750 EUR DSGVO-Schadenersatz wegen Auskunft „erst“ nach 19 Tagen? Ich meine: nein. 

Derzeit wird in der Datenschutzszene ein Urteil des Arbeitsgerichts (ArbG) Duisburg vom 03.11.2023 (Az. 5 Ca 877/23) diskutiert. Das ArbG sprach dem Kläger 750 EUR Schmerzensgeld zu, weil ein Unternehmen eine (Negativ)Auskunft nach Art. 15 DGSVO „erst“ nach 19 Kalendertagen erteilt hatte. Der Kläger war ein früherer Bewerber. Nach Ansicht des ArbG stellt diese Verzögerung der Auskunft einen Verstoß gegen Art. 12 Abs. 3 DSGVO. 

Nach Sichtung des Urteils und der Gründe würde ich als Verantwortlicher jedoch nicht in Panik verfallen. Unter datenschutzrechtlichen Gesichtspunkten ist, meines Erachtens, die Begründung des ArbG an mehreren Stellen angreifbar und ebenso ein anderes Ergebnis vertretbar. 

Der rein nationale Blick auf das Merkmal „unverzüglich“

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 

Nach Ansicht des ArbG sei unter „unverzüglich“, angelehnt an § 121 BGB, „ohne schuldhaftes Zögern“ zu verstehen. Zwar gesteht das Gericht ein, dass „unverzüglich“ nicht „sofort“ bedeutet. Jedoch geht es, unter Verweis auf eine Entscheidung des Bundesarbeitsgerichts, davon aus, dass nach einer Zeitspanne von mehr als einer Woche, ohne das Vorliegen besonderer Umstände, grundsätzlich keine Unverzüglichkeit mehr gegeben sei. 

Vorliegend gab das Unternehmen an, dass aufgrund von Wochenenden, Feiertagen und Brückentagen in dem betreffenden Zeitraum (Pfingsten), die Auskunft innerhalb von 9 Arbeitstagen erteilt wurde. Für das ArbG waren diese 9 Arbeitstage jedoch zu lang. 

Das ArbG legt hier also eine unmittelbar anwendbare EU-Verordnung und deren Vorgaben rein aus dem nationalen Rechtsverständnis aus. Dies verstößt gegen die Rechtsprechung des EuGH, konkret auch zur DSGVO. Der EuGH geht davon aus, dass (nach ständiger Rechtsprechung) die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (C-300/21, Rz. 29). 

Art. 12 Abs. 3 DSGVO verweist hinsichtlich des Begriffs „unverzüglich“ nicht auf das Recht der Mitgliedstaaten. Nach dem EuGH ist die Auslegung daher insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln (C-300/21, Rz. 29).

In diesem Fall ist der Begriff „unverzüglich“ für die Anwendung der DSGVO als autonomer Begriff des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen (so zum Begriff „Schaden“ in Art. 82 Abs. 1 DSGVO, C-300/21, Rz. 30).

Genau diese Auslegung nimmt das ArbG hier aber nicht. 

Zusatz: man könnte, völlig unabhängig von diesen europarechtlichen Erwägungen, auch noch entgegenhalten, dass bereits ein Landesarbeitsgericht eine andere Auffassung zu dem Begriff „unverzüglich“ vertreten hat; dies auch zeitlich vor dem Urteil des ArbG. Mit Blick auf die Monatsfrist des Art. 12 Abs. 3 DSGVO hat das LAG Baden-Württemberg entschieden, dass der Verantwortliche „vor Ablauf dieser Frist“ die Ansprüche nicht erfüllen braucht (hierzu mein Blogbeitrag).

Im Ergebnis bin ich sogar bei dem ArbG, dass hier keine starren Fristen gelten können; außer eben jene Monatsfrist. Dann jedoch, unter Verweis auf die Rechtsprechung des BAG, davon auszugehen, dass die Erteilung einer Negativauskunft nach 9 Arbeitstagen einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt, halte ich mit Blick auf die Rechtsprechung des EuGH für nicht richtig. 

Der angenommene Schaden – Kontrollverlust ohne Daten?

Selbst wenn man einen Verstoß gegen Art. 12 Abs. 3 DSGVO annehmen würde, sind meines Erachtens die Ausführungen des ArbG zum materiellen Schaden (750 EUR) angreifbar. Nach Ansicht des Gerichts hat er Kläger „durch die verspätete Auskunft einen Kontrollverlust hinsichtlich seiner Daten erlitten“. 

Einige werden sich fragen: aber, der Verantwortliche hatte doch gar keine Daten? Genau. Die wurden (wohl) mittlerweile gelöscht.

Nach Ansicht des ArbG „war der Kläger im Ungewissen und ihm die weitere Prüfung verwehrt, ob und ggf. wie die Beklagte seine personenbezogenen Daten verarbeitet“. Dies sei der Schaden. 

Eine solche Auslegung kollidiert aber meines Erachtens mit der aktuellen Rechtsprechung des EuGH und auch Schlussanträgen von Generalanwälten. 

Generalanwalt Collins geht etwa hinsichtlich des Schadens nach Art. 82 DSGVO davon aus, dass, auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, es eindeutiger und präziser Beweise dafür bedarf, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus (C‑182/22 und C‑189/22, Rz. 24).

Generalanwalt Pitruzzella geht davon aus, dass sich empirisch feststellen lasse, dass jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person führt. Eine Entschädigung, die für das bloße Gefühl des Unwohlseins über die Nichteinhaltung des Gesetzes durch einen Dritten geschuldet wird, könnte aber leicht mit einer Entschädigung ohne Schaden verwechselt werden, was aber nicht vom Tatbestand von Art. 82 DSGVO erfasst zu sein scheint (C‑340/21, Rz. 81).

Nach Ansicht des EuGH geht aus dem Wortlaut des Art. 82 Abs. 1 DSGVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (C-300/21, Rz. 32). Zudem ist eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, gerade nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (Rz. 50).

Vorliegend hatte der Kläger nur begründet, dass ein immaterieller Nachteil vorliege, wenn eine betroffene Person einen Kontrollverlust hinsichtlich eigener Daten erleide oder eine Einschränkung in ihren Rechten erfahre. Er habe auch ein emotionales Ungemach erfahren. Der Kläger trug hier aber gerade keine vom EuGH und auch den Generalanwälten geforderten konkreten Beweise für den Schaden an sich vor. Im Gegenteil spricht etwa die Auslegung von Generalanwalt Collins gegen die Anerkennung von „Ungemach“ als Schaden. 

Zuletzt muss man sich hier auch die konkrete Situation vor Augen halten: der Kläger hatte sich vor Jahren bei dem Verantwortlichen beworben – also selbst Daten übersendet. Wenn der Kläger aber nun einen, wohl gemerkt, hypothetischen Kontrollverlust als Schaden ersetzt verlangt, dann muss meines Erachtens auch berücksichtigt werden, dass die Daten ja erst durch den Kläger selbst in den Verantwortungsbereich des Unternehmens gelangten. 

Um es noch drastischer zu sagen: auf Basis der Argumentation des ArbG sende ich einfach wild meine Daten an verschiedene Unternehmen und mache danach Auskunftsanträge geltend. Wenn ein Unternehmen hierauf nicht, sagen wir innerhalb von 14 Tagen (kennen wir ja aus Deutschland als Richtschnur für die „Unverzüglichkeit“) antwortet, mache ich Schadenersatz nach Art. 82 DSGVO geltend, da ja in diesen 14 Tagen nicht klar war, ob ich nicht die Kontrolle über die Daten habe oder nicht. P.S.: die Kontrolle habe ich vorher selbst abgegeben. 

