Berliner Datenschutzbehörde: Risiken bei Betroffenenanfragen an no-reply Adressen und in Ticket- oder CRM-Systemen

In ihrem aktuellen Jahresbericht 2020 (pdf) bespricht die Datenschutzbehörde aus Berlin einen sehr praxisrelevanten Aspekt der Erfüllung von Betroffenenanfragen, etwa in Bezug auf Löschung oder Auskunft (ab S. 164). Es geht um die Frage, ob Verantwortliche Anfragen auf jeglichem Kommunikationskanal beachten und bearbeiten müssen oder ob man Betroffene auf einen speziellen Datenschutzkontakt verweisen darf?

Die Ansicht der Berliner Behörde ist sehr klar: Verantwortliche müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

No-reply Adressen – ein DSGVO-Problem

Hauptargument der Behörde ist die Vorgabe des Art. 12 Abs. 2 DSGVO. Danach ist der Verantwortliche verpflichtet, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 zu erleichtern. Zudem verweist die Behörde auf die allgemeine Verantwortlichkeitsvorschrift des Art. 24 DSGVO. Die Behörde geht davon aus, dass Verantwortliche durch technisch-organisatorische Maßnahmen sicherstellen müsse,

dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“

Speziell in Bezug auf sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, geht die Behörde davon aus, dass jedenfalls dann ein datenschutzrechtliches Problem bestehe,

wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden“.

Interessant hierbei ist, dass die Behörde also nicht verlangt, dass die Anfrage tatsächlich bearbeitet wird, wenn zumindest in der E-Mail an den Betroffenen deutlich gemacht wird, an welche Adresse sie sich bei Datenschutzfragen wenden können. Zumindest verstehe ich die Aussage der Behörde oben so, quasi als Minimum-Anforderung.

Genau im Satz danach wird die Ansicht der Behörde dann aber doch wieder scheinbar strenger:

„Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen“.

Meiner Ansicht nach wiedersprechen sich die beiden zitierten Ansichten jedoch nicht unbedingt. Die Behörde verlangt grundsätzlich, das Betroffenenanfragen stets bearbeitet werden. Alles andere wäre ja auch überraschend. Geht es um den speziellen Fall einer no-reply Adresse, die deutlich als solche erkennbar ist und in der eine Alternative für Datenschutzanfragen angegeben wird, scheint die Behörde aber zumindest die von der DSGVO geforderte „Erleichterung“ als erfüllt anzusehen. Ich verstehe die Behörde so, dass es vor allem problematisch ist, wenn Betroffene nicht erkennen können, dass der von ihnen gewählte Kanal nicht bearbeitet wird und ihnen auch keine Alternative deutlich erkennbar angeboten wird.

Ticket- und CRM-Systeme

Interessant sind dann auch noch die Ansichten der Behörde zur Bearbeitung von Betroffenenanfragen in Ticket- oder CRM-Systemen, wie sie in der Praxis fast überall zum Einsatz kommen.

Die Behörde verweist darauf, dass bei der Nutzung von Ticket- oder CRM-Systemen darauf zu achten sei,

dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können“.

Bedeutet etwa bei Auskunftsanfragen, dass auch Personen, die keine Kunden sind, eine Negativauskunft zu erteilen ist.

Zudem berichtet die Behörde von einem Fall, in dem im Verlauf der Kommunikation zwischen dem Kundenservice und einer betroffenen Person irgendwann auch das Datenschutzteam in Kopie genommen wird, das verwendete CRM-System aber auf solche Konstellationen nicht eingestellt sei. In diesem Fall wurde dann wohl eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kundenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, wusste aber auch nicht um die Problematik der fehlenden automatischen Weiterleitung an das Datenschutzteam.

Insgesamt zeigt der Bericht der Datenschutzbehörde, dass Anfragen von Betroffenen immer Ernst genommen und intern schnell der zuständigen Abteilung weitergeleitet werden müssen. Wichtig hierbei ist auch eine entsprechende Sensibilisierung der Mitarbeiter, insb. Über Schulungen, interne FAQ-Seiten oder ähnliches.

Online-Terminvereinbarung in Arztpraxen – Anforderungen des ULD

In seinem aktuellen Tätigkeitsbericht 2021 stellt das ULD Schleswig-Holstein u.a. auch seine Ansicht zu den datenschutzrechtlichen Anforderungen beim Einsatz von Terminbuchungssoftware bzw. -dienstleistern im medizinischen Bereich vor (ab S. 52).

