrVG) aufgenommen wird.

Dadurch wird es dem Betriebsrat, dem Gesamt- und Konzernbetriebsrat sowie der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und Auszubildendenvertretung und der Konzern-Jugend- und Auszubildendenvertretung sowie den Ausschüssen dieser Gremien ermöglicht, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen durchzuführen.

Die Regelung tritt rückwirkend zum 1. März 2020 in Kraft und gilt zeitlich beschränkt bis zum 31. Dezember 2020.

Nachfolgend möchte ich kurz die in der Norm aufgestellten Anforderungen und deren datenschutzrechtliche Implikationen belechten.

Der neue § 129 Abs. 1 BetrVG lautet:

§ 129

Sonderregelungen aus Anlass der Covid-19-Pandemie

(1) Die Teilnahme an Sitzungen des Betriebsrats, Gesamtbetriebsrats, Konzernbetriebsrats, der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und Auszubildendenvertretung und der Konzern- Jugend- und Auszubildendenvertretung sowie die Beschlussfassung können mittels Video- und Telefonkonferenz erfolgen, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Eine Aufzeichnung ist unzulässig. § 34 Absatz 1 Satz 3 gilt mit der Maßgabe, dass die Teilnehmer ihre Anwesenheit gegenüber dem Vorsitzenden in Textform bestätigen. Gleiches gilt für die von den in Satz 1 genannten Gremien gebildeten Ausschüsse.

 

Die Regelung trägt nach der Begründung der Situation um die Covid-19-Pandemie und den damit verbundenen Schwierigkeiten einer Präsenzsitzung Rechnung. Die neue Regelung soll Rechtssicherheit für diese Ausnahmesituation schaffen und ermögliche es dem

Betriebsrat für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie WebEx Meetings oder Skype durchzuführen.

Besonders interessant an dieser Begründung ist natürlich, dass der Ausschuss hier zwei ganz spezifische Anbieter bzw. deren Produkte in der Begründung des Gesetzesentwurfs nennt. Aus praktischer Sicht stellt sich Frage, ob hiermit gleichzeitig deren datenschutzrechtliche Konformität und Geeignetheit zur Erfüllung der aufgestellten Anforderungen (qua Gesetz) festgestellt wird? Ich persönlich vermute, dass die Mitglieder des Ausschusses eine solche Konformitätserklärung nicht intendiert hatten. Dies wird mE auch durch die beispielhafte Aufzählung der Dienste deutlich („wie“). Es wird also sicher auch andere Anbieter geben, die die Anforderungen des neuen § 129 BetrVG erfüllen.

Zudem werden die bei dem Einsatz solcher Anwendungen zu beachtenden Anforderungen auch nachfolgend in der Norm, also ganz allgemein und anbieterunabhängig, genannt.

Damit stellt sich die Frage, was diese Anforderungen sind.

Die Begründung führt hierzu aus:

Es soll sichergestellt sein, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Dies umfasst technische Maßnahmen wie zum Beispiel eine Verschlüsselung der Verbindung und organisatorische Maßnahmen wie die Nutzung eines nichtöffentlichen Raumes während der Dauer der Sitzung.

Auch aus dieser Begründung ergibt sich, dass die beispielhaft benannten Dienste diese Voraussetzung auch erfüllen müssen. Ob sie dies nach Ansicht des Ausschusses tun, ergibt sich aus der Begründung leider nicht.

Aus datenschutzrechtlicher Perspektive ist diese Anforderung des neuen § 129 BetrVG (in Zusammenschau mit der Begründung) wohl die relevanteste. Daher im Einzelnen:

Dritte

Ist hiermit der „Dritte“ im Sinne des Art. 4 Nr. 10 DSGVO gemeint? Ich meine, wohl nicht, denn in der ganzen Begründung wird kein einziges Mal auf die DSGVO verwiesen. Und damit auch nicht auf ihre Definitionen. Andererseits ist es damit aber natürlich nicht ausgeschlossen, dass man von dem Terminus „Dritte“ eventuell eingesetzte Auftragsverarbeiter iSd DSGVO gerade nicht umfasst sieht. Dies würde in der Konsequenz bedeuten, dass ein Anbieter von Videokonferenzsystemen, wenn er als Auftragsverarbeiter agiert, nicht als „Dritter“ anzusehen wäre. Wie gesagt, ist die Begründung und auch der Wortlaut der Norm hier aber nicht klar.