Ungültige DSGVO-Einwilligung – Wechsel auf andere Rechtsgrundlage möglich? Aussagen des EuGH, öst. BVwG und der öst. Aufsichtsbehörde

Ist es möglich, eine Verarbeitung, die ursprünglich auf eine Einwilligung gestützt war, auf einer anderen Rechtsgrundlage durchzuführen, wenn die Einwilligung wegfällt bzw. unwirksam ist?

Ansicht des EuGH

In seinem Urteil vom 4. Juli 2023 (C-252/21) hatte sich der EuGH unter anderem auch mit der Situation befasst, dass eine Einwilligung entweder nicht oder nicht wirksam eingeholt wurde. Die Frage war dann, ob die Datenverarbeitung eventuell dennoch auf Grundlage von Art. 6 Abs. 1 DSGVO gerechtfertigt sein kann.

Hierzu der EuGH (Rz. 92):

Liegt keine solche Einwilligung vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt, ist eine solche Verarbeitung gleichwohl gerechtfertigt, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt.“

Das Gericht adressiert klar zwei Situationen:

  • Eine Einwilligung wurde gar nicht eingeholt (also auch nicht versucht) („liegt keine solche Einwilligung vor“)
  • Eine Einwilligung wurde eingeholt, diese war aber unwirksam, da nicht alle Anforderungen der DSGVO eingehalten wurden („wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt“)

Für beide Fälle geht der EuGH davon aus, dass die bestreffende Verarbeitung gleichwohl gerechtfertigt sein kann, wenn ein anderer Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt ist.

Diese Ansicht des EuGH ist für mich eine wichtige Feststellung. Der „switch“ von einer Rechtsgrundlage zur anderen ist danach möglich. Als Verantwortlicher muss man also nicht von Anfang an und für ewig allein eine Rechtsgrundlage für die Verarbeitung nutzen. Aber: natürlich müssen die Anforderungen der jeweiligen Alternative des Art. 6 Abs. 1 DSGVO erfüllt sein.

Ansicht der österreichischen Datenschutzbehörde

Im neuesten Newsletter der österreichischen Datenschutzbehörde (DSB) bin ich auf eine genau entgegengesetzte Meinung der DSB aufmerksam geworden. Die DSB berichtet dort über eine Entscheidung des Bundesverwaltungsgerichts (BVwG, dazu gleich unten).

Ebenso ist es in derartigen Fällen nicht möglich, im Falle der Ungültigkeit einer Einwilligung zum Zwecke des Profiling nachträglich auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO zu wechseln, zumal sich die Unser Ö-Bonus Club GmbH diesbezüglich in sämtlichen vorgelegten Dokumenten und auch gegenüber den betroffenen Personen nur auf die Einwilligung gestützt hat.“

Die DSB verweist dazu dann auch auf das EuGH-Urteil. Diese Interpretation hat mich doch etwas verwundert, zumindest in der Pauschalität. Denn die Auslegung des EuGH (oben) geht meines Erachtens genau in eine andere Richtung.

Ich vermute, die DSB bezieht sich hier eher auf den konkreten Fall vor dem BVwG, in dem der Wechsel der Rechtsgrundlage am Ende nicht funktionierte. Aber nicht, weil dies grundsätzlich ausgeschlossen wäre, sondern auf Grund der nicht erfüllten Anforderungen des Art. 6 Abs. 1 f) DSGVO als Alternative. Aber: auch dort ging das Gericht davon aus, dass der Wechsel der Rechtsgrundlage möglich ist.

Ansicht des BVwG

In der Entscheidung des BVwG (GZ: W256 2227693-1/44E) brachte das betroffene Unternehmen vor, die gegenständliche Datenverarbeitung könne auch (hilfsweise) auf Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 4 DSGVO gestützt werden.

Dies sah die DSB anders. Das BVwG wiederum schloss sich der Ansicht der Aufsichtsbehörde nicht an und verwies hierzu auch auf das Urteil des EuGH.

Der Ansicht der belangten Behörde, eine ungültige Einwilligungserklärung bewirke in jedem Fall eine unrechtmäßige Datenverarbeitung und mache eine Überprüfung sonstiger Rechtsgrundlagen entbehrlich, kann – wie bereits im Erkenntnis vom 31. August 2021 näher erläutert wurde –  nicht gefolgt werden (siehe dazu zwischenzeitig auch EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537 Rz. 92).“

Eine ungültige Einwilligungserklärung führt nach Ansicht des BVwG damit gerade nicht zur unrechtmäßigen Verarbeitung, falls die Voraussetzungen einer anderen Rechtsgrundlage erfüllt sind. Im konkreten Fall prüft das BVwG dann den Tatbestand des Art. 6 Abs. 1 lit. f DSGVO. Das Problem hierbei war, dass nach Ansicht des Gerichts die vernünftigen Erwartungen der Betroffenen die Datenverarbeitung wohl nicht umfassten und die Betroffenen gerade nicht damit rechneten.

Das Unternehmen informierte Betroffene im Rahmen der Anmeldung, dass Daten u.a. zum Zweck der Durchführung von personalisierter Werbung verwendet werden. Jedoch stützte sich das Unternehmen in den Informationen (also AGB und Datenschutzhinweisen) ausschließlich auf Art. 6 Abs. 1 lit. a DSGVO und führte dazu u.a. in den AGB aus, dass eine solche Datenverarbeitung „nur sofern das Mitglied einwilligt“ durchgeführt werde. Das BVwG geht davon aus, dass damit aber den Betroffenen gegenüber zum Ausdruck gebracht werde, dass die betroffene Person die Durchführung einer solchen Datenverarbeitung selbst in der Hand habe. Dies führte am Ende zum Überwiegen der schutzwürdigen Interessen der Betroffenen.

Und beim Widerruf?

Art. 17 Abs. 1 lit. b DSGVO sieht gleichlaufend mit dieser Auslegung des EuGH und BVwG vor, dass eine Datenverarbeitung, die auf Grundlage einer nun widerrufenen Einwilligung erfolgt, dennoch fortgeführt werden kann – wenn die Anforderungen der jeweiligen Rechtsgrundlage beachtet werden.

Danach sind personenbezogene Daten zu löschen, wenn die betroffene Person ihre Einwilligung widerruft und es „an einer anderweitigen Rechtsgrundlage für die Verarbeitung“ fehlt.

Entwurf des rbb-Staatsvertrages: europarechtswidrige Regelungen zu den Aufgaben des Rundfunkdatenschutzbeauftragten und der Datenschutzbeauftragten des rbb?

Kürzlich hat der Senat von Berlin das Abgeordnetenhaus über den beabsichtigten Abschluss des neuen Staatsvertrages über den Rundfunk Berlin-Brandenburg (rbb-Staatsvertrag) unterrichtet und den Entwurf veröffentlicht (PDF, Stand: 30. Oktober 2023).

Interessant und aus meiner Sicht europarechtlich kritisch zu bewerten, sind die vorgeschlagenen Regelungen zu den Aufgaben einerseits des Rundfunkdatenschutzbeauftragten und andererseits des Datenschutzbeauftragten des rbb.

