Category Archives: Betroffenenrechte

Schwedische Datenschutzbehörde: E-Mail-Kommunikation mit Informationen zur Optimierung oder Personalisierung eines kostenpflichtigen Online-Dienstes ist nicht „notwendig“ zur Vertragserfüllung (Art. 6 Abs. 1 b) DSGVO) – sondern Direktmarketing

Posted on by

In einer Entscheidung (PDF) vom 1. April 2022 musste sich die schwedische Datenschutzbehörde (IMY) mit der Beschwerde eines Kunden eines Online-Dienstes für den digitalen Vertrieb von Zeitungen und Zeitschriften befassen.

Sachverhalt

Der Beschwerdeführer meldete sich als Kunde an und lehnte am selben Tag über sein Benutzerkonto ab, in Zukunft E-Mails von dem Unternehmen zu erhalten. Dennoch erhielt er mehrere E-Mails von dem Unternehmen. Nachdem sich der Beschwerdeführer an den Kundendienst des Unternehmens gewandt hatte, wurde der Versand von E-Mails eingestellt.

Das Unternehmen gibt an, dass es zwischen Mailings, die auf einem Vertrag beruhen, und Mailings zu Marketingzwecken, die auf einem berechtigten Interesse beruhen, einen Unterschied macht. Die E-Mails, die der Beschwerdeführer erhielt, dienten der Kommunikation mit dem Nutzer über den Dienst und haben den Vertrag als Rechtsgrundlage. Die E-Mails waren Teil der Begrüßungsroutine für neu registrierte Nutzer. Der Zweck bestehe darin, dem Nutzer zu erklären, wie der Dienst funktioniert und welche Funktionen er enthält. Das Unternehmen ist der Ansicht, dass die personenbezogenen Daten nicht zu Marketingzwecken verarbeitet wurden und dass die Verarbeitung auf Grundlage des Vertrages mit dem Beschwerdeführer und, hilfsweise, auf berechtigten Interessen beruht.

Entscheidung

IMY hatte zu beurteilen, ob die Verarbeitung auf Art. 6 Abs. 1 b) DSGVO gestützt werden kann. Notwendig ist dafür, dass die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.

IMY stellt fest, dass mehrere der E-Mails Informationen darüber enthielten, wie der Beschwerdeführer den Dienst entsprechend seinen persönlichen Interessen weiter optimieren und personalisierte Empfehlungen auf der Grundlage seines Leseverhaltens erhalten kann.

Das Unternehmen teilte Kunden auch mit, dass es personalisierte Inhalte anbietet. Nach Ansicht von IMY kann jedoch nicht davon ausgegangen werden, dass ein durchschnittlicher Nutzer dies als notwendigen Bestandteil des Dienstes versteht oder wahrnimmt.

Ein weiteres Argument von IMY gegen den Vertrag als Rechtsgrundlage:

Die Tatsache, dass das Unternehmen auch die Möglichkeit bietet, sich von solchen E-Mails abzumelden, deutet darauf hin, dass die Verarbeitung personenbezogener Daten nicht für die Erfüllung des Vertrags erforderlich war.“

Die Aufsichtsbehörde argumentiert hier also mit der faktischen Umsetzung durch das Unternehmen. Ein Widersprich gegen eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 b) DSGVO wäre ja nicht möglich. Wenn das Unternehmen dies aber ggü. Kunden dennoch anbietet und umsetzt, spricht dies nach Ansicht der Aufsichtsbehörde dafür, dass eine andere Rechtsgrundlage einschlägig ist.

IMY verlangt (wie in der Vergangenheit insb. auch der EDSA), dass der für die Verarbeitung Verantwortliche nachweist, dass der Hauptzweck des konkreten Vertrags in der Praxis nicht erreicht werden kann, wenn die fragliche Verarbeitung nicht durchgeführt wird. Die Aufsichtsbehörde folgt hier also einer sehr strengen Auslegung des Erforderlichkeitsmerkmals in Art. 6 Abs. 1 b) DSGVO.

Nach Auffassung der IMY bestand die durch Geld erworbene Dienstleistung hier aber nur darin, Zeitungen und Zeitschriften digital zu lesen, was der Hauptzweck des Vertrags sei.

Daher begründete IMY:

„… die E-Mails, die der Beschwerdeführer mit individuell zugeschnittenem Inhalt erhalten hat, sind nicht objektiv notwendig, um den Hauptzweck des Vertrags zu erfüllen, d. h. die Bereitstellung eines digitalen Zeitungs- und Zeitschriftenabonnements. IMY ist der Ansicht, dass diese E-Mails nicht auf Artikel 6 Absatz 1 Buchstabe b DSGVO gestützt werden können.“

Nach Ansicht von IMY dienen die E-Mails in erster Linie dazu, den Zugang zu und die Erfahrung mit dem Dienst zu verbessern. Jedoch eben gerade nicht dem Hauptzweck des Vertrages. Die Verwendung der Daten zur Information über individuell angepasste Inhalte stelle daher Direktmarketing dar.

Fazit

Eine solche Argumentation kann (meiner Meinung nach) Auswirkungen auf andere ähnliche Geschäftsmodelle haben, wenn weitere Datenschutzbehörden ebenfalls eine so strenge Auffassung vertreten. Die strenge Interpretation liegt, dass muss man zugestehen, auf der bisherigen Linie des EDSA und jüngst wohl auch des EuGH.

Sollten Unternehmen Funktionen wie eine Personalisierung anbieten und die damit zusammenhängende Verarbeitung auf Grundlage von Art. 6 Abs. 1 b) DSGVO begründen wollen, wäre als Folge aus dieser Entscheidung in jedem Fall ein konsistentes Vorgehen und entsprechende Begründung hinsichtlich der Betroffenenrechte wichtig. Wenn die Rechtsgrundlage der Art. 6 Abs. 1 b) DSGVO ist, gibt es keine Widerspruchsmöglichkeit nach Art. 21 DSGVO. Ob man dennoch eine Widerspruchsmöglichkeit einräumt, bleibt natürlich Unternehmen überlassen. In diesem Fall ist eine solche Umsetzung dann auf der juristischen Ebene quasi „zum Boomerang“ geworden.

Keine Beschwerde bei der Datenschutzbehörde, wenn der Verantwortliche Geld zahlt – Österreichische Aufsichtsbehörde: Rechtsmissbrauch. 

Posted on by

Die österreichische Datenschutzbehörde (DSB) hat Anfang 2023 in einem Bescheid festgestellt, dass die Behörde nicht tätig werden muss, wenn ein Beschwerdeführer zuvor dem Verantwortlichen gegen Zahlung angeboten hat, die behaupteten Verletzung von Art. 15 DSGVO nicht gerichtlich oder per Beschwere bei der DSB zu verfolgen. Die Behörde stützt ihre Entscheidung auf Art. 57 Abs. 4 DSGVO. Dort wird (genauso wie in Art. 12 Abs. 5 DSGVO) geregelt, dass sich die Behörde im Falle von offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen weigern kann tätig zu werden oder ein angemessenes Entgelt verlangen kann. 

