Landgericht Stuttgart: zur Zulässigkeit von Briefwerbung und eine Blacklist für Werbewidersprüche nach der DSGVO

Das LG Stuttgart hat mit Urteil vom 25.02.2022 (Az. 17 O 807/21; derzeit nur bei BeckOnline abrufbar, BeckRS 2022, 4821) einige praxisrelevante Fragen rund um die Brief-/Postwerbung behandelt. Unter anderem ging es um die Zulässigkeit von Postwerbung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO und die Frage, ob eine Speicherung von personenbezogenen Daten auf einer Blacklist, zur Umsetzung von Werbewidersprüchen, möglich ist.

Sachverhalt

Der Kläger macht gegen die Beklagte Ansprüche wegen behaupteter Verletzung seiner Rechte aus der DSGVO geltend. Der Kläger erhielt an seiner Wohnanschrift postalische Werbung für Produkte einer Versicherung. Dies Werbung wurde nicht von der Versicherung direkt, sondern von der Beklagten als Dienstleisterin für Werbetreibende versendet. Der Kläger machte gegenüber der Beklagten von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch und forderte die Beklagte auf, ihm Auskunft zur Verwendung seiner Daten zu erteilen sowie die bei der Beklagten vorhandenen personenbezogenen Daten des Klägers zu löschen.

In der Folge erhob der Kläger außergerichtlich Schadensersatzansprüche wegen Verletzung seiner Rechte aus der DSGVO (Art. 82 DSGVO). Der Kläger ist der Ansicht, dass die Beklagte gegen das Recht auf Löschung seiner Daten nach Art. 17 DSGVO verstoßen habe, nachdem sie diese nicht vollständig gelöscht (Sperrung) habe. Zudem ist der Kläger der Auffassung, dass persönlich adressierte Briefsendungen als Form der Direktwerbung hier nicht zulässig waren. Denn Direktwerbung setze nach Art. 6 Abs. 1 lit. f) DSGVO eine bereits bestehende Kundenbeziehung voraus, weil sie nur dann im berechtigten Interesse des Verantwortlichen liege.

Urteil

Das LG wies die Klage ab. Der Kläger habe gegen die Beklagte wegen der Zusendung der streitgegenständlichen Werbeschreibens keinen Schadensersatzanspruch aus Art. 82 DSGVO, denn es liege kein Verstoß gegen die DSGVO vor. Insbesondere war die Zusendung der Werbeschreiben und die dem zugrunde liegende Verarbeitung seiner Adressdaten rechtmäßig im Sinne von Art. 6 Abs. 1 f) DSGVO.

Rechtsgrundlage, Art. 6 Abs. 1 lit. f) DSGVO

Das Gericht geht davon aus, dass die Beklagte als datenschutzrechtlich Verantwortliche ihre Interessen und die ihres Kunden (eines Dritten) an der Werbemaßnahmen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO anführen kann. Die Verarbeitung der Kontaktdaten war zur Erreichung dieses Interesses auch erforderlich.

Die Beklagte habe

dargelegt, dass Werbebriefe wie der vorliegende ein notwendiges Mittel sind, um einerseits Bestandskunden zu pflegen, andererseits aber auch – wie hier – Neukunden zu gewinnen“.

Zudem überwiegen die Interessen des Klägers nicht die berechtigten Interessen der Beklagten bzw. die Interessen der (Werbe-) Kundin. Das LG stellt hier deutlich heraus, dass die Interessen des Betroffenen überwiegen müssen.

Bei gleichwertigen Interessen („non liquet“) darf eine Verarbeitung also stattfinden

Zudem sehe die DSGVO das Interesse der Wirtschaft an Direktwerbung als schutzwürdig an. Das LG verweist auf ErwG 47. Zwar sei damit noch nicht gesagt, dass jeder Fall der Direktwerbung gerechtfertigt ist. Allerdings lasse sich dem Erwägungsgrund entnehmen, dass die Beklagte und ihre Werbekunden hieran ein berechtigtes Interesse haben, dem gegenüber widerstreitende Interessen des Klägers überwiegen müssen.

Das LG konkretisiert in diesem Zusammenhang, was unter „Direktwerbung“ zu verstehen sei. Unter Direktwerbung im Sinne des Erwägungsgrundes sei

jede unmittelbare Ansprache der betroffenen Person etwa durch Zusendung von Briefen oder Prospekten, durch Telefonanrufe, E-Mails oder Übermittlung von SMS zu verstehen, unabhängig davon, ob zwischen Werbendem und Betroffenem zuvor ein Kundenverhältnis bestanden hat.“

Zudem lehnt das LG die Ansicht des Klägers ab. Der Wortlaut der Vorschrift setze kein bereits bestehendes Kundenverhältnis der Parteien voraus. „Direktwerbung“ betrifft also vor allem auch die Neukundenwerbung.

Zulässigkeit der Datenverarbeitung für Werbewiderspruch

Praxisrelevant ist auch die Ansicht des LG zu der Zulässigkeit der Datenverarbeitung zur Umsetzung eines Werbewiderspruchs. Der Kläger ging hier davon aus, dass die Beklagte zum Umsetzung seines Widerspruchs keine Daten verarbeiten durfte. Auch dieser Ansicht schließt sich das LG nicht an und liefert die passende Rechtsgrundlage.

Soweit die Beklagte die Daten des Klägers noch zum Zwecke der Berücksichtigung des Widerspruchs des Klägers vorhält, ist dies nach Art. 6 Abs. 1 lit. c) DS-GVO gerechtfertigt.

Fazit

Die Entscheidung des LG ist unter mehreren Gesichtspunkten praxisrelevant. Zum einen stärkt sie die grundsätzliche Zulässigkeit von Briefwerbung unter der DSGVO, die 1) ohne Einwilligung und 2) ohne das Erfordernis einer Kundenbeziehung zulässig ist. Zum andern bestätigt das Gericht die vormalige Rechtsprechung des BGH (unter altem BDSG) zur Zulässigkeit der Datenverarbeitung für die Umsetzung eines Werbewiderspruchs. Auf dieser Grundlage dürfte also etwa eine Blacklist geführt werden.

Online-Terminvereinbarung in Arztpraxen – Anforderungen des ULD

In seinem aktuellen Tätigkeitsbericht 2021 stellt das ULD Schleswig-Holstein u.a. auch seine Ansicht zu den datenschutzrechtlichen Anforderungen beim Einsatz von Terminbuchungssoftware bzw. -dienstleistern im medizinischen Bereich vor (ab S. 52).

Zum Ersten stört sich das ULD daran, dass zwar eine Terminbuchung auf einer solchen Plattform verschlüsselt möglich ist, jedoch die Antwort oft unverschlüsselt erfolgt. Ich vermute, dass ULD meint hier vor allem eine auf Webseiten eingesetzte TLS-Verschlüsselung bei der Übertragung der Daten. Jedoch merkt das ULD kritisch an, dass die Antwort per unverschlüsselter E-Mail an Patienten erfolge. Nach Ansicht des ULD genügt dies wohl nicht den Anforderungen des Art. 32 DSGVO (richtig deutlich wird es im Bericht aber nicht).

Praktisch relevant für Arztpraxen und andere Institutionen im Gesundheitsbereich ist der Hinweis des ULD, dass die „Verantwortung“ für die sichere Übermittlung der Arzt trage.

„Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass Unbefugte keine Kenntnis davon erhalten, wann wer warum in der Praxis einen Termin hat.“

An dieser Feststellung ist sicher richtig, dass der Arzt oder etwa ein Krankenhaus als Verantwortlicher nach Art. 32 DSGVO verpflichtet ist. Doch muss man auch darauf hinweisen, dass ein eingesetzter Auftragsverarbeiter (z.B. der Dienstleister für die Buchung von Online-Terminen) originäre Pflichten nach Art. 32 DSGVO bzgl. der Sicherheit der Verarbeitung hat. In der Konsequenz bedeutet dies nach Art. 82 Abs. 2 S. 2 DSGVO auch, dass ein Auftragsverarbeiter gegenüber Betroffenen selbst für Verstöße auf Schadensersatz haften kann. Natürlich könnte aber etwa das ULD dennoch überlegen, in einem solchen Fall ein Bußgeld gegen den Verantwortlichen zu verhängen, etwa mit der Begründung, er habe den Dienstleister nicht ordentlich ausgewählt oder die technischen Maßnahmen des Dienstleisters akzeptiert.

