Category Archives: Bußgeld

Bundesverwaltungsgericht Österreich wendet EDSA-Leitlinien zur Berechnung von Geldbußen an

Posted on by

Datenschutzbehörden verwenden zur Berechnung von Geldbußen bekanntlich die EDSA-Leitlinien 04/2022 vom 24.5.2023. Gleichzeitig wissen wir, dass Leitlinien des EDSA keine unmittelbare rechtliche Bindungswirkung für Verantwortliche, Auftragsverarbeiter oder auch nationale Gerichte haben. Der EDSA selbst stellte dazu bereits 2021 fest: „In dieser Hinsicht spiegeln die Leitlinien und Empfehlungen des EDPB, obwohl sie an sich nicht verbindlich sind, den gemeinsamen Standpunkt und das gemeinsame Verständnis wider, das die Behörden einheitlich anwenden wollen“. (Stellungnahme des EDSA).

Dennoch stellen die Leitlinien des EDSA in der Praxis, aber auch in gerichtlichen Verfahren, eine wichtige Ansicht dar, die auch von Generalanwälten am EuGH zur Auslegung der DSGVO verwendet werden (vgl. etwa Rz. 28 in der Rs. C-307/22, zu den Leitlinien 01/2022).

Für die Wirkung und auch rechtliche Bedeutung von Leitlinien relevant ist daher eine neuere Entscheidung des Bundesverwaltungsgerichts (BVwG) aus Österreich vom 26.3.2024 (Gz. W137 2241630-1).

In dem Verfahren ging es um eine Geldbuße der österreichischen Behörde auf Grundlage von Art. 83 DSGVO. Hiergegen wurde Beschwerde eingelegt. Das Bundesverwaltungsgericht setzte das Verfahren dann zunächst aus, bis der EuGH in der Rechtssache Deutsche Wohnen (C-807/21) entschieden hatte. Danach wurde das Verfahren inhaltlich fortgesetzt.

Das BVwG teilte den Parteien nach der Fortsetzung der Verhandlung mit, dass das Gericht bei der Frage der Bemessung der Geldbuße die Leitlinien 04/2022 zumindest mit heranziehen wird.

Dabei wurde den Verfahrensparteien bekannt gegeben, dass sich der Senat bei der allfälligen Strafbemessung an den Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO des Europäischen Datenschutzausschusses, Version 2.1; angenommen am 24. Mai 2023 (auch „Guidelines“ des EDPB) orientieren werde.“

Hiergegen scheint keine der Verfahrensparteien Einwände gehabt zu haben oder rechtliche Argumente gegen die Anwendung der Kriterien des EDSA vorgebracht zu haben.

Bei der konkreten Berechnung der Geldbuße hat das BVwG die Leitlinien des EDSA auch verwendet – wohl aber nicht allein die Leitlinien, da das Gericht davon spricht, dass es diese „ergänzend…herangezogen“ hat.

Das Bundesverwaltungsgericht hat ergänzend die Leitlinien 04/2022 des Europäischen Datenschutzausschusses  als Berechnungsgrundlage herangezogen, die bei – hier gegebenem geringem Schweregrad („low level of seriousness“) – und der oben festgehaltenen Umsatzgröße einen statischen Strafrahmen von bis zu EUR 500.000 annehmen, wobei der konkrete Umsatz im unteren Drittel der Bandbreite (100 Millionen bis 250 Millionen Euro) liegt“.

Was lässt sich aus dieser Entscheidung des BVwG ableiten?

Das Gericht scheint zum einen keinerlei rechtliche Bedenken hinsichtlich der Anwendung der Leitlinien zur Berechnung von Geldbußen zu haben. Zum anderen wird die dort vorgeschlagene Berechnungsmethode vom BVwG verwendet (was für das betroffene Unternehmen im Übrigen auch nicht immer „schlecht“ sein muss). Daher scheint das Gericht also auch die vorgeschlagene Berechnung des EDSA auf Basis des Art. 83 DSGVO als schlüssig anzusehen. Zumindest ergeben sich aus der Entscheidung des BVwG keine Hinweise darauf, dass das Gericht die Vorschläge des EDSA inhaltlich als unzulässig oder mit der DSGVO nicht vereinbar ansieht. Im Ergebnis wird man die Entscheidung des BVwG daher auch als eine Art „Bestätigung“ der vom EDSA vorgeschlagenen Berechnungsmethode ansehen können.

Bußgeld in Höhe von 310.000 EUR: Einkauf und Verwendung von Datensätzen (Leads) für Werbezwecke ohne rechtmäßige Einwilligung

Posted on by

Die französische Aufsichtsbehörde (CNIL) hat ein Bußgeld in Höhe von 310.000 EUR gegen das Unternehmen FORIOU erlassen, weil das Unternehmen personenbezogene Datensätze ohne Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für Marketingzwecke verwendet hat (Pressemitteilung der CNIL). Der konkrete Fall an sich mag „wenig spannend“ klingen, jedoch sind die der Entscheidung zugrunde liegenden Ansichten der CNIL generell praxisrelevant für den Umgang mit Daten von Kunden oder potentiellen Neukunden.

Entscheidung der CNIL

FORIOU führt telefonische Akquisitionskampagnen durch, um die von ihm vermarkteten Treueprogramme und -karten zu bewerben. Die Daten der potentiellen Interessenten kauft das Unternehmen von Datenmaklern und Betreibern von Websites für Gewinnspiele und Produkttests. Im Grunde also ein recht alltäglicher Vorgang in der heutigen digitalen Wirtschaft – der Einkauf von Leads / Datensätzen für Werbezwecke.