Rundfunkdatenschutzbeauftragte

Nach § 47 Abs. 1 ernennt der Rundfunkrat des rbb mit Zustimmung des Verwaltungsrates als zuständige Aufsichtsbehörde im Sinne des Art. 51 DSGVO für die Dauer von vier Jahren eine Person zur oder zum Rundfunkdatenschutzbeauftragten. Es wird hier also eine spezielle Aufsichtsbehörde nach Art. 51 DSGVO geschaffen, was für sich betrachtet erst einmal noch nicht ungewöhnlich ist.

Aufgabe des Rundfunkdatenschutzbeauftragten ist nach § 48 Abs. 1 die Überwachung der Einhaltung der Datenschutzvorschriften des Staatsvertrages, des Medienstaatsvertrages, der DSGVO und anderer Vorschriften über den Datenschutz bei der gesamten Tätigkeit des Rundfunk Berlin-Brandenburg und seiner Hilfs- und Beteiligungsunternehmen.

Achtung: der Rundfunkdatenschutzbeauftragte soll also insgesamt für alle Fragen des Datenschutzes beim rbb zuständig werden. Dies ist eine Neuerung zum derzeitigen § 38 des rbb-Staatsvertrages. Nach § 38 Abs. 2 des aktuellen rbb-Staatsvertrages überwacht er die Einhaltung der Datenschutzvorschriften, soweit der rbb personenbezogene Daten zu eigenen journalistisch-redaktionellen oder literarischen Zwecken verarbeitet (vgl. auch die Zuständigkeitsübersicht auf der Webseite des Rundfunkdatenschutzbeauftragten). Aktuell ist also eigentlich für die Datenverarbeitung zu nicht-journalistischen Zwecken die Berliner Beauftragte für Datenschutz und Informationsfreiheit zuständig.

Da4 der Rundfunkdatenschutzbeauftragte eine Aufsichtsbehörde im Sinne der DSGVO (also natürlich nicht selbst Teil des rbb) ist, soll nach § 48 Abs. 7 jede Person das Recht haben, sich unmittelbar an den Rundfunkdatenschutzbeauftragten zu wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten durch den rbb in ihren schutzwürdigen Belangen verletzt zu sein.

Also praktisch: im Fall von Beschwerden können sich hiernach Mitarbeiter des rbb oder z.B. Webseitenbesucher an den Rundfunkdatenschutzbeauftragten werden.

Datenschutzbeauftragte des rbb

Daneben muss der rbb als Verantwortlicher aber natürlich auch noch eine eigene, betriebliche Datenschutzbeauftragte nach Art. 37 DSGVO haben. Nach § 48 Abs. 8 wird die Datenschutzbeauftragte des rbb gemäß Art. 37 DSGVO von der Intendantin oder dem Intendanten mit Zustimmung des Verwaltungsrates benannt.

Nach Art. 38 Abs. 4 DSGVO können daher alle (!) betroffene Personen die Datenschutzbeauftragte zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DSGVO im Zusammenhang stehenden Fragen zu Rate ziehen. Also sowohl Mitarbeiter des rbb, Kontaktpersonen bei Lieferanten oder auch Besucher der vom rbb betriebenen Webseite.

Wirklich?

Ja, so müsste es eigentlich sein.

Die Landesregierungen von Brandenburg und Berlin sehen das aber wohl etwas anders. Auch wenn man zugestehen muss, dass sich diese andere Sichtweise „nur“ aus der Begründung zum neuen rbb-Staatsvertrag ergibt.

Zu § 47 heißt es in der Begründung:

Während die oder der Rundfunkdatenschutzbeauftragte Kontaktperson für Dritte bezogen auf deren Datenschutzrechte gegenüber dem rbb ist, ist die oder der betriebliche Datenschutzbeauftragte Kontaktperson für Mitarbeitende bezogen auf deren Datenschutzrechte gegenüber dem rbb als Arbeitgeber“.

Bitte? Die interne Datenschutzbeauftragte soll, entgegen den Vorgaben des Art. 38 Abs. 4 DSGVO, nur für Mitarbeiteranfragen zuständig sein?

Ich habe erst gedacht, dass das ja wohl so nicht gemeint sein kann. Aber die Begründung geht weiter.

Zu § 48 Abs. 8 heißt es in der Begründung:

Die oder der betriebliche Datenschutzbeauftragte des rbb ist eine Aufsichtsbehörde im Sinne des Artikels 37 der Datenschutz-Grundverordnung und ist von der oder dem Rundfunkdatenschutzbeauftragten zu unterscheiden.“

Gut, dass das falsch ist, dürfte offensichtlich sein. Die betriebliche Datenschutzbeauftragte ist natürlich niemals Aufsichtsbehörde im Sinne der DSGVO. Denn dann würde der rbb-Staatsvertrag hier zwei Datenschutzaufsichtsbehörden schaffen.

Es geht weiter:

Während die oder der Rundfunkdatenschutzbeauftragte Kontaktperson für Dritte bezogen auf deren Datenschutzrechte gegenüber dem rbb ist, ist der oder die betriebliche Datenschutzbeauftragte Kontaktperson für Mitarbeitende bezogen auf deren Datenschutzrechte gegenüber dem rbb als Arbeitgeber.“

Tatsache. Hier wiederholt der Entwurf noch einmal genau die oben bereits dargestellte Zuständigkeitsverteilung. Der Rundfunkdatenschutzbeauftragte soll wohl Ansprechpartner für alle Betroffenen außerhalb des rbb sein. Die interne Datenschutzbeauftragte, entgegen den unmittelbar geltenden Vorgaben der DSGVO, aber nur für die Mitarbeiter des rbb.

Was würde das in der Praxis bedeuten?

  • Wenn ein Webseitenbsucher Fragen zu Cookies auf der Webseite des rbb hat, dürfte die Datenschutzbeauftragte des rbb hierzu gar nichts sagen. Denn sie soll ja dafür nicht zuständig sein. Die Aufsichtsbehörde (!) des rbb müsste dann, auch außerhalb einer förmlichen Beschwerde, Auskünfte und Informationen zur Datenverarbeitung des rbb durch Cookies geben. Wie soll das gehen?
  • Wenn ein Teilnehmer eines Gewinnspiels des rbb Fragen zur Aufbewahrung seiner Daten durch den rbb hat, dürfte die Datenschutzbeauftragte des rbb hierbei nicht unterstützen oder Auskunft geben.

Sollte diese Aufgabenzuweisung zwischen Rundfunkdatenschutzbeauftragten und der internen Datenschutzbeauftragten des rbb tatsächlich so im rbb-Staatsvertrag verbindlich vorgesehen werden, würde dies aus meiner Sicht klar einen Verstoß gegen Art. 38 Abs. 4 DSGVO darstellen. Die Stellung der Datenschutzbeauftragten würde massiv und entgegen der DSGVO beschränkt.

In dem Entwurf des rbb-Staatsvertrages finden sich auch keinerlei Hinweise darauf, ob man hier eventuell Öffnungsklauseln oder Ausnahmevorschriften der DSGVO nutzen möchte. Art. 23 Abs. 1 DSGVO greift hier meines Erachtens nicht, dass sich die Ausnahmen nicht auf Art. 37 oder 38 DSGVO erstrecken können.

Und auch Art. 85 Abs. 2 DSGVO ist meines Erachtens nicht einschlägig, da es ja laut der Begründung im rbb-Staatsvertrag eben nicht nur um Verarbeitungen zu journalistischen Zwecken geht, sondern schlicht um eine Abgrenzung zu ganzen Personengruppen.