Zum Zweiten geht das ULD davon aus, dass der Einsatz solcher externen Dienstleister für Terminbuchungen „regelhaft“ eine Auftragsverarbeitung darstellen wird. Und hieraus ergeben sich für das ULD zwei Anforderungen, die ich so jedoch aus der DSGVO nicht herauslese und hinsichtlich derer man daher zumindest auch anderer Ansicht sein kann.

Zum einen verlangt das ULD tatsächlich, dass „ein schriftlicher Auftragsverarbeitungsvertrag abgeschlossen wurde“. Nur dann sei die Auftragsverarbeitung zulässig. Diese Ansicht widerspricht klar den Vorgaben der DSGVO, konkret Art. 28 Abs. 9 DSGVO. Danach ist der Vertrag zwar schriftlich abzufassen, was aber auch in einem elektronischen Format erfolgen kann. Bedeutet (auch nach Ansicht anderer Behörden): Auftragsverarbeitungsverträge können auch elektronisch (zB per PDF und E-Mail Versand) abgeschlossen werden.

Zum anderen verlangt das ULD, dass die bei dem Dienstleister tätigen Personen „auf das Datengeheimnis verpflichtet“ wurden. Zumindest formell muss diesbezüglich angemerkt werden, dass die DSGVO den Begriff „Datengeheimnis“ nicht kennt. Nach Art. 28 Abs. 3 lit. b DSGVO müssen bei dem Dienstleister tätige Personen auf Vertraulichkeit verpflichtet worden sein. Jedoch kann man festhalten, dass sich der Inhalt des früheren Datengeheimnisses nach § 5 BDSG aF, also das Verbot der unrechtmäßigen Verarbeitung, in verschiedenen Regelungen der DSGVO wiederfindet. Mehr Informationen und Empfehlungen hierzu, hatte ich einmal in den BVD News niedergeschrieben (PDF, S. 16). Das in § 53 BDSG erwähnte „Datengeheimnis“ spielt hier keine Rolle, da die Vorschrift eine Umsetzung der JIRL darstellt und nicht in den Anwendungsbereich der DSGVO fällt.

Landgericht Landshut: Keine Schadensersatzansprüche nach Art. 82 gegen den Datenschutzbeauftragten

Das Landgericht (LG) Landshut hatte über mögliche Schadenersatzansprüche wegen vorgebrachter Verstöße gegen die DSGVO zu entscheiden. In dem Verfahren machte ein Wohnungseigentümer Ansprüche sowohl gegen die Hausverwaltung als auch gegen den (externen) Datenschutzbeauftragten der Hausverwaltung geltend. Das LG wiese die Klage mit Endurteil vom v. 06.11.2020 – 51 O 513/20 als unbegründet ab.

Sachverhalt

Der Kläger ist Eigentümer der Eigentumswohnung und die Beklagte zu 1) die bis 31.12.2019 zuständige Hausverwaltung. Der Beklagte zu 2) ist der von der Beklagten zu 1) eingesetzte externer Datenschutzbeauftragte.

In der Wohnanlage gab es einen Legionellenbefall, von dem auch die streitgegenständliche Wohnung des Klägers betroffen war. Die Hausverwaltung wurde zu einer Eigentümerversammlung auch eine Tagesordnung an alle Wohnungseigentümer versendet. Dort wurde auch das Thema des Legionellenbefalls angesprochen, sowie die betroffenen Wohnungen und Eigentümer genannt. Hierin sah der Wohnungseigentümer einen Verstoß gegen Art. 6 DSGVO.

Entscheidung

Das LG wies die Klage als unbegründet ab.

Nach Ansicht des Gerichts lag hier durch die Nennung der Wohnung des Klägers sowie die Nennung des Namens des Klägers als Eigentümer der Wohnung kein Verstoß gegen die Vorgaben der DSGVO vor.

Zudem äußert sich das LG daneben auch zu einem möglichen Schadensersatzanspruch. Materielle Schäden wurden vom Kläger weder substantiiert vorgetragen noch belegt. Daher scheide ein solcher Anspruch auf Grundlage von Art. 82 DSGVO aus.

Auch einen Anspruch auf Ersatz eines immateriellen Schadens lehnt das LG ab. Art. 82 Abs. 1 DSGVO sehe zwar eine Erstattungspflicht für immaterielle Schäden vor. Diese Pflicht sei auch nicht nur auf schwere Schäden beschränkt.

Allein die Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen“.

Vielmehr, so das LG, muss die Verletzungshandlung in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben.

Und zuletzt äußert sich das LG auch zu einem möglichen Schadensersatzanspruch gegen den externen Datenschutzbeauftragten der Hausverwaltung. Zurecht lehnt das LG diesen auf der Grundlage von Art. 82 DSGVO ab.

Der Beklagte zu 2) ist als Datenschutzbeauftragter nicht „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO. Verantwortlicher für Verarbeitung von personenbezogenen Daten im datenschutzrechtlichen Sinne war bezüglich der Versendung der Tagesordnung nur die Beklagte zu 1).“

Das LG wendet hier richtigerweise also „stur“ Art. 82 Abs. 1 DSGVO an. Danach besteht der Anspruch auf Schadensersatz „gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Der Datenschutzbeauftragte ist aber keines von beiden. Nur, weil er für einen Verantwortlichen oder Auftragsverarbeiter tätig ist, tritt er nicht in dessen Pflichten nach der DSGVO ein.

Fazit

Natürlich sollte man als DSB beachten, dass man nicht im haftungsfreien Raum agiert. Es können, etwa bei rechtlicher Falschberatung, zB Ansprüche des Auftraggebers im Raum stehen. Jedoch zeigt das Urteil, dass der DSB nicht als Haftungssubjekt neben dem Verantwortlichen für Schadensersatzansprüche zur Verfügung steht.

The role of „Convention No. 108” and “Convention No. 108+” as part of the examination of the level of protection in third countries under the GDPR

Following the decision of the European Court of Justice in the Schrems II case (C-311/18), it is becoming increasingly clear that the content of this ruling by no means only affects data transfers to the USA. In the absence of an adequacy finding by the European Commission, the ECJ requires data exporters to assess whether an equivalent level of protection for personal data exists in the respective third country prior to the transfer.

The question arises as to what significance Convention No. 108 and No. 108+ (one speaks of „No. 108+“ since the old Convention was adapted in 2018) of the Council of Europe for the Protection of Individuals with regard to Automatic Processing of Personal Data (Convention No. 108) plays in the examination of the level of protection in third countries that are party to this international agreement. My colleague Philipp Quiel and I have considered this issue in greater depth and compared the requirements of the GDPR for an „equivalent level of protection“ with the provisions of Convention No. 108+. The article can be downloaded here (PDF).

Verwaltungsgericht Mainz mit einer wichtigen Entscheidung zu vielen strittigen DSGVO-Fragen: Abgrenzung Auftragsverarbeitung; Erforderlichkeit bei der Vertragsdurchführung; Vorliegen von Gesundheitsdaten

Das Verwaltungsgericht Mainz (VG) hat mit Urteil vom 20.02.2020 (Az. 1 K 467/19.MZ; noch nicht frei verfügbar; ich hoffe darauf, dass es nach Ostern frei verlinkbar ist; aktuelle Quelle: BeckRS 2020, 5397) einige sehr relevante Entscheidungen zu strittig diskutierten Fragen im Datenschutzrecht getroffen. In dem Urteil befasst sich das VG mit einer ganzen Variation aus praxisrelevanten Fragestellungen, deren Klärung für datenverarbeitende Stellen von großer Relevanz sind.