Die CNIL stellte im Rahmen einer Untersuchung jedoch fest, dass FORIOU keine Rechtsgrundlage, in Form einer wirksamen Einwilligung nach Art. 6 Abs. 1 a) DSGVO, für die Verwendung der Daten nachweisen konnte. Hierbei lag der Fehler nicht nur bei dem werbenden Unternehmen selbst – die Datensätze / Leads waren quasi schon ohne ausreichende Rechtsgrundlage erhoben und mit diesem Makel der „Rechtswidrigkeit“ an FORIOU verkauft worden. Folgende Verstöße legte die CNIL dem Unternehmen zur Last:

  • Irreführende Darstellung der Formulare zur Datenerhebung und Einholung einer (unwirksamen) Einwilligung bei den Datenlieferanten.
  • Die Zustimmungs-Schaltflächen, mit denen die Betroffenen die Einwilligung in die Weitergabe und werbliche Nutzung ihrer Daten erteilen sollten, wurden (durch ihre Größe, Farbe, Überschrift und Position) viel größer und deutlicher hervorgehoben, als die Ablehnungsmöglichkeit.
  • Zudem ist FORIOU, als Käufer der Daten, nach der DSGVO verpflichtet, sich zu vergewissern, dass die betroffenen Personen eine gültige Einwilligung erteilt haben.
  • Zwar habe FORIOU seinen Datenlieferanten im Vorfeld bestimmte vertragliche Anforderungen auferlegt – diese jedoch im weiteren Verlauf nicht wirksam kontrolliert.
  • Zudem wurde FORIOU nicht in jedem Formular als Partner / Unternehmen erwähnt, welches die Daten für werbliche Nutzungszwecke erhält.

Fazit

Die Entscheidung der CNIL knüpft inhaltlich an die festgestellten Verstöße im vergangenen Bußgeldverfahren gegen das Unternehmen CRITEO an. Für die Praxis bedeutet dies, dass Unternehmen, wenn sie personenbezogene Daten von Datenlieferanten, Partnern oder auch Konzerngesellschaften erhalten, stets selbst dafür Sorge tragen müssen, dass eine Rechtsgrundlage für den intendierten Nutzungszweck vorhanden ist.

Geplante EU-Verordnung zur besseren Durchsetzung der DSGVO – Weitergabe von Informationen aus behördlichen Datenschutzverfahren an andere nationale Aufsichtsbehörden (z. B. Wettbewerb, Finanzen) vorgeschlagen

Posted on by

Derzeit wird in Brüssel über den Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 (2023/0202(COD)) verhandelt. Im Europäischen Parlament ist der LIBE-Ausschuss federführend zuständig und dieser hat mit Datum vom 14. Dezember 2023 seine Änderungsvorschläge zu dem Berichtsentwurf vom 9. November 2023 vorgelegt.

Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO

Ich hatte hier im Blog schon vor einiger Zeit einen Beitrag zu einer möglichen geänderten Fristenberechnung bei der Meldung von Datenschutzverletzungen verfasst. Die vorgeschlagene Verordnung fliegt meines Erachtens immer noch sehr unter dem „Radar“ der betroffenen Kreise, hat dabei extrem viele (potentiell) relevante Änderungen zur Folge.

Kurz zur Einordnung: die Verordnung soll Verfahrensregeln im Fall von grenzüberschreitenden Verarbeitungen und darauf basierenden aufsichtsbehördlichen Verfahren etablieren. Die Regelungen der Verordnung würden nationalen Verfahrensvorgaben als Spezialvorschriften vorgehen.

Heute möchte ich auf einen aus meiner Sicht für betroffene Unternehmen und öffentliche Stellen beachtenswerten Vorschlag aus dem LIBE-Ausschuss hinweisen.

Weitergabe von Informationen aus aufsichtsbehördlichen Verfahren an andere nationale Stellen

Nach einem neu vorgeschlagenen Art. 7 Abs. 2a (Änderungsantrag 311 in dem Dokument vom 14. Dezember 2023) sollen die Aufsichtsbehörden anstreben, die im Rahmen der in dieser Verordnung festgelegten Verfahren erhaltenen Informationen an die für den Datenschutz und andere Bereiche zuständigen nationalen und Unionsaufsichtsbehörden, einschließlich der Wettbewerbs-, Finanzdienstleistungs-, Energie-, Telekommunikations- und Verbraucherschutzbehörden, weiterzuleiten, wenn die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden.

Hier noch das englische Original:

Supervisory authorities shall strive to communicate the information obtained in the context of the procedures set out in this Regulation to national and Union supervisory authorities competent in data protection and other areas, including competition, financial services, energy, telecommunications and consumer protection authorities, where the information is deemed relevant to the tasks and duties of those authorities.”

Der Vorschlag bedeutet im Grunde, dass Datenschutzbehörden dazu angehalten sind, Informationen aus einem Aufsichtsverfahren gegen einen Verantwortlichen oder Auftragsverarbeiter auch an andere nationale Stellen zu geben, die ebenfalls in ihrem jeweiligen Rechtsbereich für die Überwachung des Verantwortlichen oder Auftragsverarbeiters zuständig sind.

Interessant ist, dass der Vorschlag wohl keine Pflicht zur Weitergabe der Informationen vorsieht. Andererseits sollen die Aufsichtsbehörden zur Informationsweitergabe angehalten werden. Für die Frage, ob Informationen aus dem Verfahren weitergegeben werden sollen, kommt es nach dem Vorschlag wohl allein auf die Einschätzung der Datenschutzbehörde an. Die Weitergabe soll erfolgen, wenn „die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden“ – aus Sicht der Datenschutzbehörde.

