Aufbewahrungsfrist zur Erfüllung der DSGVO-Nachweispflichten – Datenschutzbehörde: 3 Jahre

Die DSGVO etabliert bekanntlich eine (je nach Auslegung sehr umfassende) Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 DSGVO. Daneben kennt die DSGVO auch noch weitere Nachweispflichten, z. B. in Art. 7 Abs. 1 DSGVO für die Einwilligung oder in Art. 12 Abs. 5 DSGVO für offenkundig unbegründete oder exzessive Anträge von Betroffenen. 

In der Praxis kommt oft die Frage auf, wie lange Verantwortliche denn eine entsprechende Dokumentation, dass man sich in bestimmten Situationen an die DSGVO gehalten hat, aufbewahren dürfen bzw. müssen. Ein Beispiel: der Verantwortliche erteilt eine Auskunft nach Art. 15 DSGVO. Nach 1,5 Jahren beschwert sich der Betroffene darüber, dass er keine Auskunft erhalten habe. Wenn der Verantwortliche nun die Auskunftserteilung schon gelöscht hat, wird es für ihn schwer, die ordentliche Erfüllung seiner rechtlichen Pflichten nachzuweisen. Gleichzeitig enthält diese Dokumentation, z. B. die versendete E-Mail und Dokumente, natürlich personenbezogene Daten. Man benötigt für eine Speicherung also eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Einen praxisrelevanten Fall zu diesem Themenkomplex hatte die Datenschutzbehörde aus Thüringen zu entscheiden und berichtet hierüber in ihrem Tätigkeitsbericht 2021, ab S. 167 (pdf).

Es ging dort um den Versand von E-Mails an eine Betroffene. Diese gab an, nie in den Erhalt der E-Mails eingewilligt zu haben. Gleichzeitig verlangt die Betroffene dann auch Auskunft nach Art. 15 DSGVO und die Löschung ihrer Daten von dem Verantwortlichen. Nachdem sie hierauf keine Antwort erhielt, beschwerte sie sich bei dem TLfDI. 

Nach Ansicht der Aufsichtsbehörde war das Unternehmen als Verantwortliche verpflichtet, den entsprechenden Nachweis darüber zu führen, dass eine Einwilligung vorlag (vgl. Art. 7 Abs. 1 DSGVO). Die DSGVO enthalte insoweit eine ausdrückliche Beweislastregel für das Vorliegen einer wirksamen Einwilligung. Den Verantwortlichen treffe nicht nur die Verantwortung für die Einhaltung der in Art. 5 Abs. 1 DSGVO geregelten Grundsätze für die Verarbeitung personenbezogener Daten, er müsse ihre Einhaltung auch nachweisen können. Diese Nachweispflicht könne er durch entsprechende Dokumentation oder ein Daten-Management-System erfüllen.

Vorliegend gelang dies dem Verantwortlichen jedoch. Dieser antwortete der Aufsichtsbehörde sogar, dass er alle Daten zu der Betroffenen aufgrund ihrer Anfrage gelöscht habe und daher keinen Nachweis mehr erbringen könne. 

Diese Ansicht teilte der TLfDI nicht. Die Nachweispflicht sei gerade nicht durch das Löschungsverlangen der Betroffenen entfallen. Denn gemäß Art. 17 Abs. 3 lit. b) DSGVO ist die Löschung personenbezogener Daten ausgeschlossen, soweit diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind, welche die Verarbeitung nach dem Recht der Union oder der Mitgliedsstaaten erfordert, dem der Verantwortliche unterliegt. 

Der TLfDI weiter: „Diese Sonderregelung entspricht der Rechtsgrundlage für die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung aus Art. 6 Abs. 1 Satz 1 Buchstabe c) DS-GVO. Zu diesen Rechtspflichten zählen insbesondere Speicher-, Dokumentations- und Aufbewahrungspflichten, zu denen auch die in Art. 5 Abs. 2 und Art. 7 Abs. 1 DS-GVO geregelten Nachweispflichten zählen“.

Wichtig: die Behörde geht also davon aus, dass Verantwortliche solche Daten (und diese enthaltene Dokumente) nicht löschen dürfen, die für die Erfüllung des Nachweises der Einhaltung der DSGVO erforderlich sind. Ganz ausdrücklich allgemein nach Art. 5 Abs. 2 DSGVO. Auch dann nicht, wenn die Betroffene dies verlangt. Diese Ansicht ist meines Erachtens richtig, jedoch in dieser Deutlichkeit bisher eher nicht von Behörden vertreten worden. 

Zuletzt ging es dann noch um die Frage, welche konkrete Aufbewahrungsfrist für den Nachweis der Einwilligung gelte. Denn die DSGVO sehe hierzu keine ausdrückliche Regelung vor.

Der TLfDI stellt hier auf eine Frist von drei Jahren ab, da nach Ablauf dieses Zeitraums ein Buß- geldverfahren in der Regel als verjährt anzusehen ist.“

Wichtig: die Behörde setzt hier also die Verjährungsfristen für Verstöße gegen die DSGVO an (vgl. § 31 Abs. 2 Nr. 1 OWiG). Meines Erachtens ist diese Argumentation und Ansicht der Behörde auch auf andere Nachweispflichten und durchaus auch allgemein auf Dokumentation (mit personenbezogenen Daten) übertragbar, die Verantwortliche vorhalten, um die Einhaltung der DSGVO nachweisen zu können. 

Norwegische Datenschutzbehörde: DSGVO-Auskunftsersuchen an den CEO musste nicht beantwortet werden

Mit Entscheidung (PDF) vom 10. Mai 2022 hat die norwegische Datenschutzbehörde („Datatilsynet“) entschieden, dass ein für die Verarbeitung Verantwortlicher (in diesem Fall die Zalaris ASA) nicht gegen Art. 12 Abs. 5 und 15 DSGVO verstoßen hat, weil ein per E-Mail an den Geschäftsführer gerichtetes Auskunftsersuchen unbeantwortet blieb.