Sachverhalt

Der Kläger ist Tierarzt und klagte gegen eine datenschutzrechtliche Verwarnung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI).

Er schloss mit der Verrechnungsstelle für Tierärzte – VTX – einen Abrechnungsvertrag und eine Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO) ab. Danach kann der Kläger seine Abrechnungstätigkeit an den Verein delegieren, ohne dass dafür die ausdrückliche Einwilligung der Tierbesitzer, die ihr Tier bei ihm behandeln gelassen haben, erforderlich ist. Forderungen des Tierarztes gegen seine Patienten bzw. die Tierhalter sollen nach den Bestimmungen des Vertrags auf die VTX übertragen werden, wenn Verzug eingetreten ist und die VTX die Abtretung angenommen hat. Mit der Annahme der Abtretung wird die VTX Forderungsinhaberin.

Nach den Regelungen im Abrechnungsvertrags soll die VTX vor der Forderungsabtretung eine Auftragsverarbeitung durchführen, die in der Vereinbarung zur Auftragsverarbeitung näher ausgestaltet ist. Die Daten der Tierhalter werden für Abrechnungszwecke und die etwaige Durchsetzung von Forderungen der VTX übermittelt, bevor diese die Annahme einer Forderungsabtretung erklärt. Dieser Umstand ist für die Entscheidung des VG wichtig.

Nachdem ein Tierhalter eine Behandlungsrechnung nicht fristgemäß bezahlt hatte, stornierte der Kläger seine selbst erstellte Rechnung und übermittelte sie an die VTX zur Durchführung des Inkassos. Der Tierhalter hatte für diese Datenübermittlung keine Einwilligung erteilt und reichte eine Beschwerde bei dem LfDI ein, nachdem er von der VTX zur Zahlung aufgefordert worden war.

Nach der Anhörung des Klägers erging eine Verwarnung auf Grundlage von Art. 58 Abs. 2 lit. b DSGVO. Die Verwarnung (Ziffer 1 des Bescheids) wurde damit begründet, dass der Kläger personenbezogene Daten eines Tierhalters an die VTX übermittelt habe, obwohl die datenschutzrechtlichen Voraussetzungen dafür nicht vorgelegen hätten. Gleichzeitig wurde der Kläger darum gebeten mitzuteilen (Ziffer 2 des Bescheids), ob er zukünftig in vergleichbaren Fällen die Vorgaben des Datenschutzrechts beachten und nur mit vorheriger Einwilligung der Tierhalter deren Daten an die VTX übermitteln werde.

Hiergegen ging der Kläger mit einer Anfechtungsklage vor.

Bzgl. der unter Ziffer 2 des Bescheids vom Kläger geforderten Erklärung hat der LfDI Ziffer 2 der Verfügung im Rahmen der mündlichen Verhandlung aufgehoben.

Urteil

Das VG gab der Anfechtungsklage statt und hob den Bescheid des LfDI auf.

Verwarnung als Verwaltungsakt

Zunächst begründet das VG, dass es sich bei der angefochtenen Verwarnung um einen – zumindest feststellenden – Verwaltungsakt handelt. Mit der Verwarnung wird nämlich festgestellt, dass der Adressat gegen die DSGVO verstoßen hat. Mit der Verwarnung wird auch implizit ausgedrückt, dass sich der Adressat künftig datenschutzkonform verhalten soll.

Praktische Folge: Adressaten von Verwarnungen der Datenschutzbehörden können hiergegen gerichtlich vorgehen. Ein Widerspruch (also die Durchführung eines Vorverfahrens) muss und kann auch nicht eingelegt werden, da dieser nach § 20 Abs. 6 BDSG entbehrlich ist.

Datenübermittlung im Rahmen der Forderungsabtretung an VTX rechtmäßig

Danach befasst sich das VG mit der Datenweitergabe an VTX. Hierbei handelt es sich um eine Datenüberverarbeitung in Form der Übermittlung i.S.v. Art. 4 Nr. 2 DSGVO. Diese erfolgte rechtmäßig.

Keine Auftragsverarbeitung

Nach Ansicht des VG liegt hier aber keine Auftragsverarbeitung zwischen dem Tierarzt und VTX in der Phase vor der Forderungsabtretung vor.

Das VG begründet seine Ansicht zum einen mit der interessanten Erwägung, dass die Annahme der Parteien, wonach die Übermittlung der Daten vom Tierarzt zur Verrechnungs- und Inkassostelle vor der Forderungsabtretung als Auftragsverarbeitung zu bewerten wäre, einen Vertrag zu Lasten Dritter (gemeint sind wohl die betroffenen Personen) darstellen würde.

Dieses Vorgehen würde nämlich eine Umgehung der eigentlich anwendbaren Anforderungen der Art. 6 ff. DSGVO für eine Datenübermittlung an einen nicht weisungsgebundenen Dritten bedeuten.

Praktische Folge: geht man mit dieser Begründung mit, würde also eine „falsch“ abgeschlossene AVV gleichzeitig einen Vertrag zu Lasten Dritter darstellen.

Das VG geht weiter davon aus, dass die Übermittlung bereits tatbestandlich nicht als Auftragsverarbeitung zu bewerten ist. Gegen eine Auftragsverarbeitung und eine Weisungsgebundenheit der VTX spricht zunächst, dass die Abtretung – die nach der Vorstellung des Klägers den Wechsel von der Auftragsverarbeitung zur Datenverarbeitung der VTX als Verantwortliche bewirkt – letztlich auf einer freien Entscheidung der VTX beruht. Denn: Die Forderungsabtretung bedarf nach dem Vertrag zwingend der Annahmeerklärung der VTX.

Die von dem Kläger beabsichtigten weitreichenden datenschutzrechtlichen Veränderungen, die durch die Abtretung eingeleitet werden sollen, stehen damit nicht unter der Kontrolle des Verantwortlichen.

Das VG begründet seine Ansicht hier also vor allem mit der eigenen Entscheidungshoheit der VTX. Zwar habe der Tierarzt die Daten an die VTX möglicherweise zu einem Zeitpunkt übermittelt, als die Abtretung noch nicht wirksam war. Jedoch spreche gegen eine Auftragsverarbeitung, dass die VTX auch nach erfolgter Abtretung noch Zugriff auf die Daten habe. Hier ist die Begründung des VG meines Erachtens nicht mehr ganz konsistent. Zunächst wird noch allein auf die Phase vor der Abtretung abgestellt. Nun begründet das VG seine Ansicht aber auch mit der Nutzung der Daten nach der Abtretung.

Die VTX ist gegenüber dem betroffenen Tierhalter mit einer eigenen Rechnung über die Behandlungskosten in Erscheinung getreten. Diese Datenverarbeitung erfolgte nicht im Auftrag des Klägers, weil der Kläger gemäß dem Vertrag seine Forderungen gegenüber dem Tierhalter an die VTX abgetreten hat.

Die VTX kann als Zessionarin die Forderung gegenüber dem Tierhalter eigenständig durchsetzen und die ihr vorliegenden Daten selbständig und weisungsfrei verarbeiten. Weisungsbefugnisse des Klägers bestehen gegenüber der VTX nach erfolgter Abtretung auf Grundlage des Vertrages nicht.

Danach stellt das VG zurecht fest, dass, sofern die tatbestandlichen Voraussetzungen des Art. 28 DSGVO nicht erfüllt sind, es unerheblich sei, ob die VTX nach dem mit dem Kläger abgeschlossenen Abrechnungsvertrag im Zeitpunkt der Datenübermittlung als Auftragsverarbeiterin betrachtet werden soll. Es kommt also nach Ansicht des VG allein auf die faktischen Umstände der Datenverarbeitung an.

Praktische Folge: ob eine Auftragsverarbeitung anzunehmen ist, beurteilt sich allein nach den faktischen Gegebenheiten. Allein der Abschluss eines AVV ist noch kein Indiz für eine Auftragsverarbeitung.