An welche Aufsichtsbehörden in anderen Rechtsbereichen die Informationen weitergegeben werden sollen, wird nicht abschließend benannt („einschließlich“). Beispielhaft werden etwa Behörden aus dem Bereich Wettbewerb, Energie, Telekommunikation oder auch Verbraucherschutz.

In Deutschland könnte man also an die Weitergabe von „relevanten“ Informationen an die BaFin oder das Bundeskartellamt denken. Ziemlich klar ist der Zweck des Vorschlags, anderen Aufsichtsbehörden ebenfalls die Durchführung von entsprechenden Verfahren zu ermöglichen.

Jedoch soll die Weitergabe nach dem Vorschlag wohl tatsächlich nur an Behörden, also öffentliche Stellen, erfolgen.

Der Sinn und Zweck des Vorschlags ergibt sich recht klar aus der Begründung im Berichtsentwurf (Änderungsantrag 117, Dokument vom 9. November 2023; inoffizielle Übersetzung):

In der Erkenntnis, dass die Untersuchung von Verstößen im Bereich des Datenschutzes Beweise für Verstöße in anderen Bereichen liefern können. Dies ist eine Forderung vieler zivilgesellschaftlicher Organisationen

Keine Pflicht zur Vertraulichkeit?

Man wird die Frage stellen können, wie eine solche Vorgabe bzw. ein solches Recht mit der Vertraulichkeitsverpflichtung der Datenschutzbehörden einhergeht.

Nach Art. 54 Abs. 2 DSGVO sind ja die Mitglieder und die Bediensteten jeder Aufsichtsbehörde gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Eventuell mag man über Art. 57 Abs. 1 g) DSGVO hiervon noch eine Ausnahme machen – jedoch allein in Bezug auf andere Datenschutzbehörden.

Sollte aber die neue Verordnung für zusätzliche Verfahrensregeln anwendbar werden, dann gilt diese (als EU-Verordnung) neben der DSGVO und konkretisiert bzw. ändert als Spezialregelung sogar die allgemeinen Regelungen der DSGVO, wie auch Art. 54 Abs. 2 DSGVO.

Auch ein Verweis auf möglicherweise entgegenstehende nationale Verbote würde wohl nicht helfen. Denn auch hierbei ist zu beachten, dass die verschlagene Verordnung unmittelbar in jedem Mitgliedsstaat Anwendung finden würde. So führt etwa die EU-Kommission in der Begründung ihres Entwurfs aus: „Daher ist eine (in den Mitgliedstaaten unmittelbar geltende) Verordnung erforderlich, um die rechtliche Fragmentierung zu verringern und das Maß an Harmonisierung zu gewährleisten“.

Ich werde in Zukunft sicher noch ein paar Beiträge zu der Verordnung veröffentlichen. Wie gesagt, sind dort viele interessante und praxisrelevante Änderungsvorschläge enthalten.

Generalanwalt am EuGH: Bußgeldhaftung des Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters

Posted on by

Eine weitere wichtige DSGVO-Interpretation vom 4.5.2023 (dem Datenschutztag am EuGH), die bisher kaum beachtet wurde: in der Rechtssache C-683/21 hat Generalanwalt Emiliou seine Schlussanträge (bisher nur auf Englisch verfügbar) zu einigen relevanten Fragen zur Anwendung der DSGVO vorgelegt. Zu der Frage der Voraussetzungen einer gemeinsamen Verantwortlichkeit hatte ich hier im Blog bereits berichtet.

Zudem befasst sich der Generalanwalt aber unter anderem auch noch mit der Frage, ob gegen einen für die Verarbeitung Verantwortlichen in Anwendung von Art. 83 DSGVO eine Geldbuße verhängt werden kann, wenn die rechtswidrige Verarbeitung personenbezogener Daten nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde.

Also: die Haftung des Verantwortlichen für seinen Auftragsverarbeiter. Ein für die Praxis extrem relevantes Thema, wenn wir an die vielen Geschäfts- und Verarbeitungsprozesse denken, in denen Dienstleister als Auftragsverarbeiter eingesetzt werden.

Die kurze Antwort des Generalanwalts: „Meines Erachtens ist diese Frage zu bejahen.“

Zunächst stellt der Generalanwalt klar, dass ein für die Verarbeitung Verantwortlicher keine personenbezogenen Daten selbst verarbeiten muss, solange er das „Warum und Wie“ der betreffenden Verarbeitungsvorgänge bestimmt. Er kann sich hierfür eines Auftragsverarbeiters bedienen.

Die Definition des Auftragsverarbeiters in Art. 4 Nr. 8 DSGVO, dass „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ werden, bestätigt nach Ansicht des Generalanwalts, dass im Rahmen der Anwendung der DSGVO ein Verantwortlicher haftbar gemacht und nach Art. 83 DSGVO mit einer Geldbuße belegt werden kann,

wenn personenbezogene Daten unrechtmäßig verarbeitet werden und diese unrechtmäßige Verarbeitung nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde“. (Rz. 94)

Die Haftung des Verantwortlichen gilt jedoch nicht für jede Tätigkeit des Auftragsverarbeiters, sondern nur, soweit ein Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Dies ist der Fall, solange der Auftragsverarbeiter im Rahmen des ihm von dem für die Verarbeitung Verantwortlichen erteilten Auftrags handelt und die Daten gemäß den rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet“. (Rz. 95)

Wichtig: die Haftung für den Dienstleister greift also nur, solange dieser im Rahmen des Auftrages agiert.