Zum Ersten stört sich das ULD daran, dass zwar eine Terminbuchung auf einer solchen Plattform verschlüsselt möglich ist, jedoch die Antwort oft unverschlüsselt erfolgt. Ich vermute, dass ULD meint hier vor allem eine auf Webseiten eingesetzte TLS-Verschlüsselung bei der Übertragung der Daten. Jedoch merkt das ULD kritisch an, dass die Antwort per unverschlüsselter E-Mail an Patienten erfolge. Nach Ansicht des ULD genügt dies wohl nicht den Anforderungen des Art. 32 DSGVO (richtig deutlich wird es im Bericht aber nicht).

Praktisch relevant für Arztpraxen und andere Institutionen im Gesundheitsbereich ist der Hinweis des ULD, dass die „Verantwortung“ für die sichere Übermittlung der Arzt trage.

„Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass Unbefugte keine Kenntnis davon erhalten, wann wer warum in der Praxis einen Termin hat.“

An dieser Feststellung ist sicher richtig, dass der Arzt oder etwa ein Krankenhaus als Verantwortlicher nach Art. 32 DSGVO verpflichtet ist. Doch muss man auch darauf hinweisen, dass ein eingesetzter Auftragsverarbeiter (z.B. der Dienstleister für die Buchung von Online-Terminen) originäre Pflichten nach Art. 32 DSGVO bzgl. der Sicherheit der Verarbeitung hat. In der Konsequenz bedeutet dies nach Art. 82 Abs. 2 S. 2 DSGVO auch, dass ein Auftragsverarbeiter gegenüber Betroffenen selbst für Verstöße auf Schadensersatz haften kann. Natürlich könnte aber etwa das ULD dennoch überlegen, in einem solchen Fall ein Bußgeld gegen den Verantwortlichen zu verhängen, etwa mit der Begründung, er habe den Dienstleister nicht ordentlich ausgewählt oder die technischen Maßnahmen des Dienstleisters akzeptiert.

Zum Zweiten geht das ULD davon aus, dass der Einsatz solcher externen Dienstleister für Terminbuchungen „regelhaft“ eine Auftragsverarbeitung darstellen wird. Und hieraus ergeben sich für das ULD zwei Anforderungen, die ich so jedoch aus der DSGVO nicht herauslese und hinsichtlich derer man daher zumindest auch anderer Ansicht sein kann.

Zum einen verlangt das ULD tatsächlich, dass „ein schriftlicher Auftragsverarbeitungsvertrag abgeschlossen wurde“. Nur dann sei die Auftragsverarbeitung zulässig. Diese Ansicht widerspricht klar den Vorgaben der DSGVO, konkret Art. 28 Abs. 9 DSGVO. Danach ist der Vertrag zwar schriftlich abzufassen, was aber auch in einem elektronischen Format erfolgen kann. Bedeutet (auch nach Ansicht anderer Behörden): Auftragsverarbeitungsverträge können auch elektronisch (zB per PDF und E-Mail Versand) abgeschlossen werden.

Zum anderen verlangt das ULD, dass die bei dem Dienstleister tätigen Personen „auf das Datengeheimnis verpflichtet“ wurden. Zumindest formell muss diesbezüglich angemerkt werden, dass die DSGVO den Begriff „Datengeheimnis“ nicht kennt. Nach Art. 28 Abs. 3 lit. b DSGVO müssen bei dem Dienstleister tätige Personen auf Vertraulichkeit verpflichtet worden sein. Jedoch kann man festhalten, dass sich der Inhalt des früheren Datengeheimnisses nach § 5 BDSG aF, also das Verbot der unrechtmäßigen Verarbeitung, in verschiedenen Regelungen der DSGVO wiederfindet. Mehr Informationen und Empfehlungen hierzu, hatte ich einmal in den BVD News niedergeschrieben (PDF, S. 16). Das in § 53 BDSG erwähnte „Datengeheimnis“ spielt hier keine Rolle, da die Vorschrift eine Umsetzung der JIRL darstellt und nicht in den Anwendungsbereich der DSGVO fällt.