Inhalt der Sitzung

Diese Dritten dürfen spezifisch den Inhalt der Sitzung nicht zur Kenntnis nehmen. Damit ist aber nicht ausgeschlossen, dass Dritte angrenzende Informationen zu der Sitzung, insbesondere Angaben zum Datum, zur Uhrzeit oder auch zu den Teilnehmern erhalten dürfen. Man könnte hiervon etwa (Tool)Anbieter umfasst sehen, wenn dort Daten zur Planung einer Videokonferenz erfasst und verarbeitet werden. Diese Informationen dürften, auch vom Schutzzweck der Norm her, daher nicht zum „Inhalt“ der Sitzung zählen. Denn es dürfte darum gehen, dass Dritte (im Sinne Unbefugter) nicht Kenntnis von den Themen und Beschlüssen der Sitzung nehmen. Dies würde auch mit der Verschwiegenheitspflicht der Mitglieder korrespondieren (vgl. etwa § 79Abs. 1 BetrVG).

Keine Kenntnis nehmen können

Es soll sichergestellt sein, dass die Dritten keine Kenntnis nehmen „können“. Ausreichend ist nach dem Wortlaut daher nicht, dass sie keine Kenntnis nehmen „dürfen“, etwa durch vertragliche Regelungen. Der Gesetzgeber scheint hier tatsächlich stark auf die technisch-organisatorisch Ebene zu schielen. Es soll also durch entsprechend umzusetzende Maßnahmen die Gewähr dafür geboten werden, dass die Kenntnisnahme nicht möglich ist. Interessant ist auch, dass der Gesetzgeber kein Verhältnismäßigkeitskriterium bei der Maßnahmenumsetzung einzieht. Etwa: nach dem „Stand der Technik“ oder der Kosten der Umsetzung.

Technische Maßnahmen, wie z.B. eine Verschlüsselung

Die Begründung zu § 129 Abs. 1 BetrVG trennt, wie etwa auch die DSGVO, zwischen technischen und organisatorischen Maßnahmen. Meines Erachtens kann man sicher daher, bei der konkreten Umsetzung, durchaus an bekannten Kriterien und Praxisbeispielen aus Art. 32 DSGVO orientieren.

Das Gesetz nennt ausdrücklich die Verschlüsselung. Jedoch nur beispielhaft, als eine mögliche Maßnahme („wie zum Beispiel“). Daher ist der Einsatz eines Anbieters, der nicht verschlüsselt oder nur zum Teil verschlüsselt, nicht ausgeschlossen. Es müssen dann eben alternativ adäquate Maßnahmen gefunden werden.

Interessant ist auch, dass die Begründung nicht näher erläutert, welche Art von Verschlüsselung gemeint ist. Es ist also nicht vorgegeben, ob etwa eine Transportverschlüsselung mindestens umzusetzen wäre. Jedoch gilt es hierbei zu beachten, dass bei einer Verarbeitung von personenbezogenen Daten daneben natürlich die Vorgaben der DSGVO zu beachten sind. Eine Transportverschlüsselung der Daten darf man nach Art. 32 DSGVO wohl als den Stand der Technik erwarten.

Organisatorische Maßnahmen

Daneben erwähnt die Gesetzesbegründung auch organisatorische Maßnahmen. Hierfür wird als Beispiel die Nutzung eines nichtöffentlichen Raumes während der Dauer der Sitzung genannt. Als weiteres Beispiel wird die Abgabe der Zusicherung aller Teilnehmer erwähnt, dass nur teilnahmeberechtigte Personen in dem von ihnen genutzten Raum anwesend sind.

Nach der Begründung sollen sowohl technische als auch organisatorische Maßnahmen umgesetzt werden („Dies umfasst technische Maßnahmen … und organisatorische Maßnahmen …“). Die Aufzählung erfolgt nicht alternativ („oder“). Daher darf man davon ausgehen, dass auf beiden Ebenen entsprechende Maßnahmen umzusetzen sind, um die Anforderung des § 129 Abs. 1 BetrVG zu erfüllen.

