Verzicht auf den Auskunftsanspruch im arbeitsgerichtlichen Vergleich? Zur Abdingbarkeit von Betroffenenrechten

Bekanntlich gehört die Geltendmachung von Auskunftsansprüchen nach Art. 15 DSGVO in arbeitsgerichtlichen Verfahren mittlerweile „zum guten Ton“ – ob nun wirklich immer mit einer Intention des Datenschutzes oder doch eher, um Aufwände zu kreieren, sei hier dahingestellt.

In ihrem aktuellen Tätigkeitsbericht 2023 (ab S. 119) befasst sich die Datenschutzbehörde des Saarlandes (LfDI) mit der relevanten Frage, ob Arbeitgeber und Arbeitnehmer eine Vereinbarung (etwa in Form eines Vergleichs) mit dem Inhalt treffen können, dass der Betroffene auf die Ausübung seines Auskunftsanspruchs nach Art. 15 DSGVO verzichtet? Ob das Betroffenenrecht also zur Disposition der Parteien steht?

Datenschutz als Grundrecht – Selbstbestimmtheit der Betroffenen

Die LfDI verweist darauf, dass das europäische Datenschutzrecht Ausfluss des Grundrechts aus Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh) ist. Dieses Grundrecht sei wichtig – jedoch kein Grundrecht unabdingbarer Natur, wie etwa die Menschenwürde aus Art. 1 GRCh.

Die Behörde geht davon aus, dass das Prinzip der Selbstbestimmtheit des Betroffenen im Datenschutzrecht besondere Bedeutung hat. Was etwa durch das Institut der Einwilligung aus Art. 6 Abs. 1 lit. a, Art. 7 DSGVO unmissverständlich zum Ausdruck komme.

Die LfDI leitet hieraus in einem Erst-Recht-Schluss ab:

Kann der Betroffene durch eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten seine Zustimmung erteilen und dieser Verarbeitung dadurch eine rechtliche Grundlage verleihen, so muss er auch eine Entscheidungsbefugnis dahingehend haben, ob und in wieweit er seine hierzu im Annex stehenden Betroffenenrechte ausübt bzw. auf diese verzichtet.“

Dies gelte auch in Situationen, in denen es evtl. ein Machtgefälle bzw. Ungleichgewicht zwischen den Parteien gibt – wie im Beschäftigtenverhältnis. Die LfDI macht hier aber eine relevante Einschränkung ihrer Ansicht. Sie sieht insbesondere dort die Möglichkeit der Selbstbestimmtheit, wo es um zurückliegende Verarbeitungen in der Vergangenheit geht.

Formulierung des Vergleiches / Verzichts

Zudem befasst sich die LfDI auch mit der erforderlichen Formulierung einer solchen Vereinbarung. Grundsätzlich müssen die Formulierungen in einem arbeitsgerichtlichen Vergleich natürlich hinreichend klar und bestimmt sein,

um ein datenschutzrechtliches Betroffenenrecht einvernehmlich auszuschließen“.

Auch eine sog. Salvatorische Abgeltungsklausel, mit der jegliche Ansprüche aus dem Arbeitsverhältnis und dessen Beendigung, gleich ob bekannt oder unbekannt und gleich aus welchem Rechtsgrund, abgegolten sein sollen, genügt nach Auffassung der LfDI dem Bestimmtheitserfordernis.

Auch wenn sich die Vereinbarung dem Wortlaut nach „nur“ auf Ansprüche „aus dem Arbeitsverhältnis“ bezieht, ist dies nach Auffassung der Behörde unschädlich, da das Arbeitsverhältnis gerade Grundlage der Datenverarbeitung ist. Der Bezug zum „Arbeitsverhältnis“ umfasst danach nicht nur arbeitsrechtliche Ansprüche im engeren Sinne,

sondern auch solche datenschutzrechtlicher Art, welche mit dem Arbeitsverhältnis in Verbindung stehen und für welche das Arbeitsverhältnis Verarbeitungsgrundlage war“.

Jedoch macht die LfDI noch eine Einschränkung.

Der Verzicht auf das Betroffenenrecht könne sich nicht auf solche Verarbeitungen beziehen, die der Betroffene noch nicht absehen kann. Hier müsse er weiterhin einen Auskunftsanspruch haben.

Mit Blick auf die Begründung zuvor, dass es sich um Ansprüche aus dem „Arbeitsverhältnis“ handeln muss, scheint die LfDI also eine Grenze zu solchen Verarbeitungen zu ziehen, die erst in Zukunft stattfinden würden.

Insgesamt stellt die Aufsichtsbehörde aber am Ende ihrer Ausführungen noch einmal fest:

Auskunftsansprüche über Datenverarbeitungen der Vergangenheit, genauer über solche Verarbeitungen, welche aus zeitlich vor dem hierauf gerichteten Vertragsschluss (Vergleichsschluss) resultierenden Datenerhebungen stammen, stehen indes grundsätzlich zur Disposition der Vertragsparteien“.

Fazit

Die LfDI vertritt eine, aus meiner Sicht, durchaus pragmatische und eher verantwortlichenfreundliche Position zur Frage, ob Betroffenenrechte abdingbar sind. Wichtig ist der Behörde zurecht eine klar verständliche und transparente Regelung hierzu. Zudem will die LfDI den Verzicht auf das Betroffenenrecht „nur“ für vergangene Verarbeitungen gelten lassen. Wichtig: ob der Betroffene von den vergangenen Verarbeitungen auch tatsächlich Kenntnis hat, scheint keine Voraussetzung aus Sicht der Behörde zu sein.

Spannend wäre jetzt natürlich die Diskussion, ob die Argumentation der LfDI auf andere Betroffenenrechte übertragbar ist (zB das Recht auf Löschung oder Berichtigung) – aus meiner Sicht schon. Zum einen beschränkt die LfDI ihre Ansicht nicht nur auf das Auskunftsrecht. Zum anderen sind die vorgebrachten Argumente durchaus auch für andere Betroffenenrechte anwendbar.  

Verwaltungsgericht Stuttgart: DSGVO-Auskunft über gelöschte Daten oder Löschprotokolle?

Mit Urteil vom 30.11.2023 (Az. 11 K 3946/21) hat sich das Verwaltungsgericht (VG) Stuttgart sehr umfassend mit dem Auskunftsanspruch aus Art. 15 DSGVO befasst. Eventuell berichte zu weiteren Aspekten des Urteils noch nachfolgend im Blog. Heute möchte ich nur einen kleinen Aspekt beleuchten.