Der Beschwerdeführer (eine betroffene Person mit Wohnsitz in Deutschland, die früher bei der deutschen Tochtergesellschaft des für die Verarbeitung Verantwortlichen beschäftigt war) schrieb an den Geschäftsführer des Unternehmens, um sein Auskunftsrecht nach Art. 15 DSGVO geltend zu machen. Er erhielt keine Antwort, reichte bei Datatilsynet eine Beschwerde gegen Zalaris ein und versuchte es bei einer anderen „DSGVO“-Adresse. Aber auch diese Anfrage blieb unbeantwortet.

Ich möchte mich auf die Argumentation von Datatilsynet in Bezug auf die erste, an den CEO gerichtete E-Mail konzentrieren.

Der für die Verarbeitung Verantwortliche räumte ein, dass er auf die Auskunftsersuchen des Beschwerdeführers nicht reagiert hat. Zalaris machte jedoch geltend, dass dies darauf zurückzuführen sei, dass die erste Anfrage direkt an den CEO des Unternehmens gerichtet war (die zweite landete im Spam-Ordner des E-Mail-Posteingangs des Unternehmens).

Datatilsynet argumentiert, dass der erste Antrag auf Zugang nicht beantwortet werden musste.

… unserer Ansicht nach kann Zalaris nicht viel vorgeworfen werden. Wie der Europäische Datenschutzausschuss (EDPB) festgestellt hat: Der für die Verarbeitung Verantwortliche ist […] nicht verpflichtet, einer Anfrage nachzukommen, die an die E-Mail-Adresse eines Mitarbeiters des für die Verarbeitung Verantwortlichen gerichtet ist, der nicht mit der Bearbeitung von Anfragen zu den Rechten der betroffenen Personen befasst sein darf […]. Solche Anträge gelten nicht als wirksam, wenn der für die Verarbeitung Verantwortliche der betroffenen Person eindeutig einen geeigneten Kommunikationskanal zur Verfügung gestellt hat.

Darüber hinaus enthielt die auf der Website von Zalaris verfügbare Datenschutzerklärung eine spezielle E-Mail-Adresse, die für Datenschutzanfragen zu verwenden war. In diesem Fall war es legitim, von den betroffenen Personen (einschließlich dem Beschwerdeführer) zu erwarten, dass sie Auskunftsersuchen über einen solchen Kommunikationskanal und nicht direkt an den CEO richten.

Vom CEO eines Unternehmens von der Größe von Zalaris kann nicht erwartet werden, dass er direkt an der Bearbeitung von Anfragen zu den Rechten der betroffenen Personen beteiligt ist. Daher hat Zalaris unseres Erachtens nicht gegen Artikel 12 Absatz 2 und Artikel 15 DSGVO verstoßen, indem es nicht auf die E-Mail geantwortet hat, die der Beschwerdeführer direkt geschickt hatte…„.

Die Behörde fügt noch eine weitere Ansicht hinzu: Es sei darauf hingewiesen, dass – im Gegensatz zu den Argumenten des Beschwerdeführers – in Fällen, in denen personenbezogene Daten von einem Unternehmen verarbeitet werden (das über die Mittel und Zwecke der Verarbeitung entscheidet), das Unternehmen als solches als „für die Verarbeitung Verantwortlicher“ gilt, und nicht sein Geschäftsführer.

Diese Auslegung (die aus meiner Sicht absolut korrekt ist) ist relevant, weil wir in Deutschland ja durchaus auch andere Ansichten hierzu kennen.

Keine Auskunft und Reaktion auf Betroffenenanfrage: 20.000 EUR Bußgeld gegen Deutsche Bank in Italien

Die italienische Datenschutzbehörde hat am 16. Juni 2022 ein Bußgeld in Höhe von 20.000 EUR gegen die Deutsche Bank in Italien verhängt (Mitteilung der Behörde, auf Italienisch). Die Entscheidung ist besonders praxisrelevant, da es um einen Verstoß gegen Art. 12 und 15 DSGVO, also das Auskunftsrecht nach der DSGVO ging, welches Unternehmen immer wieder beschäftigt. Vorliegen lag auch einer der klassischen, aber gleichzeitig vermeidbaren Fehler vor: das Auskunftsersuchen wurde nicht (rechtzeitig) bearbeitet.  

Die Entscheidung ist nur auf Italienisch abrufbar. Ich habe sie selbst übersetzt und kann daher nicht für absolute Richtigkeit garantieren.

Sachverhalt

Der Betroffene legte am 26.10.2020 bei der Datenschutzbehörde eine Beschwerde über eine unrechtmäßige Verarbeitung personenbezogener Daten durch die Deutsche Bank S.p.A. ein und beschwerte sich zudem über die Nichtbeantwortung des an die Bank gerichteten Antrags auf Ausübung seiner Betroffenenrechte vom 15.07.2020. In diesem bat er um die nach Art. 13 DSGVO erforderlichen Informationen und wohl auch ganz generell um Auskunft zu seinen Daten (Art. 15 DSGVO). Innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen fristen ging jedoch keine Antwort der Bank ein.

Erst im Nachgang (im Jahr 2021), als die Datenschutzbehörde die Bank zur Auskunft aufforderte, wurde diese gegenüber dem Betroffenen erteilt

In einem Schreiben an die Aufsichtsbehörde räumte die Bank ein, dass sie dem Betroffenen keine Informationen und keine Auskunft erteilt hatte, und übermittelte dem Beschwerdeführer und der Behörde die angeforderten Unterlagen.

Entscheidung

Auf der Grundlage der von der Bank abgegebenen wurde ein Sanktionsverfahrens wegen Verstößen gegen Art. 12 Abs. 3 und Art. 15 DSGVO eingeleitet.

Die Datenschutzbehörde stellt fest, dass die Bank auf den vom Beschwerdeführer formulierten Antrag auf Ausübung seiner Rechte nicht innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen Frist geantwortet hat. Zudem informierte sie den Betroffenen auch nicht innerhalb der vorgegebenen Frist über die Gründe für die Nichterfüllung der Anforderungen und über die Möglichkeit, eine Beschwerde bei der Behörde einzureichen (Art. 12 Abs. 4 DSGVO).