Auslegung von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Da eine Übermittlung vorliegt, bedarf diese einer Rechtsgrundlage. Diese ist nach Ansicht des VG nach Art. 6 Abs. 1 lit. b DSGVO zulässig. Hier befasst sich das VG ausführlicher mit den Anforderungen dieser Erlaubnisnorm.

Praktische Folge: die Datenübermittlung im Rahmen einer Forderungsübertragung kann auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.

Zunächst stellt das VG richtigerweise klar, dass die in 6 Abs. 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig sind und sie gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste.

Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung.

Sodann geht das VG auf ein bisher durchaus diskutiertes Thema ein: wer kann sich auf die Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DSGVO berufen?

Der Vertrag, um dessen Erfüllung es geht, muss mit der Person, deren Daten verarbeitet werden, geschlossen worden sein.

Nicht erforderlich ist es, dass der Vertragspartner des Betroffenen und der die Daten verarbeitende Verantwortliche personenidentisch sind.

Daher geht das VG zurecht davon aus, dass auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO auch Datenverarbeitungen durch unbeteiligte Dritte legitimiert sind, die für die Erfüllung eines Vertrags, deren Partei der Betroffene ist, erforderlich sind.

Praktische Folge: auch Dienstleister, die datenschutzrechtliche als eigene Verantwortliche agieren und an der Vertragserfüllung mitwirken (jedoch nicht selbst Vertragspartner sind), können sich auf Art. 6 Abs. 1 lit. b DSGVO stützen (Bsp: Lieferanten, Spediteure, Handwerker).

Danach befasst sich das VG mit dem Merkmal der „Erforderlichkeit“ iRd Art. 6 Abs. 1 lit. b DSVGO. Eine Datenverarbeitung gemäß Art. 6 Abs. 1 lit. b DSGVO ist nur dann zulässig, wenn sie zu Vertragszwecken erforderlich ist.

Das VG geht davon aus, dass dies in der Regel der Fall ist, wenn die essentialia negotii des jeweiligen Vertrags betroffen sind. Das Gericht bezieht sich hier also ganz speziell auf die Mindestinhalte des Vertrages. Jedoch schließt die Auffassung des VG nicht andere Vertragsbestandteile als Basis der Verarbeitung aus. Denn das Gericht bezieht sich ausdrücklich nur regelhaft auf die essentialia negotii.

Danach führt das VG weiter aus:

Dabei werden an die Erforderlichkeit der Datenverarbeitung jedoch keine zu strengen Anforderungen gestellt: Eine Datenverarbeitung ist nicht erst dann zur Erfüllung des Vertrags erforderlich, wenn der Vertrag ohne die Datenverarbeitung gar nicht durchgeführt werden könnte; vielmehr reicht es aus, wenn die Datenverarbeitung objektiv sinnvoll im Hinblick auf den Vertragszweck ist.

Hier vertritt das VG (unter entsprechenden Verweisen in die Literatur) also eine weniger strenge Auffassung als etwa der EDSA in seiner Stellungnahme zu Art. 6 Abs. 1 lit. b DSGVO (die aktuell noch in der Entwurfsfassung vorliegt). „Erforderlich“ bedeutet nicht, dass die Datenverarbeitung zwingend stattfinden muss, damit der Vertrag durchgeführt werden kann. Es reiche aus, dass sie „objektiv sinnvoll“ mit Blick auf den Vertragszweck ist,

Praktische Folge: „erforderlich“ iSd Art. 6 Abs. 1 lit. b DSGVO darf nicht zu eng verstanden werden.

Auf den Fall bezogen, geht das Gericht von einer Erforderlichkeit der Datenübermittlung zur Durchführung des Vertrages aus. Der Tierhalter ist seiner Pflicht zur Zahlung des Rechnungsbetrages nicht innerhalb der Zahlungsfrist nachgekommen. Die Durchsetzung dieser Forderung dient dem Zweck des Behandlungsvertrags. Daher durften auch die für die Forderungsdurchsetzung durch das Inkassounternehmen erforderlichen Daten übermittelt werden.

Schließlich ist die Datenübermittlung notwendiges Mittel zum Zweck: Es geht darum, die fällige Forderung beim Schuldner eintreiben zu können.

Zweckänderung, Art. 6 Abs. 4 DSGVO?

Oft sieht man in gerichtlichen Entscheidungen zur DSGVO, dass die Möglichkeit einer zweckändernden Weiterverarbeitung von Daten gar nicht geprüft wird, obwohl dies nach den Umständen wohl zu erörtern wäre.

Das VG befasst sich hier, wenn auch kurz, mit diesem Thema: da sich der Vertragszweck durch die Forderungsabtretung nicht geändert habe, sei Art. 6 Abs. 4 DSGVO nicht einschlägig. Denn auch nach der Abtretung soll die vertragliche Hauptleistungspflicht des Tierhalters durchgesetzt und nicht etwa neue Ziele, wie zum Beispiel Werbezwecke, verfolgt werden.

Zur Not: Interessenabwägung, Art. 6 Abs. 1 lit. f DSGVO

Als alternative Rechtsgrundlage geht das VG auch noch auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ein. Jedenfalls sei die Datenübermittlung hier (auch) gemäß Art. 6 Abs. 1 lit. f DSGVO rechtmäßig.

Die Interessenabwägung falle hier zugunsten des Klägers aus. Die Übermittlung der Daten an die VTX war hier zur Wahrung seiner berechtigten Interessen erforderlich. Der Kläger hat als Tierarzt ein berechtigtes – rechtliches und wirtschaftliches – Interesse daran, dass seine tierärztlichen Leistungen von den jeweiligen Tierhaltern vergütet werden.

Sofern ein Tierhalter seiner vertraglichen Leistungspflicht nicht nachkommt, hat der Tierarzt darüber hinaus ein berechtigtes Interesse daran, seine vertragliche Forderung auch unter Zuhilfenahme Dritter durchzusetzen.

Überwiegende Interessen des betroffenen Tierhalters stehen diesem Interesse des Tierarztes nach Ansicht des VG richtigerweise nicht entgegen. Das VG begründet dies mit der Kausalität seines eigenen Verhaltens für die Verarbeitung.

Schließlich hat der Tierhalter durch die Verletzung seiner vertraglichen Zahlungspflicht selbst dazu beigetragen, dass die Datenübermittlung zur Forderungseinziehung erforderlich wurde.

Praktische Folge: Schuldner in Zahlungsverzug haben kein schutzwürdiges Interesse, dass offene Forderungen, auch unter Beteiligung Dritter, eingezogen werden.

Keine Verarbeitung von Gesundheitsdaten

Zum Abschluss schwenkt das VG noch kurz auf die Frage, ob denn hier evtl. Gesundheitsdaten nach Art. 9 DSGVO vorliegen.

Das Gericht geht davon aus, dass es sich bei den hier übermittelten Daten nicht um Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO handelt. Denn aus der Honorarrechnung, die der Kläger der VTX zur Forderungseinziehung übermittelt hat, ergeben sich nur Rückschlüsse auf die Gesundheit der Tiere. Dabei handelt es sich jedoch nicht um Daten, die die Gesundheit einer natürlichen Person betreffen.

Es scheint dann noch Thema gewesen zu sein, ob nicht doch Gesundheitsdaten vorliegen, weil es sich um Erkrankungen der Tiere gehandelt hat, die auf den Menschen und damit den betroffenen Tierhalter übergehen könnten. Dies haben die Beteiligten aber nicht vorgetragen.

Allein aufgrund der abstrakten Möglichkeit, dass aus Informationen über Tierbehandlungsverträge – wie Abrechnungsunterlagen – in besonderen Fällen Rückschlüsse auf die Gesundheit des Tierhalters gezogen werden können, werden diese noch nicht zu Gesundheitsdaten.

Praktische Folge: die abstrakte Möglichkeit, dass Gesundheitsdaten vorliegen könnten, reicht nicht aus, um deren Vorliegen nach Art. 9 DSVGO anzunehmen.

Fazit

Das VG Mainz entwickelt sich für mich in den letzten Monaten zu meinem Lieblings-DSGVO-Gericht. Einige Entscheidungen von dort sind wirklich interessant und auch gut begründet.