In dem Verfahren verlangte der Kläger von einer Körperschaft des öffentlichen Rechts Auskunft nach Art. 15 DSGVO. Hierbei ging es u.a. um die Frage, ob der Verantwortliche auch Auskunft über gelöschte personenbezogene Daten erteilen muss.

Das VG vertritt hierzu die einzig richtige Ansicht:

Was nicht mehr existiert, kann nicht beauskunftet werden.“

Zwar stelle nach Art. 4 Nr. 2 DSGVO auch das Löschen von Daten eine „Verarbeitung“ personenbezogener Daten dar. Vollständig gelöschte Daten können allerdings denklogisch nicht Anknüpfungspunkt des Auskunftsanspruchs aus Art 15 Abs. 1 2. Hs. i.V.m. Abs. 3 DSGVO sein.

Interessant und auch konsequent ist aber die Auffassung des VG hinsichtlich der Auskunft zu vorhandenen Löschprotokollen.

Das Gericht verweist darauf, dass, wenn ein Löschungsvorgang jedenfalls seinem Umfang nach noch dokumentiert und gespeichert ist, dies ein (einzelnes) personenbezogenes Datum über den Betroffen darstelle.

Das VG erläutert diese Ansicht auch an einem Beispiel: eine Dokumentation eines Löschungsvorgangs wie „Löschungsvorgang am XX.XX.XXXX: alle vom Kläger eingereichten Belege aus dem Kalenderjahr XXXX und davor“ sei dann vom Auskunftsrecht umfasst, wenn sich diese Information noch auf den Betroffenen beziehen lasse. Aus meiner Sicht ist die Auffassung des VG richtig. Denn eine Information „Daten 1,2,3 von Carlo Piltz wurden am XX.XX.XXXX gelöscht“ oder auch die Angabe „Von der Person erhaltene Dokumente aus 2020 wurden gelöscht„, bezieht sich auf eine natürliche Person, wenn intern nachvollzogen werden kann, wer diese Person ist.

Leider geht das VG hier nicht darauf ein, ob die Ausnahmevorschrift des § 34 Abs. 1 Nr. 2 b BDSG greifen würde. Danach besteht das Auskunftsrecht nach Art. 15 DSGVO nicht, wenn Daten ausschließlich Zwecken der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Werden Löschprotokolle zum Nachweis aufbewahrt, dass Daten tatsächlich gelöscht wurden, stellt dies auch meiner Sicht eine Maßnahme zu „Zwecken der Datenschutzkontrolle“ dar – ob also der Löschverpflichtung nachgekommen würde. Natürlich müsste der Verantwortliche, um sich auf die Ausnahme berufen zu können, dann aber auch die übrigen Voraussetzungen des § 34 Abs. 1 Nr. 2 b BDSG erfüllen.

Schwedische Datenschutzbehörde: Umsetzung eines Widerspruchs gegen Werbe-E-Mails innerhalb von 2 Tagen

In einer Entscheidung vom 17.10.2023 hatte sich die schwedische Datenschutzbehörde (IMY) mit mehreren Beschwerden gegen das Unternehmen H&M wegen unzulässiger Marketing-E-Mails und Newsletter befasst. Unter anderem ging es um die Frage, wie schnell ein Verantwortlicher einen Werbewiderspruch nach Art. 21 Abs. 2 DSGVO umsetzen muss.

Sachverhalt

Ein Betroffener beschwerte sich, dass er am 5. April 2019 einen Widerspruch nach Art. 21 Abs. 2 DSGVO gegenüber H&M ausgeübt hatte, in der Folgezeit aber weiterhin werbliche E-Mails, in der Form von Newslettern, erhielt.

Der Widerspruch erfolgt wohl einmal in den Kontoeinstellungen und auch durch direkte Kontaktaufnahme mit dem Kundenservice in Polen und England. Am 8. April 2019 antwortete H&M, dass der Betroffene keine weiteren Newsletter erhalten würde.

Intern wurde der Betroffene wohl auch vom allgemeinen Newsletter genommen. Aber nicht von einem speziellen Kundenclub-Newsletter. Der Betroffene erhielt weiter bis zum 1. August 2019 diese Newsletter zugesendet – also ca. 4 Monate. Am 2. August 2019 wurde der Widerspruch dann auch für den Kundenclub-Newsletter umgesetzt.

Entscheidung der IMY

In ihrer Begründung stellt die IMY zunächst die gesetzlichen Anforderungen für diesen Fall dar.

Nach Art. 21 Abs. 2 DSGVO hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke von Werbung einzulegen. Es bedarf hierzu keiner weiteren Abwägung durch den Verantwortlichen oder Begründung durch den Betroffenen. Erfolgt der Widerspruch, so gibt Art. 21 Abs. 3 DSGVO vor, dass die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet werden dürfen.

Nach Ansicht der Aufsichtsbehörde folgt hieraus, dass eine weitere Verwendung der Daten für werbliche Zwecke einen Verstoß gegen Art. 6 Abs. 1 DSGVO darstellt, da hierfür keine Rechtsgrundlage vorliegt.

Die Umsetzung des Werbewiderspruchs stellt aus Sicht der IMY eine Routineaufgabe für Verantwortliche dar, da gerade keine weiteren Voraussetzungen zur Umsetzung des Widerspruchs zu erfüllen sind.

Zudem verlangt Art. 12 Abs. 3 DSGVO, dass der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellt. Die IMY versteht diese Vorgabe so, dass der Verantwortliche unverzüglich den Werbewiderspruch zu bearbeiten und umzusetzen hat.

Die IMY legt hier einen strengen Maßstab an die zeitliche Umsetzung des Widerspruchs in den Systemen von H&M an. Die Aufsichtsbehörde verweist darauf, dass H&M ein automatisiertes Verfahren zur Umsetzung von Widersprüchen implementiert hatte.

Es sei aber stets eine Frage des Einzelfalls und der konkreten Umstände, wie schnell der Verantwortliche den Widerspruch umsetzen muss – wie also die Vorgabe „unverzüglich“ zu verstehen ist.

Im konkreten Fall nahm die Aufsichtsbehörde an:

In Anbetracht der Umstände des Falles ist IMY der Ansicht, dass zwei Tage eine angemessene Frist für die Bearbeitung des Widerspruchs durch das Unternehmen waren

Die IMY begründet ihre Ansicht unter anderem damit, dass hier gerade ein automatisiertes Verfahren eingerichtet wurde. Die Frist könnte etwa im Fall von manuellen Umsetzungen eine andere sein. Zwei Tage sind also nicht als starre Vorgabe zu verstehen. Zudem dürfte hier auch der Umstand eine Rolle gespielt haben, dass es sich um ein großes Unternehmen handelt, welches viele Kunden weltweit hat und daher Widersprüche an sich nichts Besonderes darstellen.