Die Bank verteidigte sich wohl u.a. damit, dass der Antrag auf Ausübung von Rechten im Rahmen eines umfassenderen und detaillierteren Ersuchens des Kunden gestellt worden sei, was eine rechtzeitige Antwort verhindert hätte. Hierin sah die Datenschutzbehörde jedoch kein Argument dafür, die Betroffenenanfrage nicht fristgemäß zu beantworten.

Zur Begründung verweist die Aufsichtsbehörde auch auf Art. 12 Abs. 2 DSGVO, wonach „der für die Verarbeitung Verantwortliche die Ausübung der Rechte der betroffenen Person nach den Artikeln 15 bis 22 zu erleichtern hat“.

Zudem brachte die Bank als Argument vor, dass die Informationen gemäß Art. 13 DSGVO und die Daten, die Gegenstand des Antrags sind, der betroffenen Person bereits bekannt waren. Auch diesen Einwand lies die Datenschutzbehörde nicht gelten.

In Art. 15 DSGVO sei als erster Schritt das Rechts der betroffenen Person verankert, „von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht“ und, falls dies der Fall ist, das Recht, „Zugang zu den Daten“ und weitere Informationen zu erhalten. Dies geschehe auch, um die Richtigkeit und Vollständigkeit der verarbeiteten Daten zu überprüfen.

Basierend hierauf wurde die Beschwerde für begründet erklärt und basierend auf Art. 58 Abs. 2, 83 Abs. 3 DSGVO eine Geldbuße verhängt.

Die Behörde setzt die Geldbuße in Höhe von 20.000,00 EUR für den Verstoß gegen die Art. 12 und 15 DSGVO fest.

Fazit

Betroffenenrechte spielen, insbesondere im B2C-Bereich eine herausragende Rolle, wenn es um die DSGVO-Compliance geht. Insbesondere sollten datenverarbeitende Stellen intern Prozesse und Vorgaben etablieren, die eine rechtzeitige Bearbeitung von Betroffenenanfragen sicherstellen. Eine ausbleibende oder verspätete Antwort kann im schlimmsten Fall mit einem Bußgeld geahndet werden. Gerade der Fehler einer Nichtbearbeitung oder der Verspätung ist meiner Ansicht nach aber in der Praxis gut vermeidbar, wenn man intern entsprechende Vorgaben schafft und Mitarbeiter regelmäßig schult. 20.000 EUR für einen Fall mag im ersten Moment „vertretbar“ anmuten – jedoh sollte man aus Unternehmenssicht beachten, dass, bei fehlenden internen Leitlinien und Prozessen, über einen längeren Zeitraum evtl. nicht nur eine Anfrage, sondern eine viel größere Anzahl nicht richtig bearbeitet wird. Entsprechend dürfte dann auch das mögliche Bußgeld nach oben angepasst werden.

Datenschutzbehörde Liechtenstein: Betroffene haben keinen DSGVO-Anspruch auf Herausgabe der TOMs

In ihrem aktuellen Tätigkeitsbericht (PDF, S. 19) informiert die Datenschutzstelle Liechtenstein u.a. auch zu Beratungsanfragen zu dem Themenkomplex „Auskunft“ nach Art. 15 DSGVO.

Mehrere betroffene Personen als auch Verantwortliche stellten die Frage, ob im Rahmen der Auskunftserteilung nach Art. 15 DSGVO auch eine Information über technische und organisatorische Maßnahmen (TOM) erteilt werden muss. Dies ist ein Fall, der in der Praxis recht häufig vorkommt. Daneben verlangen Betroffene oft auch die Herausgabe des Verzeichnisses der Verarbeitungstätigkeiten.  

Die Antwort der Datenschutzbehörde ist hier (meines Erachtens zu Recht) eindeutig.

Weder Art. 13 oder 14 DSGVO noch Art. 15 DSGVO begründen einen Rechtsanspruch auf Informationen zu TOM.“

Die Aufsichtsbehörde geht in ihrer Einschätzung also auch auf die Informationspflichten nach Art. 13 und 14 DSGVO ein. Auch diese enthielten aber keine entsprechende Verpflichtung zur Zugänglichmachung der TOMs.

Zwar sehe Art. 30 DSGVO vor, dass im Verarbeitungsverzeichnis eine allgemeine Beschreibung der TOM zu erfolgen muss.

Dieses Verzeichnis muss allerdings nicht gegenüber betroffenen Personen offengelegt werden.“

Dies ist eine weitere praxisrelevante Feststellung der Aufsichtsbehörde.

Verwaltungsgericht Bremen: Keine Auskunft über Betroffenenrechte, wenn der Betroffene diese kennt und selbst erwähnt?

Das Verwaltungsgericht (VG) Bremen hat sich in einem Urteil vom 22.06.2022 (Az. 4 K 1/21; derzeit leider bei BeckOnline kostenpflichtig abrufbar, BeckRS 2022, 16412) mit Fragen rund um das Auskunftsrecht nach Art. 15 DSGVO befasst. Das VG lehnt zum Teil eine Pflicht des Verantwortlichen ab, Informationen nach Art. 15 Abs. 1 lit. a) – h) DSGVO zu erteilen. Der Fall selbst erscheint mir einigermaßen „speziell“.

Sachverhalt

Die Kläger machen gegenüber der Beklagten (einer öffentlichen Stelle) Auskunftsansprüche nach der DSGVO geltend. Mit Schreiben vom 16.06.2020, adressiert an die Beklagte – Amt für Kinder, Jugend und Familie -, beantragte die Klägerin zu 1. für sich und die Kläger zu 2. und 3. bei der Beklagten unter Hinweis auf Art. 15 Abs. 1 lit. a) bis h) DSGVO die Erteilung von Auskünften über die über sie selbst und ihre beiden Söhne erhobenen und verarbeiteten personenbezogenen Daten.