Keine Aufzeichnung

Zuletzt ist, im Geiste des Privacy by Default, zu beachten, dass nach § 129 Abs. 1 BetrVG eine Aufzeichnung der Sitzung unzulässig ist. Dies soll nach der Begründung Persönlichkeitsschutz der Teilnehmer und der Wahrung der Nichtöffentlichkeit der Betriebsratssitzung dienen.

Rein praktisch ist also bei dem Einsatz eines entsprechenden Anbieters darauf zu achten, dass die Videokonferenz nicht aufgezeichnet wird (bzw. werden kann). Gelichzeitig ist aber mE nicht ausgeschlossen, einen Dienst zu nutzen, der per se die Aufzeichnung ermöglicht. Es muss aber sichergestellt sind, dass eine solche nicht erfolgt.

Daneben: DSGVO

Natürlich müssen neben den speziellen neuen Anforderungen in § 129 BetrVG auch weiterhin die Vorgaben des Datenschutzrecht beachtet werden. Denn im Rahmen der Sitzungen werden personenbezogene Daten der Teilnehmer verarbeitet. Zu beachten ist hierbei insbesondere:

  • Informationen der Betroffenen zur Datenverarbeitung (Art. 12, 13 DSGVO)
  • Aufnahme des Tools als Verfahren in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Abschluss erforderlicher Verträge mit dem Anbieter (Art. 28 DSGVO)
  • Bei einer Übermittlung in Länder außerhalb der EU: Erfüllen der Vorgaben der Art. 44 ff. DSGVO (z.B. EU-Standardvertragsklauseln).

Zudem bietet diese Neuerung auch wieder Potential für eine Diskussion darüber, wer im Rahmen der Durchführung von Videokonferenzen bei Betriebsratssitzungen eigentlich der datenschutzrechtlich Verantwortliche ist: der Arbeitgeber oder der Betriebsrat? (siehe etwa hier).

Fazit

Die in § 129 Abs. 1 BetrVG neu geschaffenen Anforderungen zum Einsatz von Anwendungen für Video- und Telefonkonferenz dürften aus datenschutzrechtlicher Brille betrachtet nicht wirklich überraschen. In der Norm selbst sind die erforderlichen Maßnahmen jedoch nur vage geregelt. Praktisch empfiehlt es sich, die Erfüllung der Anforderungen intern sowohl über entsprechende Vorgaben bzw. Leitlinien sicherzustellen, in denen der korrekte und DSGVO- als auch BetrVG-konforme Umgang mit der jeweiligen Software erläutert und vorgegeben wird. Auf technischer Ebene ist für eine Validierung der Sicherheit der Verbindung zu sorgen.

Verwaltungsgericht Mainz mit einer wichtigen Entscheidung zu vielen strittigen DSGVO-Fragen: Abgrenzung Auftragsverarbeitung; Erforderlichkeit bei der Vertragsdurchführung; Vorliegen von Gesundheitsdaten

Posted on by

Das Verwaltungsgericht Mainz (VG) hat mit Urteil vom 20.02.2020 (Az. 1 K 467/19.MZ; noch nicht frei verfügbar; ich hoffe darauf, dass es nach Ostern frei verlinkbar ist; aktuelle Quelle: BeckRS 2020, 5397) einige sehr relevante Entscheidungen zu strittig diskutierten Fragen im Datenschutzrecht getroffen. In dem Urteil befasst sich das VG mit einer ganzen Variation aus praxisrelevanten Fragestellungen, deren Klärung für datenverarbeitende Stellen von großer Relevanz sind.

Sachverhalt

Der Kläger ist Tierarzt und klagte gegen eine datenschutzrechtliche Verwarnung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI).

Er schloss mit der Verrechnungsstelle für Tierärzte – VTX – einen Abrechnungsvertrag und eine Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO) ab. Danach kann der Kläger seine Abrechnungstätigkeit an den Verein delegieren, ohne dass dafür die ausdrückliche Einwilligung der Tierbesitzer, die ihr Tier bei ihm behandeln gelassen haben, erforderlich ist. Forderungen des Tierarztes gegen seine Patienten bzw. die Tierhalter sollen nach den Bestimmungen des Vertrags auf die VTX übertragen werden, wenn Verzug eingetreten ist und die VTX die Abtretung angenommen hat. Mit der Annahme der Abtretung wird die VTX Forderungsinhaberin.