 „Wenn der Auftragsverarbeiter jedoch über den Rahmen dieses Auftrags hinausgeht und die als Auftragsverarbeiter erhaltenen Daten für seine eigenen Zwecke verwendet …, kann gegen den für die Verarbeitung Verantwortlichen meines Erachtens keine Geldbuße“ für die unrechtmäßige Verarbeitung verhängt werden.

Ein Bußgeld kann daher auch dann gegen einen Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters verhängt werden, wenn personenbezogene Daten nur vom Auftragsverarbeiter rechtswidrig verarbeitet wurden und der Verantwortliche an der Verarbeitung nicht beteiligt ist.

Die Erkenntnisse des Generalanwalt werden viele eventuell nicht als „bahnbrechend“ ansehen. Meines Erachtens ist aber zum einen beachtenswert, dass das Haftungsrisiko des Auftraggebers für seine Dienstleister nun durch einen Generalanwalt am EuGH klar herausgestellt wurde. Zum anderen verdeutlichen die Schlussanträge für die Praxis noch einmal, dass man als Verantwortlicher genaues Augenmerk auf seine vertraglichen Beziehungen zu Auftragsverarbeitern legen sollte.

Was ist also wichtig:

  • Haftung für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der rechtmäßigen Weisungen agiert
  • Daher ist sehr relevant, die das System der Weisungserteilung in der Praxis ausgestaltet ist (wer erteilt in welcher Form welche Weisungen?)
  • Zudem muss unbedingt klar definiert werden, was der Auftrag ist. Denn, je unbestimmter und damit umfassender der Auftrag an den Dienstleister ausgestaltet ist, desto höher ist mein Haftungsrisiko als Verantwortlicher

Wirkt ein Verstoß gegen Art. 24 DSGVO bußgelderhöhend? Deutsche Aufsichtsbehörden: ja. EDSA: nein.

Posted on by

Ich hatte nun ein wenig Zeit, über den interessanten Beschluss des EDSA nach Art. 65 DSGVO zu dem Entwurf des Bußgeldbescheides der irischen Datenschutzbehörde gegen Meta Platforms (bezüglich Instagram) zu schauen.

In solchen Beschlüssen finden sich immer viele praxisrelevante Ansichten und Aussagen der einzelnen europäischen Behörden, aber natürlich auch die jeweilige Position des EDSA hierzu.

Ein interessantes Beispiel ist hierbei die Frage, ob eine Verletzung der Vorgaben von Art. 24 DSGVO im Rahmen der Bußgeldbemessung erhöhend zu berücksichtigen ist. Hintergrund: ein Verstoß gegen Art. 24 DSGVO ist an sich eigentlich nicht selbst bußgeldbewährt. Weder in Art. 83 Abs. 4 noch Abs. 5 DSGVO wird Art. 24 genannt. Man könnte also wohl davon ausgehen, dass der Gesetzgeber dies bewusst so geregelt hat.

In dem bindenden Beschluss wird darauf hingewiesen, dass die irische Behörde von einem Verstoß gegen Art. 24 DSGVO ausging (Rz. 169: „Regarding the infringement of Article 24 GDPR, the IE SA stated that this infringement was considered separately…“). Jedoch wollte die irische Behörde diesen Verstoß nicht erhöhend im Rahmen der Bußgeldbemessung berücksichtigen.

Dieser Ansicht traten die deutschen Datenschutzbehörden offensichtlich entschieden entgegen.

Rz. 176: „As for aggravating factors, the DE SAs stated that the LSA should have considered the infringement of Article 24 GDPR as an aggravating factor in respect of the other infringements under Article 83(2)(k) GDPR.”

Nach Art. 83 Abs. 2 lit. k DSGVO sind „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ gebührend zu berücksichtigen.

Die deutschen Behörden waren der Ansicht, dass der Verstoß gegen Art. 24 DSGVO schärfend im Rahmen des Art. 83 Abs. 2 lit. k DSGVO berücksichtigt werden müsse. Zwar sei der Verstoß gegen die Norm selbst nicht ausdrücklich in Art. 83 DSGVO bußgeldbewährt, jedoch müsse der Verstoß bei der Entscheidung der Behörde berücksichtigt werden. Art. 83 Abs. 2 lit. k DSGVO sei bewusst sehr offen formuliert und daher müsste auch der Verstoß hierunter als Faktor fallen.

Diese Ansicht teilt der EDSA jedoch nicht.

Rz 211: „At the same time, the EDPB agrees with the IE SA that the infringement of Article 24 GDPR cannot be considered an aggravating factor under Article 83(2)(k) GDPR”.

Der EDSA geht davon aus, dass der Gesetzgeber sehr bewusst Verstöße gegen Art. 24 DSGVO gerade nicht in die Aufzählungen in Art. 83 Abs. 4 und 5 DSGVO aufgenommen habe. Hierzu wird darauf verwiesen, dass in früheren Versionen der DSGVO Art. 24 DSGVO in dem Katalog des Art. 83 noch enthalten war. Wenn man aber nun, der Ansicht der deutschen Behörden folgend, eine Verletzung von Art. 24 DSGVO dennoch strafschärfend berücksichtigen würde, wäre ein solcher Verstoß zumindest indirekt doch mit Bußgeld belegt. Aus diesem Grund folgt der EDSA der Ansicht der deutschen Behörden nicht.

Jedoch, so der EDSA, ist das Prinzip der Rechenschaftspflicht und damit der Verantwortlichkeit, welches in Art. 24 DSGVO ebenso wie in Art. 5 Abs. 2 DSGVO zum Ausdruck kommt, generell als Faktor bei der Bußgeldbemessung zu berücksichtigen. Hierzu verweist der EDSA auf seine Leitlinien zu Bußgeldern.