Zudem finde ich es sehr gut, dass hier der LfDI einen Verwaltungsakt erlassen hat, damit das VG diese wichtigen Fragen beurteilen konnte.

Inhaltlich halte ich die Begründung des VG, insbesondere was Art. 6 Abs. 1 lit. b DSGVO und Art. 9 DSGVO betrifft, für richtig.

Bundeskartellamt erlasst Untersagungsverfügung gegen Facebook – Warum das Vorgehen der Behörde datenschutzrechtlich kritisch betrachtet werden muss

Ist der Umgang von Facebook Inc. u.a. mit personenbezogenen Daten ein Konditionsmissbrauch gemäß § 19 Abs. 1 GWB wegen unangemessener Datenverarbeitung? Dieser Frage ging das Bundeskartellamt in dem aktuell nun zunächst abgeschlossenen Verfahren nach. Am 7.2.2019 gab die Behörde bekannt, dass sie Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen untersagt.

Erwägungsgründe des Bundeskartellamts

Das Bundeskartellamt stützt sich im Rahmen seiner Entscheidung u.a. auf folgende Untersuchungsergebnisse:

  • Die Datenverarbeitungskonditionen für die Nutzung von Facebook stellen eine missbräuchliche Ausnutzung der marktbeherrschenden Stellung auf dem Markt für soziale Netzwerke für private Nutzer dar.
  • Die beabsichtigten Datenverarbeitungskonditionen verstoßen gegen die Wertungen des Datenschutzrechts, wie sie in der DSGVO zum Ausdruck kommen.

Nach Ansicht der Wettbewerbsbehörde liege ein Missbrauch im Sinne des § 19 Abs. 1 GWB (Konditionenmissbrauch) bereits dann vor, wenn als Ausfluss der Marktmacht die von einem Normadressaten verwendete Datenverarbeitungskonditionen gegen die Wertungen der DSGVO verstoßen. Oder auch, wenn die verwendeten allgemeinen Geschäftsbedingungen nach den gesetzlichen Wertungen der §§ 307 ff. BGB unzulässig sind.

Einen möglichen Konflikt zwischen den Anwendungsbereichen von Kartellrecht und Datenschutzrecht sieht das Bundeskartellamt hier überraschenderweise nicht.

Insbesondere sieht sich das Bundeskartellamt offensichtlich als zuständige Behörde an, die bei der Anwendung des § 19 Abs. 1 GWB auch auf Datenschutzwertungen Rückgriff nehmen und materiell-rechtliche Prüfungen vornehmen zu können. Sie sei an der Durchsetzung des Missbrauchsverbots von der Heranziehung datenschutzrechtlicher Wertungen nicht gehindert. Es würden lediglich die Wertungen des europäischen Datenschutzrechts als bedeutende Anhaltspunkte für die kartellrechtliche Beurteilung der Angemessenheit des Verhaltens eines marktbeherrschenden Unternehmens berücksichtigt. Die Datenverarbeitung sei ein unternehmerisches und in hohem Maße wettbewerbsrelevantes Verhalten. Die wirtschaftliche Nutzung von Kunden- und Nutzerdaten sowie Daten Dritter sei zudem ein wettbewerblich bedeutender Faktor.

Grundsätzlich fehle es zudem an der Rechtfertigung zur Datenverarbeitung (wohl nach Art. 6 oder Art. 9 DSGVO). Weder entspreche die derzeitige Einwilligung den Anforderungen nach Art. 6 Abs. 1 Satz 1 lit. a und Art. 9 Abs. 2 lit. b DSGVO, noch sei die Datenverarbeitung im Rahmen des Datenaustausch für die Vertragserfüllung nach Art. 6 Abs. 1 Satz 1 lit. b DSGVO erforderlich. Ein überwiegendes Interesse von Facebook oder den Drittanbietern im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DSGVO sei ebenfalls nicht gegeben.

Mehr Informationen findet sich in dem veröffentlichten Hintergrundpapier (pdf).

Kritik an dem Vorgehen des Bundeskartellamts

Zuständigkeit nach Art. 51 Abs. 1, Art. 55 DSGVO

Besonders überraschend ist hier die selbstverständliche Haltung der Wettbewerbsbehörde zur doch fragwürdigen Zuständigkeit bei angeblich vorliegenden Verstößen gegen die DSGVO. Die Zulässigkeit zur datenschutzrechtlichen Ahndung von Verstößen als Befugnis nach Art. 58 DSGVO (insbesondere die Verhängung von Bußgeldern nach Art. 58 Abs. 2 lit. i) iVm Art. 83 ff. DSGVO) ist für die nach Art. 51 Abs. 1 DSGVO von den Mitgliedstaaten bestimmten und zuständigen Behörden vorgesehen. Das Bundeskartellamt ist jedoch keine weitere Instanz, die zur Einhaltung datenschutzrechtlicher Bestimmungen befähigt ist. Das Bundeskartellamt wurde von Deutschland auch nicht errichtet oder mit Befugnissen auf der Grundlage der DSGVO ausgestattet, um Verstöße gegen das Datenschutzrecht mit hoheitlichen Sanktionen zu ahnden. Unter Beachtung des Vorrangs des EU-weiten und einheitlichen Datenschutzrechts können meines Erachtens nicht einfach durch nationale Regelungen aus anderen Rechtsgebieten die Tatbestände für Sanktionen (wie Untersagungen) oder gar Bußgelder ausgeweitet und auch auf andere, nicht auf der Grundlage der DSGVO zuständige Behörden übertragen werden, wie es hier die Wettbewerbsbehörde durch § 19 Abs. 1 GWB versucht. Es gehört zu den grundlegenden Aufgaben der Datenschutzbehörde, DSGVO-relevante Untersuchungen durchzuführen (Art. 58 DSGVO) und gegebenenfalls durch Bußgelder oder Sanktionen zu ahnden (Art. 83 ff.). Im Grunde würde aus dem Vorgehen des Bundeskartellamts eine parallele Datenschutzaufsicht folgen. Dann müsste sich das Bundeskartellamt aber auch die Frage gefallen lassen, ob es alle Anforderungen an eine Aufsichtsbehörde nach der DSGVO erfüllt.

Das Bundeskartellamt kann sich vorliegend auch nicht auf die Argumentation zurückziehen, dass ja materielles Datenschutzrecht nicht geprüft werde, sondern nur Wertungen aus der DSGVO übernommen würden. Die Informationen im Hintergrundpapier zeigen deutlich, dass die Wettbewerbsbehörde klar eine detailreiche materiellrechtliche Prüfung der Vorgaben der DSGVO vornimmt.

Eine Parallelität von mehreren Datenschutzaufsichten für einen Verantwortlichen (was die Folge der Sichtweise des Bundeskartellamts wäre) ist in der DSGVO gerade nicht vorgesehen und sogar explizit nicht gewollt (dazu sogleich).

Zusammenarbeit und Kohärenzverfahren nach Art. 60 ff. DSGVO

Sind mehrere Datenschutz(!)behörden zuständig, sieht die DSGVO nun das sog. Kohärenzverfahren vor. Datenschutzbehörden (ob in Deutschland oder auch EU-Ebene) müssen sich im Zweifel untereinander abstimmen. Am Ende soll es für Unternehmen eine verbindliche, zwischen mehreren zuständigen Behörden abgestimmte, Entscheidung geben. Das Bundeskartellamt verweist zwar auf die Zusammenarbeit mit  Datenschutzbehörden, doch umgeht sie dabei die nach der DSGVO vorgeschriebene Zusammenarbeit der Behörden untereinander. Die federführende Behörde ist hinsichtlich Facebook nun einmal die irische Datenschutzbehörde, die hier wohl völlig übergangen wurde. Der Austausch mit der federführenden Aufsichtsbehörde soll insbesondere bei der Beurteilung von Verarbeitungsvorgängen, die Personen in mehreren Mitgliedstaaten betreffen, stattfinden. Nur so kann eine einheitliche Anwendung dieser Verordnung in der gesamten Union sichergestellt werden (ErwG 123 DSGVO). Im Grunde wird durch das Vorgehen des Bundeskartellamts das Kohärenzverfahren nach der DSGVO und, in Streitfällen zwischen Aufsichtsbehörden, die Entscheidungsbefugnis des Europäischen Datenschutzausschusses schlicht übergangen. Würde sich dieses Vorgehen durchsetzen, würde am Ende gerade nicht mehr ein einheitliches Vorgehen der fachlich zuständigen Behörden stehen.