Ich bin gespannt, wie diese Regelungen, sollten sie in dieser Form kommen, praktisch umgesetzt. Wie gesagt, verstößt diese Aufspaltung von Kompetenzen und Aufgaben aber gegen die DSGVO.

Österreichisches Bundesverwaltungsgericht: Anforderungen an die Vollmacht zur Ausübung von Betroffenenrechten

In seiner Entscheidung vom 5.10.2023 (Gz W292 2258172-1) hatte sich das österreichische Bundesverwaltungsgericht (BVwG) mit der Frage zu befassen, wie eine Vollmacht zur Ausübung von Betroffenenrechten konkret ausgestaltet sein muss und wann ein Verantwortlicher eine solche Anfrage zurückweisen darf.


Sachverhalt
Der Betroffene wandte sich gegen einen Bescheid der österreichischen Datenschutzbehörde, die seine Beschwerde gegen eine datenverarbeitende Stelle wegen Verletzung in den Rechten auf Auskunft und Löschung als unbegründet abwies.


Nach Ansicht der Aufsichtsbehörde erfüllte die damals gegenüber dem Verantwortlichen (einer öffentlichen Stelle) von einem Vertreter vorgelegte Vollmacht zur Ausübung der Rechte auf Auskunft und Löschung nicht die (besonderen) Anforderungen an eine Vollmacht, zumal eine pauschale Formulierung der Vollmacht keineswegs erkennen ließ, dass diese tatsächlich auch konkret ein datenschutzrechtliches Auskunfts- beziehungsweise Löschbegehren oder die Geltendmachung datenschutzrechtlich höchstpersönlicher Rechte im Generellen mitumfasse.


In der damals vorgelegten „Vollmacht / Auftragserteilung“ war festgehalten, dass der Vertreter ermächtigt werde, den Betroffenen gegenüber Behörden zu vertreten, in seinem Namen Erklärungen, Bekenntnisse, Anträge, Berufungen und Beschwerden zu übermitteln, Bescheidbegründungen zu verlangen, Akteneinsicht zu nehmen, Rechtsmittelverzichte zu erklären und in seinem Namen verbindlich zu unterschreiben.


Dieser Inhalt reichte dem Verantwortlichen und auch der Datenschutzbehörde nicht aus, um Betroffenenrechte für eine andere Person geltend machen zu können. Zudem sei ein datenschutzrechtliches Auskunftsersuchen nicht mit einer Akteneinsicht gleichzusetzen.


Konkret ging es hier um Betroffenenrechte nach der RL 2016/680, welche in Österreich im Datenschutzgesetz (DSG) umgesetzt sind, die jedoch inhaltlich den Betroffenenrechten der DSGVO zum Großteil entsprechen. Daher sind die Ausführungen des BVwG aus meiner Sicht durchaus auch für die Anwendung der DSGVO von Interesse, zumal das BVwG auch auf Vorschriften der DSGVO (wie etwa Art. 15 DSGVO) verweist.


Entscheidung
Das BVwG teilt die Einschätzung der Datenschutzbehörde, dass die damals gegenüber dem Verantwortlichen verwendete Vollmacht nicht ausreichend war.


Träger des Auskunftsrechts Art. 15 Abs. 1 DSGVO ist ausschließlich die betroffene Person, deren personenbezogene Daten verarbeitet werden. Nur diese ist grundsätzlich berechtigt, aufgrund ihres Auskunftsbegehrens eine entsprechende Auskunft zu erhalten.


Zwar geht das BVwG davon aus, dass ein solcher Antrag auch von einem Vertreter gestellt werden kann. Jedoch sei zu beachten, dass es sich beim Recht auf Auskunft und Recht auf Löschung um höchstpersönliche Betroffenenrechte, nämlich um subjektive, verfassungsrechtlich gewährleistete Rechte, handelt.


Das BVwG verweist in seiner Begründung auch auf ältere Rechtsprechung zum Charakter der Betroffenenrechte als höchstpersönliche Rechte. Dort wurde etwa festgestellt, dass das Recht auf Auskunft im Falle einer gewillkürten Vertretung vom Betroffenen selbst dem Vertreter übertragen werden muss, dies auch nicht durch Dritte erfolgen kann sowie an den Nachweis des Vorliegens der Bevollmächtigung ein besonders strenger Maßstab anzulegen ist, weil das Auskunftsrecht ein höchstpersönliches Recht darstellt.


Hieraus leitet das BVwG folgende Anforderungen an eine Vollmacht zur Geltendmachung von Betroffenenrechten ab:


Daraus folgt nach Ansicht des erkennenden Senates auch für den Anwendungsbereich der Betroffenenrechte, dass an den Inhalt einer allenfalls zum Zweck der Geltendmachung von datenschutzrechtlichen Betroffenenrechten erteilten Vollmacht besondere Ansprüche zu stellen sind, wobei aus dem Gesamtzusammenhang erkennbar sein muss, dass die Stellung eines Auskunftsbegehrens auch von einer allgemein formulierten Vertretungsvollmacht tatsächlich und konkret mitumfasst sein soll.“
Vorliegend geht das BVwG davon aus, dass die damals verwendete Vollmacht nur pauschale Formulierung enthielt. Daraus war in keiner Weise erkennbar, dass diese tatsächlich auch konkret ein datenschutzrechtliches Auskunfts- beziehungsweise Löschbegehren bzw. die Geltendmachung höchstpersönlicher Datenschutzrechte mitumfasse
“.


In einer solchen Situation darf der Verantwortliche Zweifel an der Zulässigkeit der Vertretung haben und den Antrag auf Auskunft und Löschung zurückweisen. Das BVwG begründet dies vor allem auch mit dem erhöhten Maßstab an den Inhalt der Vollmacht, da es sich hier um höchstpersönliche Rechte handelt.
Im Zeitpunkt der Antragstellung war


kein Nachweis einer Vollmacht, die konkret die Geltendmachung des Rechts auf Auskunft und auf Löschung umfasste, vorhanden“.


Der Verweis auf die „Akteneinsicht“ in der Vollmacht, reicht dem BVwG ebenfalls nicht aus. Dieses Recht ist nicht mit dem Recht auf ein datenschutzrechtliches Auskunftsersuchen gleichzusetzen.


Fazit
Betroffenenrechte (hier im Bereich der RL 2016/680, meines Erachtens aber ebenso übertragbar auf jene der DSGVO) dürfen per Vollmacht durch Vertreter ausgeübt werden. Das BVwG gibt in seiner Entscheidung einige relevante Hinweise, was bei der textlichen Gestaltung derartiger Vollmachten zu beachten ist. Insbesondere scheint das BVwG eine explizite Bezugnahme auf Betroffenenrechte im Datenschutzrecht zu verlangen. Für Verantwortliche bietet die Entscheidung Argumente für eine Zurückweisung von Betroffenenanfragen (oder zumindest das Anfordern einer ausreichenden Vollmacht), wenn diese durch Vertreter gestellt werden und unklar ist, ob eine ausreichende Vollmacht besteht.

Landesarbeitsgericht: Frist zur Beantwortung von Auskunftsersuchen beträgt einen Monat – auch wenn der Betroffene (oder sein Anwalt) eine kürzere Frist setzen

In der Praxis werden Auskunftsansprüche nach Art. 15 DSGVO oft mit einer Fristsetzung durch Betroffene verbunden. So wird etwa gefordert, die Auskunft innerhalb von ein oder zwei Wochen zur Verfügung zu stellen.