Generell fordert die Aufsichtsbehörde, dass Widersprüche nach Art. 21 Abs. 2 DSGVO schnell umzusetzen sind, da entsprechend Abs. 3 gerade verhindert werden soll, dass die Daten für werbliche Zwecke weiter verarbeitet werden.

Insgesamt ging die Aufsichtsbehörde hier von Verstößen gegen Art. 12 Abs. 3, Art. 21 Abs. 3 und Art. 6 Abs. 1 DSGVO aus.

Österreichisches Bundesverwaltungsgericht: Recht auf Datenübertragbarkeit (Art. 20 DSGVO) gegen den (alten) Arbeitgeber? Ja, aber…

Art. 20 DSGVO ist in der Rechtsprechung bisher kaum relevant geworden. Daher ist eine jüngere Entscheidung des österreichischen Bundesverwaltungsgericht (BVwG) zum Recht auf Datenübertragbarkeit gegen eine ehemalige Arbeitgeberin besonders interessant (20.12.2023 – W211 2261679-1).

Sachverhalt

Die Klägerin war bei der Verantwortlichen, einem Transportunternehmen, beschäftigt und kündigte das Arbeitsverhältnis. Die Klägerin verfügte über eine berufliche Emailadresse. Über diese Emailadresse wickelte sowohl berufliche als auch private Emailkorrespondenz ab.

Nach der Kündigung forderte die Klägerin von ihrer ehemaligen Arbeitgeberin basierend auf Art. 20 DSGVO, ihre personenbezogenen Daten, insbesondere ihre Korrespondenz (privat und beruflich), die auf dem Emailaccount gespeichert sei, in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln.

Die Herausgabe der Daten wurde von der Arbeitgeberin in Bezug auf berufliche Emails verweigert, u.a. weil die Klägerin nun in einem Konkurrenzunternehmen arbeite. Hinsichtlich privater Emails sei diese Nutzung zwar gegen eine Dienstanweisung erfolgt – diese würden aber übermittelt und danach gelöscht.

Die Klägerin legte hierzu Beschwerde bei der österreichischen Datenschutzbehörde (DSB) ein. Die DSB wies die Beschwerde wegen Verletzung des Rechts auf Datenübertragbarkeit jedoch als unbegründet ab.

Nach Ansicht der DSB betreffe das Recht auf Datenübertragbarkeit jene Daten, die eine betroffene Person einem Verantwortlichen bereitgestellt habe. Dazu würden keine Daten zählen, die von anderen Nutzern eines Dienstes bereitgestellt worden seien. Deswegen würden empfangene Emails nicht unter den Anspruch aus Art. 20 DSGVO fallen. Darüber hinaus dürften bei Ausübung dieses Rechts die Rechte und Freiheiten anderer nicht beeinträchtigt werden. Die Übermittlung der beruflichen Emails würde die Arbeitgeberin schwer und unzulässig beeinträchtigen. Die Übermittlung privater Emails würde ebenfalls Rechte und Freiheiten Dritter beeinträchtigen, und zwar die Absender. Auch könnte der Inhalt der Emails sich auf Dritte beziehen.

Gegen diese Entscheidung der DSB wendet sich die Klägerin.

Entscheidung

Das BVwG verhielt sich nicht zu der Frage, welche Auswirkung die (vorgebrachte) Untersagung der privaten Nutzung der Emails hat. Nach Ansicht des BVwG ist die Frage, ob es eine Dienstanweisung gegen die private Nutzung des beruflichen Emailaccounts gab oder nicht,

für die datenschutzrechtliche Einschätzung im Endeffekt unerheblich“.

Das BVwG scheint hier also den Bereich des Datenschutzes streng von Fragen des (möglicherweise geltenden) Fernmeldegeheimnisses zu trenne.

Wichtig: Art. 20 DSGVO gilt auch im Arbeitsverhältnis

Implizit stellt das BVwG klar, dass das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO auch im (beendeten) Arbeitsverhältnis gilt. Denn es befasst sich nicht mit der Frage, ob Art. 20 DSGVO in der vorliegenden Konstellation überhaupt greift. Vielmehr prüft das BVwG das Vorliegen der Tatbestandsvoraussetzungen und Ausnahmen.

Was bedeutet „bereitgestellt“?

Nach Ansicht des BVwG sind unter „bereitgestellten“ Daten zunächst jene Daten zu verstehen, welche die betroffene Person aktiv und wissentlich der Verantwortlichen übermittelt hat (zB Daten, die bei der Kontoeröffnung angegeben werden, hochgeladene Bilder in sozialen Medien, Kontaktlisten des Webmail-Kontos).

Zudem verweist das BVwG auf die sehr weite Auslegung des Begriffs durch die Art.-29-Datenschutzgruppe. Danach umfasst das Recht auch jene Daten, die durch Nutzung des Dienstes der Verantwortlichen oder durch Beobachtung angefallen bzw. generiert worden sind.

Im Beschäftigungskontext könnten dies etwa Bewerbungsunterlagen, dienstliche E-Mails und elektronische Zeitaufzeichnungen sein. Damit war der Anwendungsberiech von Art. 20 DSGVO eröffnet. Diese Ansicht ist meines Erachtens richtig (vgl. etwa meinen Beitrag in RDV 2018, S. 3 “Datenübertragbarkeit im Beschäftigungsverhältnis – Arbeitgeberwechsel: Und die Daten kommen mit?“), auch wenn Art. 20 DSGVO wohl eigentlich nicht für diese Situationen gedacht war. Spannend wird es vielmehr bei den einzelnen Voraussetzungen und auch Ausnahmen des Art. 20 DSGVO.

BVwG: Betroffener muss „Bereitstellung“ darlegen

Eine erste Einschränkung bei der Ausübung des Rechts macht das BVwG bei dem Antrag auf Datenübertragung.

Die betroffene Person wird zur Geltendmachung ihres Begehrens darlegen müssen, dass die Daten, die sie übertragen lassen möchte, von ihr bereitgestellt wurden und sie betreffen, dass ihre Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und dass sie automatisch verarbeitet werden“.

Das BVwG verlangt hier also vom Betroffenen den Nachweis, dass es sich um „bereitgestellte“ Daten iSv Art. 20 DSGVO handelt. Das Gericht begründet seine Ansicht u.a. damit, dass es sich um ein antragsbedürftiges Recht handele.

