OLG Frankfurt a.M.: Kaufvertrag über Daten wegen fehlender Einwilligung nach dem BDSG unwirksam

Das OLG Frankfurt hat ein recht interessantes Urteil zu der Frage gefällt, wie sich ein Verstoß gegen datenschutzrechtliche Bestimmungen des Gesetzes auf der vertraglichen Ebene im Rahmen eines Kaufvertrages über Daten auswirkt.

Mir Urteil vom 24.1.2018, Az. 13 U 165/16 (bisher liegt nur die Pressemitteilung vor) entschied das OLG, dass der Kaufvertrag über Adressdaten

insgesamt nichtig

sei,

da die Adressinhaber in den Verkauf ihrer Daten nicht wirksam eingewilligt hätten. Der Vertrag verstoße gegen die Vorgaben des BDSG.

Es lag zwar eine Einwilligung der Betroffenen vor. Diese erfüllte jedoch nicht die gesetzlichen Vorgaben. In der Einwilligungserklärung waren weder die betroffenen Daten noch Kategorien etwaiger Datenempfänger oder der Nutzungszweck – Adresshandel – konkret genug bezeichnet worden.

Zur vollständigen Einordnung es Urteiles wird man sicherlich die Urteilsgründe abwarten müssen. Dennoch lässt sich aus der Pressemitteilung ableiten, dass das OLG bei einem Verstoß gegen Vorgaben des BDSG nicht etwa nur von einem Mangel der Kaufsache (Daten) ausgeht, sondern den gesamten Vertrag als unwirksam erachtet. Eventuell geht das OLG hier von einem Verstoß gegen ein gesetzliches Verbot aus (§ 134 BGB).

Zu beachten ist, dass die vorliegende Konstellation durchaus eine spezielle war. So ging es in dem Kaufvertrag tatsächlich um nichts anderes als den Kauf der Daten, die dann für werbliche Zwecke genutzt werden sollten. Dies scheint mir ein wichtiger Aspekt zu sein. Die Übergabe der Daten war also die einzige und alleine Hauptpflicht des Verkäufers.

Zudem begründet das OLG sein Urteil auf einem weiteren Argument:

Der Vertrag verpflichte die Parteien darüber hinaus „systematisch“ zu einem unlauteren wettbewerbswidrigen Verhalten, so dass auch deshalb von einer Gesamtnichtigkeit auszugehen sei.

Hier bezieht sich das OLG auf die Vorgaben des § 7 Abs. 2 Nr. 3 UWG für eine Zusendung von Werbe-E-Mails. Die dafür erforderliche Einwilligung lag nicht vor.

Aufgrund dieser Begründung kann man z.B. darüber nachdenken, ob allein ein Verstoß gegen das BDSG auch zu demselben Ergebnis geführt hätte.

Zuletzt verweigert das OLG den Vertragsparteien dann auch Rückabwicklung bzw. die Rückzahlung des Kaufpreises. Zwar sei der Verkäufer durch den Kaufpreis bereichert. Es bestehe aber kein Rückzahlungsanspruch, da beide Vertragsparteien vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.

Zumindest für Unternehmen, die ebenfalls mit Adressdaten agieren oder diese generieren und veräußern, ist dieses Urteil von hoher Relevanz. Denn wenn der Käufer Pech hat, bleibt er auf nicht nutzbaren Daten sitzen und erhält den gezahlten Preis nicht zurück. Welche konkreten Folgen jedoch im Ergebnis aus dem Urteil auch auf andere Fälle, neben jenen des Adresshandels, übertragbar erscheint, ist, dass Verstöße gegen gesetzliche Datenschutzvorgaben das Risiko einer Unwirksamkeit des Vertrages über Daten bergen. Es lässt sich durchaus darüber nachdenken, diese Auffassung auch auf andere Vertragskonstellationen, bei denen es gerade nicht allein um den Kauf von Adressdaten geht, zu übertragen. So kann man etwa an Verträge über den Kauf von Daten für interne Analysezwecke oder zur Effektivierung eigener Produkte oder Dienstleistungen denken.

ePrivacy Verordnung: Mitgliedstaaten sollen über opt-in oder opt-out für den Einsatz von Cookies für Werbezwecke entscheiden

Im Rat der Europäischen Union wird zwischen den Mitgliedstaaten weiter über den Entwurf der ePrivacy Verordnung diskutiert (mein älterer Beitrag hierzu). Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacyVO soll die geltende ePrivacy-Richtlinie ersetzt werden.