Fazit

Zum einen zeigt dieses Beispiel erneut anschaulich, wie unterschiedlich die Interpretationen zur DSGVO, auch innerhalb der Aufsichtsbehörden, sind. Und wie wichtig hierbei eine bindende Instanz wie der EDSA ist. Inhaltlich kann man mitnehmen, dass der Verstoß gegen einen Artikel der DSGVO, der gerade nicht in dem Katalog des Art. 83 Abs. 4 und 5 DSGVO benannt ist, nicht per se bußgelderhöhend wirkt.

Datenschutzbehörde: Produktbewerbung „DS-GVO-konform“ schützt nicht vor Bußgeldern

Posted on by

Aus meiner Sicht eigentlich eine Selbstverständlichkeit, jedoch immer wieder auch in der Praxis ein Diskussionsthema. Wenn Unternehmen Produkte (etwa Cloud-Dienst, Software etc.) verwenden möchten, die im Rahmen der eigenen Bewerbung mit dem Zusatz „DS-GVO-konform“ versehen sind, schützt dies den datenschutzrechtlich Verantwortlichen natürlich nicht per se vor Sanktionen. Erforderlich ist stets, dass man als Kunde (und datenschutzrechtlich Verantwortlicher) selbst prüft, ob ein Umgang mit personenbezogenen Daten tatsächlich zulässig erfolgen kann.

Der Hessische Datenschutzbeauftragte informiert hierüber in seinem aktuellen Tätigkeitsbericht 2021 (PDF, S. 133). Dort geht es um datenschutzrechtliche Fragen der Mitarbeiterüberwachung, etwa bei der Arbeitszeiterfassung.

Erfolgt eine unzulässige Verarbeitung von Mitarbeiterdaten durch den Arbeitgeber, so drohen u.a. Bußgelder nach der DSGVO. Hierzu informiert die Datenschutzbehörde:  

wobei Arbeitgeber sich im Rahmen eines Bußgeldverfahrens nicht durch den Einwand exkulpieren können, dass das eingesetzte Produkt mit dem Zusatz „DS-GVO-konform“ beworben wird. Als Verantwortliche im Sinn des Art. 4 Nr. 7 DS-GVO sind Arbeitgeber nach Art. 5 Abs. 2 DS-GVO für die Einhaltung der Grundsätze der Verarbeitung verantwortlich und rechenschaftspflichtig.“

Wie gesagt, ist diese Feststellung meines Erachtens wenig überraschend. Rein datenschutzrechtlich muss man als Verantwortlicher stets selbst prüfen bzw. entsprechend vorbereitete Dokumente eines Dienstleisters prüfen, ob personenbezogene Daten zulässig verarbeitet werden können. Eine andere Frage ist, ob man als Kunde vertragsrechtliche Ansprüche gegen den Anbieter des Produkts geltend machen kann, wenn dieser etwa eine DSGVO-Konformität zusichert oder mit dieser für sein Produkt wirbt.

Keine Auskunft und Reaktion auf Betroffenenanfrage: 20.000 EUR Bußgeld gegen Deutsche Bank in Italien

Posted on by

Die italienische Datenschutzbehörde hat am 16. Juni 2022 ein Bußgeld in Höhe von 20.000 EUR gegen die Deutsche Bank in Italien verhängt (Mitteilung der Behörde, auf Italienisch). Die Entscheidung ist besonders praxisrelevant, da es um einen Verstoß gegen Art. 12 und 15 DSGVO, also das Auskunftsrecht nach der DSGVO ging, welches Unternehmen immer wieder beschäftigt. Vorliegen lag auch einer der klassischen, aber gleichzeitig vermeidbaren Fehler vor: das Auskunftsersuchen wurde nicht (rechtzeitig) bearbeitet.  

Die Entscheidung ist nur auf Italienisch abrufbar. Ich habe sie selbst übersetzt und kann daher nicht für absolute Richtigkeit garantieren.

Sachverhalt

Der Betroffene legte am 26.10.2020 bei der Datenschutzbehörde eine Beschwerde über eine unrechtmäßige Verarbeitung personenbezogener Daten durch die Deutsche Bank S.p.A. ein und beschwerte sich zudem über die Nichtbeantwortung des an die Bank gerichteten Antrags auf Ausübung seiner Betroffenenrechte vom 15.07.2020. In diesem bat er um die nach Art. 13 DSGVO erforderlichen Informationen und wohl auch ganz generell um Auskunft zu seinen Daten (Art. 15 DSGVO). Innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen fristen ging jedoch keine Antwort der Bank ein.

Erst im Nachgang (im Jahr 2021), als die Datenschutzbehörde die Bank zur Auskunft aufforderte, wurde diese gegenüber dem Betroffenen erteilt

In einem Schreiben an die Aufsichtsbehörde räumte die Bank ein, dass sie dem Betroffenen keine Informationen und keine Auskunft erteilt hatte, und übermittelte dem Beschwerdeführer und der Behörde die angeforderten Unterlagen.

Entscheidung

Auf der Grundlage der von der Bank abgegebenen wurde ein Sanktionsverfahrens wegen Verstößen gegen Art. 12 Abs. 3 und Art. 15 DSGVO eingeleitet.

Die Datenschutzbehörde stellt fest, dass die Bank auf den vom Beschwerdeführer formulierten Antrag auf Ausübung seiner Rechte nicht innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen Frist geantwortet hat. Zudem informierte sie den Betroffenen auch nicht innerhalb der vorgegebenen Frist über die Gründe für die Nichterfüllung der Anforderungen und über die Möglichkeit, eine Beschwerde bei der Behörde einzureichen (Art. 12 Abs. 4 DSGVO).