Kartell- und Datenschutzrecht

Die anzuzweifelnde Zuständigkeit des Bundeskartellamts versucht es durch die Vereinbarkeit der Prüfung von Datenschutzrecht innerhalb des Kartellrechts zu widerlegen. Die Behörde geht davon aus, dass die Datenverarbeitung durch Unternehmen grundsätzlich ein wettbewerbsrelevantes Verhalten darstelle und folglich den wettbewerbsrechtlichen Vorschriften unterliege. Doch für eine Trennung von Kartell- und Datenschutzrecht haben sich bereits die Europäische Kommission und auch der EuGH ausgesprochen, die in Anbetracht der europarechtlichen Auslegung der DSGVO auch eingehalten werden sollte:

„Etwaige Fragen im Zusammenhang mit der Sensibilität personenbezogener Daten, sind als solche nicht wettbewerbsrechtlicher Natur sind, [sind] nach den einschlägigen Bestimmungen zum Schutz solcher Daten zu beantworten.“ (EuGH, Urteil vom 23.11.2006 – C238/05

Noch strikter trennt die Europäische Kommission, indem sie auf die jeweiligen geschützten Rechtsgüter der legislativen Vorgaben abstellt:

„COM said that both competition law and data protection concern economic values, whereas data protection protects values of the data subject.“ (Ratsdokument 17831/13, S. 226, Fn. 567). Das Kartellrecht verfolgt gerade nicht dieselben Ziele wie das Datenschutzrecht.

„For the purposes of this decision, the Commission notes that any privacy-related concerns flowing from the use of data within the control of the Parties do not fall within the scope of the EU competition law rules but within the scope of the EU data protection rules.“ (Entscheidung der Kommission vom 23/02/2016 zur Vereinbarkeit eines Zusammenschlusses mit dem Gemeinsamen Markt (Fall COMP/M.7813 – SANOFI / GOOGLE / DMI JV) gemäß der Verordnung (EG) Nr. 139/2004 des Rates; S. 11 Rn. 70)

Fazit

Das hochinteressante Verfahren, das einige diskussionswürdige Fragen aufwirft, wird sicherlich seinen Weg in den Instanzenzug der Gerichte finden. Eventuell muss am Ende der EuGH noch einmal zu der Frage entscheiden, wie sich das Kartell- und Datenschutzrecht zueinander und insbesondere die Zuständigkeit der Behörden verhalten.

Facebook Fanpages: Datenschutzbehörden veröffentlichen (leider nur vage) Handlungsempfehlungen für Unternehmen – Was ist nun zu tun?

Das Urteil des EuGH vom 5. Juni 2018 (C-210/16) zur gemeinsamen Verantwortlichkeit von Fanpage-Betreiber und Facebook, sorgt bei Unternehmen für Unsicherheit. Dies war durchaus zu erwarten, da es nicht Aufgabe des EuGH ist, konkrete Handlungsanweisungen zu geben, wie das Datenschutzrecht in der Praxis umzusetzen ist. Was hat die „gemeinsame Verantwortlichkeit“ für Konsequenzen? Was ist nun zu tun? Die Überwachung der Anwendung der DSGVO und ihre Durchsetzung in der Praxis ist Aufgabe der Datenschutzbehörden.

Die Datenschutzkonferenz (DSK) hat, sehr schnell nach dem Urteil des EuGH, eine Entschließung (PDF) zu den sich aus ihrer Sicht ergebenden Folgen der Entscheidung für Betreiber von Fanpages veröffentlicht. Welches Unternehmen sich nun aber klare Vorgaben zum erforderlichen Vorgehen erhofft, wird leider enttäuscht. Die Entschließung der DSK ist zum teil sehr offen und vage formuliert. Es fehlen leider auch rechtliche Begründung für die Position. Unternehmen werden die Entschließung daher leider nicht als konkrete Handlungshilfe nutzen können. Daher wird sich ein Unternehmen, auch vor dem Hintergrund der Entschließung, nicht sicher sein können, ob es datenschutzrechtlich absolut rechtskonform agieren, solange die Fanpage weiter betrieben wird.

Kurz zur Einordnung: die Entschließung der DSK ist für Unternehmen nicht rechtlich bindend. Sie ist kein Gesetz und auch kein Verwaltungsakt. Sie stellt eine (Rechts)Position der in der DSK versammelten Behörden dar. Das bedeutet gleichzeitig auch, dass es andere rechtliche Ansichten zu den Folgen des Urteils geben kann (und wird).

Nun zu der Entschließung selbst. Was empfiehlt die DSK und was sollten oder können Fanpage-Betreiber tun?

Wenig überraschend stellt die DSK fest, dass Betreiber einer Fanpage „selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage“ sind. Das ist auch die Kernaussage des EuGH-Urteils. Nach der DSK müssen Betreiber „die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten“. Auch diese Folgerung ist nur konsequent. Wenn ein Unternehmen „Verantwortlicher“ ist, sind die Pflichten des Verantwortlichen nach der DSGVO zu beachten.

Die DSK geht jedoch bei weitem nicht auf alle einen Verantwortlichen treffenden Pflichten nach der DSGVO ein, sondern beschränkt sich in der Entschließung auf einige wenige, wenn auch äußert relevante Aspekte. Ein Beispiel: als Verantwortlicher (und auch Auftragsverarbeiter), muss ein Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) für alle Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen. Auch die Verarbeitung über die Fanpage müsste in dieses Verzeichnis aufgenommen werden. Diese Pflicht (und viele weitere) wird aber gar nicht erst erwähnt. Ich verstehe die Entschließung daher eher als Empfehlungen der deutschen Behörden im Sinne von ad-hoc Maßnahmen. Leider wird dies aber nicht deutlich zum Ausdruck gebracht. Unternehmen sollten wissen, dass es mit der Erfüllung der wenigen Vorgaben in der Entschließung sicherlich nicht getan ist, wenn man eine Fanpage DSGVO-konform einsetzen möchte.

Die DSK verlangt, dass Besucher einer Fanpage „transparent und in verständlicher Form darüber informiert werden“ müssen, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Diese Forderung bezieht sich auf Art. 12 und 13 DSGVO. Die Informationspflichten müssen erfüllt werden. Unternehmen sollten daher überlegen, entweder eine eigen „Fanpage Datenschutzerklärung“ vorzuhalten und zu verlinken oder auf die eigene, allgemeine Datenschutzerklärung zu verlinken und dort einen „Fanpage Passus“ aufzunehmen. Das Problem hierbei ist, dass der Betreiber faktisch gar nicht alle erforderlichen Informationen zur Datenverarbeitung erteilen kann. Unternehmen wissen im Zweifel nicht, welche Rechtsgrundlage für die Verarbeitung gilt (Pflicht nach Art. 13 Abs. 1 lit. c) DSGVO) oder wer die Kategorien von Empfängern der Daten sind (Pflicht nach Art. 13 Abs. 1 lit. e) DSGVO). Diese Problematik scheint auch die DSK zu erkennen. Denn die DSK fordert, dass Betreiber sich selbst versichern sollten, „dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden“. Doch wie soll sich ein Unternehmen diesbezüglich „versichern“? Facebook per E-Mail anschreiben und die Informationen erbitten? Dies bleibt unklar.

Die DSK fordert zudem (dem ersten Anschein nach) per se die Einwilligung für die Verarbeitung der Daten der Besucher. „Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt“.