Nach den Regelungen im Abrechnungsvertrags soll die VTX vor der Forderungsabtretung eine Auftragsverarbeitung durchführen, die in der Vereinbarung zur Auftragsverarbeitung näher ausgestaltet ist. Die Daten der Tierhalter werden für Abrechnungszwecke und die etwaige Durchsetzung von Forderungen der VTX übermittelt, bevor diese die Annahme einer Forderungsabtretung erklärt. Dieser Umstand ist für die Entscheidung des VG wichtig.

Nachdem ein Tierhalter eine Behandlungsrechnung nicht fristgemäß bezahlt hatte, stornierte der Kläger seine selbst erstellte Rechnung und übermittelte sie an die VTX zur Durchführung des Inkassos. Der Tierhalter hatte für diese Datenübermittlung keine Einwilligung erteilt und reichte eine Beschwerde bei dem LfDI ein, nachdem er von der VTX zur Zahlung aufgefordert worden war.

Nach der Anhörung des Klägers erging eine Verwarnung auf Grundlage von Art. 58 Abs. 2 lit. b DSGVO. Die Verwarnung (Ziffer 1 des Bescheids) wurde damit begründet, dass der Kläger personenbezogene Daten eines Tierhalters an die VTX übermittelt habe, obwohl die datenschutzrechtlichen Voraussetzungen dafür nicht vorgelegen hätten. Gleichzeitig wurde der Kläger darum gebeten mitzuteilen (Ziffer 2 des Bescheids), ob er zukünftig in vergleichbaren Fällen die Vorgaben des Datenschutzrechts beachten und nur mit vorheriger Einwilligung der Tierhalter deren Daten an die VTX übermitteln werde.

Hiergegen ging der Kläger mit einer Anfechtungsklage vor.

Bzgl. der unter Ziffer 2 des Bescheids vom Kläger geforderten Erklärung hat der LfDI Ziffer 2 der Verfügung im Rahmen der mündlichen Verhandlung aufgehoben.

Urteil

Das VG gab der Anfechtungsklage statt und hob den Bescheid des LfDI auf.

Verwarnung als Verwaltungsakt

Zunächst begründet das VG, dass es sich bei der angefochtenen Verwarnung um einen – zumindest feststellenden – Verwaltungsakt handelt. Mit der Verwarnung wird nämlich festgestellt, dass der Adressat gegen die DSGVO verstoßen hat. Mit der Verwarnung wird auch implizit ausgedrückt, dass sich der Adressat künftig datenschutzkonform verhalten soll.

Praktische Folge: Adressaten von Verwarnungen der Datenschutzbehörden können hiergegen gerichtlich vorgehen. Ein Widerspruch (also die Durchführung eines Vorverfahrens) muss und kann auch nicht eingelegt werden, da dieser nach § 20 Abs. 6 BDSG entbehrlich ist.

Datenübermittlung im Rahmen der Forderungsabtretung an VTX rechtmäßig

Danach befasst sich das VG mit der Datenweitergabe an VTX. Hierbei handelt es sich um eine Datenüberverarbeitung in Form der Übermittlung i.S.v. Art. 4 Nr. 2 DSGVO. Diese erfolgte rechtmäßig.

Keine Auftragsverarbeitung

Nach Ansicht des VG liegt hier aber keine Auftragsverarbeitung zwischen dem Tierarzt und VTX in der Phase vor der Forderungsabtretung vor.

Das VG begründet seine Ansicht zum einen mit der interessanten Erwägung, dass die Annahme der Parteien, wonach die Übermittlung der Daten vom Tierarzt zur Verrechnungs- und Inkassostelle vor der Forderungsabtretung als Auftragsverarbeitung zu bewerten wäre, einen Vertrag zu Lasten Dritter (gemeint sind wohl die betroffenen Personen) darstellen würde.