Bundesdatenschutzbeauftragter zur Anonymisierung: Rechtsgrundlage und DSFA erforderlich

In seinem kürzlich veröffentlichten Tätigkeitsbericht (PDF), geht der BfDI auch auf den durch ihn initiierten Konsultationsprozess zum Thema der Anonymisierung von personenbezogenen Daten und damit zusammenhängenden datenschutzrechtlichen Anforderungen ein.

Wie wir wissen, lässt die DSGVO den Rechtsanwender leider nur mit wenigen Informationen zur Anonymisierung zurück. In ErwG 26 DSGVO wird erwähnt, dass die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Mehr gibt die DSGVO leider nicht her. Daher war der durch den BfDI angestoßene Prozess zu begrüßen.

Nachfolgend möchte ich einige praxisrelevante Ansichten des BfDI darstellen.

Zum einen spricht sich die Aufsichtsbehörde klar dafür aus, dass jede Anonymisierung eine Verarbeitung personenbezogener Daten darstellt

„und bedarf deshalb einer Rechtsgrundlage“.

S. 72

Interessant sind die Aussagen des BfDI zu den Rechtsgrundlagen. Zwar kommt grundsätzlich jede der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände in Betracht. Nach Ansicht des BfDI hätten aber vor allem die Einwilligung (!) und die Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO in Verbindung mit der ursprünglichen Rechtsgrundlage Relevanz. Diese Ansicht hat mich doch etwas erstaunt. Zum einen würde ich in der Praxis eigentlich immer auf die Einwilligung verzichten, wenn es möglich ist. Warum? Die zum Teil sehr formellen Anforderungen sind (je nach Auslegung) wahnsinnig hoch. Meiner Erfahrung nach kann eine Anonymisierung zB auch sehr gut auf Art. 6 Abs. 1 lit. c DSGVO oder eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO gestützt werden.

Zum anderen war ich (positiv) von der Ansicht des BfDI überrascht, dass er eine zweckändernde Verarbeitung auf die ursprüngliche Rechtsgrundlage stützt. Das ist ein durchaus diskutiertes Thema in der Literatur und auch bei den Behörden; u.a. mit dem Argument, dass der entsprechende Hinwies in ErwG 50 DSGVO ein Versehen (im Sinne eines Restes der Verhandlungen) sei. Der BfDI geht aber genau auf diesen ErwG ein. Bedeutet: diese Ansicht des BfDI gilt nicht nur exklusiv für eine Anonymisierung und datenverarbeitende Stellen sollten diese Position im Hinterkopf behalten.

Daneben ist meines Erachtens die Ansicht des BfDI von besonderer Praxisrelevanz, dass vor einer Anonymisierung

„grundsätzlich eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchzuführen“

S. 72

ist. Für Unternehmen bedeutet dies vor allem eines: Aufwand.

Ein Beispiel, welches sicher des Öfteren zutrifft: Software- oder sonstige Produkthersteller möchten personenbezogene Daten anonymisieren, bevor sie diese für Zwecke der statistischen Analyse zur Fehlersuche oder Produktverbesserung nutzen. Der BfDI begründet seine Ansicht u.a. damit, dass bei einer Anonymisierung der Verantwortliche regelmäßig davon ausgehen müsse, dass voraussichtlich ein hohes Risiko besteht. Das liege daran, dass in der Regel eine „Verarbeitung in großem Umfang“ stattfindet und die jeweilige Anonymisierungstechnik dem Begriff der neuen Technologien unterfällt. Damit verweist die Behörde wohl auf die durch den EDSA aufgestellten Kriterien zum Erfordernis einer DSFA (nach Ansicht der Behörden muss bei Erfüllung von zwei oder mehr Kriterien eine DSFA durchgeführt werden). Gesetzlich zwingend vorgesehen, ist die DSFA im Fall der Anonymisierung freilich nicht. Es ist etwa in der DSGVO schon gar nicht definiert, wann eine Verarbeitung „in großem Umfang“ vorliegt. Daher sollten Unternehmen stets für die von ihnen geplante Form der Anonymisierung prüfen, ob wirklich eine DSFA erforderlich ist. Hierfür bietet sich eine sog. Schwellwertanalyse an.