Die Beklagte teilte ihr daraufhin mit, dass es keine zentrale Stelle gäbe, die sämtliche personenbezogenen Daten von Betroffenen erfassen und zusammenführen würde, weswegen sie sich hinsichtlich des geltend gemachten Anspruchs an die jeweilige Stelle in Bremerhaven wenden müsste. Am 03.01.2021 wurde Klage und zugleich ein Antrag auf Gewährung vorläufigen Rechtsschutzes eingereicht und zur Begründung vorgetragen, die Beklagte habe nicht auf ihr Auskunftsbegehren vom 16.06.2020 reagiert. Auch die nachträglich vorgelegten Unterlagen seien unvollständig.

Mit Schreiben vom 03.03.2022 hat die Beklagte der Klägerin zu 1. u.a. eine ExcelTabelle zu den verarbeiteten personenbezogenen Daten übermittelt. Mit Schreiben vom 11.05.2022 hat die Beklagte u.a. auch noch einen Auszug aus der LogoData-Software zu den verarbeiteten personenbezogenen Daten übermittelt. Die Schreiben bzw. Tabellen und Übersichten enthielten jedoch keine Hinweise auf Betroffenenrechte oder Beschwerderechte. Ferner enthielten sie auch keine Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Die Kläger gingen weiter davon aus, dass ihr Anspruch aus Art. 15 DSGVO nicht erfüllt sei.

Entscheidung

Das VG ging zunächst davon aus, dass der Anspruch nach Art. 15 DSGVO mit der Übersendung der Excel-Tabellen und eines Auszugs aus der verwendeten Software zum Teil erfüllt war.

Erfüllung mit Screenshots und Kopien aus Systemen

Die Aussagen zu der übersendeten Excel-Tabelle (ich vermute, als Screenshot / Ausdruck und Kopie) sind durchaus interessant. Die Excel-Tabelle war so aufgebaut, dass dort sämtliche bei der Beklagten vorhandene personenbezogene Daten i.S.v. Art. 15 Abs. 1 lit. a) bis d) und g) DSGVO zu den Klägern eingetragen werden konnten, was auch geschehen ist.

Aus den LogoData-Softwareauszügen, welche per Schreiben (also wohl auch eine Kopie eines Screenshots bzw. ein Ausdruck) übermittelt wurden, wurde ersichtlich, dass, und darüber hinaus auch konkret welche Daten nach Art. 15 Abs. 1 lit. a) bis d) und g) DSGVO beim Sozialen Dienst der Beklagten zum Zwecke der Bearbeitung des Unterhaltsvorschusses und der wirtschaftlichen Jugendhilfe verarbeitet wurden.

Keine Auskunft über bekannte Betroffenenrechte?

Sehr interessant finde ich die Begründung des VG zu der Frage, ob die beklagte Behörde nicht auch die Informationen nach Art. 15 Abs. 1 lit. e) und h) DSGVO erteilen musste. Es war klar, dass sämtliche der Klägerin übermittelten Unterlagen keine Informationen zu den nach Art. 15 Abs. 1 lit. e) und h) DSGVO zu übermittelnden Angaben enthielten.

Das VG fand hier aber einen Begründungsansatz, warum diese Informationen nicht erforderlich waren.

Für den Hinweis auf das Bestehen eines Rechts auf Berichtigung oder Löschung der die Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung (Art. 15 Abs. 1 lit. e) DSGVO) bestand nach Auffassung des VG kein Bedürfnis,

nachdem die Kläger bereits in den Schriftsatz vom 04.01.2021, mit dem sie die Klage eingereicht hatten, Art. 15 Abs. 1 DSGVO vollständig zitiert hatten. Die Kläger können sich im vorliegenden Fall gerade nicht darauf berufen, sie hätten keine Kenntnis von ihren Betroffenenrechten gehabt und die Beklagte müsste nun dazu verpflichtet werden, sie hierauf hinzuweisen.“

(gemeint ist wohl die Klage vom 03.01). Das VG argumentiert hier nicht europarechtlich aus der DSGVO heraus, sondern basierend auf dem deutschen Verwaltungsprozessrecht. Diesen Ansatz finde ich durchaus nachvollziehbar.

Denn auf diese Weise könnten die Kläger keine Verbesserung ihrer Rechtsposition erreichen. Eine Klage, bei der nicht einmal die Möglichkeit einer Verbesserung der eigenen Rechtsposition besteht, ist als rechtsmissbräuchlich zu bewerten und daher unzulässig“.

Es dürfte sich aber eine Gegenposition ebenso vertreten lassen. Im Grunde geht die DSGVO als unmittelbar anwendbares Recht dem nationalen Recht vor. Art. 15 Abs. 1 DSGVO sieht keine Ausnahme der Auskunftspflichten vor, wenn die betroffene Person diese Rechte bereits kennt bzw. selbst zitiert. Am Ende wird man diskutieren müssen, ob das deutsche Prozessrecht von der DSGVO unbeeinflusst gilt und auch Auswirkungen auf materiell-rechtliche Anforderungen der DSGVO haben kann.   

Keine Auskunft, wenn nicht relevant?

Auch die Informationserteilung nach Art. 15 Abs. 1 lit. h) DSGVO lehnt das VG ab.

Diesbezüglich jedoch mit einer anderen Begründung. Für diese Information bestand nach Auffassung des Gerichts kein Bedürfnis,

weil im vorliegenden Fall keinerlei Anhaltspunkte dafür bestanden, dass die personenbezogenen Daten der Kläger zum Zwecke der automatisierten Entscheidungsfindung einschließlich Profiling verarbeitet worden sein könnten.“

Findet eine automatisierten Entscheidungsfindung nicht statt, muss also nach Ansicht des VG darüber auch nicht negativ informiert werden. Diese Begründung halte ich durchaus für gangbar, zumal lit. h) ausdrücklich vorsieht, dass der Verantwortliche über „das Bestehen“ einer automatisierten Entscheidungsfindung einschließlich Profiling informieren soll. Findet dies aber nicht statt, dann liegt auch kein „Bestehen“ vor.