Dieses Vorgehen würde nämlich eine Umgehung der eigentlich anwendbaren Anforderungen der Art. 6 ff. DSGVO für eine Datenübermittlung an einen nicht weisungsgebundenen Dritten bedeuten.

Praktische Folge: geht man mit dieser Begründung mit, würde also eine „falsch“ abgeschlossene AVV gleichzeitig einen Vertrag zu Lasten Dritter darstellen.

Das VG geht weiter davon aus, dass die Übermittlung bereits tatbestandlich nicht als Auftragsverarbeitung zu bewerten ist. Gegen eine Auftragsverarbeitung und eine Weisungsgebundenheit der VTX spricht zunächst, dass die Abtretung – die nach der Vorstellung des Klägers den Wechsel von der Auftragsverarbeitung zur Datenverarbeitung der VTX als Verantwortliche bewirkt – letztlich auf einer freien Entscheidung der VTX beruht. Denn: Die Forderungsabtretung bedarf nach dem Vertrag zwingend der Annahmeerklärung der VTX.

Die von dem Kläger beabsichtigten weitreichenden datenschutzrechtlichen Veränderungen, die durch die Abtretung eingeleitet werden sollen, stehen damit nicht unter der Kontrolle des Verantwortlichen.

Das VG begründet seine Ansicht hier also vor allem mit der eigenen Entscheidungshoheit der VTX. Zwar habe der Tierarzt die Daten an die VTX möglicherweise zu einem Zeitpunkt übermittelt, als die Abtretung noch nicht wirksam war. Jedoch spreche gegen eine Auftragsverarbeitung, dass die VTX auch nach erfolgter Abtretung noch Zugriff auf die Daten habe. Hier ist die Begründung des VG meines Erachtens nicht mehr ganz konsistent. Zunächst wird noch allein auf die Phase vor der Abtretung abgestellt. Nun begründet das VG seine Ansicht aber auch mit der Nutzung der Daten nach der Abtretung.

Die VTX ist gegenüber dem betroffenen Tierhalter mit einer eigenen Rechnung über die Behandlungskosten in Erscheinung getreten. Diese Datenverarbeitung erfolgte nicht im Auftrag des Klägers, weil der Kläger gemäß dem Vertrag seine Forderungen gegenüber dem Tierhalter an die VTX abgetreten hat.

Die VTX kann als Zessionarin die Forderung gegenüber dem Tierhalter eigenständig durchsetzen und die ihr vorliegenden Daten selbständig und weisungsfrei verarbeiten. Weisungsbefugnisse des Klägers bestehen gegenüber der VTX nach erfolgter Abtretung auf Grundlage des Vertrages nicht.

Danach stellt das VG zurecht fest, dass, sofern die tatbestandlichen Voraussetzungen des Art. 28 DSGVO nicht erfüllt sind, es unerheblich sei, ob die VTX nach dem mit dem Kläger abgeschlossenen Abrechnungsvertrag im Zeitpunkt der Datenübermittlung als Auftragsverarbeiterin betrachtet werden soll. Es kommt also nach Ansicht des VG allein auf die faktischen Umstände der Datenverarbeitung an.

Praktische Folge: ob eine Auftragsverarbeitung anzunehmen ist, beurteilt sich allein nach den faktischen Gegebenheiten. Allein der Abschluss eines AVV ist noch kein Indiz für eine Auftragsverarbeitung.

Auslegung von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Da eine Übermittlung vorliegt, bedarf diese einer Rechtsgrundlage. Diese ist nach Ansicht des VG nach Art. 6 Abs. 1 lit. b DSGVO zulässig. Hier befasst sich das VG ausführlicher mit den Anforderungen dieser Erlaubnisnorm.

Praktische Folge: die Datenübermittlung im Rahmen einer Forderungsübertragung kann auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.

Zunächst stellt das VG richtigerweise klar, dass die in 6 Abs. 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig sind und sie gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste.

Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung.

Sodann geht das VG auf ein bisher durchaus diskutiertes Thema ein: wer kann sich auf die Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DSGVO berufen?

Der Vertrag, um dessen Erfüllung es geht, muss mit der Person, deren Daten verarbeitet werden, geschlossen worden sein.