Sachverhalt

Der Beschwerdeführer hatte zuvor den Verantwortlichen informiert, dass er auch gegen Zahlung von 2.900 EUR dazu bereit wäre, die seiner Ansicht nach bestehenden Rechtsverletzungen nicht per Beschwerde ggü. der DSB anzuzeigen und auch nicht gerichtlich vorzugehen. Im weiteren Verlauf der Auseinandersetzung zwischen der betroffenen Person und dem Verantwortlichen wendete sich der Betroffene schließlich doch mit einer Beschwerde an die DPA.

Entscheidung der DSB

Die DSB begründet ihre Entscheidung wie folgt: 

„Vor diesem Hintergrund kann nach Ansicht der Datenschutzbehörde beim Beschwerdeführer allerdings von keinem tatsächlichen Rechtschutzbedürfnis ausgegangen werden, weshalb die verfahrensgegenständliche Beschwerdeerhebung als unredlich und die Inanspruchnahme der Tätigkeit der Datenschutzbehörde durch den Beschwerdeführer als rechtsmissbräuchlich zu qualifizieren ist.“

Daher lehnte die DSB die Beschwerde (nach Art. 57 Abs. 4 GDPR), wegen offensichtlicher Unbegründetheit ab. Der EDSA geht in seinen Guidelines zu Art. 15 DSGVO (auf S. 59 in Rn. 190) wohl eher davon aus, dass in solchen Fällen ein exzessiver Antrag und nicht der Fall der offensichtlichen Unbegründetheit vorliegt.

Übertragung auf Betroffenenrechte?

Vor dem Hintergrund stellt sich die praxisrelevante Frage, ob Verantwortliche sich bei Angeboten zur Unterlassung der Verfolgung von behaupteten DSGVO-Verstößen gegen Geldzahlung auf Art. 12 Abs. 5 DSGVO berufen können? Schließlich sind die in Art. 12 Abs. 5 DSGVO und Art. 57 Abs. 4 DSGVO geregelten Voraussetzungen dem Wortlaut nach identisch. Es muss ein offensichtlich unbegründeter Antrag oder ein exzessiver Antrag vorliegen. 

Wenn eine betroffene Person ggü. einem Verantwortlichen seine Rechte aus Art. 15 DSGVO in der Praxis geltend macht, dann wird sicherlich nicht direkt bei der Anfrage ein Angebot zur Nichtverfolgung von Rechtsverletzungen gegen Zahlung erfolgen. Sofern ein Verantwortlicher innerhalb der gesetzlichen Frist die Vorgaben aus Art. 15 DSGVO nach Ansicht des Betroffenen nicht oder nicht vollständig erfüllt hat, sind solche „Angebote“ schon eher denkbar. Dann können Verantwortliche unter Bezugnahme auf die Entscheidung aus Österreich gegen das Bestehen eines Anspruchs argumentieren. Man sollte hingegen dann vorsichtiger mit der Berufung auf Art. 12 Abs. 5 DSGVO sein, wenn man den Auskunftsanspruch vor Erhalt des „Zahlungsangebots“ nach eigener Ansicht nicht vollständig erfüllt hat.

Bayerischer Verwaltungsgerichtshof: Kein Löschanspruch für alle Daten aus Personalakte – auch nicht nach Ende des Beamtenverhältnisses

Posted on by

Der Bayerische Verwaltungsgerichtshof (VGH) hat Beschluss vom 29.06.2023 (Az. 6 ZB 23.530) einige interessante Aussagen zu den Datenschutzgrundätzen der Datenminimierung, Speicherbegrenzung und Richtigkeit nach Art. 5 Abs. 1 DSGVO getroffen. 

Sachverhalt

In dem Verfahren vor dem VGH verfolgte der Kläger seine Klage gerichtet auf Löschung von Dokumenten aus seiner Personalakte weiter, die vor dem Verwaltungsgericht erfolglos geblieben ist. Er begehrte u.a. die Löschung von Unterlagen überwiegend zu Vorgängen aus den Jahren 2004 bis 2006 sowie 2010 bis 2014, die im Rahmen der Beurteilung der Verwendungsfähigkeit des Klägers im Polizeidienst und seiner allgemeinen Dienstfähigkeit entstanden sind, sowie Unterlagen zur Verlängerung der Probezeit.

Der Kläger meint, sämtliche Einträge in der Personalakte, die vor dem 16. Juni 2006 datieren, seien zu löschen, weil das damalige Beamtenverhältnis zu diesem Zeitpunkt endete und nicht mehr in sachlichem Zusammenhang zu dem nunmehrigen Beamtenverhältnis stehe. 

Entscheidung des VGH

Nach Ansicht des VGH besteht kein Löschanspruch aus der DSGVO. 

Datenminimierung

Zum Grundsatz nach Art. 5 Abs. 1 lit. c) DSGVO stellt der VGH fest, dass die während des Bestehens eines Beamtenverhältnisses in der Personalakte gesammelten Daten grundsätzlich auch dann angemessen, erheblich und auf das notwendige Maß beschränkt bleiben, 

„wenn der betroffene Beamte aus dem Beamtenverhältnis ausscheidet.“ 

Das Gericht also davon aus, dass Daten aus der Personalakte nicht zwingend sofort zu löschen sind, nur weil ein Anstellungsverhältnis (hier: Beamtenverhältnis) endet. Die Unterlagen über krankheitsbedingte Dienstunfähigkeiten dienten hier nicht nur der Feststellung von aktuellen Fehlzeiten, sondern bleiben auch gegebenenfalls für mögliche Reaktivierungs- oder auch Wiedereinstellungsprüfungen von Bedeutung. Gerade diesbezüglich könne es aber es auf den jeweiligen historischen Kontext ankommen. 

Zudem stellt der VGH fest: 

„Eine Löschung könnte vielmehr umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen.“

Datenrichtigkeit

Der Grundsatz nach Art. 5 Abs. 1 lit. d) DSGVO, wonach personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein müssen, könne den Löschungsanspruch ebenfalls begründen. 

Denn, so der VGH, die Daten sind durch das Ausscheiden des Klägers aus dem Dienst ja nicht etwa unrichtig geworden.

„sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.“

Bedeutet: keine Löschung oder Änderungen der faktisch richtigen Vergangenheit durch die DSGVO. Daher bestehe auch kein Berichtigungsanspruch aus Art. 16 DSGVO. Der VGH begründet seine Ansicht damit, dass nur wenn die Personalakten auf dem Stand gehalten werden, der zum jeweiligen Zeitpunkt richtig war, ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentiert werden könne. 