Die Bank verteidigte sich wohl u.a. damit, dass der Antrag auf Ausübung von Rechten im Rahmen eines umfassenderen und detaillierteren Ersuchens des Kunden gestellt worden sei, was eine rechtzeitige Antwort verhindert hätte. Hierin sah die Datenschutzbehörde jedoch kein Argument dafür, die Betroffenenanfrage nicht fristgemäß zu beantworten.

Zur Begründung verweist die Aufsichtsbehörde auch auf Art. 12 Abs. 2 DSGVO, wonach „der für die Verarbeitung Verantwortliche die Ausübung der Rechte der betroffenen Person nach den Artikeln 15 bis 22 zu erleichtern hat“.

Zudem brachte die Bank als Argument vor, dass die Informationen gemäß Art. 13 DSGVO und die Daten, die Gegenstand des Antrags sind, der betroffenen Person bereits bekannt waren. Auch diesen Einwand lies die Datenschutzbehörde nicht gelten.

In Art. 15 DSGVO sei als erster Schritt das Rechts der betroffenen Person verankert, „von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht“ und, falls dies der Fall ist, das Recht, „Zugang zu den Daten“ und weitere Informationen zu erhalten. Dies geschehe auch, um die Richtigkeit und Vollständigkeit der verarbeiteten Daten zu überprüfen.

Basierend hierauf wurde die Beschwerde für begründet erklärt und basierend auf Art. 58 Abs. 2, 83 Abs. 3 DSGVO eine Geldbuße verhängt.

Die Behörde setzt die Geldbuße in Höhe von 20.000,00 EUR für den Verstoß gegen die Art. 12 und 15 DSGVO fest.

Fazit

Betroffenenrechte spielen, insbesondere im B2C-Bereich eine herausragende Rolle, wenn es um die DSGVO-Compliance geht. Insbesondere sollten datenverarbeitende Stellen intern Prozesse und Vorgaben etablieren, die eine rechtzeitige Bearbeitung von Betroffenenanfragen sicherstellen. Eine ausbleibende oder verspätete Antwort kann im schlimmsten Fall mit einem Bußgeld geahndet werden. Gerade der Fehler einer Nichtbearbeitung oder der Verspätung ist meiner Ansicht nach aber in der Praxis gut vermeidbar, wenn man intern entsprechende Vorgaben schafft und Mitarbeiter regelmäßig schult. 20.000 EUR für einen Fall mag im ersten Moment „vertretbar“ anmuten – jedoh sollte man aus Unternehmenssicht beachten, dass, bei fehlenden internen Leitlinien und Prozessen, über einen längeren Zeitraum evtl. nicht nur eine Anfrage, sondern eine viel größere Anzahl nicht richtig bearbeitet wird. Entsprechend dürfte dann auch das mögliche Bußgeld nach oben angepasst werden.

Hamburger Datenschutzbehörde: Bußgeld bei mangelhaft durchgeführten Asset Deal

Posted on by

Die Hamburger Datenschutzbehörde hat jüngst ihren Tätigkeitsbericht für das Jahr 2021 veröffentlicht (PDF). Dort berichtet die Behörde (ab S. 70) auch über zwei Bußgelder gegen Unternehmen, weil Widersprüche von Kunden im Rahmen eines Asset Deals (fehlerhaft) nicht beachtet wurden.

Hintergrund der Ordnungswidrigkeitenverfahren war die Ausgliederung der Heizenergiesparte eines Energieversorgers und die anschließende Veräußerung der ausgegliederten Sparte. Hierbei sollten Kunden (mit ihren Verträgen) auf das kaufende Unternehmen übergehen. Die Kunden, die von dem Übergang betroffen waren, wurden über die Vertragsübergänge ihrer Strombelieferungsverträge informiert und ihnen wurde ein Widerspruchsrecht eingeräumt.

Rechtsgrundlage: Interessenabwägung

Relevant ist zunächst, dass die Aufsichtsbehörde hier nicht etwa das wohl durchgeführte Widerspruchs-Modell an sich kritisiert. Nach Ansicht der DSK in ihrem Beschluss aus dem Jahr 2019 zum Thema „Asset Deal“ (PDF), bedarf es beim Übergang von Daten in laufenden Vertragsbeziehungen einer „datenschutzrechtlichen Zustimmung“, die aber in der zivilrechtlichen Genehmigung als Minus enthalten sei. Gleichzeitig werden die Fallgruppen im Beschluss der DSK aber alle unter dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO (also der Interessenabwägung) diskutiert. In der Vergangenheit wurde daher diskutiert, was die DSK hiermit konkret meint. Ob nun eine Einwilligung erforderlich ist oder eine Interessenabwägung ebenfalls möglich erscheint. Die Informationen der Hamburger Behörde scheinen deutlich zu machen, dass es keiner datenschutzrechtlichen Einwilligung bedarf, sondern dass die Übermittlung von Daten der Kunden auf der Grundlage von einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erfolgen kann.

Fehler: Datenübermittlung trotz Widerspruch

In dem Verfahren aus Hamburg, sollten im Falle eines erklärten Widerspruchs keine personenbezogenen Daten der Kunden an das neue Unternehmen übermittelt werden. Natürlich schlug dann die Realität zu. Trotz ordnungsgemäß erklärtem Widerspruch von Kunden kam es in einem gewissen Ausmaß dennoch zur Migration von Strombelieferungsverträgen auf den Erwerber der Heizenergiesparte.

„Dadurch waren Kundendaten auch in den Fällen an das neue Unternehmen übermittelt, in denen die Betroffenen ordnungsgemäß einen entsprechenden Widerspruch erklärt hatten“.