Nicht erforderlich ist es, dass der Vertragspartner des Betroffenen und der die Daten verarbeitende Verantwortliche personenidentisch sind.

Daher geht das VG zurecht davon aus, dass auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO auch Datenverarbeitungen durch unbeteiligte Dritte legitimiert sind, die für die Erfüllung eines Vertrags, deren Partei der Betroffene ist, erforderlich sind.

Praktische Folge: auch Dienstleister, die datenschutzrechtliche als eigene Verantwortliche agieren und an der Vertragserfüllung mitwirken (jedoch nicht selbst Vertragspartner sind), können sich auf Art. 6 Abs. 1 lit. b DSGVO stützen (Bsp: Lieferanten, Spediteure, Handwerker).

Danach befasst sich das VG mit dem Merkmal der „Erforderlichkeit“ iRd Art. 6 Abs. 1 lit. b DSVGO. Eine Datenverarbeitung gemäß Art. 6 Abs. 1 lit. b DSGVO ist nur dann zulässig, wenn sie zu Vertragszwecken erforderlich ist.

Das VG geht davon aus, dass dies in der Regel der Fall ist, wenn die essentialia negotii des jeweiligen Vertrags betroffen sind. Das Gericht bezieht sich hier also ganz speziell auf die Mindestinhalte des Vertrages. Jedoch schließt die Auffassung des VG nicht andere Vertragsbestandteile als Basis der Verarbeitung aus. Denn das Gericht bezieht sich ausdrücklich nur regelhaft auf die essentialia negotii.

Danach führt das VG weiter aus:

Dabei werden an die Erforderlichkeit der Datenverarbeitung jedoch keine zu strengen Anforderungen gestellt: Eine Datenverarbeitung ist nicht erst dann zur Erfüllung des Vertrags erforderlich, wenn der Vertrag ohne die Datenverarbeitung gar nicht durchgeführt werden könnte; vielmehr reicht es aus, wenn die Datenverarbeitung objektiv sinnvoll im Hinblick auf den Vertragszweck ist.

Hier vertritt das VG (unter entsprechenden Verweisen in die Literatur) also eine weniger strenge Auffassung als etwa der EDSA in seiner Stellungnahme zu Art. 6 Abs. 1 lit. b DSGVO (die aktuell noch in der Entwurfsfassung vorliegt). „Erforderlich“ bedeutet nicht, dass die Datenverarbeitung zwingend stattfinden muss, damit der Vertrag durchgeführt werden kann. Es reiche aus, dass sie „objektiv sinnvoll“ mit Blick auf den Vertragszweck ist,

Praktische Folge: „erforderlich“ iSd Art. 6 Abs. 1 lit. b DSGVO darf nicht zu eng verstanden werden.

Auf den Fall bezogen, geht das Gericht von einer Erforderlichkeit der Datenübermittlung zur Durchführung des Vertrages aus. Der Tierhalter ist seiner Pflicht zur Zahlung des Rechnungsbetrages nicht innerhalb der Zahlungsfrist nachgekommen. Die Durchsetzung dieser Forderung dient dem Zweck des Behandlungsvertrags. Daher durften auch die für die Forderungsdurchsetzung durch das Inkassounternehmen erforderlichen Daten übermittelt werden.

Schließlich ist die Datenübermittlung notwendiges Mittel zum Zweck: Es geht darum, die fällige Forderung beim Schuldner eintreiben zu können.

Zweckänderung, Art. 6 Abs. 4 DSGVO?

Oft sieht man in gerichtlichen Entscheidungen zur DSGVO, dass die Möglichkeit einer zweckändernden Weiterverarbeitung von Daten gar nicht geprüft wird, obwohl dies nach den Umständen wohl zu erörtern wäre.

Das VG befasst sich hier, wenn auch kurz, mit diesem Thema: da sich der Vertragszweck durch die Forderungsabtretung nicht geändert habe, sei Art. 6 Abs. 4 DSGVO nicht einschlägig. Denn auch nach der Abtretung soll die vertragliche Hauptleistungspflicht des Tierhalters durchgesetzt und nicht etwa neue Ziele, wie zum Beispiel Werbezwecke, verfolgt werden.