Speicherbegrenzung

Zuletzt folgert der VGH aus seinen Ausführungen, dass damit auch der Grundsatz nach Art. 5 Abs. 1 lit. e) DSGVO der weiteren Speicherung der bis zum Ausscheiden des Klägers aus dem Beamtenverhältnis im Jahr 2006 in seiner Personalakte gesammelten Daten nicht entgegenstehe.

BayLDA: Frist zur Auskunftserteilung beginnt auch, wenn Anfrage beim Auftragsverarbeiter eingeht

Posted on by

In seinem aktuellen Tätigkeitsbericht 2022 (PDF) geht des BayLDA auf ein praxisrelevantes Thema bei der Erfüllung von Betroffenenrechten ein. Es geht, unter anderem, um die Frage, ob die in Art. 12 Abs. 3 DSGVO vorgesehene Monatsfrist bereits dann beginnt, wenn ein Betroffener eine Auskunftsanfrage nach Art. 15 DSGVO nicht an den Verantwortlichen, sondern dessen Auftragsverarbeiter richtet (S. 28).

Bsp: Der Betroffen sieht in den Datenschutzhinweisen eines Online-Shops, dass der Betreiber einen Hosting-Anbieter als Auftragsverarbeiter angibt. Der Betroffene und Kunde des Shops richtet nun einen Auskunftsanspruch in Bezug auf seine Kundendaten nicht an den Shop-Betreiber, sondern den Hosting-Anbieter.

Pflichten des Auftragsverarbeiters

Das BayLDA stellt zunächst fest, dass in dem Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 lit. e) DSGVO vorzusehen ist, dass der Verantwortliche nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt wird, seiner Pflicht zur Beantwortung von Ersuchen gem. Art. 12 ff. DS-GVO, somit auch eines Auskunftsersuchens nachzukommen.

Achtung. Hiervon zu unterscheiden ist die Situation, dass ein Verantwortlicher einen Dienstleister als Auftragsverarbeiter konkret für die Bearbeitung von Betroffenenanfragen einsetzt. Dies ist möglich, jedoch muss auch hier der Prozess sauber implementiert und geprüft werden, wie ein Bußgeld in Höhe von 50.000 EUR durch das LDA Brandenburg aus der Vergangenheit zeigt (Tätigkeitsbericht 2019, S. 29, PDF). Dort wurde unter anderem gegen Art. 12 DSGVO verstoßen, da die Korrespondenz im Rahmen der Auskunftserteilung unter dem Logo des Dienstleisters durchgeführt wurde und das Unternehmen die Betroffenen nach Antragstellung zur Auskunftserteilung zunächst nur in englischer Sprache kontaktierte.

Zurück zum Fall des BayLDA. Die Aufsichtsbehörde verlangt, wenn Betroffenenanfragen bei dem Auftragsverarbeiter eingehen, dass

z.B. Auskunftsersuchen bezüglich der im Auftrag verarbeiteten personenbezogenen Daten unverzüglich an den Verantwortlichen weitergeleitet werden“.

Fristbeginn bereits bei Eingang beim Auftragsverarbeiter

Jedoch geht das BayLDA noch einen Schritt weiter. Hinsichtlich der in Art. 12 Abs. 3 DSGVO geregelten Frist von einem Monat zur Beantwortung der Auskunftsanfrage vertritt die Aufsichtsbehörde:

Geht also das Ersuchen beim Auftragsverarbeiter ein, bewirkt dies den Fristbeginn beim Verantwortlichen, nachdem diesen das Handeln des Auftragsverarbeiters insoweit zuzurechnen ist.“

Im Ergebnis bedeutet dies, dass sich der Verantwortliche die Tatsache des Eingangs des Auskunftsersuchens beim Auftragsverarbeiter wie ein Eingang bei sich zurechnen lassen muss. Für die Praxis kann dies dazuführen, dass der Verantwortliche faktisch noch gar nichts weiß, dass eine Auskunftsanfrage gestellt wurde. Wenn der Auftragsverarbeiter sich 1-2 Wochen mit der Weiterleitung Zeit lässt, hat der Verantwortliche entsprechend weniger Zeit zur Beantwortung. Will sich ein Verantwortlicher in diesem Fall darauf berufen, dass der Auftragsverarbeiter nicht ordentlich gearbeitet habe, ist dies aber ebenso ein Risiko. Denn nach Art. 28 Abs. 1 DSGVO muss der Verantwortliche seine Auftragsverarbeiter ordentlich auswählen und nur solche einsetzen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die DSGVO eingehalten wird.

Kritik an der Ansicht des BayLDA

Meines Erachtens muss man die Auffassung des BayLDA hier nicht zwingend teilen.

Zum einen könnte man recht schlicht auf die Vorgaben und den Wortlaut des Art. 12 Abs. 3 DSGVO abstellen. Dort wird nur der „Verantwortliche“ adressiert, nicht aber der Auftragsverarbeiter. Andererseits verstehe ich auch die Auffassung des BayLDA, dass es den Auftragsverarbeiter quasi in der rechtlichen Sphäre des Verantwortlichen sieht.

Gegen die Ansicht des BayLDA spricht aber aus meiner Sicht insbesondere ein vergelichender Blick auf die ähnliche Situation, wenn bei dem Auftragsverarbeiter eine potentielle Datenschutzverletzung passiert.

Die DSGVO sieht für diesen Fall in Art. 33 Abs. 2 DSGVO gerade keinen Fristenlauf der 72 Stunden vor. Sondern verpflichtet den Auftragsverarbeiter vielmehr „nur“, die mögliche Datenschutzverletzung unverzüglich an den Verantwortlichen zu melden. Diese Regelung wäre aber überflüssig, wenn der Verantwortliche sich die Kenntnis des Auftragsverarbeiters zurechnen lassen müsste und die 72 Stunden schon zu laufen beginnen, wenn der der Auftragsverarbeiter Kenntnis hat. Der Gesetzgeber scheint also gerade nicht automatisch von einer Zurechnung des Wissens oder der Kenntnis an den Verantwortlichen auszugehen.

Auch die europäischen Datenschutzbehörden gehen ausdrücklich für Art. 33 DSGVO davon aus, dass Fristen gerade noch nicht beginnen, wenn nur der Auftragsverarbeiter Kenntnis einer potentiellen Verletzung hat.

In den Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 (WP250rev.01) heißt es (S. 15):

Der Verantwortliche nutzt den Auftragsverarbeiter, um seine Ziele zu erreichen; deshalb gilt grundsätzlich, dass dem Verantwortlichen die Datenschutzverletzung „bekannt“ wurde, sobald ihn der Auftragsverarbeiter davon in Kenntnis gesetzt hat.“

Die Kenntnis des Verantwortlichen wird klar an den Zeitpunkt der Meldung vom Auftragsverarbeiter an den Verantwortlichen geknüpft.

Und auch in seinen Guidelines 9/2022 on personal data breach notification under GDPR (PDF) geht der EDSA davon aus (S. 14):

The controller uses the processor to achieve its purposes; therefore, in principle, the controller should be considered as “aware” once the processor has informed it of the breach.”