Nun hat die Ratspräsidentschaft ein aktuelles Sachstandspapier (pdf) vom 11.1.2018 zu noch offen diskutierten Themen veröffentlicht, in dem sie die Mitgliedstaaten dazu auffordert, Stellungnahmen zu verschiedenen Lösungsvorschlägen abzugeben. Betroffene Themen sind u.a. ganz allgemein das Verhältnis der ePrivacyVO zur EU Datenschutz-Grundverordnung, die Regulierung der Maschine-Maschine-Kommunikation, die Anforderungen an Software (Browser, Apps) aber natürlich auch die zukünftigen rechtlichen Anforderungen zum Zugriff auf Informationen oder das Ablegen von Informationen in Endgeräten der Nutzer. Also insbesondere der Einsatz von Cookies und anderen Trackingtechnologien für werbliche Zwecke.

Sowohl der Entwurf der Kommission als auch die Entschließung des Europäischen Parlaments zur ePrivacyVO sahen in Art. 8 Abs. 1 dem Grunde nach keine Möglichkeit vor, Informationen auf Endgeräten abzulegen oder auf Informationen in Endgeräten von Nutzern für rein werbliche Zwecke (z.B. Onlinewerbung) zuzugreifen, ohne dass die Einwilligung des Nutzers vorliegt.

Die Ratspräsidentschaft bittet in dem aktuellen Diskussionspapier nun um Stellungnahmen der Delegationen zu der Frage, ob Art. 8 Abs. 1 in der Hinsicht angepasst werden sollte, dass ein Erlaubnistatbestand aufgenommen wird, der, auf der Grundlage berechtigter Interessen und dem Recht des Betroffenen auf Widerspruch, Unternehmen die Möglichkeit eröffnet, Cookies und andere Technologien für werbliche Zwecke einzusetzen. Es geht hier also um die Frage, ob eine Interessenabwägung auch im Bereich des Zugriffs auf Informationen in oder das Ablegen von Informationen (wie Cookies) auf Endgeräte als Erlaubnistatbestand Einzug in die ePrivacyVO halten soll. Sollte dieser Vorschlag Zuspruch finden, dürfte diese Änderung sicherlich noch für Diskussionen im (wohl für Herbst bzw. Ende 2018 geplanten) Trilog zwischen Kommission, Parlament und Rat sorgen.

Europäische Kommission: Vereinigtes Königreich ist ab dem 30.3.2019 ein Drittland – Handlungsbedarf für Unternehmen

Die Europäische Kommission hat in einer Mitteilung (pdf) vom 9.1.2018 bestätigt, wovon die meisten Beobachter ohnehin bereits ausgegangen sind. Ab dem 30.3.2019 ist das Vereinigte Königreich aufgrund seines erklärten Austritts aus der Europäischen Union als „Drittland“ im Sinne der dann geltenden EU Datenschutz-Grundverordnung (DSGVO) zu behandeln. Datenschutzrechtlich betrachtet steht das Vereinigte Königreich dann auf einer Stufe mit Ländern wie USA, China oder auch Russland, für die kein Angemessenheitsbeschluss der Europäischen Kommission zum Schutzniveau für personenbezogene Daten existiert.

Die nun vorliegende schriftliche Klarstellung der Kommission macht deutlich, dass es keine automatische Anerkennung des Datenschutzniveaus im Vereinigten Königreich nach dem Austritt geben wird. Manch einer mag gehofft haben, dass das Schutzniveau des Datenschutzrechts im Vereinigten Königreich quasi automatisch als angemessen angesehen wird, da ja zumindest bis zum Austritt aus der Union auch dort die DSGVO gilt. Einem solchen Automatismus erteilt die Kommission jedoch eine Absage. Gegen die automatische Anerkennung des Schutzniveaus spricht im Übrigen auch der veränderte Prüfungsmaßstab der Kommission, wenn sie die Angemessenheit des Schutzniveaus nach Art. 45 Abs. 2 DSGVO prüft. Denn sie muss dann auch nationale Rechtsvorschriften in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten prüfen (Art. 45 Abs. 2 lit. a) DSGVO). Solange das Vereinigte Königreich aber Mitglied der Europäischen Union ist, ist die Frage der nationalen Sicherheit aber der Kompetenz der Kommission entzogen.

Zu Recht macht die Kommission in ihrer Mitteilung auf die Konsequenzen für Unternehmen aufmerksam, wenn diese personenbezogene Daten auch nach dem Stichtag an Stellen im Vereinigten Königreich übermitteln möchten. Für die Zulässigkeit solcher Übermittlungen müssen bestimmte Voraussetzungen erfüllt werden, die in den Art. 44 ff DSGVO näher beschrieben sind. Mangels eines Angemessenheitsbeschlusses der Kommission (Art. 45 DSGVO) werden für Unternehmen also vor allem die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) DSGVO, jetzige EU Standardvertragsklauseln) eine wichtige Rolle spielen. Diese Verträge sind dann mit Unternehmen im Vereinigten Königreich abzuschließen.