Nun ist aber zu beachten, dass es in diesem Absatz ein, aus Juristensicht, ganz entscheidendes Wort gibt, das dort meines Erachtens nicht aus Versehen steht: „grundsätzlich“.

Wenn Juristen (und das sind viele Mitarbeiter der Datenschutzbehörden und an der Entschließung beteiligte Personen) „grundsätzlich“ schreiben, meinen sie, dass es stets Ausnahmen gibt. Man könnte auch „in der Regel“ sagen. Das bedeutet, dass die DSK nicht zwingend eine Einwilligung für erforderlich hält, wenn Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt. Man kann also, gerade auch Sicht des Betreibers der Fanpage, auch an andere Erlaubnistatbestände (z. B. die Interessenabwägung) denken. Leider ist die Entschließung der DSK in dieser Hinsicht einfach nicht klar und es fhelt eine rechtliche Begründung, warum hier „grundsätzlich“ eine Einwilligung einzuholen wäre. Als Betreiber ist man nun leider auch nicht schlauer.

Zuletzt verweist die DSK auf die Anforderung des Art. 26 DSGVO, dass gemeinsam Verantwortliche eine Vereinbarung über die Verteilung der Pflichtenerfüllung zwischen Betreiber und Facebook. Auch diese Schlussfolgerung ist zwingend, wenn die DSGVO gilt und daher nicht überraschend.

Was macht man als Unternehmen?

Ich denke, dass Betreiber von Fanpages nun mehrere Optionen haben. Natürlich kann man, wenn man überhaupt kein Risiko eingehen möchte und den Anspruch hat, stets 100% DSGVO compliant zu agieren, darüber nachdenken, die Fanpage abzuschalten.

Meines Erachtens ergibt sich diese Konsequenz jedoch nicht zwingend aus der Entschließung der DSK. Dies aus zwei Gründen. Zum einen, weil die DSK dies nicht fordert (siehe unten). Zum anderen, weil die DSK, wie auch der EuGH in seinem Urteil, ein gewisses Hintertürchen zur „abgespeckten“ Pflichtenerfüllung offen lässt. Die DSK verweist darauf, dass „die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt“. Der EuGH formuliert es so (Rz. 43 des Urteils): „Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, …, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind“. Meines Erachtens kann man sowohl den EuGH, als auch nun den Hinweis der DSK auf die verschiedenen Verantwortlichkeitssphären so verstehen, dass Betreiber der Fanpage nur solche Pflichten erfüllen müssen, die sie auch faktisch erfüllen können.

Um es am Beispiel der Datenschutzerklärung konkret zu machen: Betreiber sollten eine solche Datenschutzerklärung vorhalten. Inhaltlich sollten die Informationspflichten soweit erfüllt werden, wie dies dem Betreiber möglich ist. Wenn ein Unternehmen zu manchen geforderten Angaben schlicht keine Information hat, dann kann diese Pflicht nicht erfüllt werden. Die Entschließung der DSK erkennt wohl („wohl“, da die Entschließung leider einfach sehr vage ist) dieses Problem und, dies sollte man auch beachten, knüpft hieran etwa nicht die Folgerung, dass deshalb die Fanpage abgeschaltet werden müsste.

Das bedeutet meines Erachtens, dass die DSK verlangt, dass Fanpage-Betreiber jene datenschutzrechtlichen Pflichten erfüllen sollen, zu deren Erfüllung sie rein faktisch in der Lage sind. Das ist am Ende nun natürlich allein meine Auslegung der Entschließung. Aus Sicht der Praxis hätte man sich hier eine klarere und begründete Positionierung gewünscht.

Was sagt die DSK in ihrer Entschließung nicht?

Meines Erachtens ist es wichtig, abschließend darauf hinzuweisen, was die DSK in ihrer Entschließung gerade nicht fordert oder feststellt.

  • Die DSK verlangt nicht, dass Fanpages abgeschaltet werden.
  • Dies verlangt die DSK auch dann nicht, wenn die von ihr zwingend vorgegeben Anforderungen nicht eingehalten werden.
  • Die DSK sagt nichts Abschließendes dazu, ob oder unter welchen Voraussetzungen die Verarbeitung von Daten der Besucher rechtmäßig oder rechtswidrig ist.
  • Die DSK äußert sich nicht dazu, ob die Datenschutzbehörden nun Bußgelder gegen Betreiber von Fanpages verhängen werden.

How German Data Protection Authorities interpret the GDPR

The German Data Protection Authorities (DPAs) have published three papers with their interpretation of certain Articles of the forthcoming EU General Data Protection Regulation (GDPR) (Paper 1, Paper 2, Paper 3; all in German). In sum, the views of the DPAs are not very surprising. However, this is the first time that all German authorities speak with one voice concerning the interpretation of the GDPR.

The papers cover the following topics:

Paper 1: Records of processing activities

Paper 2: Powers of DPAs and sanctions

Paper 3: Processing of personal data for marketing purposes

In the first paper the DPAs explain the obligation of Art. 30 GDPR. The DPAs note that the record of processing activities must be kept by the controller and (this is new) by the data processor. Furthermore, the DPAs highlight that the record must be made available to the supervisory authority on request. Keeping this record does not suffice to fulfill all documentation obligations under the GDPR. The DPAs point to Art. 5 para 2 GDPR and for example the obligation in Art. 24 para 1 GDPR, according to which the controller must be able to demonstrate that processing is performed in accordance with the GDPR.

In the second paper the DPAs shed some light on their interpretation of Art. 58 and Art. 83 GDPR. The DPAs explain that besides making use of an investigative or corrective power according to Art. 58 GDPR, the authorities may take action against a controller or processor and issue fines according to Art. 83 GDPR. In the view of the DPAs, the term “undertaking” in Art. 83 para 4, 5 and 6 GDPR must be interpreted broader than the definition of “enterprise” in Art. 4 (18) GDPR. The DPAs refer to Recital 150 GDPR to justify this understanding. Recital 150 GDPR specifies that “an undertaking should be understood to be an undertaking in accordance with Articles 101 and 102 TFEU”. This is a reference to the broad definition of “undertaking” in antitrust and competition law by the ECJ. The concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed.

This means that according to the German DPAs “undertaking” in Art. 83 GDPR does not only encompass one single undertaking but also a group of undertakings.

One may of course oppose this view with good arguments, since the notion of “group of undertakings” is legally defined in Art. 4 (19) GDPR but explicitly not used in Art. 83 GDPR.

In the third paper the German DPAs turn to questions of the processing of personal data for marketing purposes. According to the DPAs, under the GDPR the processing for marketing purposes will mainly be based on Art. 6 para 1 (f) GDPR and therefore require the weighing of interests (of course, consent is also another possible legal basis). The DPAs specifically refer to Recital 47 GDPR which explains that “the processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest”. Furthermore, data controllers must take note of the requirement established in Recital 47 that “the reasonable expectations of data subjects” must be taken into consideration. The DPAs highlight that it is not clear when these reasonable expectations are actually rightly taken into account. However, the DPAs explain that information will play a crucial role for data controllers in order to shape the “reasonable expectations”. According to the DPAs, if the controller informs the data subjects in a clear and transparent manner about the marketing purpose of the processing, the reasonable expectation of the natural person will expect this kind of processing. But the DPAs also mention the right of data subjects to object at any time to processing of personal data for marketing (Art. 21 para 2 GDPR). Furthermore, special categories of personal data (Art. 9 GDPR) may only be processed for marketing purposes if valid consent has been obtained, since Art. 9 GDPR does not foresee a possibility like Art. 6 para 1 (f) GDPR. Lastly, the DPAs rightly refer to special rules for e-mail marketing. According to Sec. 7 of the Act Against Unfair Competition (transposing Art. 13 of Directive 2002/58/EC), marketing via e-mail requires consent except where a company obtains from its customers their electronic contact details for electronic mail in the context of the sale of a product or a service, uses the electronic contact details for direct marketing of its own similar products or services and provided that customers clearly and distinctly are given the opportunity to object.