Finnische Datenschutzbehörde: Regelmäßige Prüfung der Kontaktkanäle für Datenschutzanfragen erforderlich

Am 9.5.2022 hat die finnische Datenschutzbehörde gegen ein Unternehmen (einen finnischen Verlag) ein Bußgeld in Höhe von 85.000 EUR wegen mehrerer Verstöße gegen die DSGVO verhängt (Englisch). Die Entscheidung betrifft einige praxisrelevante Fragestellung der Umsetzung von Betroffenenrechten.

Einleitend informiert die Behörde darüber, dass sie insgesamt elf Beschwerden zu dem Unternehmen erhalten hatte. Unter anderem hatten die Betroffenen keine Antwort auf ihre Anträge oder Anfragen zu Datenschutzrechten erhalten.

Kontaktkanäle für betroffene Personen müssen regelmäßig getestet werden

Einige Datenschutzanfragen von Betroffenen wurden aufgrund eines technischen Problems bei der E-Mail-Weiterleitung nicht umgesetzt, als das Unternehmen seinen Dienstleister wechselte.

Dies führte dazu, dass E-Mails, die in dem für Datenschutzfragen reservierten E-Mail-Posteingang eingingen, nicht an die Mitarbeiter des Kundendienstes weitergeleitet wurden. Das Problem wurde erst durch das Auskunftsersuchen der Datenschutzbehörde entdeckt. Zu diesem Zeitpunkt hatte die Unterbrechung der E-Mail-Weiterleitung bereits sieben Monate gedauert.

Nach Ansicht der Aufsichtsbehörde wäre das Unternehmen verpflichtet gewesen, sich um die Prüfung des E-Mail-Postfachs zu kümmern, da dies der wichtigste elektronische Kontaktkanal der betroffenen Personen in Datenschutzangelegenheiten war.

Aus der offiziellen Pressemitteilung wird leider nicht klar, welche Norm der DSGVO die Behörde hierdurch als verletzt ansieht. Auf der Webseite des EDSA wird u.a. ein Verstoß gegen Art. 12 DSGVO angegeben. Dies scheint mir hier auch die passende gesetzliche Grundlage zu sein. Nach Art. 12 Abs. 2 S. 1 DSGVO muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtern. Wenn aber Anfragen von Betroffenen gar nicht bearbeitet werden (und sei es auch nur aufgrund eines technischen Fehlers), dürfte dies gerade keine Erleichterung, sondern eine Erschwerung darstellen. Praktisch bedeutet dies, dass Unternehmen in regelmäßigen Abständen ihre DSGVO-Kanäle für Betroffene von extern testen sollten.

Unnötige Informationen dürfen nicht zur Identifizierung angefordert werden

Daneben konnten Betroffene mit einem ausdruckbaren Formular auch Anfragen zu ihren eigenen Daten stellen. Hierbei ging es wohl um Auskunftsanfragen nach Art. 15 DSGVO. Das Formular verlangte zur Identifikation jedoch die Unterschrift der betroffenen Person.

Nach Ansicht der Aufsichtsbehörde verarbeitete das Unternehmen aber auf diese Weise eine übermäßige Menge an Informationen zur Identifizierung. Insbesondere konnte das Unternehmen nicht darlegen, dass es die Unterschrift etwa mit bei sich vorhandenen Unterschriften der Betroffenen abglich. Denn es wurden ansonsten keine Unterschriften der Betroffenen erhoben.

Auch dieses Vorgehen dürfte nach Ansicht der Behörde einen Verstoß gegen Art. 12 Abs. 1 DSGVO darstellen. Zudem wird in der Mitteilung auf der Webseite des EDSA auch ein Verstoß gegen Art. 5 Abs. 1 lit. c DSGVO erwähnt, also gegen den Grundsatz der Datenminimierung. Die (nicht erforderliche) Erhebung es Datums „Unterschrift“ dürfte auch gegen diese Norm verstoßen haben.

Missbräuchliche Ausübung von Betroffenenrechten – Klarheit durch neuen Richtlinienvorschlag der EU-Kommission?

In der Praxis ist die Geltendmachung und Bearbeitung von Betroffenenrechten der DSGVO ein wichtiges Thema. Dabei fällt auf, dass gerade Rechte wie der Auskunftsanspruch (Art. 15 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO) auch in Situationen geltend gemacht werden, in denen der Datenschutz ganz offensichtlich nicht im Fokus der Betroffenen steht. Sondern es geht, etwa in Verfahren vor Arbeitsgerichten, darum, der Gegenseite weiteren Aufwand zu machen bzw. diese, wenn möglich „auszuforschen“ (je nachdem, wie das Gericht den Umfang des Auskunftsrechts versteht). Oft stellt sich dann die Frage, ob denn der Verantwortliche nicht eine missbräuchliche Geltendmachung des Betroffenenrechts einwenden und die Erfüllung ablehnen kann. Mein Kollege Johannes Zwerschke und ich haben zu dem Thema „Missbräuchliche Ausübung von DS-GVO-Betroffenenrechten – zulässiger Verteidigungseinwand für Verantwortliche?“ einen Aufsatz in Heft 1/2022 der RDV veröffentlicht.

Merkmal „offenkundig unbegründet“

Fraglich ist hierbei unter anderem, wie das Merkmal „offenkundig unbegründet“ in Art. 12 Abs. 5 DSGVO in Bezug auf Anträge von Betroffenen zu verstehen ist. Die DSGVO gibt hierauf keine konkrete Antwort. Da es sich hierbei um unmittelbar anwendbares europäisches Recht handelt, ist das Merkmal nicht allein aus nationaler Sicht, sondern europarechtsautonom auszulegen.