Daneben kommen in Zukunft unter der DSGVO auch weitere Instrumente, wie etwa genehmigte Verhaltensregeln oder genehmigte Zertifizierungsmechanismen als Grundlage für eine Übermittlung in Betracht.

Unternehmen in der Europäischen Union müssen sich also innerhalb des nächsten Jahres darum kümmern, Datenübermittlungen in das Vereinigte Königreich aus rechtssichere Füße zu stellen.

Datenschutz-Grundverordnung in der Arztpraxis – Fragebogen der Datenschutzbehörde zur Praxisorganisation

Die ab dem 25.5.2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO) gilt nicht nur für große, internationale Unternehmen. Auch mittelständische Betriebe und Selbstständige müssen sich mit den, teilweise neuen, Vorgaben zum Umgang mit personenbezogenen Daten befassen. In Deutschland kommen zudem die Regelungen des ebenfalls ab dem 25.5.2018 geltenden neuen Bundesdatenschutzgesetzes hinzu.

Der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern hat Ende 2017 einen Fragebogen (pdf) an zufällig ausgewählte Arztpraxen versendet, in dem er die Erfüllung verschiedenster Anforderungen der DSGVO abfragt. Die Ergebnisse der Befragung sollen der Behörde helfen, den Beratungsbedarf bei Arztpraxen einzuschätzen.

Arztpraxen (aber selbstverständlich auch andere datenverarbeitende Stellen) sollten sich, auch wenn sie den Fragebogen nicht selbst erhalten haben, mit den Fragen auseinandersetzen und für sich prüfen, ob sie entsprechende Antworten geben könnten. Die Fragen der Behörde stellen eine erste Richtungsvorgabe dafür dar, was Unternehmen ab dem 25.5.2018 für Anfragen von Seiten der Aufsichtsbehörden erwarten könnten und welche Regelungsbereiche der DSGVO aus Sicht der Behörde besondere Relevanz haben.

Klage gegen das EU US Privacy Shield gescheitert: Digital Rights Ireland verliert vor dem Europäischen Gerichtshof

Verschnaufpause für Datentransfers an Unternehmen in die USA. Digital Rights Ireland, eine Gesellschaft aus Irland, die sich mit der Förderung und dem Schutz der Bürger- und Menschenrechte, insbesondere in der Welt der modernen Kommunikationstechnologien, befasst, ist mit ihrer Nichtigkeitsklage (Art. 263 AEUV) vor dem Gerichtshof der Europäischen Union (hier das „Gericht“) in der Rechtssache T-670/16 gegen den Beschluss der EU Kommission zum EU US Privacy Shield gescheitert. Das Gericht entschied am 22.11.2017 per Beschluss, dass die Klage unzulässig ist, da es der Klägerin an der Klagebefugnis mangelt.

Bereits in meinem ersten Beitrag zu der Klage (hier im Blog), habe ich Zweifel an der Zulässigkeit der Klage geäußert.

Im Fall der hier eingelegten Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV ist im Rahmen der Zulässigkeit, konkret bei der Klagebefugnis, zu berücksichtigen, dass zwar natürliche oder juristische Person eine solche Klage erheben können. Jedoch nur dann, wenn es sich um an sie gerichteten oder sie unmittelbar und individuell betreffenden Handlungen sowie gegen Rechtsakte mit Verordnungscharakter, die sie unmittelbar betreffen und keine Durchführungsmaßnahmen nach sich ziehen, handelt. Die 1. Alternative schallt im Fall der Angemessenheitsentscheidung der Europäischen Kommission aus. Denn der Beschluss ist nicht an natürliche oder juristische Person in den Mitgliedstaaten gerichtet, sondern an die Mitgliedstaaten selbst (vgl. Art. 6 des Beschlusses). Digital Rights Ireland Ltd wird also vor allem darlegen müssen, dass sich bei dem Beschluss um eine sie „unmittelbar und individuell betreffende Handlung“ der Europäischen Kommission handelt.

Zum einen weist das Gericht hier nun darauf hin, dass die noch geltende Datenschutz-Richtlinie 95/46/EG nur die personenbezogenen Daten natürlicher Personen erfasst; nicht jedoch Daten von juristischen Personen, wie hier Digital Rights Ireland. Die Klägerin kann daher schon keine Rechtsverletzung geltend machen.