Und auch in den Leitlinien des EDSA zu Art. 15 DSGVO (PDF) wird klar auf den Eingang beim Verantwortlichen abgestellt (S. 50):

„The time limit starts when the controller has received an Art. 15 request, meaning when the request reaches the controller through one of its official channels“

Folgen für die Praxis

Folgt man der Ansicht des BayLDA, ist in der Praxis eine enge Kontrolle und strenge Vorgaben an die eigenen Auftragsverarbeiter absolut geboten. Jeder weiß, wie schnell die Frist von einem Monat abläuft. Wenn der Auftragsverarbeiter hier eher gemütlich unterwegs ist, kann dies im schlimmsten Fall dazu führen, dass man als Verantwortlicher gegen die DSGVO verstößt. Eventuell sollte man dieses Risiko auch in Verträgen mit den Auftragsverarbeitern adressieren (Ersatzpflicht bei verspäteter Weiterleitung).

Wie beschrieben, gibt es aber aus meiner Sicht auch valide Argumente, der Ansicht des BayLDA nicht zu folgen. Zumindest Verantwortliche in Bayern sollten hier aber natürlich wissen, dass ihre Aufsichtsbehörde dies im Streitfall ggfs. anders sieht und eine entsprechend valide Argumentation vorweisen.

Verwaltungsgericht Berlin: Anforderungen an die Identifizierung bei Auskunftsanfragen – Mitwirkungsobliegenheit des Betroffenen

Posted on by

Im Rahmen eines Verfahrens zur Bewilligung von Prozesskostenhilfe hat sich das Verwaltungsgericht (VG) Berlin mit der Frage befasst, wann Verantwortliche einen Antrag auf Auskunft nach Art. 15 DSGVO wegen begründeter Zweifel an der Identität der anfragenden Person ablehnen und mehr Informationen anfordern können (Beschl. v. 24.4.2023, Az. VG 1 K 227/22).

Sachverhalt

Ein Betroffener war mit einem ablehnenden Bescheid der Berliner Datenschutzbehörde gegen ihn nicht zufrieden und klagte dagegen. Die Behörde hatte keine Verstöße gegen die DSGVO durch eine Auskunftei erkannt. Inhaltlich ging es vorab um die Beschwerde des Betroffenen gegen eine nicht gewährte Auskunft nach Art. 15 DSGVO durch eine Auskunftei. Diese hatte die Auskunft wegen begründeter Zweifel verweigert und zur Identifizierung mehr Daten angefordert (Art. 12 Abs. 6 DSGVO), jedoch nicht erhalten.

Entscheidung

Das VG lehnte den Antrag auf Bewilligung von Prozesskostenhilfe ab. Es sah für den Betroffenen in dem Vorgehen gegen die Entscheidung der Datenschutzbehörde keine Erfolgsaussichten. Dies deshalb, weil das Verhalten der Auskunftei in Bezug auf die Verweigerung der Auskunft und Anforderung weiterer Daten zur Identifizierung zulässig war.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag nach Art. 15 DSGVO stellt.

Das VG äußert sich dazu, wann man seiner Ansicht nach von „Zweifeln“ ausgehen darf.

Zweifel an der Identität setzen voraus, dass die vorhandenen Daten auf eine bestimmte Identität hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die als Betroffener identifizierte Person ist.“

Wichtig: pauschale Zurückweisungen sind nach Ansicht des VG nicht möglich. Der Verantwortliche hat seine Zweifel vielmehr einzelfallbezogen darzulegen.

Für Verantwortliche in der Praxis relevant ist die Feststellung des VG dazu, wie sich der Betroffene in einer solchen Situation zu verhalten hat.

Gleichzeitig besteht für den Betroffenen eine Mitwirkungsobliegenheit, denn ohne dessen Mitwirkung wird es dem Verantwortlichen nicht möglich sein, die dargelegten Identitätszweifel zu entkräften.“

Im konkreten Fall prüfte das VG dann, ob die Auskunftei hier von Zweifeln ausgehen und wegen dieser Unsicherheit die Auskunft zunächst verweigern durfte. Hierbei werden durch das Gericht einige sicher auch für andere Verantwortliche relevante Kriterien herausgearbeitet.

Zu berücksichtigen sind:

  • Die Sensibilität der abgefragten Informationen. Denn Wirtschaftsauskunfteien speichern im Einzelfall ein erhebliches Maß zahlreicher personenbezogener Informationen, insbesondere solcher, die einen Schluss auf die Bonität einer Person zulassen.
  • Zweifelsfreie Identifikation des Antragstellers nicht möglich, weil es namentliche und/oder weitere Überschneidungen zu weiteren Datensätzen gab.

Zuletzt stellte sich noch die Frage, ob das Unternehmen zur Identifikation das Geburtsdatum und gegebenenfalls frühere Anschriften abfragen durfte. Das VG geht davon aus, dass die Anforderung dieser Merkmale zulässig war.

„Das Geburtsdatum einer Person ist zur Identifizierung geeignet, da es eine häufig für Dritte weniger ersichtliche persönliche Information darstellt“.

Zudem stand die Abfrage des Geburtsdatums zu dem Zweck der Identifizierung des Antragstellers auch nicht außer Verhältnis, insbesondere mit Blick auf die erhöhte Sensibilität der bei Wirtschaftsauskunfteien gespeicherten Daten.

Der Antragsteller hat jedoch – unter Verstoß auf die ihm obliegende Mitwirkungspflicht – nicht auf die damit berechtigte Anfrage … reagiert“.

Virtuelles Hausverbot: DSGVO erlaubt dauerhafte Datenspeicherung

Posted on by

In ihrem aktuellen Tätigkeitsbericht für das Jahr 2022 (PDF), berichtet die Datenschutzbehörde Sachsen von einem Fall, in dem es um die Frage der datenschutzrechtlichen Zulässigkeit eines virtuellen Hausverbots und dessen Durchsetzung ging.

Ein Betroffener beschwerte sich bei der Aufsichtsbehörde, dass seine E-Mail-Adresse bei einem Sozialen Netzwerk, einem Online-Club, gespeichert wird, dessen Mitglied er war. Sein Zugang zum Club war zuvor von dem betreibenden Unternehmen gesperrt worden. Der Betroffene verlangte Löschung aller seiner Daten. Das Unternehmen teilte der Behörde mit, dass das Profil des Betroffenen gelöscht worden sei, weil dieser gegen interne Regeln mehrfach und gravierend verstoßen habe. Deswegen sei gegen ihn ein virtuelles Hausverbot verhängt worden. Um dieses durchzusetzen, blieben die E-Mail-Adressen gesperrter (ehemaliger) Mitglieder in einer internen Blacklist gespeichert, um den weiteren Zugang zu verhindern.