Im vorliegenden Fall habe der Antrag kein ausreichend konkretisiertes Begehren auf Datenübertragbarkeit nach Art. 20 DSGVO für andere Daten als die Emails enthält. Abgesehen von der Korrespondenz über den Emailaccount werden weitere Daten, die übermittelt werden sollen, nicht ausreichend konkretisiert.

Übertragung beruflicher Mails?

Das BVwG stützt sich in seiner Entscheidung auf die Argumentation der DSB. Eine Übertragung der beruflichen Emails wird auf der Grundlage der Ausnahme nach Art. 20 Abs. 4 DSGVO abgelehnt.

Die Übermittlung der beruflichen Emails würde die Rechte der Arbeitgeberin, zB in Bezug auf Geschäftskontakte und Rechnungsdaten, insbesondere vor dem Hintergrund, dass die Klägerin nunmehr in einem Konkurrenzunternehmen tätig ist, schwer beeinträchtigen.

Wichtig: damit macht das BVwG auch klar, dass der Verantwortliche selbst im Rahmen des Art. 20 Abs. 4 DSGVO eine „andere Person“ ist.

Übertragung private Mails?

Hier begründet das BVwG die Ablehnung des Anspruchs aus Art. 20 DSGVO anders. Hinsichtlich der auf der personalisierten Emailadresse verfassten privaten Emails kann nicht davon ausgegangen werden, dass die Betroffene diese im Sinne der Bestimmung der Verantwortlichen „bereitgestellt“ hat.

Das BVwG verneint hier also bereits das Vorliegen eines Tatbestandsmerkmals.

Zwar würde rein technisch, durch die Nutzung des Emailaccounts eine quasi automatische Bereitstellung der Daten an die Verantwortliche erfolgen.

Aber: es handelt sich dabei um keine Daten, die die Verantwortliche in irgendeiner sonstigen Weise verarbeitet noch verarbeiten will, noch der Betroffenen diesbezüglich einen Dienst zu Verfügung stellt, noch im eigentlichen Sinne einen solchen Dienst – für private Emails – zur Verfügung stellen will.

Nach dem BVwG fehlt es am Merkmal „bereitgestellt“, weil der Verantwortliche keine Absicht hat, diese Daten zu erhalten oder für die Bereitstellung einen Dienst zur Verfügung zu stellen. „Bereitstellen“ verlangt also nach dem BVwG, dass der Verantwortliche bewusst und willentlich die Daten empfängt bzw. verarbeitet.

Das Ergebnis des BVwG: Ein Recht auf Datenübertragbarkeit der verfassten privaten Emails aus dem Emailaccount besteht demnach nicht.

BDSG-Reform: Bundesregierung verabschiedet Entwurf zur Änderung des BDSG (Videoüberwachung, Auskunftsanspruch, gemeinsame Verantwortliche und Scoring)

Die Bundesregierung hat heute ihren Entwurf für ein Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) verabschiedet (Gesetzentwurf, PDF). Nachfolgend möchte ich einen ganz kurzen Überblick zu einigen vorgeschlagenen Änderungen geben.

Die DSK wird im BDSG verankert

In einem neuen § 16a BDSG soll die Datenschutzkonferenz (DSK) im BDSG institutionalisiert werden. Es wird jedoch keine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK getroffen, da, so die Begründung, „damit wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berührt würden“.

Die Anpassung ist am Ende aus meiner Sicht nicht besonders praxisrelevant. Denn die DSK existiert bereits jetzt schon und hat auch eine Geschäftsordnung. Es wird als gesetzlich festgeschrieben, was bereits existiert.

Wegfall der Regelung zur Videoüberwachung für private Stellen

§ 4 Abs. 1 BDSG soll neu wie folgt gefasst werden:

Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen ist nur zulässig,…“.

Hierdurch wird die Regelung zur Videoüberwachung öffentlich zugänglicher Räume durch nichtöffentliche Stellen, also insbesondere Unternehmen, aus dem Bundesrecht genommen. Die Zulässigkeit dieser Videoüberwachung ergibt sich unmittelbar aus Art. 6 Abs. 1 lit. f DSGVO.

Mögliche Auswirkung: sollte die Regelung so in Kraft treten, wäre bei Hinweisschildern zur Videoüberwachung an eine Anpassung hinsichtlich der Rechtsgrundlage zu denken, wenn dort noch auf § 4 Abs. 1 BDSG verwiesen wird.

Wichtig für die Praxis: Einschränkung des Auskunftsrechts bei Geschäftsgeheimnissen

Eine praxisrelevante Anpassung wird in § 34 Abs. 1 BDSG vorgeschlagen. Es soll folgender Satz neu angefügt werden:

Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“

Laut der Gesetzesbegründung soll klargestellt werden, dass im Rahmen der Ausnahmen von dem Recht auf Auskunft (Art. 15 Abs. 4 DSGVO) unter den Schutz „anderer Personen“ auch der Verantwortliche fällt und gewisse herauszugebende Daten einen rechtlichen Schutz genießen. „Betriebs- und Geschäftsgeheimnisse genießen einen solchen Schutz“.

Die Ausnahme greift dann, wenn das Interesse an der Geheimhaltung der Betriebs- und Geschäftsgeheimnisse das Interesse der betroffenen Person an der Information überwiegt.

Diese Klarstellung ist zu begrüßen, jedoch wohl nicht zwingend erforderlich, da bereits ErwG 63 DSGVO „Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse“ ausdrücklich erwähnt.

Zuständige Aufsichtsbehörde bei gemeinsam Verantwortlichen

Zudem soll ein neuer § 40a BDSG mit dem Titel „Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen“ eingefügt werden.

Die Regelung soll in Situationen gelten, in denen mehrere Unternehmen gemeinsam Verantwortliche (Art. 26 DSGVO) sind und mehrere Aufsichtsbehörden für sie zuständig wären. Dann sollen diese Verantwortlichen gemeinsam anzeigen können,

dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat“.

Die Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind. Sie muss etwa die Vereinbarung gem. Art. 26 DSGVO enthalten.

Wichtige Folge dieser Anzeige: ab dem Zeitpunkt, zu dem die Anzeige bei der zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde.

Vorgaben zum Scoring

Neu eingefügt (wenn auch angelehnt an den bisherigen § 31) wird ein § 37a BDSG, der Anforderungen an die Erstellung und auch Verwendung von „Wahrscheinlichkeitswerten“ regeln soll.