Richtlinienvorschlag der Kommission zu missbräuchlichen Gerichtsverfahren

Spannend ist daher ein neuer Richtlinienvorschlag der EU-Kommission vom 27.4.2022. Es geht um eine Richtlinie zum Schutz von Personen, die sich öffentlich beteiligen, vor offenkundig unbegründeten oder missbräuchlichen Gerichtsverfahren („strategische Klagen gegen öffentliche Beteiligung“) (COM(2022) 177 final, PDF). Hintergrund des Vorschlags ist der Wunsch, Maßnahmen zur Verbesserung des Schutzes von Journalisten und Menschenrechtsverteidigern vor missbräuchlichen Gerichtsverfahren zu schaffen. „Strategische Klagen gegen öffentliche Beteiligung“ oder „SLAPP-Klagen“ (strategic lawsuits against public participation) sind nach Ansicht der Kommission eine besondere Form der Belästigung, um Äußerungen zu Angelegenheiten im öffentlichen Interesse zu verhindern oder zu sanktionieren. Die vorgeschlagene Richtlinie „ermöglicht es Richtern, offenkundig missbräuchliche Klagen gegen Journalisten und Menschenrechtsverteidiger rasch abzuweisen“.

Und hier wird es natürlich für uns aus DSGVO-Sicht interessant. Zum einen verwendet die Richtlinie exakt dasselbe Merkmal wie die DSGVO („offenkundig unbegründet“). Zum anderen ist die Ausgangssituation auch sehr ähnlich: es geht darum zu verhindern, dass Rechte missbräuchlich genutzt werden. Die Parallele zu Situationen unter der DSGVO, ergibt sich etwa aus ErwG 20 der Richtlinie: „Bei missbräuchlichen Gerichtsverfahren handelt es sich in der Regel um bösgläubige Verfahrenstaktiken, z. B. die Verzögerung von Verfahren, das Verursachen unverhältnismäßig hoher Kosten für den Beklagten im Verfahren oder die Wahl des günstigsten Gerichtsstands“. Und: „Diese Taktiken werden von den Klägern zu anderen Zwecken eingesetzt, als um Zugang zur Justiz zu erhalten“.

Was versteht die Kommission unter „offenkundig unbegründet“?

Und was versteht die Kommission nun unter dem Begriff „offenkundig unbegründet“? Eine abschließende Definition dieses Merkmals bzw. des Oberbegriffs „missbräuchliche Gerichtsverfahren“ liefert die Richtlinie nicht. Art. 3 der Richtlinie zählt eine nicht erschöpfende Liste der häufigsten Indikatoren von Missbrauch auf. Darunter fallen nach Ansicht der Kommission:

  • Unverhältnismäßigkeit,
  • Maßlosigkeit oder
  • Unangemessenheit der Forderung oder eines Teils davon,
  • Vorhandensein mehrerer Verfahren, die vom Antragsteller oder mit ihm verbundenen Parteien in ähnlichen Angelegenheiten angestrengt wurden,
  • Einschüchterungen, Belästigungen oder Drohungen von Seiten des Klägers oder seiner Vertreter.

In den Erläuterungen zu dem Entwurf geht die Kommission noch etwas genauer auf mögliche Merkmale ein, die meines Erachtens durchaus auch im Bereich der DSGVO herangezogen werden können.

Bei missbräuchlichen Gerichtsverfahren handelt es sich häufig um bösgläubige Verfahrenspraktiken, z. B. die Verzögerung von Verfahren, das Verursachen unverhältnismäßig hoher Kosten für den Beklagten im Verfahren oder die Wahl des günstigsten Gerichtsstands. Diese Taktiken, die von den Klägern zu anderen Zwecken als dem Zugang zur Justiz eingesetzt werden…

Gerade diese letzte Erläuterungen ist meiner Ansicht nach sehr gut auf die missbräuchliche Geltendmachung von Betroffenenrechten übertragebar (wie etwa: Verursachen unverhältnismäßig hoher Kosten; zu anderen Zwecken als dem Zugang zur Justiz (bzw. dem Schutz personenbezogener Daten)).

VG Düsseldorf: Kein DSGVO-Auskunftsanspruch in Bezug auf Mitarbeitergesprächsprotokolle von Kollegen

Das Verwaltungsgericht (VG) Düsseldorf hat mit Urteil vom 7.3.2022 (Az 26 K 406/19) zu der Frage entschieden, ob im Rahmen eines Auskunftsanspruchs nach Art. 15 DSGVO auch das Protokoll eines Mitarbeitergesprächs herauszugeben ist, in dem sich eine Arbeitskollegin kritisch über die Klägerin äußerte und ihr unter anderem vorwarf, Drohungen gegenüber Mitarbeitern auszusprechen.

Sachverhalt

Die Klägerin war als Fallmanagerin (Arbeitsvermittlerin) dem Beklagten zu 2 zugewiesen. Dort fand ein Personalgespräch statt, in dem ihr unangemessenes Verhalten gegenüber einer Mitarbeiterin vorgehalten wurde. Diese Mitarbeiterin habe in ihrem Mitarbeitergespräch im April 2017 geäußert, sie – die Klägerin – sei eine polarisierende und spaltende Kraft und agiere gegen die Teamleitung. Sie – die Klägerin – habe zum Nachteil der anderen Mitarbeiterin auch eine Drohung ausgesprochen.

Die Klägerin bewarb sich danach bei der Beklagten zu 1. Im Zuge des Bewerbungsverfahrens forderte die Beklagte zu 1. beim Beklagten zu 2. eine anlassbezogene dienstliche Beurteilung an. In dieser wurde u.a. festgehalten, dass es vereinzelt mit wenigen Mitarbeitern im Team zu immer wiederkehrenden Meinungsverschiedenheiten gekommen sei. Die dienstliche Beurteilung wurde gegenüber der Klägerin nicht eröffnet. Die ausgeschriebene Stelle wurde anderweitig vergeben.

Zuletzt beantragte die Klägerin noch, den Beklagten zu 2. zu verurteilen, ihr das Protokoll des Mitarbeitergesprächs der Kollegin aus April 2017 herauszugeben.