Urteil: DSGVO-Rechenschaftspflicht entbindet Aufsichtsbehörde nicht von eigener Prüfung und Sachverhaltsermittlung

Eine Neuerung der DSGVO ist die bekannte Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO, obwohl man auch ehrlich zugeben muss, dass niemand so genau weiß, wie diese in der Praxis konkret umzusetzen ist. Möglich ist sicher eine umfassende Dokumentation und die Einführung eines Datenschutz-Managements. Die Vorschrift selbst lässt aber großen Spielraum für andere Spielarten des Nachweises.

Zuweilen wird auch darüber diskutiert, ob denn mit der Rechenschaftspflicht eine Art Beweislastumkehr für Verantwortliche einhergeht. Dass diese also nachweisen müssten, dass keine Verletzung der DSGVO vorliegt. Insbesondere aus Behördensicht wäre eine solche Auslegung des Art. 5 Abs. 2 DSGVO natürlich immens vorteilhaft, da die Aufsichtsbehörde „nur“ die Nachweise anfordern müsste, aus denen die DSGVO-Compliance hervorgehen müsste.

In einem Urteil aus Dezember 2020 hat sich das Verwaltungsgericht Mainz (Urt. v. 17.12.2020, 1 K 778/19.MZ) zumindest kurz mit dieser Frage beschäftigt und eine für datenverarbeitende Unternehmen eher positive Position eingenommen. Das Urteil wurde in der Datenschutz-Community v.a. wegen des materiellen Kerns des Rechtsstreits, nämlich zur Frage einer Verschlüsselungspflicht bei E-Mails, diskutiert. Ich möchte hier aber auf den, meines Erachtens wirklich sehr relevanten Aspekt des Umfangs der Rechenschaftspflicht und eine daneben weiter existierende Ermittlungspflicht der Datenschutzbehörden eingehen.  

In dem Verfahren erteilte die Datenschutzbehörde Rheinland-Pfalz dem Kläger eine Verwarnung, weil dieser personenbezogene Daten ohne ein dem Risiko angemessenes Schutzniveau verarbeitet habe. Zur Begründung führte die Behörde aus, dass ein Verstoß gegen Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO vorliege. Der Versand per unverschlüsselter E-Mail biete keine ausreichende Sicherheit für Nachrichten, die sensible Informationen enthielten.

Hiergegen klagte der betroffene Rechtsanwalt und das Gericht hob den Bescheid der Datenschutzbehörde auf.

Das VG stellt fest, dass nicht davon auszugehen gewesen sei, dass es sich jedenfalls um derart schutzbedürftige Datenverarbeitungsvorgänge handelte, bei denen für die tatsächlich erfolgte Art der Versendung im Einzelfall kein angemessenes Schutzniveau gewährleistet war.

Und nun eine erste interessante Aussage: „Allein die pauschale subjektive Einschätzung des Beklagten im Bescheid vom 14. August 2019, dass es sich um „sensible“ Informationen handle, kann hier nicht den seinerseits angenommenen erhöhten Schutzbedarf rechtfertigen“.

Bedeutet: nur weil die Behörde davon ausgeht, dass es sich um besonders schützenswerte Daten handelt, muss dies objektiv betrachtet nicht wirklich so sein. Dies bezog sich hier konkret auf die Sensibilität von Daten (und das erforderliche Schutzniveau), kann aber meines Erachtens auch für andere Tatbestandsmerkmal in der DSGVO angewendet werden.

Das VG sieht durchaus, dass es die Rechenschaftspflicht gibt. So ist der Kläger gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung der Voraussetzungen des Art. 32 Abs. 1 DSGVO nachweispflichtig. Und dann kommt die zweite wichtige Aussage:

allerdings entbindet dies die beklagte Aufsichtsbehörde nicht davon, ihre Auffassung – auf Grundlage der (nachgewiesenen) Angaben des Verantwortlichen und sonstiger Ermittlungen – nachvollziehbar darzulegen, warum im Einzelfall das angemessene Schutzniveau durch die entsprechenden Maßnahmen nicht gewahrt war. Es hätte zudem für den Beklagten im Rahmen der Amtsermittlung naheliegen müssen, das entsprechende Schreiben des Klägers schon im Verwaltungsverfahren anzufordern“.