Zum anderen schränke der Beschluss der EU Kommission zum EU US Privacy Shield nicht die Rechte der Klägerin als juristische Person und datenschutzrechtlich verantwortliche Stelle ein. Das Privacy Shield verpflichtet vielmehr amerikanische Unternehmen, an die Daten übermittelt werden sollen. Europäische datenverarbeitende Stellen erhalten vielmehr die Befugnis, auf der Grundlage des EU US Privacy Shield Daten an diese Unternehmen zu versenden.

Soweit es die Rechte der Unterstützter der Klägerin betrifft, weist das Gericht darauf hin, dass Art. 263 AEUV und das EU Recht keine Möglichkeit für Klagen im Namen des öffentlichen Interesses vorsieht.

Zuletzt berief sich Digital Rights Ireland unverständlicherweise auf die erst ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung und den Art. 80 DSGVO. Dieser sieht die Möglichkeit für Mitgliedstaaten vor, eine Verbandsklagebefugnis zu schaffen. Das Gericht macht es hier kurz: die DSGVO ist noch nicht anwendbar.

Der Beschluss des Gerichts kommt nicht völlig überraschend. Zu beachten ist, dass eine ähnliche Klage im Verfahren T-738/16 anhängig ist. Auch dort klagen Vereinigungen und nicht einzelne Personen. Daher dürfte auch dort die Frage der Unzulässigkeit aufkommen.

Das EU US Privacy Shield wird also zunächst einmal weiter Bestand haben.

Stand der Verhandlungen zur ePrivacy-Verordnung im Rat – u.a. Cookies, Browser & DSGVO

Zum aktuellen Verhandlungsstand der ePrivacy-Verordnung (ePrivacyVO) im Rat der EU wurde nun ein Sachstandsbericht der Präsidentschaft vom 17.11.2017 veröffentlicht (pdf). Nachfolgend einige Hinweise zu dem Bericht.

Verhältnis zur Datenschutz-Grundverordnung

Es wurden Änderungen im Text aufgenommen, mit denen klargestellt werden soll, dass die ePrivacy-Verordnung (ePrivacyVO) als lex specialis zur DSGVO gelten soll, aber nur, soweit personenbezogene Daten natürlicher Personen betroffen sind. Die ePrivacyVO wird auch für juristische Personen gilt. Die DSGVO jedoch nicht; Regeln der DSGVO sollen aber dann auch für juristische Personen anwendbar sein, wenn die ePrivacyVO darauf Bezug nimmt.

Zudem wurde auch an der Einwilligung in der ePrivacyVO gearbeitet; auch hier vor dem Hintergrund, dass in der ePrivacyVO auch juristische Personen (bzw. für sie handelnde Personen) eine Einwilligung erteilen können. Dies soll, nach Aussage der Kommission, aber im nationalen Recht geregelt werden.

Maschine-Maschine-Kommunikation

Die Mitgliedstaaten äußerten Kritik zur geplanten Anwendung der ePrivacyVO auf die Kommunikationen zwischen Maschinen. Die Präsidentschaft schlägt hier eine Unterscheidung entsprechend den Anpassungen an der Richtlinie über den europäischen Kodex für die elektronische Kommunikation vor. Die Anwendungsebene soll nicht in den Anwendungsbereich der ePrivacyVO fallen.

Aufsichtsbehörden

Zwar sollen die Datenschutzaufsichtsbehörden weiterhin zuständig sein für die Überwachung und Durchsetzung des Kapitels II der ePrivacyVO. Jedoch möchte die Präsidentschaft den Mitgliedstaaten die Möglichkeit geben, andere Aufsichtsbehörden für die Überwachung der Vorgaben des Kapitel III zu benennen.

Grundlagen der Verarbeitung (auch Erlaubnis in Bezug auf Cookies etc.)

Es wird festgestellt, das weiterer Beratungsbedarf bei der Frage besteht, ob in der ePrivacyVO zusätzliche Erlaubnistatbestände zum zulässigen Umgang mit elektronischen Kommunikationsdaten aufgenommen werden sollen. Explizit wird auch auf weiterhin erforderlichen Arbeitsaufwand beim Thema „Endgeräte“ der Nutzer und den Einsatz von Cookies hingewiesen. Mitgliedstaaten sprachen sich für eine Balance zwischen dem Schutz der Privatsphäre der Nutzer und den legitimen Geschäftsmodellen aus. In diesem Zusammenhang soll auch die mögliche Rolle und der Einfluss von Browsern und Privatsphäreeinstellungen noch genauer untersucht werden, bevor überhaupt weiter konkret am Text der ePrivacyVO gearbeitet werden kann.