Nach § 37a Abs. 1 Nr. 1 BDSG dürfen etwa folgende Daten nicht für die Erstellung der Wahrscheinlichkeitswerte genutzt werden: besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Anschriftendaten.

Widerspruch gegen die Datenverarbeitung: wann liegen „Gründe, die sich aus ihrer besonderen Situation ergeben“ vor?

Nach Art. 21 Abs. 1 DSGVO hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung, die aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO erfolgt, Widerspruch einzulegen. Wann diese „besondere Situation“ vorliegt, erläutert das Gesetz aber nicht. 

Für die Praxis stellt Art. 6 Abs. 1 f) DSGVO in der Wirtschaft eine wichtige Rechtsgrundlage dar. Umso interessanter ist daher die Antwort auf die Frage, wann Betroffene einer Verarbeitung widersprechen können.

Wortlaut

Art. 21 Abs. 1 DSGVO gewährt eindeutig kein voraussetzungsloses Widerspruchsrecht, sondern macht dieses von Gründen abhängig, die sich aus der besonderen Situation des Betroffenen ergeben. Nur zu widersprechen, genügt daher nicht. Dies ergibt sich auch aus einem systematischen Vergleich mit Art. 21 Abs. 3 DSGVO, der gerade allein den Widerspruch (ohne Bezug zu einer besonderen Situation) genügen lässt, wenn Daten für Zwecke der Direktwerbung verwendet werden. 

Rechtsprechung

Landessozialgericht Hessen

Das LSG Hessen (Beschl. v. 29.1.2020 – L 4 SO 154/19 B) hat sich zu den Anforderungen der Darlegung der besonderen Situation des Betroffenen geäußert. 

Das LSG verlangt, dass konkrete Tatsachen zu dieser besonderen Situation vorgetragen werden müssen, die ausnahmsweise das Unterlassen der Erhebung von Daten rechtfertigen sollen. Dies ergebe sich aus der Normstruktur des Art. 21 Abs. 1 S. 2 DSGVO, die eine Abwägung erfordert.

Im konkreten Fall verwies der Kläger u.a. auf eine nach seiner Auffassung der Rechtsprechung des Bundessozialgerichts widersprechende Verwaltungspraxis. Dies genügte dem LSG nicht. Zudem brachte der Betroffene gegen die Verarbeitung seinen Gesundheitszustand vor. Auch dies lehnte das LSG als „besondere Situation“ ab. 

sind dies keine Gründe, die einen Bezug zu Datenschutzbelangen haben.“ 

Interessant an dieser Ansicht des LSG ist, dass das Gericht anscheinend bei den Gründen einen konkreten Datenschutzbezug verlangt. 

Bundesverwaltungsgericht Österreich

Im letzten Jahr hat sich auch das Bundesverwaltungsgericht (BVwG) Österreich (19.4.2023 – W287 2243166-1) mit den Anforderungen an den Widerspruch befasst. 

Das BVwG verlangt, dass der Betroffene im Widerspruch anzugeben hat, inwiefern eine Verarbeitung der Daten, die sich auf den Erlaubnistatbestand des Art. 6 Abs. 1 f) DSGVO stützt, aufgrund einer besonderen Situation dennoch nicht zulässig sein soll. 

Vom Betroffenen ist konkret darzulegen, 

worin im grundrechtlichen Schutzzweck des Datenschutzes seine besondere Situation liegt, die über die im Rahmen des Art. 6 Abs. 1 lit. e und lit. f DSGVO bereits erfolgte allgemeine Güterabwägung hinaus eine Ausnahme von der rechtmäßigen Verarbeitung gegeben sein soll“.

Interessant ist hier, dass das BVwG die besondere Situation des Betroffenen wohl eher als Ausnahme ansieht. Denn es führt aus, dass bei der Annahme der besonderen Situation Zurückhaltung geboten sei. 

Legt der Betroffene „nicht einmal ansatzweise dar, weshalb in seinem Fall eine besondere Situation im zuvor dargelegten Sinne vorliegen sollte“, sind die Anforderungen des Art. 21 Abs. 1 DSGVO nicht erfüllt. In dem Verfahren des BVwG hat übrigens auch die Österreichische Datenschutzbehörde genau diese Ansicht, die das Gericht stützt, vertreten. 

Die Behauptungs- und Beweislast für das Vorliegen der Voraussetzungen liegt nach Ansicht des BVwG beim Betroffenen.

Dementsprechend hat sein Antrag eine qualifizierte Darlegung zu enthalten, die es dem Verantwortlichen ermöglicht, die Voraussetzungen zu prüfen.

Fazit

Abschließend geklärt scheint die Frage, wann eine „besondere Situation“ vorliegt, noch nicht. Gerade die Entscheidung und Begründung des BVwG enthält jedoch nützliche Hinweise dazu, wie Verantwortliche mit Widersprüchen gegen Datenverarbeitungen nach Art. 21 Abs. 1 DSGVO umgehen können.

„personenbezogene Daten unverzüglich gelöscht werden“ – Datenschutzbehörde Irland: 49 Tage sind nicht mehr „unverzüglich“

Mit Entscheidung (PDF) vom 15. November 2023 hat die irische Datenschutzbehörde (DPC) unter anderem einen Verstoß der Microsoft Operations Ireland Limited gegen Art. 17 Abs. 1 DSGVO festgestellt.

Sachverhalt

In dem Verfahren ging es auch um das Auslisten von Links aus der Suchmaschine Bing. Der Betroffene beschwerte sich beim BayLDA und dieses leitete die Beschwerde nach Irland weiter. Unter anderem wandte sich der Betroffene am 9. Oktober 2021 mit mehreren Löschaufforderungen an Microsoft. Diese wurden zunächst zurückgewiesen – wie Microsoft aber später eingestand, fälschlicherweise. Der Löschprozess für die personenbezogenen Daten startete dann erst ab dem 26. November 2021. Aus Sicht der DPC sind hier 49 Tage vergangen (wobei man dafür den 9. Oktober mit einbezieht).

Entscheidung

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern bestimmte Voraussetzungen erfüllt sind.

Was genau „unverzüglich“ bedeutet, ist in der DSGVO nicht geregelt. Eine rein nationale Auslegung verbietet sich. Nach der Rechtsprechung des EuGH müssen Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten (zum Begriff „Schaden“ in Art. 82 DSGVO, C-300/21, Rz. 29).