Das Landesarbeitsgericht (LAG) Baden-Württemberg (Urteil vom 28.7.2023, 9 Sa 73/21) hatte sich in einer Entscheidung mit der Frage zu befassen, ob Betroffene einen Anspruch auf Erfüllung des Auskunftsrechts innerhalb der von ihnen (oder ihrem Rechtsanwalt) gesetzten Frist haben. Auch wenn diese von den gesetzlichen Vorgaben abweicht.

Sachverhalt

Der Kläger des Verfahrens stand bei der Beklagten in einem Ausbildungsverhältnis. Ihm wurde eine Abmahnung erteilt. Mit E-Mail vom 25.03.2020 wandte sich der Prozessbevollmächtigte des Klägers an die Beklagten und verlangte u.a. bis zum 03.04.2020 Auskunft über die personenbezogenen Daten des Klägers gem. Art. 15 DSGVO sowie Übermittlung der Personalakte des Klägers.

Entscheidung

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Das LAG musste prüfen, wie sich die kurze Fristsetzung (9 Tage) zu der gesetzlichen Vorgabe des Art. 12 Abs. 3 DSGVO verhält.

Das Gericht geht davon aus, dass die Setzung einer kürzeren Frist, als jener in Art. 12 Abs. 3 DSGVO, irrelevant ist.

Nach Ansicht des LAG sind die Fristen für die Auskunftserteilung gesetzlich geregelt.

„Setzt der Auskunftsberechtigte eine zu kurze Frist, kann das nichts daran ändern, dass die Frist nach Art. 12 Abs. 3 DSGVO gilt.“

Verantwortliche haben also grundsätzlich die gesetzlich vorgesehene Zeit, um die Auskunft zu erteilen. Natürlich darf in der Praxis aber nicht unbeachtet bleiben, dass due Auskunft grundsätzlich „unverzüglich“ zu erteilen ist. Die Auskunft kann also auch vor Ablauf der Monatsfrist erteilt werden, wenn dies möglich ist.

Das Gericht führt weiter aus:

„Vor Ablauf dieser Frist braucht der Verantwortliche, hier die Beklagten zu eins und zu zwei die Ansprüche nicht erfüllen.“

Verantwortliche müssen nach Ansicht des LAG also auf eine zu kurze Fristsetzung nicht reagieren, sondern sind an die gesetzlichen Vorgaben gebunden.

Zudem geht das LAG aber auch davon aus, dass eine zu kurz gesetzte Frist den Auskunftsanspruch nicht gegenstandlos macht. Dieser ist weiterhin zu erfüllen – nur eben innerhalb der gesetzlichen Frist.

Folgt man den Erwägungen des LAG, sollten sich Verantwortliche in der Praxis also bei Fristsetzungen durch Betroffene oder ihre Vertreter nicht unter Druck setzen. Es gelten die gesetzlichen Vorgaben. So hatte etwa in der Vergangenheit auch das BayLDA in seinem Tätigkeitsbericht 2019 (S. 26) festgestellt:

„„Unverzüglich“ bedeutet nicht, dass eine Reaktion auf die Anfrage sofort zu erfolgen hat, sondern dass die Anfrage „ohne schuldhaftes Zögern“ zu bearbeiten ist.“

Sollte etwa innerhalb der Monatsfrist eine Beschwerde bei der Aufsichtsbehörde eingereicht werden, geht das BayLDA davon aus, dass es nicht tätig werden kann – da die Monatsfrist noch nicht abgelaufen ist.

Schwedische Datenschutzbehörde: E-Mail-Kommunikation mit Informationen zur Optimierung oder Personalisierung eines kostenpflichtigen Online-Dienstes ist nicht „notwendig“ zur Vertragserfüllung (Art. 6 Abs. 1 b) DSGVO) – sondern Direktmarketing

In einer Entscheidung (PDF) vom 1. April 2022 musste sich die schwedische Datenschutzbehörde (IMY) mit der Beschwerde eines Kunden eines Online-Dienstes für den digitalen Vertrieb von Zeitungen und Zeitschriften befassen.

Sachverhalt

Der Beschwerdeführer meldete sich als Kunde an und lehnte am selben Tag über sein Benutzerkonto ab, in Zukunft E-Mails von dem Unternehmen zu erhalten. Dennoch erhielt er mehrere E-Mails von dem Unternehmen. Nachdem sich der Beschwerdeführer an den Kundendienst des Unternehmens gewandt hatte, wurde der Versand von E-Mails eingestellt.

Das Unternehmen gibt an, dass es zwischen Mailings, die auf einem Vertrag beruhen, und Mailings zu Marketingzwecken, die auf einem berechtigten Interesse beruhen, einen Unterschied macht. Die E-Mails, die der Beschwerdeführer erhielt, dienten der Kommunikation mit dem Nutzer über den Dienst und haben den Vertrag als Rechtsgrundlage. Die E-Mails waren Teil der Begrüßungsroutine für neu registrierte Nutzer. Der Zweck bestehe darin, dem Nutzer zu erklären, wie der Dienst funktioniert und welche Funktionen er enthält. Das Unternehmen ist der Ansicht, dass die personenbezogenen Daten nicht zu Marketingzwecken verarbeitet wurden und dass die Verarbeitung auf Grundlage des Vertrages mit dem Beschwerdeführer und, hilfsweise, auf berechtigten Interessen beruht.

Entscheidung

IMY hatte zu beurteilen, ob die Verarbeitung auf Art. 6 Abs. 1 b) DSGVO gestützt werden kann. Notwendig ist dafür, dass die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.

IMY stellt fest, dass mehrere der E-Mails Informationen darüber enthielten, wie der Beschwerdeführer den Dienst entsprechend seinen persönlichen Interessen weiter optimieren und personalisierte Empfehlungen auf der Grundlage seines Leseverhaltens erhalten kann.

Das Unternehmen teilte Kunden auch mit, dass es personalisierte Inhalte anbietet. Nach Ansicht von IMY kann jedoch nicht davon ausgegangen werden, dass ein durchschnittlicher Nutzer dies als notwendigen Bestandteil des Dienstes versteht oder wahrnimmt.

Ein weiteres Argument von IMY gegen den Vertrag als Rechtsgrundlage:

Die Tatsache, dass das Unternehmen auch die Möglichkeit bietet, sich von solchen E-Mails abzumelden, deutet darauf hin, dass die Verarbeitung personenbezogener Daten nicht für die Erfüllung des Vertrags erforderlich war.“

Die Aufsichtsbehörde argumentiert hier also mit der faktischen Umsetzung durch das Unternehmen. Ein Widersprich gegen eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 b) DSGVO wäre ja nicht möglich. Wenn das Unternehmen dies aber ggü. Kunden dennoch anbietet und umsetzt, spricht dies nach Ansicht der Aufsichtsbehörde dafür, dass eine andere Rechtsgrundlage einschlägig ist.

IMY verlangt (wie in der Vergangenheit insb. auch der EDSA), dass der für die Verarbeitung Verantwortliche nachweist, dass der Hauptzweck des konkreten Vertrags in der Praxis nicht erreicht werden kann, wenn die fragliche Verarbeitung nicht durchgeführt wird. Die Aufsichtsbehörde folgt hier also einer sehr strengen Auslegung des Erforderlichkeitsmerkmals in Art. 6 Abs. 1 b) DSGVO.