Landesarbeitsgericht: Weitergabe von Entgeltlisten an den Betriebsrat auch unter der DSGVO zulässig

Das Landesarbeitsgericht (LAG) Hamm hat in einer Entscheidung (Beschl. v. 19.9.2017 – 7 TaBV 43/17) zum Einsichtsrecht des Betriebsrates in Bruttoentgeltlisten in einem Nebensatz auch Feststellungen zur Zulässigkeit der Weitergabe personenbezogener Daten vom Arbeitsgeber an den Betriebsrat gemacht.

In dem Fall stritt der Betriebsrat in einem Klinikum mit der Arbeitgeberin über den Umfang des Einsichtsrechts in Bruttoentgeltlisten. Die Arbeitgeberin stellte nur anonymisierte Listen zur Verfügung, da der Betriebsrat ihrer Ansicht nach für die Wahrnehmung seiner Aufgaben nicht die Angabe der Namen der Beschäftigten benötigte. Maßgeblich ging es um die Vorschrift des § 80 Abs. 2 S. 2 2. HS BetrVG. Dieser lautet:

Dem Betriebsrat sind auf Verlangen jederzeit die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen; in diesem Rahmen ist der Betriebsausschuss oder ein nach § 28 gebildeter Ausschuss berechtigt, in die Listen über die Bruttolöhne und -gehälter Einblick zu nehmen.

Das LAG stellte, nach Ausführungen zur Reichweite und dem Inhalt des § 80 Abs. 2 S. 2 2. HS BetrVG fest, dass dem Anspruch des Betriebsrates zur Einsichtnahme durch den Betriebsausschuss gemäß § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG auch datenschutzrechtliche Belange nicht entgegenstünden. Das LAG verwies dazu auf die Entscheidung des Bundesarbeitsgerichts vom 14.01.2014 (1 ABR 54/12),

wonach es sich bei dem Einsichtsrecht in die Bruttogehaltslisten um eine nach § 32 Abs. 1 BDSG zulässige Form der Datennutzung handelt.

Dort entscheid das BAG, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten nach § 32 Abs. 3 BDSG durch die nach § 32 Abs. 1 BDSG erlaubte Datennutzung nicht berührt werden. Das BAG bezieht sich hier auf die Datennutzung innerhalb einer verantwortlichen Stelle (dem Arbeitgeber). Nach der Respr. des BAG und der hM in der Literatur ist der Betriebsrat nämlich Teil der verantwortlichen Stelle und vor allem nicht Dritter. Das BAG:

Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar.

Sehrwohl stellt die Weitergabe aber eine Nutzung von personenbezogenen Daten dar. Ob diese Auffassung zur Einordnung des Betriebsrates auch unter Geltung der Datenschutz-Grundverordnung (DSGVO) ab dem 25.5.2018 so beibehalten werden kann, wird derzeit diskutiert. Zum Teil wird davon ausgegangen, dass der Betriebsrat als eigener Verantwortlicher anzusehen ist und daher auch selbst rechtlichen Pflichten der DSGVO nachkommen muss (Gola, in: Gola, DS-GVO, 2017, Art. 4 Rn. 55; Selk, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 88 Rn. 166 ff.). Im neuen § 26 Abs. 1 BDSG 2018 sieht der deutsche Gesetzgeber ausdrücklich vor, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Bislang fehlte eine ausdrückliche Regelung für die Frage der Zulässigkeit der Übermittlung von Daten an die Interessenvertretung der Beschäftigten. Der Verantwortliche darf in Zukunft auf der Grundlage von § 26 Abs. 1 S. 1 BDSG 2018 Daten an Betriebs- oder Personalräte weitergeben, soweit dies gesetzlich vorgesehen und erforderlich ist (Piltz, BDSG, 2018, § 26 Rn. 49 ff.). Meines Erachtens spricht diese Regelung klar dafür, dass der Gesetzgeber den Betriebsrat selbst als Verantwortlichen ansieht.

Im vorliegenden Beschluss bezog sich das LAG auch noch direkt auf die DSGVO. Das LAG geht davon aus, dass sich bei der Frage der Zulässigkeit der Weitergabe der Daten an den Betriebsrat

auch aus den Erwägungen und dem Wortlaut zur Datenschutzgrundverordnung…keine abweichende Beurteilung ergeben kann, da Art. 6 DSGVO insofern beschreibt, dass eine Datenverarbeitung rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Datenverarbeitung Verantwortliche unterliegt. Dies ist der Fall, wie oben ausgeführt.