Zur Not: Interessenabwägung, Art. 6 Abs. 1 lit. f DSGVO

Als alternative Rechtsgrundlage geht das VG auch noch auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ein. Jedenfalls sei die Datenübermittlung hier (auch) gemäß Art. 6 Abs. 1 lit. f DSGVO rechtmäßig.

Die Interessenabwägung falle hier zugunsten des Klägers aus. Die Übermittlung der Daten an die VTX war hier zur Wahrung seiner berechtigten Interessen erforderlich. Der Kläger hat als Tierarzt ein berechtigtes – rechtliches und wirtschaftliches – Interesse daran, dass seine tierärztlichen Leistungen von den jeweiligen Tierhaltern vergütet werden.

Sofern ein Tierhalter seiner vertraglichen Leistungspflicht nicht nachkommt, hat der Tierarzt darüber hinaus ein berechtigtes Interesse daran, seine vertragliche Forderung auch unter Zuhilfenahme Dritter durchzusetzen.

Überwiegende Interessen des betroffenen Tierhalters stehen diesem Interesse des Tierarztes nach Ansicht des VG richtigerweise nicht entgegen. Das VG begründet dies mit der Kausalität seines eigenen Verhaltens für die Verarbeitung.

Schließlich hat der Tierhalter durch die Verletzung seiner vertraglichen Zahlungspflicht selbst dazu beigetragen, dass die Datenübermittlung zur Forderungseinziehung erforderlich wurde.

Praktische Folge: Schuldner in Zahlungsverzug haben kein schutzwürdiges Interesse, dass offene Forderungen, auch unter Beteiligung Dritter, eingezogen werden.

Keine Verarbeitung von Gesundheitsdaten

Zum Abschluss schwenkt das VG noch kurz auf die Frage, ob denn hier evtl. Gesundheitsdaten nach Art. 9 DSGVO vorliegen.

Das Gericht geht davon aus, dass es sich bei den hier übermittelten Daten nicht um Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO handelt. Denn aus der Honorarrechnung, die der Kläger der VTX zur Forderungseinziehung übermittelt hat, ergeben sich nur Rückschlüsse auf die Gesundheit der Tiere. Dabei handelt es sich jedoch nicht um Daten, die die Gesundheit einer natürlichen Person betreffen.

Es scheint dann noch Thema gewesen zu sein, ob nicht doch Gesundheitsdaten vorliegen, weil es sich um Erkrankungen der Tiere gehandelt hat, die auf den Menschen und damit den betroffenen Tierhalter übergehen könnten. Dies haben die Beteiligten aber nicht vorgetragen.

Allein aufgrund der abstrakten Möglichkeit, dass aus Informationen über Tierbehandlungsverträge – wie Abrechnungsunterlagen – in besonderen Fällen Rückschlüsse auf die Gesundheit des Tierhalters gezogen werden können, werden diese noch nicht zu Gesundheitsdaten.

Praktische Folge: die abstrakte Möglichkeit, dass Gesundheitsdaten vorliegen könnten, reicht nicht aus, um deren Vorliegen nach Art. 9 DSVGO anzunehmen.

Fazit

Das VG Mainz entwickelt sich für mich in den letzten Monaten zu meinem Lieblings-DSGVO-Gericht. Einige Entscheidungen von dort sind wirklich interessant und auch gut begründet.

Zudem finde ich es sehr gut, dass hier der LfDI einen Verwaltungsakt erlassen hat, damit das VG diese wichtigen Fragen beurteilen konnte.

Inhaltlich halte ich die Begründung des VG, insbesondere was Art. 6 Abs. 1 lit. b DSGVO und Art. 9 DSGVO betrifft, für richtig.

Verwaltungsgericht Schleswig: Interne Übertragung der Aufgabe zur Erstellung eines Verarbeitungsverzeichnisses ist zulässig

Posted on by

Das Verwaltungsgericht (VG) Schleswig hat am 31.3.2020 entschieden (Beschl. v. 31.03.202012 B 79/19), dass die Übertagung der von einer öffentlichen Stelle nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation zulässig ist.