Hintergrund dessen waren nach Angabe der Aufsichtsbehörde Fehler bei der Verarbeitung der Widersprüche durch den eingesetzten Auftragsverarbeiter des veräußernden Unternehmens.

Die Aufsichtsbehörde benennt nicht konkret den DSGVO-Verstoß. Jedoch kann man vermuten, dass wohl von einer unzulässigen Übermittlung der Daten ausgegangen wurde, also ein Verstoß gegen Art. 6 Abs. 1 DSGVO oder eine Nichtbeachtung des Widerspruchs, also ein Verstoß gegen Art. 21 Abs. 1 DSGVO vorlag.  

Die Aufsichtsbehörde verhängt nach den Angaben im Tätigkeitsbericht zwei Bußgelder in Höhe von je 12.500 EUR. Im Bericht heißt es: „Aufgrund der Vielzahl der Verstöße war es angezeigt, Bußgeldverfahren gegen die Unternehmen einzuleiten“. Ich vermute, dass die Behörde hier also sowohl ein Bußgeld gegen den Verkäufer als auch gegen das erwerbende Unternehmen verhängt hat.

Fazit

Asset Deals sind in der Praxis bei der Übernahme von Kunden(verträgen) immer auch mit datenschutzrechtlichen Fragen verbunden. Der Fall aus Hamburg zeigt gut, dass der Datenschutz hier nicht unüberwindbare Hürden aufstellt. Dennoch ist bei der Umsetzung besonders darauf zu achten, dass personenbezogene Daten nicht aus Versehen oder fehlerhaft übermittelt werden. Daher sind auch Konstellationen, in denen zB zunächst einmal alle Kundendaten an ein erwerbendes Unternehmen übermittelt werden und man dann die widersprechenden Kunden aussortiert, kritisch zu sehen.

Datenschutzbehörden (noch) nicht zuständig für TTDSG-Bußgelder? – Berlin plant Anpassungen

Posted on by

Die Frage, welche Aufsichtsbehörden für die Verhängung von Bußgeldern nach § 28 Abs. 1 und 2 TTDSG zuständig ist, wurde bereits in der Vergangenheit diskutiert. Diese Frage dürfte sich insbesondere auch bei möglichen Verstößen gegen § 25 TTDSG stellen.

Unklarheiten bei der Zuständigkeit für Bußgelder – gesetzliche Grundlage erforderlich

Hintergrund dieser Diskussion ist, dass die ePrivacy-RL, als europäische Grundlage des TTDSG, gerade nicht vorgibt, dass die Sanktionierung zwingend durch die nationalen Datenschutzbehörden erfolgen muss. Hierzu etwa der EDSA (Stellungnahme 5/2019, PDF): „Mitgliedstaaten können dieselbe Behörde mit der Zuständigkeit ausgestattet haben, die nationale Umsetzung der e-Datenschutz-Richtlinie (teilweise) durchzusetzen, aber sie können sich auch für eine oder mehrere andere Behörden entschieden haben,…“ (Rz. 63).

Nach § 1 Abs. 1 Nr. 8 TTDSG bleiben bei Telemedien die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 BDSG unberührt. Für das TTDSG bleibt es im Bereich der Telemedien bei der Durchführung des Gesetzes durch die Länder und damit bei datenschutzrechtlichen Regelungen bei der Zuständigkeit der Datenschutzaufsichtsbehörden der Länder. Das bedeutet, dass die Bundesländer (wie übrigens auch zum alten TMG bisher) ausdrücklich festlegen, ob ihre jeweilige Landesdatenschutzbehörde auch zuständig ist, die Einhaltung der Vorgaben des TTDSG zu überwachen und Bußgelder zu verhängen.

Landesdatenschutzbehörden in Deutschland sind daher nicht per se auch zuständige Aufsichtsbehörden zur Überwachung der Einhaltung des TTDSG, insbesondere von § 25 TTDSG als Umsetzung von Art. 5 Abs. 3 ePrivacy-RL. Nationale Datenschutzbehörden sind nur dann für eine Überwachung der Umsetzungsvorschriften der ePrivacy-RL zuständig, „wenn das nationale Gesetz ihnen diese Zuständigkeit überträgt“ (EDSA, Stellungnahme 5/2019, Rz. 68).

In der Vergangenheit haben diese Zuständigkeitsbestimmung für das TMG aF auch einige Bundesländer vorgenommen. So etwa in Berlin, in § 1 Nr. 16 ZustVO-OWiG.

In den letzten Monaten sind Aufsichtsbehörden in Deutschland aber oft davon ausgegangen, dass sie auch weiterhin für Bußgelder bei TTDSG-Verstößen zuständig sind, auch wenn dies nicht ausdrücklich geregelt ist.

Neue Entwicklung: Berliner Senat plant Anpassung der Zuständigkeitsregeln wegen des TTDSG

Nun veröffentlichte der Berliner Senat am 1.2.22 eine Pressemitteilung in der es heißt: „Der Senat von Berlin hat heute auf Vorlage der Senatorin für Inneres, Digitalisierung und Sport, Iris Spranger, den Entwurf einer Änderungsverordnung zur Kenntnis genommen. Damit soll die Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten an die seit 1. Dezember 2021 geltende Rechtslage des Telemediengesetzes und des Telekommunikation-Telemedien-Datenschutz-Gesetzes angepasst werden“.

Der Entwurf der Änderungen ist leider noch nicht öffentlich verfügbar. Jedoch wird in der Pressemitteilung erläutert: „Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit übernimmt die Zuständigkeit für die Verfolgung und Ahndung von Verstößen gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz“.