Zu beachten, dass das LAG hier leider etwas vage bleibt, welche Verarbeitungsphase denn konkret gemeint ist. Da es sich jedoch auf eine rechtliche Pflicht (und damit Art. 6 Abs. 1 lit. c) DSGVO) bezieht, dürfte es die Phase der Bereitstellung und Weitergabe der Arbeitgeberin avisiert haben. Denn diese ist nach § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG rechtlich verpflichtet. Der Betriebsrat selbst hat ein Recht auf Einsicht. Auf den Umgang mit den Daten durch den Betriebsrat selbst scheint sich das LAG hier nicht zu beziehen.

Ist die Datenschutz-Grundverordnung doch schon anwendbar? Zwei Gerichte sagen: ja.

Liest man sich den Art. 99 Abs. 2 DSGVO durch, ist eigentlich dem ersten Anschein nach klar, dass der Gesetzgeber den datenverarbeitenden Stellen (mögen diese nun öffentliche oder nichtöffentliche Stellen sein) und auch den nationalen Gesetzgebern eine Frist von 2 Jahren einräumen wollte, um den Anforderungen der DSGVO gerecht zu werden.

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Sie gilt ab dem 25. Mai 2018.

Die DSGVO und ihre Vorgaben sind also erst ab dem 25.5.2018 anwendbar. Im Sommer diesen Jahres hob genau aus diesem Grund das Verwaltungsgericht Karlsruhe eine Verfügung der Datenschutzbehörde in Baden-Württemberg auf (hierzu mein Blogbeitrag). Das Verwaltungsgericht (VG) Karlsruhe entschied (Urt. v. 6.7.2017 – 10 K 7698/16), dass die DSGVO

erst ab 25.5.2018 Gültigkeit beanspruchen wird.

Doch zwei weitere Entscheidungen von deutschen Gerichten machen nun stutzig. Sowohl das VG Wiesbaden (Beschluss v. 21.9.2017 – 6 L 3805/17.WI.A) als auch das Finanzgericht (FG) Düsseldorf (Beschluss v. 9.8.2017 – 4 K 1404/17) gehen davon aus, dass die DSGVO bereits jetzt durch deutsche Behörden anzuwenden und zu beachten ist. In beiden Fällen gehen die Gerichte ausdrücklich von Datenschutzverstößen von Behörden gegen die Vorgaben der DSGVO aus.

Das VG Wiesbaden entschied, dass das Bundesamt für Migration und Flüchtlinge (BAMF) unzulässigerweise eine Markierung zu einer Person zum Zwecke eines Asylbescheides nutzte. Die Datenmarkierung ist ein technischer Vorgang zur Sicherung der Datenqualität. Die Markierung ist aber kein Datum, welches zu speichern und zu übermitteln ist. Das VG stellt hier auf einen Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO ab. Die Nutzung der Markierung durch das BAMF bedürfte gemäß Art. 6 Abs. 3 lit. a) DSGVO einer Rechtsgrundlage, die die Zwecke, für die die personenbezogenen Daten verarbeitet werden dürfen, festlegt. Eine solche existiere nicht.

Doch wie kommt das VG hier überhaupt dazu, die DSGVO als anwendbar anzusehen und Verstöße des BAMF gegen die Artikel der DSGVO festzustellen?

Das VG verweist hierfür auf eine Entscheidung des FG Düsseldorf und damit auch auf eine dort ebenfalls zitierte Entscheidung des EuGH (Urteil v. 18.12.1997, C-129/96).

Die DSGVO ist am 25.05.2016 in Kraft getreten und gilt ab dem 25.05.2018 (Art. 99 Abs. 2 DSGVO. Die Verordnung ist daher auf das vorliegende Verfahren anzuwenden. Denn der Gesetzgebungsakt entfaltet vom Zeitpunkt seiner Bekanntgabe an Rechtswirkungen (EuGH, Urteil v. 18.12.1997, Az. C-129/96 – zur Richtlinienumsetzung, was im Falle einer Verordnung jedoch erst recht gelten muss; so FG Düsseldorf, Beschluss vom 09.08.2017, Az. 4 K 1404/17.Z – nach Juris).

Da die für das BMAF maßgebliche EURODAC-VO (VO (EU) 603/2013) auf die noch gültige RL 95/46/EG verweist, die DSGVO in Art. 94 Abs. 2 wiederum aber vorschreibt, dass Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, so dass die EURODAC-VO im Einklang mit den Vorgaben der DSGVO stehen muss.

Dies mit der Folge, dass die Datenschutzgrundverordnung insoweit immer ergänzend heranzuziehen ist.