Im konkreten Fall vergingen nach Ansicht der DPC 49 Tage, bis der der Löschprozess angestoßen wurde. Die Aufsichtsbehörde geht davon aus, dass diese Dauer nicht mehr als „unverzüglich“ im Sinne von Art. 17 Abs. 1 DSGVO angesehen werden kann.

OLG Nürnberg zum Auskunftsanspruch eines Vorstandsmitglieds – langjährige Unternehmenszugehörigkeit und großer Aufwand für den Arbeitgeber steht der Geltendmachung nicht entgegen

Das OLG Nürnberg hat sich in seiner Entscheidung vom 29. November 2023 (4 U 347/21) mit einem „Klassiker“ des Datenschutzrechts befasst: dem Auskunftsanspruch eines ehemaligen Mitarbeiters gegen den Arbeitgeber und die Frage, ob diesem Anspruch eventuell ein Missbrauchseinwand entgegengehalten werden kann.

Sachverhalt

Der Kläger macht als ehemaliger Mitarbeiter, zuletzt als Vorstandsmitglied der Beklagten, Auskunfts- und Herausgabeansprüche nach Art. 15 Abs. 1 und Abs. 3 DSGVO gegenüber seinem ehemaligen Arbeitgeber geltend. Der Kläger war vom 1.1.2000 bis zum 30.09.2016 in verschiedenen Positionen im Unternehmen tätig. Zuletzt mehrere Jahre als Vorstandsmitglied. Die Beklagte erteilte Auskunft in Bezug auf gespeicherte Personalstamm- und BAV-Daten (ich vermute „betriebliche Altersvorsorge“) des Klägers. Jedoch verlangte der Kläger eine Kopie aller bei der Beklagten gespeicherten personenbezogenen Daten des Klägers.

Das LG Nürnberg-Fürth (Endurteil vom 29.01.2021 – 11 O 5353/20) wies die Klage ab.

Entscheidung

Das OLG gab der Berufung des Klägers statt und verurteilte die beklagte Arbeitgeberin:

  • dem Kläger Auskunft über alle bei ihr gespeicherten personenbezogenen Daten des Klägers zu erteilen
  • eine Kopie aller bei ihr gespeicherten personenbezogenen Daten des Klägers herauszugeben.

Relevant an der Entscheidung des OLG ist, dass sich das Gericht in seiner Begründung bereits auf die neueste Rechtsprechung des EuGH zum Auskunftsanspruch nach Art. 15 DSGVO stützt.

Die Beklagte machte geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO sei. Ein verständlicher Einwand, da der Kläger über 15 Jahre im Unternehmen tätig war. Zudem brachte die Beklagte den Einwand des Missbrauchs vor, dass der Kläger die Daten wohl nicht aus datenschutzrechtlichen Motiven herausverlangte.

Das OLG lies beide Einwände jedoch nicht gelten.

Datenschutzfremde Zwecke

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liege kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Das OLG verweist hier auf das Urteil des EuGH vom 26.10.2023 – C-307/22, wonach Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in ErwG 63 S. 1 DSGVO genannten Zwecken begründet wird.

Großer Aufwand = exzessiv?

Auch sei der Anspruch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.

Nach Ansicht des OLG liegt kein Missbrauch vor,

wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen“.

Weiter geht das OLG davon aus, dass es kein Fall des Missbrauchs (in Form der „exzessiv“) darstelle, wenn die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist.

denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt

Auch, dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, stehe der Geltendmachung seiner Rechte nicht entgegen.

Ausblick – Missbrauchseinwand bleibt möglich

Die Entscheidung des OLG zeigt, wie die Vorgaben der EuGH-Urteile aus 2023 zu Art. 15 DSGVO in der Praxis Anwendung finden können. Gleichzeitig sollte man aus Sicht der Verantwortlichen beachten, dass auch der EuGH die Tür für Einwände gegen unbegründete oder missbräuchliche Ansprüche nicht in Gänze „geschlossen“ hat.

In seiner Entscheidung C-307/22 verweist der EuGH etwa auf Art. 15 Abs. 4 DSGVO und dass „[d]as Recht auf Erhalt einer Kopie … die Rechte und Freiheiten anderer Personen nicht beeinträchtigen [darf].“ Zudem geht der EuGH davon aus, dass das der betroffenen Person zuerkannte Recht, eine erste unentgeltliche Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zu erhalten, nicht uneingeschränkt gilt.

Zu beachten ist zudem, dass der EuGH in der Rechtssache C-307/22 einen möglichen Missbrauch gar nicht geprüft hat. Denn er ging davon aus, dass das vorlegende Gericht (der BGH) ausdrücklich festgestellt hat, dass der Antrag der betroffenen Person gerade nicht missbräuchlich sei. Der Missbrauchseinwand auf EU-Ebene ist damit aber nicht ausgeschlossen, wie auch der Generalanwalt in Fn. 20 seiner Schlussanträge klargestellt hat. Sollte der Auskunftsantrag missbräuchlich erfolgen, würde dies den Kläger

nach ständiger Rechtsprechung des Gerichtshofs daran hindern [würde], die ihm durch das Unionsrecht verliehenen Rechte geltend zu machen. Vgl. u. a. Urteil vom 27. Oktober 2022, Climate Corporation Emissions Trading (C‑641/21, EU:C:2022:842, Rn. 39 und die dort angeführte Rechtsprechung).

Gleichzeitig sollte man aber auch beachten, dass der Missbrauchseinwand natürlich die Ausnahme wäre und damit vom Verantwortlichen solide begründet sein muss. Pauschale Verweise auf einen möglichen hohen Arbeitsaufwand oder eine fehlende Begründung des Antrags, dürften dafür nicht genügen.

750 EUR DSGVO-Schadenersatz wegen Auskunft „erst“ nach 19 Tagen? Ich meine: nein. 

Derzeit wird in der Datenschutzszene ein Urteil des Arbeitsgerichts (ArbG) Duisburg vom 03.11.2023 (Az. 5 Ca 877/23) diskutiert. Das ArbG sprach dem Kläger 750 EUR Schmerzensgeld zu, weil ein Unternehmen eine (Negativ)Auskunft nach Art. 15 DGSVO „erst“ nach 19 Kalendertagen erteilt hatte. Der Kläger war ein früherer Bewerber. Nach Ansicht des ArbG stellt diese Verzögerung der Auskunft einen Verstoß gegen Art. 12 Abs. 3 DSGVO. 

Nach Sichtung des Urteils und der Gründe würde ich als Verantwortlicher jedoch nicht in Panik verfallen. Unter datenschutzrechtlichen Gesichtspunkten ist, meines Erachtens, die Begründung des ArbG an mehreren Stellen angreifbar und ebenso ein anderes Ergebnis vertretbar. 