Nach Auffassung der IMY bestand die durch Geld erworbene Dienstleistung hier aber nur darin, Zeitungen und Zeitschriften digital zu lesen, was der Hauptzweck des Vertrags sei.

Daher begründete IMY:

„… die E-Mails, die der Beschwerdeführer mit individuell zugeschnittenem Inhalt erhalten hat, sind nicht objektiv notwendig, um den Hauptzweck des Vertrags zu erfüllen, d. h. die Bereitstellung eines digitalen Zeitungs- und Zeitschriftenabonnements. IMY ist der Ansicht, dass diese E-Mails nicht auf Artikel 6 Absatz 1 Buchstabe b DSGVO gestützt werden können.“

Nach Ansicht von IMY dienen die E-Mails in erster Linie dazu, den Zugang zu und die Erfahrung mit dem Dienst zu verbessern. Jedoch eben gerade nicht dem Hauptzweck des Vertrages. Die Verwendung der Daten zur Information über individuell angepasste Inhalte stelle daher Direktmarketing dar.

Fazit

Eine solche Argumentation kann (meiner Meinung nach) Auswirkungen auf andere ähnliche Geschäftsmodelle haben, wenn weitere Datenschutzbehörden ebenfalls eine so strenge Auffassung vertreten. Die strenge Interpretation liegt, dass muss man zugestehen, auf der bisherigen Linie des EDSA und jüngst wohl auch des EuGH.

Sollten Unternehmen Funktionen wie eine Personalisierung anbieten und die damit zusammenhängende Verarbeitung auf Grundlage von Art. 6 Abs. 1 b) DSGVO begründen wollen, wäre als Folge aus dieser Entscheidung in jedem Fall ein konsistentes Vorgehen und entsprechende Begründung hinsichtlich der Betroffenenrechte wichtig. Wenn die Rechtsgrundlage der Art. 6 Abs. 1 b) DSGVO ist, gibt es keine Widerspruchsmöglichkeit nach Art. 21 DSGVO. Ob man dennoch eine Widerspruchsmöglichkeit einräumt, bleibt natürlich Unternehmen überlassen. In diesem Fall ist eine solche Umsetzung dann auf der juristischen Ebene quasi „zum Boomerang“ geworden.

Keine Beschwerde bei der Datenschutzbehörde, wenn der Verantwortliche Geld zahlt – Österreichische Aufsichtsbehörde: Rechtsmissbrauch. 

Die österreichische Datenschutzbehörde (DSB) hat Anfang 2023 in einem Bescheid festgestellt, dass die Behörde nicht tätig werden muss, wenn ein Beschwerdeführer zuvor dem Verantwortlichen gegen Zahlung angeboten hat, die behaupteten Verletzung von Art. 15 DSGVO nicht gerichtlich oder per Beschwere bei der DSB zu verfolgen. Die Behörde stützt ihre Entscheidung auf Art. 57 Abs. 4 DSGVO. Dort wird (genauso wie in Art. 12 Abs. 5 DSGVO) geregelt, dass sich die Behörde im Falle von offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen weigern kann tätig zu werden oder ein angemessenes Entgelt verlangen kann. 

Sachverhalt

Der Beschwerdeführer hatte zuvor den Verantwortlichen informiert, dass er auch gegen Zahlung von 2.900 EUR dazu bereit wäre, die seiner Ansicht nach bestehenden Rechtsverletzungen nicht per Beschwerde ggü. der DSB anzuzeigen und auch nicht gerichtlich vorzugehen. Im weiteren Verlauf der Auseinandersetzung zwischen der betroffenen Person und dem Verantwortlichen wendete sich der Betroffene schließlich doch mit einer Beschwerde an die DPA.

Entscheidung der DSB

Die DSB begründet ihre Entscheidung wie folgt: 

„Vor diesem Hintergrund kann nach Ansicht der Datenschutzbehörde beim Beschwerdeführer allerdings von keinem tatsächlichen Rechtschutzbedürfnis ausgegangen werden, weshalb die verfahrensgegenständliche Beschwerdeerhebung als unredlich und die Inanspruchnahme der Tätigkeit der Datenschutzbehörde durch den Beschwerdeführer als rechtsmissbräuchlich zu qualifizieren ist.“

Daher lehnte die DSB die Beschwerde (nach Art. 57 Abs. 4 GDPR), wegen offensichtlicher Unbegründetheit ab. Der EDSA geht in seinen Guidelines zu Art. 15 DSGVO (auf S. 59 in Rn. 190) wohl eher davon aus, dass in solchen Fällen ein exzessiver Antrag und nicht der Fall der offensichtlichen Unbegründetheit vorliegt.

Übertragung auf Betroffenenrechte?

Vor dem Hintergrund stellt sich die praxisrelevante Frage, ob Verantwortliche sich bei Angeboten zur Unterlassung der Verfolgung von behaupteten DSGVO-Verstößen gegen Geldzahlung auf Art. 12 Abs. 5 DSGVO berufen können? Schließlich sind die in Art. 12 Abs. 5 DSGVO und Art. 57 Abs. 4 DSGVO geregelten Voraussetzungen dem Wortlaut nach identisch. Es muss ein offensichtlich unbegründeter Antrag oder ein exzessiver Antrag vorliegen. 

Wenn eine betroffene Person ggü. einem Verantwortlichen seine Rechte aus Art. 15 DSGVO in der Praxis geltend macht, dann wird sicherlich nicht direkt bei der Anfrage ein Angebot zur Nichtverfolgung von Rechtsverletzungen gegen Zahlung erfolgen. Sofern ein Verantwortlicher innerhalb der gesetzlichen Frist die Vorgaben aus Art. 15 DSGVO nach Ansicht des Betroffenen nicht oder nicht vollständig erfüllt hat, sind solche „Angebote“ schon eher denkbar. Dann können Verantwortliche unter Bezugnahme auf die Entscheidung aus Österreich gegen das Bestehen eines Anspruchs argumentieren. Man sollte hingegen dann vorsichtiger mit der Berufung auf Art. 12 Abs. 5 DSGVO sein, wenn man den Auskunftsanspruch vor Erhalt des „Zahlungsangebots“ nach eigener Ansicht nicht vollständig erfüllt hat.

Bayerischer Verwaltungsgerichtshof: Kein Löschanspruch für alle Daten aus Personalakte – auch nicht nach Ende des Beamtenverhältnisses

Der Bayerische Verwaltungsgerichtshof (VGH) hat Beschluss vom 29.06.2023 (Az. 6 ZB 23.530) einige interessante Aussagen zu den Datenschutzgrundätzen der Datenminimierung, Speicherbegrenzung und Richtigkeit nach Art. 5 Abs. 1 DSGVO getroffen. 

Sachverhalt

In dem Verfahren vor dem VGH verfolgte der Kläger seine Klage gerichtet auf Löschung von Dokumenten aus seiner Personalakte weiter, die vor dem Verwaltungsgericht erfolglos geblieben ist. Er begehrte u.a. die Löschung von Unterlagen überwiegend zu Vorgängen aus den Jahren 2004 bis 2006 sowie 2010 bis 2014, die im Rahmen der Beurteilung der Verwendungsfähigkeit des Klägers im Polizeidienst und seiner allgemeinen Dienstfähigkeit entstanden sind, sowie Unterlagen zur Verlängerung der Probezeit.