 

 

 

International Data Transfers: EU Commission prepares adaptation of all existing adequacy decisions

The European Commission is currently in the process of adaptation of existing decisions on the admissibility of transfers of personal data to countries outside the European Economic Area (so-called third countries). This follows from the agenda (txt) of the Article 31 Committee pursuant to Article 31 of the Data Protection Directive 95/46/EC for its meeting on October 3, 2016.

The European Commission is planning a formal decision adapting Decision 2001/497/EC on standard contractual clauses for the transfer of personal data to controllers in third countries and a decision adapting Decision 2010/87/EC on standard contractual clauses for transfer of personal data to processors established in third countries.

In addition, all existing adequacy decisions for the level of data protection in certain third countries shall be adapted. An overview of the current adequacy decisions can be found here.

The now planned adjustments by the European Commission are the consequence of the judgment of the European Court of Justice repealing the Safe Harbor Decision (C-362/14, Schrems). The actual content of the proposed amendments is however not publicly available. The two proposed decisions of the European Commission are not accessible. However, if one considers the judgment of the European Court of Justice, the proposed changes might in particular address the powers of national data protection authorities, which may not be restricted by decisions of the European Commission.

Google challenges fine by French Data Protection Authority: a „right to be forgotten“ for the entire world?

Yesterday Google announced in a blog post that the company will legally challenge a decision and fine imposed by the French Data Protection Authority (CNIL). Information about the procedure is available on the CNIL website. There is also an unofficial translation of the relevant decision (PDF) available on the website.

In particular, the CNIL considers that it is not sufficient under the current European data protection law and in light of the judgment of the European Court of Justice (ECJ) in its Google decision (C-131/12), if after a complaint from a data subject, links to search result are solely suppressed on websites with European extensions (.de, .es or .fr) and also for searches originating from the Member State of the complainant on all sites of the search engine (so also on Google.com). This approach was recently chosen by Google. The French Authority in fact requires that links from search results must be suppressed on all sites of the search engine and also irrespective of the Member State where the complainant is located and from where the search is made.

As a result, the question arises whether European data protection law and in particular its enforcement by Data Protection Authorities (DPAs) take global validity and know no territorial borders. So whether, on the grounds of a decision of the French authorities, a user of the search engine located in the other Member States (for example in Germany or Spain) and, secondly, in countries outside the EEA such as the US (Google.com) or Japan (Google.co.jp), may only see the changed search result list.

Please find some food for thought below, which is certainly not exhaustive, but may foster the discussion.

In principle, one can determine that the ECJ in its Google decision made no concrete statement on the territorial scope of the so-called „Right to be forgotten“. But what the ECJ always emphasizes (not only in this ruling), is the importance of possible enforcement and full effect the guarantees and established safeguards of the Data Protection Directive (DPD) for data subjects.

In its Google judgment, the ECJ held that

the operator of the search engine as the controller in respect of that processing must ensure, within the framework of its responsibilities, powers and capabilities, that that processing meets the requirements of Directive 95/46, in order that the guarantees laid down by the directive may have full effect. (Margin No 83)

Of course, a major role in achieving the objective of enforcement of European law and its full effect is played by the DPAs. That’s also emphasized by the ECJ in its judgment:

In this connection, it is to be noted that it is clear from Article 28(3) and (4) of Directive 95/46 that each supervisory authority is to hear claims lodged by any person concerning the protection of his rights and freedoms in regard to the processing of personal data and that it has investigative powers and effective powers of intervention enabling it to order in particular the blocking, erasure or destruction of data or to impose a temporary or definitive ban on such processing. (Margin No 78)

From this, one can already conclude that the question of whether European data protection law should “govern the world” or at least countries outside of the EEA, must always be seen in connection with its enforcement by supervisory authorities. Because the applicability of European data protection law alone has nothing to do with the realization of the guarantees provided by the DPD and, in the words of the ECJ, its full effect, or also the guarantees provided by the Charter of Fundamental Rights of the European Union for the individuals concerned.

I want to support this view with a reference to the well-known judgment of the ECJ repealing the data retention directive (C-293/12 and C-594/12). There, the Court criticized that the directive

does not require the data in question to be retained within the European Union, with the result that it cannot be held that the control, explicitly required by Article 8(3) of the Charter, by an independent authority of compliance with the requirements of protection and security, as referred to in the two previous paragraphs, is fully ensured. Such a control, carried out on the basis of EU law, is an essential component of the protection of individuals with regard to the processing of personal data. (Margin No 68)

So the ECJ assumes that when the possibility for a DPA to control compliance with the rules of the DPD and, in the worst case, also enforce these rules exists, only then can the requirements of the Charter of Fundamental Rights and also the corresponding guarantees for the protection of personal data in the DPD be fully fulfilled and ensured. But this possibility of control and especially enforcement by a public authority is only possible within the Union.

Assuming therefore that in addition to pure applicability of European data protection law also the possibility of monitoring its compliance and in particular its enforcement must always be considered as an inherent guarantee, this inevitably raises the question of how far the powers of European DPAs, particularly from a territorial perspective, reach.

To this end, I would like to refer to a further decision of the ECJ, the Weltimmo decision (C-230/14). In that judgment, the Court addressed the question of how far the competences of the European DPAs reach.

It follows from Article 28(1) DPD that each supervisory authority established by a Member State is to ensure compliance, within the territory of that Member State, with the provisions adopted by the Member States pursuant to the DPD (Margin No 47; emphasizes added). Furthermore, according to the ECJ, it is apparent from Article 28(1) and (3) DPD that each supervisory authority is to exercise all of the powers conferred on it on the territory of its own Member State in order to ensure, on that territory, compliance with data protection rules (Margin No 51, emphasizes added). Additionally, the ECJ held that it follows from the requirements derived from the territorial sovereignty of the Member State concerned, the principle of legality and the concept of the rule of law that the exercise of the power to impose penalties cannot take place, as a matter of principle, outside the legal limits within which an administrative authority is authorised to act subject to the law of its own Member State (Margin No 56, emphasizes added).

Weltimmo concerned an intra-European issue and the question of the extent to which the DPA of one Member State may exercise its powers on the territory of another Member State. This is rejected by the court with the above reasoning. The sanctioning power of a DPA may not be exercised outside the legal limits of its own Member State.

Transferred to the dispute between Google and the French DPA now the question arises whether it would be consistent with the aforementioned ECJ case law, to concede the power to a European supervisory authority to regulate, on the one hand, data processing operations initiated by and targeted to persons in other European Member States (the respective user of the search engine, who searches for a name of an affected person) or, on the other hand, also such processing operations initiated by persons on the territory of countries outside the European Union, and, in the end, also to influence such data processing operations with a relevant administrative decision.

The measure of a European authority would have a direct impact in other States. Already for the first constellation that a decision by the French DPA would affect persons on the territory of Germany or Spain, I have my doubts. This is of course even more valid in the second constellation, outside the European Union and thus also outside the competences of European authorities.

Now one surely can cite as a counter-argument that the territorial scope of European data protection law is interpreted in a very broad way, also by the ECJ, and European data protection law applies to the activities of Google Inc., with headquarters in the USA. That is correct. But in my view, as described above, it is inevitably necessary in order to achieve the objectives laid down in the DPD and in the Charter of Fundamental Rights of the European Union that a DPA is able to monitor the compliance with these rules and enforce the rights and guarantees (I refer again to the ECJ judgment regarding the Data retention directive). Such enforcement, however, due to the principle of territorial sovereignty of States, is not always possible.

The European DPAs seem to be aware of this situation. If one looks at the official guidelines on the implementation of the Google decision (WP 225,  PDF), one can find on page 8 in paragraph 19 the following statement: “In practice, DPAs will focus on claims where there is a clear link between the data subject and the EU, for instance where the data subject is a citizen or resident of an EU Member State”. So the DPAs propose only to focus on situations where a clear connecting factor to a European Member State exists.

In the end, one must observe that that the territorial enforcement European data protection law is certainly not an easy and also a disputatious topic. It will be interesting to see how this case moves further in France. Perhaps the ECJ has to decide again.