Das Gericht stellt zum einen fest, dass allein die Rechenschaftspflicht nicht dazu führt, dass die Behörde auf eigene Ermittlungen verzichten darf, um ihre rechtliche Position nachvollziehbar begründen zu können. Dies bedeutet, dass mithin Nachweise aus der Rechenschaftspflicht natürlich verwendet werden können. Dennoch aber auch eigene Ermittlungen bzw. Gründe für die Behördenansicht darzulegen sind.

Und zum anderen verweist das Gericht auf den verwaltungsrechtlichen Amtsermittlungsgrundsatz, der ebenfalls unabhängig von der Rechenschaftspflicht besteht.

Insgesamt also aus Sicht der datenverarbeitenden Unternehmen eine interessante Entscheidung, die im Grunde zeigt, dass Behördenansichten erst einmal auch „nur“ Ansichten sind, die aber auch nachvollziehbar begründet werden müssen. Für verwaltungsrechtliche Auseinandersetzungen ist dies einer von mehreren wichtigen Aspekten, auf die Unternehmen bei einer Verteidigung achten sollten.

Französische Datenschutzbehörde: Rechtliche Anforderungen beim Einsatz von Chatbots

Die französische Datenschutzbehörde (CNIL) hat auf ihrer Webseite Hinweise zum datenschutzkonformen Einsatz von Chatbots auf Webseiten oder in Apps veröffentlicht (Französisch).

Die Ansichten und Vorgaben der CNIL, finde ich erfreulich pragmatisch und gut umsetzbar. Nachfolgend eine kleine Zusammenfassung auf Grund einer inoffiziellen Übersetzung.

Einsatz von Cookies

Um einen Chatbot auf einer Webseite zu betreiben, werden häufig Cookies eingesetzt. Sei es, um den Chat seitenübergreifend anzeigen oder den Chatverlauf auch im Nachgang speichern zu können. Wie wir wissen, gelten bei dem Einsatz von Cookies per se die Vorgaben der RL 2002/58/EG, also Art. 5 Abs. 3. Soweit nachgelagert mit personenbezogenen Daten umgegangen wird, dürfte die DSGVO zu beachten sein.

Die CNIL verlangt für den Einsatz von Cookies bei dem Einsatz von Chatbots (meines Erachtens zurecht) nicht immer eine Einwilligung. Wenn Cookies vor Aktivierung durch den Besucher bzw. Nutzer gesetzt werden sollen, ist eine Einwilligung erforderlich.

Wenn aber das Cookie erst abgelegt wird, wenn der Benutzer den Chatbot aktiviert (z. B. durch Anklicken des zuvor angezeigten Konversationsfensters oder durch Anklicken einer Schaltfläche, die explizit das Öffnen des Chatbots auslöst), ist keine Einwilligung erforderlich. Denn dann greift die Ausnahme nach Art. 5 Abs. 3 S. 2 RL 2002/58/EG. Die Speicherung des Cookies ist dann „für die Bereitstellung eines Online-Kommunikationsdienstes auf ausdrücklichen Wunsch des Nutzers unbedingt erforderlich“ und bedarf nicht der Einwilligung.

Wie lange können die über den Chatbot gesammelten Daten aufbewahrt werden?

Im Grundsatz gilt, wie immer: die Daten müssen/dürfen so lange aufbewahrt werden, wie es für die Erreichung des festgelegten Zwecks der Verarbeitung erforderlich ist.

Die CNIL schlägt eine Differenzierung vor:

  • solche Fälle, in denen die Daten gelöscht werden sollten, sobald die Konversation beendet ist (wie im Fall eines Chatbots, der bei dem Abschluss eines Kaufvertrages unterstützt)
  • und Fälle, in denen der für die Datenverarbeitung Verantwortliche die Daten legitimerweise für einen längeren Zeitraum aufbewahren kann (z. B. für eine Reklamation über ein gekauftes Produkt, also z.B. für die Dauer der Gewährleistungsfristen).

Was tun bei der Erfassung sensibler Daten (z.B. Gesundheitsdaten)?

Sehr interessant ist die Ansicht der CNIL zu der Situation, wenn der Verantwortliche über den Chatbot besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) „aufgedrängt“ erhält, obwohl er diese gar nicht angefragt hat. Meines Erachtens kann die Auffassung der CNIL auch abstrahiert auf andere Fälle Anwendung finden (Bsp: Bewerbungsverfahren).