Die Datenschutzbehörde prüfte die Speicherung auf der Blacklist auf Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Ihr Ergebnis:

„Nach den vorliegenden Informationen konnte meine Behörde – auch in der Abwägung der verschiedenen Interessen und betroffenen Rechte – keinen Datenschutzverstoß erkennen.“

Das virtuelle Hausverbot war nach Ansicht der Behörde grds. zulässig. Die Behörde verweist hierzu u.a. auch auf Rechtsprechung des Bundesgerichtshofs. Zudem wurde hier auch in den Nutzungsbedingungen das Recht des Betreibers geregelt, insbesondere bei Verstößen gegen die Nutzungsbedingungen, den Zugang des Nutzers zeitweilig oder dauerhaft zu sperren. Dies dürfte bei dem Merkmal der „vernünftigen Erwartungen“ der Betroffenen (ErwG 47 DSGVO) eine Rolle gespielt haben. Zur Durchsetzung des Hausverbots war es nach Ansicht der Behörde auch erforderlich, dass bestimmte Informationen des früheren Mitglieds zum Beispiel in einer Blacklist gespeichert bleiben. Denn sonst wäre die Identität des Mitglieds für den Anbieter nicht mehr erkennbar und ein Nutzungsverbot nicht durchsetzbar. Zudem informierte der Betreiber auch in seinen Datenschutzhinweisen über die Verarbeitung zur Durchsetzung des Hausverbots. Zuletzt führt die Behörde an, dass es ihrer Ansicht nach auch verhältnismäßig sei, Daten auf Blacklist dauerhaft zu speichern.

Ergänzend könnte man meines Erachtens als Rechtsgrundlage auch noch Art. 6 Abs. 1 lit. b DSGVO andenken; eine Datenverarbeitung im Rahmen der Anbahnung eines (neuen) Vertragsverhältnisses oder zur Abwicklung des vormaligen Vertragsverhältnisses. Hier dürfte sich ggfs. die Frage der Erforderlichkeit stellen, was sicher von dem Einzelfall (z.B. was war Inhalt des Vertrages & der AGB; Möglichkeit zur Berufung auf Abschlussfreiheit eines Vertrages durch das Unternehmen) abhängt.

Für die Praxis wird man mitnehmen können:

  • Die Datenverarbeitung zur Durchsetzung eines virtuellen Hausrechts ist zulässig
  • Betroffenen sollten sowohl im Vertrag als auch in den Datenschutzhinweisen klar darüber informiert worden sein, wann dies geschehen kann und was die Folgen sind
  • Es dürfen nur die zur Durchsetzung tatsächlich erforderlichen Daten gespeichert werden

EuGH zum Löschanspruch: Betroffener Person obliegt der Nachweis, dass Informationen unrichtig sind

Posted on by

In seiner Entscheidung C-460/20 (vom 8.12.2022) befasst sich der Gerichtshof der Europäischen Union (EuGH) mit der Beweislast in Fällen, in denen eine betroffene Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt.

Die Entscheidung des Gerichtshofs

Von hoher Relevanz für die Praxis sind die Argumente des EuGH zur Beweislast in Fällen von Art. 17 DSGVO. Konkret ging es hier um die Frage, wer im Rahmen der Ausnahmevorschrift des Art. 17 Abs. 3 lit. a DSGVO die Beweislast dafür trägt nachzuweisen, dass auf einer Webseite aufgelistete Inhalte unrichtige Behauptungen enthalten.

Beantragt eine betroffene Person die Löschung bestimmter Daten mit der Begründung, diese seien unrichtig, so obliegt nach dem EuGH „dieser Person der Nachweis, dass die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist“ (Rz. 68).

Dem EuGH zufolge darf jedoch keine übermäßige Belastung auferlegt werden, die geeignet wäre, die praktische Wirkung des Rechts auf Löschung zu beeinträchtigen. Daher muss die Person den Nachweis der Unrichtigkeit erbringen, kann aber nicht verpflichtet werden, eine gerichtliche Entscheidung gegen den Betreiber der betreffenden Website vorzulegen.

Was die andere Seite betrifft, so kann von dem für die Verarbeitung Verantwortlichen nicht verlangt werden, dass er den Sachverhalt ermittelt und eine kontradiktorische Debatte mit dem Anbieter der Inhalte führt. Der EuGH geht davon aus, dass der Verantwortliche nicht verpflichtet ist, „bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken, um festzustellen, ob dieser Antrag stichhaltig ist“ (Rz. 70).

Eine ähnliche Argumentation für Art. 16 DSGVO?

In einer Entscheidung aus März 2022 (BVerwG 6 C 7.20) hatte sich das Bundesverwaltungsgericht (BVerwG) ebenfalls mit einem ähnlichen Fall zu befassen, allerdings verlangte die betroffene Person eine Datenberichtigung nach Art. 16 DSGVO. Das BVerwG hat darauf hingewiesen, dass der Maßstab für die Qualifizierung eines Datums als „richtig“ oder „unrichtig“ im Sinne des Art. 16 S. 1 DSGVO zunächst die objektive Wirklichkeit ist.

Was die Beweislast betrifft, so verwies das Gericht auf Art. 5 Abs. 2 DSGVO. Nach Auffassung des BVerwG enthält die DSGVO enthält in Art. 5 Abs. 2 DSGVO eine spezifische Bestimmung, wer die Beweislast für die Richtigkeit des nach dem Begehren der betroffenen Person neu einzutragenden Datums trägt. Die Vorschrift regelt auch die Beweislast, soweit die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.

Konkret bezogen auf einen Berichtigungsanspruch, bei dem die Richtigkeit eines Datums umstritten ist, ist damit auch die Frage verbunden, ob der für die Verarbeitung Verantwortliche mit der Verarbeitung des „alten“ oder aber des „neuen“ Datums seiner Pflicht zur Einhaltung des Grundsatzes der Datenrichtigkeit gerecht wird.

Das BVerwG führt aus, dass „die Nichterweislichkeit der Richtigkeit des Datums, dessen Verarbeitung der jeweilige Anspruchsteller mit dem Berichtigungsanspruch nach Art. 16 Satz 1 DSGVO begehrt, zu Lasten des Anspruchstellers geht“. Der Verantwortlichen muss im Zweifel in Zukunft nachweisen, dass ein durch ihn verarbeitetes Datum richtig ist. Wenn ihm aber dieser Nachweis obliegt, so das BVerwG, kann von ihm nicht verlangt werden, „ein vom Antragsteller angegebenes Datum, dessen Richtigkeit sich nicht feststellen lässt, einzutragen und weiter zu verarbeiten“.

Fazit

Beide Entscheidungen enthalten relevante Klarstellungen hinsichtlich der Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit Anfragen von betroffenen Personen konfrontiert sind, die die Berichtigung oder Löschung von Daten beantragen, ohne etwa einen Beweis für die Unrichtigkeit der vorhandenen Daten vorzulegen, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen müssen, an den Gründen dieser Entscheidungen orientieren.