Entscheidung

Das VG wies die Klage als unbegründet ab.

Zunächst geht das VG davon aus, dass § 86 LBG NRW (Auskunftsrecht) vorliegend nicht auf das Protokoll des Mitarbeitergesprächs der Arbeitskollegin anwendbar ist. Diese Norm sei im vorliegenden Fall nicht einschlägig, soweit das von der Klägerin begehrte Dokument nicht Teil der eigenen Personalakte ist. Denn das streitbefangene Mitarbeiterprotokoll beziehe sich auf die dienstrechtlichen Beziehungen zwischen der Kollegin und dem Beklagten zu 2.

Der Beklagte zu 2. habe zudem entsprechend der bis 24. Mai 2018 geltenden Rechtslage Auskunft erteilt. Dort enthalten war auch das die Klägerin betreffende Protokoll über ihr eigenes Mitarbeitergespräch, welches die wesentlichen Angaben über die Vorwürfe aus dem Gespräch der Kollegin enthielt.

Art. 15 DSGVO trete, als allgemeine Norm, die ein Auskunftsrecht bei der Verarbeitung personenbezogener Daten vorsieht, gegenüber der Spezialregelung im LBG NRW bereits aus systematischen Gründen zurück (§ 5 Abs. 6 DSG NRW).

Jedoch nutzt das VG dennoch die Gelegenheit, sich zu der Ausnahmeregelung des Art. 15 Abs. 4 DSGVO in dem konkreten Fall zu äußern.

Art. 15 Abs. 4 DSGVO schränke das Recht auf Erhalt einer Kopie ein, wenn Rechte und Freiheiten anderer Personen beeinträchtigt werden. Das sei hier der Fall, da eine Kopie des Protokolls über das Mitarbeitergespräch vom April 2017 an die Klägerin herausgegeben werden würde.

Über ihre eigenen personenbezogenen Daten würde der Klägerin (als Betroffene) dann Einblick auch in solche personenbezogenen Daten ermöglicht werden, die ihre Kollegin oder weitere Personen betreffen.

Im Rahmen einer Abwägung aller Interessen ist ein solcher Eingriff nicht zu rechtfertigen, weil die Klägerin – wie bereits dargestellt – in anderer geeigneter Weise über die sie betreffenden personenbezogenen Daten informiert worden ist“.

Fazit

Die Ausführungen des VG sind recht kurz. Dennoch scheint das VG durchblicken zu lassen, dass Art. 15 DSGVO seiner Ansicht nach zum einen nicht dazu dient, personenbezogene Daten über andere Personen (hier der Arbeitskollegin und ihren Aussagen) zu erhalten. Zum anderen sieht das VG im konkreten Fall wohl auch die Rechte und Freiheiten der anderen Betroffenen beeinträchtigt, wenn deren Daten, in der Form von Gesprächsprotokollen, im Original herausgegeben würden. Das VG äußert sich nicht zu der Möglichkeit, ob eine geschwärzte Version des Protokolls zur Verfügung gestellt werden könnte.

Landgericht Stuttgart: zur Zulässigkeit von Briefwerbung und eine Blacklist für Werbewidersprüche nach der DSGVO

Das LG Stuttgart hat mit Urteil vom 25.02.2022 (Az. 17 O 807/21; derzeit nur bei BeckOnline abrufbar, BeckRS 2022, 4821) einige praxisrelevante Fragen rund um die Brief-/Postwerbung behandelt. Unter anderem ging es um die Zulässigkeit von Postwerbung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO und die Frage, ob eine Speicherung von personenbezogenen Daten auf einer Blacklist, zur Umsetzung von Werbewidersprüchen, möglich ist.

Sachverhalt

Der Kläger macht gegen die Beklagte Ansprüche wegen behaupteter Verletzung seiner Rechte aus der DSGVO geltend. Der Kläger erhielt an seiner Wohnanschrift postalische Werbung für Produkte einer Versicherung. Dies Werbung wurde nicht von der Versicherung direkt, sondern von der Beklagten als Dienstleisterin für Werbetreibende versendet. Der Kläger machte gegenüber der Beklagten von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch und forderte die Beklagte auf, ihm Auskunft zur Verwendung seiner Daten zu erteilen sowie die bei der Beklagten vorhandenen personenbezogenen Daten des Klägers zu löschen.

In der Folge erhob der Kläger außergerichtlich Schadensersatzansprüche wegen Verletzung seiner Rechte aus der DSGVO (Art. 82 DSGVO). Der Kläger ist der Ansicht, dass die Beklagte gegen das Recht auf Löschung seiner Daten nach Art. 17 DSGVO verstoßen habe, nachdem sie diese nicht vollständig gelöscht (Sperrung) habe. Zudem ist der Kläger der Auffassung, dass persönlich adressierte Briefsendungen als Form der Direktwerbung hier nicht zulässig waren. Denn Direktwerbung setze nach Art. 6 Abs. 1 lit. f) DSGVO eine bereits bestehende Kundenbeziehung voraus, weil sie nur dann im berechtigten Interesse des Verantwortlichen liege.

Urteil

Das LG wies die Klage ab. Der Kläger habe gegen die Beklagte wegen der Zusendung der streitgegenständlichen Werbeschreibens keinen Schadensersatzanspruch aus Art. 82 DSGVO, denn es liege kein Verstoß gegen die DSGVO vor. Insbesondere war die Zusendung der Werbeschreiben und die dem zugrunde liegende Verarbeitung seiner Adressdaten rechtmäßig im Sinne von Art. 6 Abs. 1 f) DSGVO.

Rechtsgrundlage, Art. 6 Abs. 1 lit. f) DSGVO

Das Gericht geht davon aus, dass die Beklagte als datenschutzrechtlich Verantwortliche ihre Interessen und die ihres Kunden (eines Dritten) an der Werbemaßnahmen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO anführen kann. Die Verarbeitung der Kontaktdaten war zur Erreichung dieses Interesses auch erforderlich.