Sollten besondere Kategorien von Daten durch den Nutzer in dem Chatbot eingegeben werden, sind nach Ansicht der CNIL die Ausnahmevorschriften nach Art. 9 Abs. 2 DSGVO zu beachten. Wenn es um aktiv angefragte Daten geht (z. B. mit dem Chatbot eines Dienstes zur Unterstützung sexueller oder gesundheitsbezogener Minderheiten), kann etwa eine Einwilligung eingeholt werden oder die Verarbeitung darf auf Grundlage der Ausnahme nach Art. 9 Abs. 2 lit. g DSGVO erfolgen, wenn die Verarbeitung aus einem wichtigen Grund des öffentlichen Interesses erforderlich ist.

Sollte der Verantwortliche die sensiblen Daten jedoch nicht angefragt haben, so geht die CNIL davon aus, dass Verantwortliche nicht verpflichtet sind, die vorherige Einwilligung der Benutzer einzuholen. Eine aus meiner Sicht richtige Auffassung. Gleichzeitig verlangt die CNIL dann, dass der Verantwortliche aber intern Maßnahmen umsetzen muss, um die Risiken für die Rechte und Freiheiten des Einzelnen zu minimieren:

  • indem vor jeder Nutzung des Chatbots eine Warnung/Information angezeigt wird, die dazu auffordert, von der Kommunikation sensibler Daten abzusehen;
  • durch Einrichtung eines internen Systems zur sofortigen oder zumindest regelmäßigen Löschung, da die Aufbewahrung solcher sensiblen Daten nicht erforderlich ist.

Beide von der CNIL angedachten Maßnahmen halte ich für nachvollziehbar und praktisch auch gut umsetzbar.

Drittstaatentransfers: Deutsche Behörden planen Begutachtung der Rechtslage in den USA und Stichprobenprüfung bei Unternehmen

Kürzlich wurde das Protokoll der 100. Sitzung der DSK im Internet veröffentlicht (pdf).

Neben anderen praxisrelevanten Themen haben sich die deutschen Datenschutzbehörden in ihrer Sitzung Ende November 2020 auch mit Umsetzung der Vorgaben des EuGH aus dem Schrems —Urteil befasst (siehe Top 22).

So hat die Behörde aus Berlin vorgeschlagen, „hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen“. Wichtig ist der Behörde ein gemeinsames Vorgehen der Aufsichtsbehörden zur Umsetzung des Urteils. Laut dem Protokoll soll nun der DSK-Vorsitz ein Umlaufverfahren hinsichtlich der Beauftragung eines Gutachtens sowie dessen Finanzierung einzuleiten.

Die Initiative aus Berlin ist meines Erachtens durchaus praxisrelevant. Zum Teil wird ja sowohl dem EuGH als auch den Aufsichtsbehörden vorgehalten, sich nicht genauer mit der Rechtslage in den USA befasst zu haben. Dieses Argument kann auch bei der rechtlichen Beurteilung von Schutzmaßnahmen, die man ergänzend zu EU-Standarddatenschutzklauseln vereinbart, Bedeutung haben. Denn der Exporteur in der EU soll ja nach dem Urteil des EuGH (mit Unterstützung des Importeurs) beurteilen, wie sich die Rechtslage in dem jeweiligen Drittland in Bezug auf den Importeur und durch diesen verarbeitete Daten auswirkt.

Eventuell ist nun von Behördenseite angedacht, diese „Lücke“ zu schließen und, zumindest auf Behördenseite, eine Begutachtung der Rechtslage in den USA stets verfügbar zu haben. Für Unternehmen, die sich z.B. in einem Prüfverfahren mit der Behörde befinden, kann dies etwa auch dazu führen, dass sie sich gegen Aussagen aus dem Gutachten verteidigen bzw. diese entkräften müssen, wenn die Aufsichtsbehörde das Gutachten zur Grundlage ihrer Argumentation macht.

Wie beschrieben, soll aber nun erst einmal innerhalb der DSK abgefragt werden, ob die Behörden ein solches Gutachten in Auftrag geben möchten.  