Dänische Datenschutzbehörde: Auskunftsrecht bei Videospielen – Chats, Serverlogs und Anti-Cheat-Informationen

Posted on by

In ihrer Entscheidung vom 29. August 2022 (die im Rahmen des One Stop Shop Verfahrens gefasst wurde) befasst sich die dänische Datenschutzbehörde (Datatilsynet) mit dem Auskunftsrecht nach Art. 15 DSGVO im Zusammenhang mit Videospielen. Nach Prüfung des Falles beschloss die Datenschutzbehörde, das Unternehmen zu verwarnen, weil es keine Kopie der an den Beschwerdeführer gerichteten und von ihm gesendeten Chatnachrichten im Spiel gemäß Art. 15 Abs. 3 DSGVO bereitgestellt hatte.

Sachverhalt

Nachdem der Beschwerdeführer (Nutzer eines Videospiels des Unternehmens) Auskunft nach Art. 15 DSGVO beantragt hatte, verweigerte ihm das Unternehmen die Herausgabe von Daten über Spielwiederholungen (1), Anti-Cheat-Informationen (2), Serverprotokolle (3) und In-Game-Chat-Nachrichten (4), da diese Daten Geschäftsgeheimnisse des Unternehmens darstellen. Es ging hier also um vier verschiedene Arten von Daten, die der Betroffene verlangte, aber nicht erhielt.

Nachdem er sich erneut an das Unternehmen gewandt hatte, ohne zusätzliche Informationen zu erhalten, beschwerte sich die betroffene Person bei der Aufsichtsbehörde.

Die Entscheidung der Behörde

Die Datenschutzbehörde stellte fest, dass das Unternehmen gegen Art. 15 Abs. 3 DSGVO verstoßen hat, indem es keine Kopie der an den Beschwerdeführer gerichteten und von ihm gesendeten Chat-Nachrichten (4) im Spiel zur Verfügung gestellt hat.

Nach Auffassung der Behörde konnte sich das Unternehmen hinsichtlich dieser Daten auf keine Ausnahme nach Art. 15 Abs. 4 DSGV stützen. Zudem betont die Behörde, dass der Beschwerdeführer bereits Kenntnis vom Inhalt der Nachrichten hat.

Bei den anderen oben benannten Datenkategorien geht die Aufsichtsbehörde aber zum Teil durchaus von dem Eingreifen der Ausnahmeregelung aus.

Der Verantwortliche musste keine anderen Chatnachrichten (4) zur Verfügung stellen, da das Unternehmen durch die Bereitstellung dieser Nachrichten wahrscheinlich Informationen über andere Personen preisgeben würde (z. B. wenn sie von anderen Chatteilnehmern erwähnt werden). Die Behörde sah von Art. 15 Abs. 3 DSGVO also nur solche Chats / Nachrichten umfasst, die vom Betroffenen selbst kamen oder an ihn gerichtet waren.

Ein Erwägungsgrund hierbei ist, dass die Spielteilnehmer ein gewisses Maß an Privatsphäre in Bezug auf die im Eifer des Gefechts verschickten Nachrichten innerhalb des Spiels erwarten. 

In Bezug auf andere Informationen über Anti-Cheat-Maßnahmen (2) vertrat die Datenschutzbehörde die Auffassung, dass das Unternehmen nach speziellen Vorgaben im dänischen Datenschutzgesetz das Recht hat, diese Informationen nicht weiterzugeben. Dort ist geregelt, dass u.a. Art. 15 DSGVO nicht greift, wenn das Interesse der betroffenen Person an dieser Information von wesentlichen Erwägungen anderer privater Interessen überwogen werden. Die Behörde argumentiert, dass eine Offenlegung aufzeigen kann, wie Spieler im Spiel betrügen können, und die zugrunde liegende Logik offenbart, was möglicherweise nicht nur Auswirkungen auf das Unternehmen, sondern auch auf andere Spieler haben könnte.

Was die Spielwiederholungsdaten (1) und die Serverprotokolle (3) betrifft, so hat das Unternehmen erklärt, dass die Informationen nur für einen begrenzten Zeitraum gespeichert werden und bereits gelöscht wurden, bevor das Unternehmen den Antrag auf Auskunft erhalten hat. Die Datenschutzbehörde sah keinen Grund, diese Tatsache weiter zu untersuchen oder zu bestreiten.

DSGVO-Auskunftsanspruch gegenüber dem Auftragsverarbeiter? Dänische Datenschutzbehörde sagt „Nein, aber…“

Posted on by

Die dänische Aufsichtsbehörde hat am 20.5.2022 einen interessanten Fall (Entscheidung auf Englisch, PDF) zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden. Zudem geht sie in ihrer Entscheidung auf die Unterstützungspflichten des Auftragsverarbeiters bei Betroffenenanfragen ein.

Sachverhalt

Der Betroffene kaufte auf ebay einen Artikel bei dem Unternehmen Asus. Im Rahmen des Kaufs gab der Betroffene die E-Mail-Adresse ebay@levaria.de an. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com an die beim Kauf angegebene Adresse ebay@levaria.de, in der der Asus Online Shop als Absender angegeben war. Dort wurde der Betroffene gebeten, das Kauferlebnis bei Asus auf Trustpilot zu bewerten.

Daraufhin kontaktierte der Betroffene Trustpilot direkt, jedoch von einer anderen E-Mail-Adresse (service@levaria.de) und bat um Auskunft über die von Trustpilot möglicherweise verarbeiteten personenbezogenen Daten. Die Anfrage enthielt neben der E-Mail-Adresse auch den Namen und die Adresse. Trustpilot antwortete und teilte mit, dass Trustpilot keinen aktiven Nutzer für die E-Mail service@levaria.de ausfindig machen konnte und daher keine Daten über ihn verarbeitet.

Danach erhielt der Betroffene erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops an ebay@levaria.de, in der er erneut gebeten wurden, den Einkauf bei Asus zu bewerten. Hierauf beschwerte sich der Betroffene zunächst bei der bayerischen Behörde (BayLDA), die die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiterleitete.

Entscheidung

Die dänische Behörde ist die für Trustpilot zuständige Aufsichtsbehörde in der EU. Für die Behörde ging es um die Frage, ob Trustpilot nach Art. 15 DSGVO verpflichtet war, Auskunft zu erteilen und wenn ja, ob dies hier richtig erfolgte.

Trustpilot als Verantwortlicher?

Die dänische Behörde hebt in ihrer Begründung hervor, dass allein der Verantwortliche nach Art. 15 DSGVO verpflichtet ist, die Auskunft an Betroffene zu erteilen.

Es liegt daher in der Verantwortung des für die Verarbeitung Verantwortlichen, dass ein Antrag einer betroffenen Person auf Auskunft gemäß Artikel 15 der DSGVO bearbeitet wird“.