(Ja, mir ist bekannt, dass es unter der DSGVO nicht mehr „Verarbeitungsverzeichnis“ heißt; wenn ich aber stattdessen „Verzeichnis der Verarbeitungstätigkeiten“ in die Überschrift aufnehme, wird diese zu lang)

Sachverhalt

In dem Verfahren im Rahmen des vorläufigen Rechtsschutzes (Antrag auf Erlass einer einstweiligen Anordnung) ging ein Justizamtmann gegen die dienstliche Weisung an ihn vor, an einem Arbeitskreis zur DSGVO, der bei der Generalstaatsanwaltschaft eingerichtet wurde, teilzunehmen und die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO zu übernehmen. Zuvor war der Antragsteller gegenüber dem Generalstaatsanwalt als „Datenschutzverantwortlicher“ benannt worden.

Der Antragsteller ging davon aus, dass diese Weisung rechtswidrig sei, weil eine Tätigkeit als „Datenschutzverantwortlicher“ mit seiner Tätigkeit als Personalratsmitglied und als ständiger Vertreter der Personalratsvorsitzenden nicht vereinbar sei. Zudem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein.

Entscheidung

Das VG lehnte den Antrag als unbegründet ab.

Zunächst stellte das VG zurecht ein paar datenschutzrechtliche Begrifflichkeiten klar.

Die anfängliche Formulierung der Antragsgegnerin, nach der dem Antragsteller die Position als „Datenschutzverantwortlicher“ (vollumfänglich) übertragen werden sollte, dürfte schon aufgrund der Unbestimmtheit nicht zulässig sein.

Sodann führt das VG zu den rechtlichen Möglichkeiten der Übertragung von Pflichten nach der DSGVO aus.

Außerdem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein, wie der Personalrat mit seinem Schreiben vom 19. Dezember 2019 zutreffend ausführte.

Nach zutreffender Ansicht des VG ist „Datenschutzverantwortlicher“ (nicht gemeint war hier der Datenschutzbeauftragte) nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die Letztverantwortung muss damit bei Behörde selbst als juristischer Person bleiben und kann nicht etwa zur Gänze wie die Position des Datenschutzbeauftragten i.S.v. Art. 37 DSGVO einem Beamten übertragen werden.

Jedoch konkretisierte die Antragsgegnerin die dem Antragsteller übertragenen Aufgaben nachträglich dahingehend, dass mit den übertragenen Aufgaben

  • die Teilnahme an einem Arbeitskreis bei der Generalstaatsanwaltschaft und
  • die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO gemeint seien.

Die Antragsgegnerin bezog sich hierbei anscheinend auch auf einen Beschluss der DSK, in dem die Empfehlung ausgesprochen wurde, „durch eine allgemeine Aufbauorganisation sicherzustellen, dass im Innenverhältnis die Anwendung des Datenschutzrechts in der Behörde organisiert und gewährleistet wird“.

Aus Sicht des VG bleibt daher die Antragsgegnerin (also die öffentliche Stelle) die eigentliche Verantwortliche, da sie die Verfügungsgewalt über die erhobenen Daten besitzt.

Die Übertagung der von der Antragsgegnerin nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation ist dagegen zulässig.

Gerade diese letzte Einschätzung des VG ist meines Erachtens auch für den privatwirtschaftlichen Bereich relevant. Es ist innerbetrieblich möglich (und rein faktisch oft anders gar nicht handhabbar), dass die Aufgabenerfüllung von der Führungsebene nach unten delegiert und bestimmten Personen übertragen wird. Wichtig zu beachten ist, dass nicht die gesetzliche Pflicht an sich übertragen werden kann, sondern nur die Aufgabe, bei der Erfüllung dieser Pflicht zu unterstützen.

Fazit

Die Entscheidung des VG ist meines Erachtens richtig und spiegelt auch die tatsächlichen Gegebenheiten in der Praxis wider, wenn man DSGVO-Anforderungen in größeren Einheiten umsetzen möchte. Dies erfordert eine arbeitsteilige Erledigung der verschiedenen Aufgaben. Intern kann eine solche Aufgabe dann im Rahmen des Weisungsrechts auch an Angestellte übertragen werden. Datenschutzrechtlich verpflichtet bleibt aber allein der Verantwortliche (oder Auftragsverarbeiter).