Der rein nationale Blick auf das Merkmal „unverzüglich“

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 

Nach Ansicht des ArbG sei unter „unverzüglich“, angelehnt an § 121 BGB, „ohne schuldhaftes Zögern“ zu verstehen. Zwar gesteht das Gericht ein, dass „unverzüglich“ nicht „sofort“ bedeutet. Jedoch geht es, unter Verweis auf eine Entscheidung des Bundesarbeitsgerichts, davon aus, dass nach einer Zeitspanne von mehr als einer Woche, ohne das Vorliegen besonderer Umstände, grundsätzlich keine Unverzüglichkeit mehr gegeben sei. 

Vorliegend gab das Unternehmen an, dass aufgrund von Wochenenden, Feiertagen und Brückentagen in dem betreffenden Zeitraum (Pfingsten), die Auskunft innerhalb von 9 Arbeitstagen erteilt wurde. Für das ArbG waren diese 9 Arbeitstage jedoch zu lang. 

Das ArbG legt hier also eine unmittelbar anwendbare EU-Verordnung und deren Vorgaben rein aus dem nationalen Rechtsverständnis aus. Dies verstößt gegen die Rechtsprechung des EuGH, konkret auch zur DSGVO. Der EuGH geht davon aus, dass (nach ständiger Rechtsprechung) die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (C-300/21, Rz. 29). 

Art. 12 Abs. 3 DSGVO verweist hinsichtlich des Begriffs „unverzüglich“ nicht auf das Recht der Mitgliedstaaten. Nach dem EuGH ist die Auslegung daher insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln (C-300/21, Rz. 29).

In diesem Fall ist der Begriff „unverzüglich“ für die Anwendung der DSGVO als autonomer Begriff des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen (so zum Begriff „Schaden“ in Art. 82 Abs. 1 DSGVO, C-300/21, Rz. 30).

Genau diese Auslegung nimmt das ArbG hier aber nicht. 

Zusatz: man könnte, völlig unabhängig von diesen europarechtlichen Erwägungen, auch noch entgegenhalten, dass bereits ein Landesarbeitsgericht eine andere Auffassung zu dem Begriff „unverzüglich“ vertreten hat; dies auch zeitlich vor dem Urteil des ArbG. Mit Blick auf die Monatsfrist des Art. 12 Abs. 3 DSGVO hat das LAG Baden-Württemberg entschieden, dass der Verantwortliche „vor Ablauf dieser Frist“ die Ansprüche nicht erfüllen braucht (hierzu mein Blogbeitrag).

Im Ergebnis bin ich sogar bei dem ArbG, dass hier keine starren Fristen gelten können; außer eben jene Monatsfrist. Dann jedoch, unter Verweis auf die Rechtsprechung des BAG, davon auszugehen, dass die Erteilung einer Negativauskunft nach 9 Arbeitstagen einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt, halte ich mit Blick auf die Rechtsprechung des EuGH für nicht richtig. 

Der angenommene Schaden – Kontrollverlust ohne Daten?

Selbst wenn man einen Verstoß gegen Art. 12 Abs. 3 DSGVO annehmen würde, sind meines Erachtens die Ausführungen des ArbG zum materiellen Schaden (750 EUR) angreifbar. Nach Ansicht des Gerichts hat er Kläger „durch die verspätete Auskunft einen Kontrollverlust hinsichtlich seiner Daten erlitten“. 

Einige werden sich fragen: aber, der Verantwortliche hatte doch gar keine Daten? Genau. Die wurden (wohl) mittlerweile gelöscht.

Nach Ansicht des ArbG „war der Kläger im Ungewissen und ihm die weitere Prüfung verwehrt, ob und ggf. wie die Beklagte seine personenbezogenen Daten verarbeitet“. Dies sei der Schaden. 

Eine solche Auslegung kollidiert aber meines Erachtens mit der aktuellen Rechtsprechung des EuGH und auch Schlussanträgen von Generalanwälten. 

Generalanwalt Collins geht etwa hinsichtlich des Schadens nach Art. 82 DSGVO davon aus, dass, auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, es eindeutiger und präziser Beweise dafür bedarf, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus (C‑182/22 und C‑189/22, Rz. 24).

Generalanwalt Pitruzzella geht davon aus, dass sich empirisch feststellen lasse, dass jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person führt. Eine Entschädigung, die für das bloße Gefühl des Unwohlseins über die Nichteinhaltung des Gesetzes durch einen Dritten geschuldet wird, könnte aber leicht mit einer Entschädigung ohne Schaden verwechselt werden, was aber nicht vom Tatbestand von Art. 82 DSGVO erfasst zu sein scheint (C‑340/21, Rz. 81).

Nach Ansicht des EuGH geht aus dem Wortlaut des Art. 82 Abs. 1 DSGVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (C-300/21, Rz. 32). Zudem ist eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, gerade nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (Rz. 50).

Vorliegend hatte der Kläger nur begründet, dass ein immaterieller Nachteil vorliege, wenn eine betroffene Person einen Kontrollverlust hinsichtlich eigener Daten erleide oder eine Einschränkung in ihren Rechten erfahre. Er habe auch ein emotionales Ungemach erfahren. Der Kläger trug hier aber gerade keine vom EuGH und auch den Generalanwälten geforderten konkreten Beweise für den Schaden an sich vor. Im Gegenteil spricht etwa die Auslegung von Generalanwalt Collins gegen die Anerkennung von „Ungemach“ als Schaden. 

Zuletzt muss man sich hier auch die konkrete Situation vor Augen halten: der Kläger hatte sich vor Jahren bei dem Verantwortlichen beworben – also selbst Daten übersendet. Wenn der Kläger aber nun einen, wohl gemerkt, hypothetischen Kontrollverlust als Schaden ersetzt verlangt, dann muss meines Erachtens auch berücksichtigt werden, dass die Daten ja erst durch den Kläger selbst in den Verantwortungsbereich des Unternehmens gelangten. 

Um es noch drastischer zu sagen: auf Basis der Argumentation des ArbG sende ich einfach wild meine Daten an verschiedene Unternehmen und mache danach Auskunftsanträge geltend. Wenn ein Unternehmen hierauf nicht, sagen wir innerhalb von 14 Tagen (kennen wir ja aus Deutschland als Richtschnur für die „Unverzüglichkeit“) antwortet, mache ich Schadenersatz nach Art. 82 DSGVO geltend, da ja in diesen 14 Tagen nicht klar war, ob ich nicht die Kontrolle über die Daten habe oder nicht. P.S.: die Kontrolle habe ich vorher selbst abgegeben. 