Na nu, mag man meinen. Aber wenn doch die Datenschutzbehörden ohnehin schon jetzt zuständig wären, Bußgelder für TTDSG-Verstöße zu verhängen, warum muss dann die gesetzliche Grundlage dafür angepasst werden?

Natürlich zeigt diese geplante Anpassung in Berlin, dass wohl die Landesregierung mindestens Unsicherheiten bei der Frage sieht, welche Aufsichtsbehörde für die Verhängung von Bußgeldern (insbesondere auch bei Verstößen gegen § 25 TTDSG) zuständig ist. Man könnte also die Frage stellen, ob die Zuständigkeit in Berlin, bis zur finalen Anpassung der ZustVO-OWiG, noch nicht geregelt ist. Dies hätte Auswirkungen auf mögliche Bußgeldverfahren.

Zudem finde ich die Überlegung spannend, was diese öffentlich angekündigte Anpassung in Berlin für andere Länder und dortige Aufsichtsbehörden bedeutet? Stehen diese nun ebenfalls unter Zugzwang, entsprechende landesrechtliche Zuweisungen zu erhalten? Denn die Argumentation, dass eine landesrechtliche Anpassung notwendig scheint, dürfte übertragbar sein. Ich kenne bisher noch keine explizite Zuständigkeitsregelung für TTDSG-Verstöße in anderen Bundesländern.

Bundesinnenministerium: DSGVO-Bußgelder müssen nach den Vorgaben des deutschen OWiG verhängt werden

Posted on by

Das Bundesministerium des Innern (BMI) hat das neue BDSG evaluiert und den entsprechenden Bericht nun veröffentlicht (abrufbar auf der Webseite, PDF). Für die Evaluation wurden u.a. öffentliche als auch private Stellen sowie Datenschutzaufsichtsbehörden befragt.

Von besonderer Praxisrelevanz ist das Ergebnis des Berichts zu der umstrittenen Anwendung der Vorgaben der §§ 30, 130 OWiG im Rahmen der Verhängung von Bußgeldern nach Art. 83 DSGVO.

Hintergrund

Nach § 41 Abs. 1 S. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO, soweit das BDSG nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Nach § 41 Abs. 2 S. 1 BDSG gelten auch für Verfahren wegen eines Verstoßes nach Art. 83 Abs. 4 bis 6 DSGVO die Vorschriften des OWiG.

Zu beachten ist, dass das OWiG keine unmittelbare bußgeldrechtliche Haftung von Unternehmen kennt. Bei einer Verhängung von Geldbußen müssen die Voraussetzungen des § 30 Abs. 1 OWiG erfüllt sein. Hierfür bedarf es einer Tat, die der juristischen Person zugerechnet werden kann. Der Täter dieser Tat muss zu dem in § 30 Abs. 1 Nr. 1 – 5 OWiG genannten Personenkreis stammen; erfasst sind sog. Leitungsperson.

Das bedeutet, dass Täter nach dem System des OWiG eine natürliche Person und gerade nicht das Unternehmen selbst sein kann.

In der Vergangenheit haben das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) einerseits und das LG Berlin (Beschl v. 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20)) andererseits unterschiedliche Auffassung dazu vertreten, ob dieser Verweis in § 41 BDSG auf die Vorgaben des deutschen OWiG europarechtskonform ist. Es wird darüber gestritten, ob nicht die DSGVO (insb. wegen des ErwG 150 DSGVO) eine unmittelbare Unternehmenshaftung (Verbandshaftung) vorschreibe und daher eine Anknüpfung an das Verhalten einer natürlichen Person (entsprechend § 30 OWiG) gegen die DSGVO verstoßen würde.

Einschätzung des BMI

Zunächst verweist das BMI in Bezug auf den Kontext der Schaffung von § 41 Abs. 1 BDSG darauf, dass sich der Gesetzgeber seinerzeit bewusst („und in Kenntnis der Rechtsauffassung der Datenschutzaufsichtsbehörden“) zu dieser Thematik dafür entschieden habe, die §§ 30, 130 OWiG nicht aus den nach § 41 Abs. 1 BDSG anwendbaren Vorschriften des OWiG auszunehmen.

Das BMI gibt also im Grunde den Hinweis, dass die Erklärung der Anwendbarkeit der §§ 30, 130 OWiG bewusst vom Gesetzgeber gewollt war, in Kenntnis der kritischen Stimmen.

Sodann begründet das BMI diese Entscheidung des Gesetzgebers. Diese basiere auf der Erwägung, dass Art. 83 Abs. 8 DSGVO es gerade den Mitgliedstaaten überlasse, die Einzelheiten des Bußgeldverfahrens zu regeln. Und dann führt das BMI aus (S. 62):


Etwas anderes ergibt sich im Übrigen auch nicht aus Erwägungsgrund 150 zur DSGVO; dieser ist insgesamt und in seinem systematischen Kontext zu lesen. Er bezieht sich auf Artikel 83 DSGVO und konkret auf die dortigen Regelungen der Bußgeldhöhe, enthält aber keine Vorgaben zu den Voraussetzungen, unter denen Verstöße von natürlichen Personen eine bußgeldrechtliche Verantwortlichkeit von juristischer Person und Personenvereinigung auslösen.“

Das BMI geht von der Zulässigkeit des Verweises auf die §§ 30, 130 OWiG auch vor dem Hintergrund der Vorgaben des ErwG 150 DSGVO aus, da dieser (und auch Art. 83 DSGVO) gerade keine Regelungen zum Adressaten des Bußgeldes machen, sondern allein zur Berechnung bzw. zum finanziellen Rahmen.