Der Kläger meint, sämtliche Einträge in der Personalakte, die vor dem 16. Juni 2006 datieren, seien zu löschen, weil das damalige Beamtenverhältnis zu diesem Zeitpunkt endete und nicht mehr in sachlichem Zusammenhang zu dem nunmehrigen Beamtenverhältnis stehe. 

Entscheidung des VGH

Nach Ansicht des VGH besteht kein Löschanspruch aus der DSGVO. 

Datenminimierung

Zum Grundsatz nach Art. 5 Abs. 1 lit. c) DSGVO stellt der VGH fest, dass die während des Bestehens eines Beamtenverhältnisses in der Personalakte gesammelten Daten grundsätzlich auch dann angemessen, erheblich und auf das notwendige Maß beschränkt bleiben, 

„wenn der betroffene Beamte aus dem Beamtenverhältnis ausscheidet.“ 

Das Gericht also davon aus, dass Daten aus der Personalakte nicht zwingend sofort zu löschen sind, nur weil ein Anstellungsverhältnis (hier: Beamtenverhältnis) endet. Die Unterlagen über krankheitsbedingte Dienstunfähigkeiten dienten hier nicht nur der Feststellung von aktuellen Fehlzeiten, sondern bleiben auch gegebenenfalls für mögliche Reaktivierungs- oder auch Wiedereinstellungsprüfungen von Bedeutung. Gerade diesbezüglich könne es aber es auf den jeweiligen historischen Kontext ankommen. 

Zudem stellt der VGH fest: 

„Eine Löschung könnte vielmehr umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen.“

Datenrichtigkeit

Der Grundsatz nach Art. 5 Abs. 1 lit. d) DSGVO, wonach personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein müssen, könne den Löschungsanspruch ebenfalls begründen. 

Denn, so der VGH, die Daten sind durch das Ausscheiden des Klägers aus dem Dienst ja nicht etwa unrichtig geworden.

„sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.“

Bedeutet: keine Löschung oder Änderungen der faktisch richtigen Vergangenheit durch die DSGVO. Daher bestehe auch kein Berichtigungsanspruch aus Art. 16 DSGVO. Der VGH begründet seine Ansicht damit, dass nur wenn die Personalakten auf dem Stand gehalten werden, der zum jeweiligen Zeitpunkt richtig war, ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentiert werden könne. 

Speicherbegrenzung

Zuletzt folgert der VGH aus seinen Ausführungen, dass damit auch der Grundsatz nach Art. 5 Abs. 1 lit. e) DSGVO der weiteren Speicherung der bis zum Ausscheiden des Klägers aus dem Beamtenverhältnis im Jahr 2006 in seiner Personalakte gesammelten Daten nicht entgegenstehe.

BayLDA: Frist zur Auskunftserteilung beginnt auch, wenn Anfrage beim Auftragsverarbeiter eingeht

In seinem aktuellen Tätigkeitsbericht 2022 (PDF) geht des BayLDA auf ein praxisrelevantes Thema bei der Erfüllung von Betroffenenrechten ein. Es geht, unter anderem, um die Frage, ob die in Art. 12 Abs. 3 DSGVO vorgesehene Monatsfrist bereits dann beginnt, wenn ein Betroffener eine Auskunftsanfrage nach Art. 15 DSGVO nicht an den Verantwortlichen, sondern dessen Auftragsverarbeiter richtet (S. 28).

Bsp: Der Betroffen sieht in den Datenschutzhinweisen eines Online-Shops, dass der Betreiber einen Hosting-Anbieter als Auftragsverarbeiter angibt. Der Betroffene und Kunde des Shops richtet nun einen Auskunftsanspruch in Bezug auf seine Kundendaten nicht an den Shop-Betreiber, sondern den Hosting-Anbieter.

Pflichten des Auftragsverarbeiters

Das BayLDA stellt zunächst fest, dass in dem Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 lit. e) DSGVO vorzusehen ist, dass der Verantwortliche nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt wird, seiner Pflicht zur Beantwortung von Ersuchen gem. Art. 12 ff. DS-GVO, somit auch eines Auskunftsersuchens nachzukommen.

Achtung. Hiervon zu unterscheiden ist die Situation, dass ein Verantwortlicher einen Dienstleister als Auftragsverarbeiter konkret für die Bearbeitung von Betroffenenanfragen einsetzt. Dies ist möglich, jedoch muss auch hier der Prozess sauber implementiert und geprüft werden, wie ein Bußgeld in Höhe von 50.000 EUR durch das LDA Brandenburg aus der Vergangenheit zeigt (Tätigkeitsbericht 2019, S. 29, PDF). Dort wurde unter anderem gegen Art. 12 DSGVO verstoßen, da die Korrespondenz im Rahmen der Auskunftserteilung unter dem Logo des Dienstleisters durchgeführt wurde und das Unternehmen die Betroffenen nach Antragstellung zur Auskunftserteilung zunächst nur in englischer Sprache kontaktierte.

Zurück zum Fall des BayLDA. Die Aufsichtsbehörde verlangt, wenn Betroffenenanfragen bei dem Auftragsverarbeiter eingehen, dass

z.B. Auskunftsersuchen bezüglich der im Auftrag verarbeiteten personenbezogenen Daten unverzüglich an den Verantwortlichen weitergeleitet werden“.

Fristbeginn bereits bei Eingang beim Auftragsverarbeiter

Jedoch geht das BayLDA noch einen Schritt weiter. Hinsichtlich der in Art. 12 Abs. 3 DSGVO geregelten Frist von einem Monat zur Beantwortung der Auskunftsanfrage vertritt die Aufsichtsbehörde:

Geht also das Ersuchen beim Auftragsverarbeiter ein, bewirkt dies den Fristbeginn beim Verantwortlichen, nachdem diesen das Handeln des Auftragsverarbeiters insoweit zuzurechnen ist.“

Im Ergebnis bedeutet dies, dass sich der Verantwortliche die Tatsache des Eingangs des Auskunftsersuchens beim Auftragsverarbeiter wie ein Eingang bei sich zurechnen lassen muss. Für die Praxis kann dies dazuführen, dass der Verantwortliche faktisch noch gar nichts weiß, dass eine Auskunftsanfrage gestellt wurde. Wenn der Auftragsverarbeiter sich 1-2 Wochen mit der Weiterleitung Zeit lässt, hat der Verantwortliche entsprechend weniger Zeit zur Beantwortung. Will sich ein Verantwortlicher in diesem Fall darauf berufen, dass der Auftragsverarbeiter nicht ordentlich gearbeitet habe, ist dies aber ebenso ein Risiko. Denn nach Art. 28 Abs. 1 DSGVO muss der Verantwortliche seine Auftragsverarbeiter ordentlich auswählen und nur solche einsetzen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die DSGVO eingehalten wird.

Kritik an der Ansicht des BayLDA

Meines Erachtens muss man die Auffassung des BayLDA hier nicht zwingend teilen.

Zum einen könnte man recht schlicht auf die Vorgaben und den Wortlaut des Art. 12 Abs. 3 DSGVO abstellen. Dort wird nur der „Verantwortliche“ adressiert, nicht aber der Auftragsverarbeiter. Andererseits verstehe ich auch die Auffassung des BayLDA, dass es den Auftragsverarbeiter quasi in der rechtlichen Sphäre des Verantwortlichen sieht.