Im Ergebnis dieselbe Argumentation verfolgt das FG Düsseldorf in seiner Entscheidung. Das FG Düsseldorf verweist auch auf das obige Urteil des EuGH. Die referenzierte Randnummer 41 lautet:

Sodann werden nach Artikel 191 Absatz 2 EWG-Vertrag, der auf den im Ausgangsverfahren maßgebenden Zeitraum Anwendung findet, die “Richtlinien und Entscheidungen … denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam”. Aus dieser Vorschrift ergibt sich, daß eine Richtlinie gegenüber dem Mitgliedstaat, an den sie gerichtet ist, schon vom Zeitpunkt ihrer Bekanntgabe an Rechtswirkungen entfaltet.

Meines Erachtens sind beide Entscheidungen des VG Wiesbaden und des FG Düsseldorf nicht richtig.

Beide Gerichte referenzieren auf ein Urteil des EuGH vom 18.12.1997. Ebenfalls begründen beide deutschen Gerichte ihre Entscheidung damit, dass zwar der EuGH zu einer Richtlinie entschied, aber dies müsse ja erst recht für eine Verordnung wie die DSGVO gelten.

Beide Gerichte verkennen jedoch, dass der EuGH sich hier auf eine Vorschrift stützt (Art. 191 EWG-Vertrag), die so nicht mehr existiert. Dort hieß es:

Die Richtlinien und Entscheidungen werden denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam.

Die Nachfolgevorschrift ist Art. 297 AEUV. Diese ist inhaltlich viel detaillierter und anders aufgebaut. Art. 297 AEUV regelt die Unterzeichnung, Veröffentlichung, Bekanntgabe und das Inkrafttreten der Gesetzgebungsakte sowie der Rechtsakte ohne Gesetzescharakter. Die Vorschrift geht zwar u.a. auf Art. 191 EWG-Vertrag zurück, der jedoch erheblich ausgedehnt wurden. Die ursprüngliche Fassung des Art. 191 EWG-Vertrag sah lediglich eine Veröffentlichungspflicht für Verordnungen und eine Bekanntgabepflicht für Richtlinien und Entscheidungen vor (GHN/Krajewski/Rösslein AEUV Art. 297 Rn. 1).

Art. 297 AEUV unterscheidet aber nun zwischen Rechtsakten mit und ohne Gesetzescharakter. Diese Unterscheidung traf Art. 191 EWG-Vertrag nicht. Für die DSGVO, als Verordnung und damit Gesetzgebungsakt, sieht Art. 297 Abs. 1 AEUV keine Bekanntgabepflicht vor. Für die DSGVO hat die Frage der Bekanntgabe also gar keine Relevanz. Der Verweis der deutschen Gerichte geht hier fehl.  Die DSGVO entfaltet also gerade noch keine unmittelbare Rechtswirkung, auf die sich Betroffene, Unternehmen oder auch wie hier Behörden stützten könnten. Mit Inkrafttreten wird die DSGVO zwar Bestandteil des Unionsrechts. Nach Art. 92 Abs. 2 DSGVO darf die Europäische Kommission ab dem Inkrafttreten etwa auch ihre Befugnis zum Erlass delegierter Rechtsakte ausüben. Die DSGVO ist aber eben noch nicht unmittelbar im Mitgliedstaat anwendbar.

Dies ergibt sich auch aus der Systematik der DSGVO selbst. Nach Art. 94 Abs. 1 DSGVO wird die Richtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Würde die DSGVO jetzt für datenverarbeitende Stellen schon Vorgaben machen, hätte diese Regelung keinen Sinn. Denn dann würden derzeit dem Grunde nach zwei europäische Regelungssysteme parallel und im Anwendungsbereich überlappend den Schutz personenbezogener Daten regeln. Im Ergebnis würde auch die in Art. 99 DSGVO etablierte Übergangsfrist von zwei Jahren keinen Sinn machen, wenn man davon ausgeht, dass die DSGVO bereits jetzt unmittelbar anwendbar wäre.

Die Entscheidungen des VG Wiesbaden und des FG Düsseldorf sind kritisch zu sehen und abzulehnen.

Datenschutzbehörde in Niedersachsen veröffentlicht Fragenkatalog zur Datenschutz-Grundverordnung

In etwas mehr als 6 Monaten ist die EU Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Für datenverarbeitende Stellen, agieren sie nun als Verantwortlicher oder Auftragsverarbeiter, bleibt daher nicht mehr viel Zeit, um die eigenen Verarbeitungsprozesse auf ihre Konformität mit der DSGVO zu prüfen und entsprechend anzupassen.