Im konkreten Fall gab Trustpilot an, in Bezug auf den Versand von Einladungs-E-Mails als Auftragsverarbeiter zu agieren. Dies beruhe u.a. darauf, dass Unternehmen, wie z.B. der Asus Online Shop, entscheiden, ob sie die Einladungssoftware von Trustpilot nutzen wollen oder nicht, ebenso wie die Unternehmen entscheiden, ob und wann Einladungen über die Einladungssoftware von Trustpilot verschickt werden.

Damit war aus Sicht der Aufsichtsbehörde die Frage beantwortet, ob Trustpilot verpflichtet war, im eigenen Namen die Auskunft zu erfüllen.

Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“

Identifikation des Betroffenen durch den Auftragsverarbeiter?

Zwar war Trustpilot also selbst nicht nach der DSGVO verpflichtet, die Auskunft zu erfüllen. Jedoch ist der Auftragsverarbeiter nach Art. 28 Abs. 3 e) DSGVO in dem AV-Vertrag darauf zu verpflichten, den Verantwortlichen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen.

Es stelle sich also noch die Frage, ob Trustpilot hier dieser Unterstützungspflicht ausreichend nachkam.

Nach Ansicht der dänischen Aufsichtsbehörde hat Trustpilot in dem Verfahren ausführlich dargelegt, dass es bei der ersten und zweiten Kontaktaufnahme des Betroffenen mit Trustpilot eine Suche über die E-Mail service@levaria.de durchgeführt hat und dass Trustpilot die betroffene Person auf dieser Grundlage nicht identifizieren konnte, da Trustpilot die E-Mail service@levaria.de nicht registriert hatte.

Denn Trustpilot verarbeitete nur die mit der E-Mail-Adresse ebay@levaria.de (jene, die bei dem Kauf verwendet wurde) verbundenen Informationen als Auftragsverarbeiter für den Asus Online Shop. Da diese E-Mail-Adresse aber im Zusammenhang mit der Auskunftsanfrage nicht verwendet wurde, konnte Trustpilot in seinen Systemen keine Daten finden.

ABER: der Betroffene hatte ja im Rahmen seiner Anfrage u.a. auch seinen Namen und die postalische Adresse angegeben.

Die dänische Datenschutzbehörde kritisiert vor diesem Hintergrund, dass Trustpilot keine einheitliche Praxis bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die die betroffene Person im Zusammenhang mit ihrer Anfrage übermittelt, umgesetzt hatte. Nach dem Namen und der Adresse konnte Trustpilot anscheinend nicht suchen und einen Abgleich durchführen.

So hätte Trustpilot die Möglichkeit der Identifizierung der betroffenen Person und könnte, in seiner Rolle als Auftragsverarbeiter, den für die Verarbeitung Verantwortlichen in dem vereinbarten Umfang unterstützen. Die dänische Behörde gab dies jedoch nur als Hinweis an Trustpilot und stellte das Verfahren ein.

Fazit

Die Aufsichtsbehörde scheint also zu empfehlen, dass Trustpilot zusätzliche Daten als Auftragsverarbeiter erhält (Name und Adresse), die zwar für die eigene Leistung (Versand der E-Mail) nicht erforderlich sind, jedoch im Rahmen der Betroffenenanfragen relevant werden können. Diese Ansicht mag man im Hinblick auf die Erleichterung von Betroffenenanfragen unterstützen. Gleichzeitig ist der Verantwortliche (für den Trustpilot hier als Auftragsverarbeiter ja auch bei Betroffenenanfragen unterstützen muss) aber nach Art. 11 DSGVO gerade nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur für den Zweck, um Betroffenenrechte zu erfüllen.

Man wird hier wohl die Besonderheit beachten müssen, dass die erforderlichen Daten (Name und Adresse) aber natürlich schon bei dem Verantwortlichen vorhanden sind. Eventuell wäre es hier eine Option gewesen, dass Trustpilot die Anfrage des Betroffenen (auch mit der eigentlich unbekannten E-Mail-Adresse) direkt an Asus weiterleitet.

Generalanwalt am EuGH: Mitarbeiter sind keine „Empfänger“ – zum Umfang des Auskunftsanspruchs

Posted on by

Am 15. Dezember 2022 hat Generalanwalt (GA) Sanchez-Bordona seine Schlussanträge in dem Verfahren C-579/21 vorgelegt. Es geht um einige interessante Fragen hinsichtlich des Umfangs des Auskunftsrechts nach Art. 15 DSGVO. Daneben wird auch kurz auf die Rolle von Mitarbeitern nach der DSGVO bei einem Verantwortlichen eingegangen.

Sachverhalt

In dem Verfahren geht es um einen Betroffenen, der davon Kenntnis erlangte, dass seine personenbezogenen Daten als Kunde des Verantwortlichen abgefragt worden waren. Während dieser Zeit war der Betroffene nicht nur Kunde, sondern auch beim Verantwortlichen beschäftigt.

Der Betroffene forderte den Verantwortlichen auf, ihn über die Identität derjenigen bei ihm Beschäftigten, die im genannten Zeitraum Zugang zu seinen Daten hatten, sowie über den Zweck der Datenverarbeitung zu informieren. Diesen Anspruch begründete er mit Art. 15 DSGVO und damit, dass er mittlerweile von dem Verantwortlichen gekündigt worden war und u. a. die Gründe für seine Kündigung klären wollte.

Der Verantwortliche weigerte sich Auskunft über die Namen der bei Beschäftigten zu erteilen, die personenbezogene Daten des Betroffenen verarbeitet hatten. Nach seiner Ansicht gilt das Recht aus Art. 15 DSGVO nicht für interne Verzeichnisse oder Tagesprotokolle, aus denen hervorgeht, welche Beschäftigten zu welchem Zeitpunkt Zugang zu dem die Kundendaten enthaltenden Datenverarbeitungssystem hatten.

Unterschied zwischen „personenbezogenen Daten“ und „Informationen“

Zunächst befasst sich der GA generell mit der Struktur und dem Inhalt des Art. 15 DSGVO. Er weist darauf hin, dass die Bestimmung zwischen „personenbezogenen Daten“ zum einen und „Informationen“ im Sinne von Abs. 1 Buchst. a bis h zum anderen klar unterscheide. Hieraus folgert er, dass „Informationen“ keine personenbezogenen Daten sind.

Die Informationen, die der betroffenen Person nach Art. 15 Abs. 1 Buchst. a bis h DSGVO zur Verfügung zu stellen sind, dürfen daher nicht mit den personenbezogenen Daten der betroffenen Person im Sinne von Art. 4 Abs. 1 DSGVO verwechselt werden.“

Der Zweck der Erteilung der Informationen liegt in dem Hinweis auf bestimmte Rechte der betroffenen Person oder insbesondere auf Aspekte, die mit der durchgeführten Verarbeitung zusammenhängen, wie z. B. auf ihren Zweck (d. h. den Grund der Verarbeitung) und ihren Gegenstand (die Kategorien der verarbeiteten Daten).