Die Beklagte habe

dargelegt, dass Werbebriefe wie der vorliegende ein notwendiges Mittel sind, um einerseits Bestandskunden zu pflegen, andererseits aber auch – wie hier – Neukunden zu gewinnen“.

Zudem überwiegen die Interessen des Klägers nicht die berechtigten Interessen der Beklagten bzw. die Interessen der (Werbe-) Kundin. Das LG stellt hier deutlich heraus, dass die Interessen des Betroffenen überwiegen müssen.

Bei gleichwertigen Interessen („non liquet“) darf eine Verarbeitung also stattfinden

Zudem sehe die DSGVO das Interesse der Wirtschaft an Direktwerbung als schutzwürdig an. Das LG verweist auf ErwG 47. Zwar sei damit noch nicht gesagt, dass jeder Fall der Direktwerbung gerechtfertigt ist. Allerdings lasse sich dem Erwägungsgrund entnehmen, dass die Beklagte und ihre Werbekunden hieran ein berechtigtes Interesse haben, dem gegenüber widerstreitende Interessen des Klägers überwiegen müssen.

Das LG konkretisiert in diesem Zusammenhang, was unter „Direktwerbung“ zu verstehen sei. Unter Direktwerbung im Sinne des Erwägungsgrundes sei

jede unmittelbare Ansprache der betroffenen Person etwa durch Zusendung von Briefen oder Prospekten, durch Telefonanrufe, E-Mails oder Übermittlung von SMS zu verstehen, unabhängig davon, ob zwischen Werbendem und Betroffenem zuvor ein Kundenverhältnis bestanden hat.“

Zudem lehnt das LG die Ansicht des Klägers ab. Der Wortlaut der Vorschrift setze kein bereits bestehendes Kundenverhältnis der Parteien voraus. „Direktwerbung“ betrifft also vor allem auch die Neukundenwerbung.

Zulässigkeit der Datenverarbeitung für Werbewiderspruch

Praxisrelevant ist auch die Ansicht des LG zu der Zulässigkeit der Datenverarbeitung zur Umsetzung eines Werbewiderspruchs. Der Kläger ging hier davon aus, dass die Beklagte zum Umsetzung seines Widerspruchs keine Daten verarbeiten durfte. Auch dieser Ansicht schließt sich das LG nicht an und liefert die passende Rechtsgrundlage.

Soweit die Beklagte die Daten des Klägers noch zum Zwecke der Berücksichtigung des Widerspruchs des Klägers vorhält, ist dies nach Art. 6 Abs. 1 lit. c) DS-GVO gerechtfertigt.

Fazit

Die Entscheidung des LG ist unter mehreren Gesichtspunkten praxisrelevant. Zum einen stärkt sie die grundsätzliche Zulässigkeit von Briefwerbung unter der DSGVO, die 1) ohne Einwilligung und 2) ohne das Erfordernis einer Kundenbeziehung zulässig ist. Zum andern bestätigt das Gericht die vormalige Rechtsprechung des BGH (unter altem BDSG) zur Zulässigkeit der Datenverarbeitung für die Umsetzung eines Werbewiderspruchs. Auf dieser Grundlage dürfte also etwa eine Blacklist geführt werden.

Recht auf Berichtigung bei Angabe falscher Daten im Rahmen der Registrierung? – Hessische Aufsichtsbehörde: ja und nein

Auf der Webseite des EDSA wurde die Zusammenfassung (PDF) einer neuen Entscheidung der Hessischen Datenschutzbehörden vom 19.11.2021 im Wege des One Stop Shop Mechanismus veröffentlicht.

Sachverhalt

Der Fall betrifft eine Registrierung bei einem Dienst, in deren Zuge der Betroffene ein falsches Geburtsdatum eingab. Der Dienst durfte nach den Nutzungsbedingungen nur von Volljährigen genutzt werden. Daher gab der minderjährige Betroffene ein falsches Geburtsdatum an. Zudem wählte er noch ein Pseudonym als Account Namen.

Der Betroffene macht nun, nachdem er volljährig war, sein Recht nach Art 16 GDPR auf Berichtigung der, von ihm selbst, falsch angegeben Daten geltend. Das Unternehmen verweigerte die Berichtigung beider Daten.

Entscheidung

Die Aufsichtsbehörde lehnte die Beschwerde in Bezug auf die Berichtigung des Account Namens, also des Pseudonyms, ab.

„Ein von der betroffenen Person frei gewähltes Pseudonym kann nicht unrichtig im Sinne von Artikel 16 Absatz 1 DSGVO sein, auch wenn es Namen oder andere Daten von Dritten enthalten kann.“

Jedoch geht die Behörde davon aus, dass das Geburtsdatum zu berichtigen sei. Auch wenn dies von dem betroffenen falsch angegeben wurde und selbst auch dann, wenn dies einen Verstoß gegen die Nutzungsbedingungen der Plattform darstellt.

„Das Recht auf Berichtigung besteht unabhängig von möglichen zivilrechtlichen Folgen im Vertragsverhältnis zwischen dem Beschwerdeführer und dem Anbieter. Dementsprechend müssen die Prozesse im Kundensupport angepasst werden, damit eine Berichtigung in zukünftigen, vergleichbaren Fällen nicht pauschal abgelehnt wird.“

Fazit

Die Entscheidung dürfte für Unternehmen relevant sein, die Nutzerkonten anbieten und hierzu bestimmte Vorgaben an Nutzer machen, etwa zu einer Altersgrenze. Hinsichtlich der absichtlichen Angabe des falschen Geburtsdatums erscheint mir die Ansicht der Behörde durchaus diskutabel. Denn mit der Begründung wäre es Betroffenen möglich, bewusst und missbräuchlich falsche Daten in Systeme bei Unternehmen zu geben, nur um dann im Nachgang Verstöße gegen die DSGVO geltend zu machen. Eventuell kann man in solchen Fällen aber den Einwand des Missbrauchs nach Art. 12 Abs. 5 GDPR erheben.