Gegen die Ansicht des BayLDA spricht aber aus meiner Sicht insbesondere ein vergelichender Blick auf die ähnliche Situation, wenn bei dem Auftragsverarbeiter eine potentielle Datenschutzverletzung passiert.

Die DSGVO sieht für diesen Fall in Art. 33 Abs. 2 DSGVO gerade keinen Fristenlauf der 72 Stunden vor. Sondern verpflichtet den Auftragsverarbeiter vielmehr „nur“, die mögliche Datenschutzverletzung unverzüglich an den Verantwortlichen zu melden. Diese Regelung wäre aber überflüssig, wenn der Verantwortliche sich die Kenntnis des Auftragsverarbeiters zurechnen lassen müsste und die 72 Stunden schon zu laufen beginnen, wenn der der Auftragsverarbeiter Kenntnis hat. Der Gesetzgeber scheint also gerade nicht automatisch von einer Zurechnung des Wissens oder der Kenntnis an den Verantwortlichen auszugehen.

Auch die europäischen Datenschutzbehörden gehen ausdrücklich für Art. 33 DSGVO davon aus, dass Fristen gerade noch nicht beginnen, wenn nur der Auftragsverarbeiter Kenntnis einer potentiellen Verletzung hat.

In den Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 (WP250rev.01) heißt es (S. 15):

Der Verantwortliche nutzt den Auftragsverarbeiter, um seine Ziele zu erreichen; deshalb gilt grundsätzlich, dass dem Verantwortlichen die Datenschutzverletzung „bekannt“ wurde, sobald ihn der Auftragsverarbeiter davon in Kenntnis gesetzt hat.“

Die Kenntnis des Verantwortlichen wird klar an den Zeitpunkt der Meldung vom Auftragsverarbeiter an den Verantwortlichen geknüpft.

Und auch in seinen Guidelines 9/2022 on personal data breach notification under GDPR (PDF) geht der EDSA davon aus (S. 14):

The controller uses the processor to achieve its purposes; therefore, in principle, the controller should be considered as “aware” once the processor has informed it of the breach.”

Und auch in den Leitlinien des EDSA zu Art. 15 DSGVO (PDF) wird klar auf den Eingang beim Verantwortlichen abgestellt (S. 50):

„The time limit starts when the controller has received an Art. 15 request, meaning when the request reaches the controller through one of its official channels“

Folgen für die Praxis

Folgt man der Ansicht des BayLDA, ist in der Praxis eine enge Kontrolle und strenge Vorgaben an die eigenen Auftragsverarbeiter absolut geboten. Jeder weiß, wie schnell die Frist von einem Monat abläuft. Wenn der Auftragsverarbeiter hier eher gemütlich unterwegs ist, kann dies im schlimmsten Fall dazu führen, dass man als Verantwortlicher gegen die DSGVO verstößt. Eventuell sollte man dieses Risiko auch in Verträgen mit den Auftragsverarbeitern adressieren (Ersatzpflicht bei verspäteter Weiterleitung).

Wie beschrieben, gibt es aber aus meiner Sicht auch valide Argumente, der Ansicht des BayLDA nicht zu folgen. Zumindest Verantwortliche in Bayern sollten hier aber natürlich wissen, dass ihre Aufsichtsbehörde dies im Streitfall ggfs. anders sieht und eine entsprechend valide Argumentation vorweisen.

Verwaltungsgericht Berlin: Anforderungen an die Identifizierung bei Auskunftsanfragen – Mitwirkungsobliegenheit des Betroffenen

Im Rahmen eines Verfahrens zur Bewilligung von Prozesskostenhilfe hat sich das Verwaltungsgericht (VG) Berlin mit der Frage befasst, wann Verantwortliche einen Antrag auf Auskunft nach Art. 15 DSGVO wegen begründeter Zweifel an der Identität der anfragenden Person ablehnen und mehr Informationen anfordern können (Beschl. v. 24.4.2023, Az. VG 1 K 227/22).

Sachverhalt

Ein Betroffener war mit einem ablehnenden Bescheid der Berliner Datenschutzbehörde gegen ihn nicht zufrieden und klagte dagegen. Die Behörde hatte keine Verstöße gegen die DSGVO durch eine Auskunftei erkannt. Inhaltlich ging es vorab um die Beschwerde des Betroffenen gegen eine nicht gewährte Auskunft nach Art. 15 DSGVO durch eine Auskunftei. Diese hatte die Auskunft wegen begründeter Zweifel verweigert und zur Identifizierung mehr Daten angefordert (Art. 12 Abs. 6 DSGVO), jedoch nicht erhalten.

Entscheidung

Das VG lehnte den Antrag auf Bewilligung von Prozesskostenhilfe ab. Es sah für den Betroffenen in dem Vorgehen gegen die Entscheidung der Datenschutzbehörde keine Erfolgsaussichten. Dies deshalb, weil das Verhalten der Auskunftei in Bezug auf die Verweigerung der Auskunft und Anforderung weiterer Daten zur Identifizierung zulässig war.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag nach Art. 15 DSGVO stellt.

Das VG äußert sich dazu, wann man seiner Ansicht nach von „Zweifeln“ ausgehen darf.

Zweifel an der Identität setzen voraus, dass die vorhandenen Daten auf eine bestimmte Identität hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die als Betroffener identifizierte Person ist.“

Wichtig: pauschale Zurückweisungen sind nach Ansicht des VG nicht möglich. Der Verantwortliche hat seine Zweifel vielmehr einzelfallbezogen darzulegen.

Für Verantwortliche in der Praxis relevant ist die Feststellung des VG dazu, wie sich der Betroffene in einer solchen Situation zu verhalten hat.

Gleichzeitig besteht für den Betroffenen eine Mitwirkungsobliegenheit, denn ohne dessen Mitwirkung wird es dem Verantwortlichen nicht möglich sein, die dargelegten Identitätszweifel zu entkräften.“

Im konkreten Fall prüfte das VG dann, ob die Auskunftei hier von Zweifeln ausgehen und wegen dieser Unsicherheit die Auskunft zunächst verweigern durfte. Hierbei werden durch das Gericht einige sicher auch für andere Verantwortliche relevante Kriterien herausgearbeitet.

Zu berücksichtigen sind:

  • Die Sensibilität der abgefragten Informationen. Denn Wirtschaftsauskunfteien speichern im Einzelfall ein erhebliches Maß zahlreicher personenbezogener Informationen, insbesondere solcher, die einen Schluss auf die Bonität einer Person zulassen.
  • Zweifelsfreie Identifikation des Antragstellers nicht möglich, weil es namentliche und/oder weitere Überschneidungen zu weiteren Datensätzen gab.

Zuletzt stellte sich noch die Frage, ob das Unternehmen zur Identifikation das Geburtsdatum und gegebenenfalls frühere Anschriften abfragen durfte. Das VG geht davon aus, dass die Anforderung dieser Merkmale zulässig war.

„Das Geburtsdatum einer Person ist zur Identifizierung geeignet, da es eine häufig für Dritte weniger ersichtliche persönliche Information darstellt“.

Zudem stand die Abfrage des Geburtsdatums zu dem Zweck der Identifizierung des Antragstellers auch nicht außer Verhältnis, insbesondere mit Blick auf die erhöhte Sensibilität der bei Wirtschaftsauskunfteien gespeicherten Daten.

Der Antragsteller hat jedoch – unter Verstoß auf die ihm obliegende Mitwirkungspflicht – nicht auf die damit berechtigte Anfrage … reagiert“.