Ungültige DSGVO-Einwilligung – Wechsel auf andere Rechtsgrundlage möglich? Aussagen des EuGH, öst. BVwG und der öst. Aufsichtsbehörde

Ist es möglich, eine Verarbeitung, die ursprünglich auf eine Einwilligung gestützt war, auf einer anderen Rechtsgrundlage durchzuführen, wenn die Einwilligung wegfällt bzw. unwirksam ist?

Ansicht des EuGH

In seinem Urteil vom 4. Juli 2023 (C-252/21) hatte sich der EuGH unter anderem auch mit der Situation befasst, dass eine Einwilligung entweder nicht oder nicht wirksam eingeholt wurde. Die Frage war dann, ob die Datenverarbeitung eventuell dennoch auf Grundlage von Art. 6 Abs. 1 DSGVO gerechtfertigt sein kann.

Hierzu der EuGH (Rz. 92):

Liegt keine solche Einwilligung vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt, ist eine solche Verarbeitung gleichwohl gerechtfertigt, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt.“

Das Gericht adressiert klar zwei Situationen:

  • Eine Einwilligung wurde gar nicht eingeholt (also auch nicht versucht) („liegt keine solche Einwilligung vor“)
  • Eine Einwilligung wurde eingeholt, diese war aber unwirksam, da nicht alle Anforderungen der DSGVO eingehalten wurden („wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt“)

Für beide Fälle geht der EuGH davon aus, dass die bestreffende Verarbeitung gleichwohl gerechtfertigt sein kann, wenn ein anderer Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt ist.

Diese Ansicht des EuGH ist für mich eine wichtige Feststellung. Der „switch“ von einer Rechtsgrundlage zur anderen ist danach möglich. Als Verantwortlicher muss man also nicht von Anfang an und für ewig allein eine Rechtsgrundlage für die Verarbeitung nutzen. Aber: natürlich müssen die Anforderungen der jeweiligen Alternative des Art. 6 Abs. 1 DSGVO erfüllt sein.

Ansicht der österreichischen Datenschutzbehörde

Im neuesten Newsletter der österreichischen Datenschutzbehörde (DSB) bin ich auf eine genau entgegengesetzte Meinung der DSB aufmerksam geworden. Die DSB berichtet dort über eine Entscheidung des Bundesverwaltungsgerichts (BVwG, dazu gleich unten).

Ebenso ist es in derartigen Fällen nicht möglich, im Falle der Ungültigkeit einer Einwilligung zum Zwecke des Profiling nachträglich auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO zu wechseln, zumal sich die Unser Ö-Bonus Club GmbH diesbezüglich in sämtlichen vorgelegten Dokumenten und auch gegenüber den betroffenen Personen nur auf die Einwilligung gestützt hat.“

Die DSB verweist dazu dann auch auf das EuGH-Urteil. Diese Interpretation hat mich doch etwas verwundert, zumindest in der Pauschalität. Denn die Auslegung des EuGH (oben) geht meines Erachtens genau in eine andere Richtung.

Ich vermute, die DSB bezieht sich hier eher auf den konkreten Fall vor dem BVwG, in dem der Wechsel der Rechtsgrundlage am Ende nicht funktionierte. Aber nicht, weil dies grundsätzlich ausgeschlossen wäre, sondern auf Grund der nicht erfüllten Anforderungen des Art. 6 Abs. 1 f) DSGVO als Alternative. Aber: auch dort ging das Gericht davon aus, dass der Wechsel der Rechtsgrundlage möglich ist.

Ansicht des BVwG

In der Entscheidung des BVwG (GZ: W256 2227693-1/44E) brachte das betroffene Unternehmen vor, die gegenständliche Datenverarbeitung könne auch (hilfsweise) auf Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 4 DSGVO gestützt werden.

Dies sah die DSB anders. Das BVwG wiederum schloss sich der Ansicht der Aufsichtsbehörde nicht an und verwies hierzu auch auf das Urteil des EuGH.

Der Ansicht der belangten Behörde, eine ungültige Einwilligungserklärung bewirke in jedem Fall eine unrechtmäßige Datenverarbeitung und mache eine Überprüfung sonstiger Rechtsgrundlagen entbehrlich, kann – wie bereits im Erkenntnis vom 31. August 2021 näher erläutert wurde –  nicht gefolgt werden (siehe dazu zwischenzeitig auch EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537 Rz. 92).“

Eine ungültige Einwilligungserklärung führt nach Ansicht des BVwG damit gerade nicht zur unrechtmäßigen Verarbeitung, falls die Voraussetzungen einer anderen Rechtsgrundlage erfüllt sind. Im konkreten Fall prüft das BVwG dann den Tatbestand des Art. 6 Abs. 1 lit. f DSGVO. Das Problem hierbei war, dass nach Ansicht des Gerichts die vernünftigen Erwartungen der Betroffenen die Datenverarbeitung wohl nicht umfassten und die Betroffenen gerade nicht damit rechneten.

Das Unternehmen informierte Betroffene im Rahmen der Anmeldung, dass Daten u.a. zum Zweck der Durchführung von personalisierter Werbung verwendet werden. Jedoch stützte sich das Unternehmen in den Informationen (also AGB und Datenschutzhinweisen) ausschließlich auf Art. 6 Abs. 1 lit. a DSGVO und führte dazu u.a. in den AGB aus, dass eine solche Datenverarbeitung „nur sofern das Mitglied einwilligt“ durchgeführt werde. Das BVwG geht davon aus, dass damit aber den Betroffenen gegenüber zum Ausdruck gebracht werde, dass die betroffene Person die Durchführung einer solchen Datenverarbeitung selbst in der Hand habe. Dies führte am Ende zum Überwiegen der schutzwürdigen Interessen der Betroffenen.

Und beim Widerruf?

Art. 17 Abs. 1 lit. b DSGVO sieht gleichlaufend mit dieser Auslegung des EuGH und BVwG vor, dass eine Datenverarbeitung, die auf Grundlage einer nun widerrufenen Einwilligung erfolgt, dennoch fortgeführt werden kann – wenn die Anforderungen der jeweiligen Rechtsgrundlage beachtet werden.

Danach sind personenbezogene Daten zu löschen, wenn die betroffene Person ihre Einwilligung widerruft und es „an einer anderweitigen Rechtsgrundlage für die Verarbeitung“ fehlt.