Ähnlich wie bereits zuvor das BayLDA, veröffentlicht nun die Aufsichtsbehörde in Niedersachsen einen an Unternehmen gerichteten Fragenkatalog zur Umsetzung verschiedenster Anforderungen der DSGVO (Fragenkatalog des BayLDA, pdf; Fragenkatalog der LfDI Niedersachsen, pdf). Der ergänzenden Information nach soll der Fragenkatalog zwar nur “kleinen oder mittelständischen Unternehmen Hilfestellung” geben. Meines Erachtens sind die gestellten Fragen aber genauso für große Konzerne oder etwa auch privatwirtschaftliche Vereine relevant.

Die LfDI Niedersachsen weist erläuternd darauf hin, dass die Fragen zugleich Anhaltspunkte geben,

worauf wir bei zukünftigen Prüfungen besonderen Wert legen werden.

Vor allem Unternehmen mit Sitz in Niedersachsen sollten daher den Fragenkatalog der LfDI abarbeiten und prüfen, in welchen Bereichen evtl. noch Handlungsbedarf besteht.

Sowohl in der beratenden Praxis als auch auf Veranstaltungen wird häufig die Frage aufgeworfen, welche Themenschwerpunkte der DSGVO bei der Umsetzung ihrer Anforderungen aus Sicht der Aufsichtsbehörden denn insbesondere adressiert werden sollten bzw. welche möglichen Prüfungsinhalte in Zukunft auf Unternehmen zukommen könnten. Beide Fragebögen bieten meines Erachtens einen guten Überblick und ersten Anhaltspunkt zur Beantwortung dieser Fragen. Daher ist die Veröffentlichung der Fragebogen sicher zu grüßen. Natürlich sollte man im Hinterkopf behalten, dass die Fragebögen nicht jegliche Eventualität und Besonderheiten eines Einzelfalles berücksichtigen.

 

Keine starren Löschfristen unter der EU Datenschutz-Grundverordnung

Anders als derzeit in § 35 Abs. 2 S. 2 Nr. 4 BDSG vorgeschrieben, wird es im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) zumindest dem Grunde nach keine starren Löschfristen mehr für personenbezogene Daten geben. Auch das neue, ab dem 25.5.2018 anwendbare, BDSG sieht keine fixen Löschfristen vor.

Nach § 35 Abs. 2 S. 2 Nr. 4 BDSG sind personenbezogene Daten zu löschen, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. Diese Vorgaben betreffen vor allem Auskunfteien.

Bereits im Juli dieses Jahres entschied das VG Karlsruhe (Urt. v. 6.7.2017 – 10 K 7698/16) in einem Verfahren zwischen der Aufsichtsbehörde in Baden-Württemberg und einer Auskunftei, dass sich die künftige Prüf- und Löschpraxis der Auskunfteien am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e DSGVO messen lassen muss, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet (hierzu mein Beitrag). Innerhalb des vorhandenen Spielraums sei eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig.

Auch das Bayerische Staatsministerium des Inneren geht in einer nun veröffentlichen Antwort auf eine schriftliche Anfrage im Landtag davon aus, dass unter der DSGVO die Frage der Löschung von Daten nicht mit starren Fristen, sondern vom Ergebnis einer Interessenabwägung und Erforderlichkeitsbewertung abhängt (LT Drs. 17/17777, pdf).

Das Staatsministerium geht davon aus, dass mit Geltung der DSGVO keine unmittelbar aus dem Gesetz bzw. der Verordnung ableitbare starre Frist mehr gilt.

Die zulässige Speicherdauer ist damit künftig im Rahmen einer Interessenabwägung nach Art. 6 Abs.1 Buchst. f DSGVO zu bestimmen.

Diese Ansicht stützt die Regierung zudem auf eine Einschätzung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Das BayLDA teilte auf Nachfrage mit, dass es die geltende dreijährige Löschfrist auch unter Geltung der DSGVO für sachgerecht halte und allenfalls anstrebe, ihren Ablauf künftig taggenau berechnen zu lassen.

Hinzuweisen ist darauf, dass Löschfristen in Zukunft aber vor allem noch im öffentlichen Sektor eine Rolle spielen können; insbesondere wenn die Löschung in bereichsspezifischen Datenschutzregelungen und auf der Grundlage der Öffnungsklauseln der DSGVO vorgesehen ist. Solche Neuregelungen in spezifischen Bereichen hat der Bundestag bereits im Sommer 2017, relativ unbemerkt von der Öffentlichkeit, beschlossen (hierzu mein Blogbeitrag). So wird etwa in § 29c Abs. 1 AO vorgesehen, dass Daten nach Beendigung einer bestimmten Maßnahme innerhalb eines Jahres gelöscht werden müssen. Diese Änderung tritt am 25.5.2018 in Kraft.