Aus diesem Grund, so der GA, hat der Betroffene im vorliegenden Fall auch keinen Anspruch auf seine personenbezogenen Daten über das Merkmal der „Informationen“, auch wenn nach den Informationen nach Art. 15 Abs. 1 lit. c DSGVO Empfänger zu benennen sind und hierunter eventuell (siehe dazu sogleich) Angaben dazu fallen, welche Mitarbeiter auf Daten des Betroffenen zugegriffen haben.

Der Betroffene hat einen Anspruch auf die „Informationen“ nach Abs. 1, aber nicht, weil diese Informationen an sich „personenbezogene Daten“ darstellten, sondern aufgrund der ausdrücklichen Vorgabe in Art. 15 Abs. 1 DSGVO.

Mitarbeiter als „Empfänger“ im Sinne der DSGVO?

Sodann widmet sich der GA der Frage, ob Mitarbeiter des Verantwortlichen, die mit personenbezogenen Daten umgehen, als „Empfänger“ nach Art. 15 Abs. 1 lit. c DSGVO zu benennen sind.

Das vorlegende Gericht möchte wissen, ob der Betroffene, selbst wenn es sich nicht um seine personenbezogenen Daten handelt, im Licht von Art. 15 Abs. 1 lit. a und c DSGVO berechtigt ist, Auskunft über die beim Verantwortlichen Beschäftigten, die seine personenbezogenen Daten verarbeitet haben, zu erlangen.

Dem Betroffenen geht es hier gerade um die Identität der Beschäftigten, die seine Kundendaten abgefragt haben, sowie um den Zeitpunkt der Verarbeitung und den Verarbeitungszweck.

Der GA betrachtet zunächst die Definition des „Empfängers“ nach Art. 4 Nr. 9 DSGVO. Dies ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Eine extensive Auslegung, wonach auch Mitarbeiter hierunter fallen, lehnt der GA ausdrücklich ab.

Er vertritt die Ansicht,

dass der Begriff des Empfängers nicht die bei einer juristischen Person Beschäftigten einschließt, die unter Nutzung des Datenverarbeitungssystems der juristischen Person und im Auftrag ihrer leitenden Organe die personenbezogenen Daten eines Kunden abfragen.“

Wenn die Beschäftigten unter der unmittelbaren Verantwortung des Verantwortlichen tätig werden, so werden sie schon aufgrund dessen nicht zum „Empfänger“ der Daten. Diese Hinweis des GA ist wichtig, da er danach auch die Situation betrachtet, in der Beschäftigte gerade nicht innerhalb ihrer Weisungen agieren.

Offenlegung gegenüber Behörde

Seinen Standpunkt begründet der GA unter anderem auch mit dem Zweck des Art. 15 DSGVO. Dieser liegt vor allem darin, die Rechtmäßigkeit des Umgangs mit den Daten zu prüfen. Hierfür ist aber, soweit Beschäftigte innerhalb ihrer festgelegten Aufgaben agieren, nicht erforderlich, diese Beschäftigten zu benennen. Denn sie sind in diesem Fall nicht die Verantwortlichen, sondern ihr Arbeitgeber.

Der GA weist zudem darauf hin, dass von dem Anspruch nach Art. 15 DSGVO die Situation zu unterscheiden ist,

dass gegenüber den Aufsichtsbehörden die Beschäftigten namhaft zu machen sind und der Zeitpunkt anzugeben ist, zu dem einer von ihnen auf die personenbezogenen Daten des Kunden zugegriffen hat (d. h. auf den Inhalt dieser Angaben in den Verzeichnissen oder Dateisystemen, auf die ich nachstehend eingehen werde), damit diese Behörden die Rechtmäßigkeit der Handlungen überprüfen können.“

Über die Prüfmöglichkeit der Aufsichtsbehörden ist der Betroffene also abgesichert und nach Ansicht des GA bedarf es daher keiner Benennung von Mitarbeitern schon im Rahmen des Art. 15 DSGVO.

Sollte der Betroffene, basierend auf den Angaben nach einem Auskunftsbegehren nach Art. 15 DSGVO, noch Zweifel an der Rechtmäßigkeit der Datenverarbeitung haben, kann er (wie u.a. auch die Kommission in der mündlichen Verhandlung hervorgehoben hat), an den Datenschutzbeauftragten wenden (Art. 38 Abs. 4 DSGVO) oder bei der Aufsichtsbehörde eine Beschwerde einreichen (Art. 15 Abs. 1 Buchst. f und Art. 77 DSGVO).

Der Betroffene ist

jedoch nicht berechtigt, unmittelbar Auskunft über die personenbezogenen Daten (die Identität) eines Beschäftigten zu erhalten, der dem Verantwortlichen oder Auftragsverarbeiter unterstellt ist und grundsätzlich in Übereinstimmung mit dessen Anweisungen handelt.“

Für diese Ansicht spricht zudem Art. 29 DSGVO, der sich auf „jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat“, bezieht. Diese Personen dürfen die Daten nur auf Anweisung ihres Arbeitgebers verarbeiten, der der eigentliche Verantwortliche (oder Auftragsverarbeiter) ist.

Ausnahme: Mitarbeiterexzess

Wie oben angemerkt, macht der GA aber auch eine Ausnahme von dem Grundsatz, dass Mitarbeiter nicht als Empfänger zu benennen sind. Es könne vorkommen, dass sich ein Beschäftigter nicht an die vom Verantwortlichen festgelegten Verfahren hält und auf eigene Initiative unrechtmäßig die Daten von Kunden oder anderen Beschäftigten abfragt.

In einem solchen Fall handelt der unredlich handelnde Beschäftigte jedoch nicht im Auftrag und im Namen des Verantwortlichen.“

Dies sind also jene Fälle, in denen Mitarbeiter eigenmächtig und außerhalb ihrer vertraglich festgelegten Tätigkeiten auf Daten zugreifen oder mit diesen umgehen. Oft werden diese Situationen auch als sog. Mitarbeiterexzess bezeichnet.

Der GA ist der Ansicht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann,

da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Hiermit bestätigt der GA zudem, dass Mitarbeiter zu eigenen Verantwortlichen nach der DSGVO werden können, wenn sie sich über ihre arbeitsvertraglich festgelegten Aufgaben hinwegsetzen. Mit allen möglichen Konsequenzen, wie etwa die Erfüllung der DSGVO-Pflichten, dem Risiko eines Bußgeldes gegen sie selbst nach Art. 83 DSGVO oder Schadenersatzansprüche von Betroffenen nach Art. 82 DSGVO.

Fazit

Sollte der EuGH den Argumenten des GA folgen, wird damit höchstgerichtlich bestätigt, dass Mitarbeiter innerhalb eines Verantwortlicheren nicht als „Empfänger“ nach der DSGVO gelten und daher etwa nicht im Rahmen einer Auskunft nach Art. 15 DSGVO zu nennen sind.