In diesem Zusammenhang enthält das Protokoll einen weiteren wichtigen Hinweis: die Datenschutzbehörde aus Hamburg ergänzt in der Sitzung, „dass Stichproben mit Hilfe eines abgestimmten Fragebogens hinsichtlich der Umsetzung des Schrems II-Urteil bei Verantwortlichen durchgeführt werden sollen“. Die Aufsichtsbehörden solle einzeln über eine Teilnahme an dieser Abfrage entscheiden.

Nach meiner Kenntnis, liegt ein innerhalb der DSK abgestimmter Fragebogen zur Prüfung von Drittstaatentransfers aktuell noch nicht vor. Dies schließt freilich nicht aus, dass etwa die Behörde aus Hamburg, wie im Protokoll angekündigt, auch selbstständig entsprechende Prüfungen startet. Letzte Anmerkung dazu: die Prüfung soll bei „Verantwortlichen“ durchgeführt werden. Also wohl nicht bei Dienstleistern mit Sitz in der EU, die Daten in Drittländer übermitteln.  

Kein Prozess zur regelmäßigen Prüfung von Sicherheitsmaßnahmen: 460.000 EUR Bußgeld

Die polnische Datenschutzbehörde (UODO) hat ein durchaus beachtliches Bußgeld gegen ein Unternehmen verhängt, welches nach Ansicht der UODO gegen den Datenschutzgrundsatz der Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verstoßen hatte.

Insgesamt wurde ein Bußgeld in Höhe von 460.000 EUR verhängt. Konkret beanstandet die Behörde, dass das Unternehmen keine ausreichenden technischen und vor allem organisatorische Maßnahmen zum Schutz personenbezogener Daten umgesetzt hatte. Bemängelt wurde insbesondere ein unzureichender Prozess der Prüfung und ggfs. Anpassung bereits vorhandener Schutzmaßnahmen.

Nach Art. 5 Abs. 1 lit. f DSGVO dürfen personenbezogene Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Die Einhaltung dieses Grundsatzes muss der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Zudem möchte ich auch noch auf die allgemein gültige Vorgabe des Art. 24 Abs. 1 DSGVO hinweisen (auch wenn ein Verstoß gegen Art. 24 DSGVO selbst nicht bußgeldbewährt ist), die in andere Vorschriften ausstrahlen. Danach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Und wichtig: „Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert“.

Genau dieser Aspekt wurde von der UODO moniert.

Nach den Schilderungen in der Mitteilung wurden von dem Unternehmen keine Tests durchgeführt, um die Sicherheitsmaßnahmen in Bezug auf die Übertragung von Daten zwischen Anwendungen, die mit der Betreuung von Käufern von Prepaid-Diensten zusammenhängen, zu überprüfen. Darüber hinaus wurde die mit dem Datenaustausch in diesen Systemen verbundene Schwachstelle von einer unbefugten Person genutzt, um Daten von einigen Kunden des Unternehmens abzuziehen.

Zudem führte das Unternehmen keine regelmäßigen und umfassenden Tests und Bewertungen der Effektivität der angewandten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der verarbeiteten Daten durch. Diesbezügliche Aktivitäten wurden nur bei Verdacht auf eine Schwachstelle oder im Zusammenhang mit organisatorischen Änderungen durchgeführt.

Diese organisatorische Ausgestaltung des Prüfprozesses der Sicherheitsmaßnahmen bewertete die Behörde als ungenügend. Der Vorwurf der Behörde richtet sich hier also vor allem auf eine ungenügende organisatorische Ausgestaltung des Datenschutzmanagement.

Für Unternehmen ergeben sich aus den oben genannten Vorschriften also nicht nur einmalige Pflichten zur Umsetzung von Sicherheitsmaßnahmen. Erforderlich ist auch die Einführung und Umsetzung eines Prozesses zur regelmäßigen Validierung der Maßnahmen. Dieser Prozess darf zudem nicht nur dann in Gang gesetzt werden, wenn „etwas passiert“, sondern muss regelmäßig erfolgen.

DSGVO-Bußgeld ohne Sachverhaltsermittlung?

Heute hat die Niedersächsische Datenschutzbehörde bekannt gegeben, dass sie ein Bußgeld in Höhe von über 10 Mio Euro gegen die notebooksbilliger.de AG verhängt hat. Inhaltlich soll es um eine länger andauernde Videoüberwachung von Mitarbeitern gehen, die nach Ansicht der Behörde unzulässig erfolgte.

Das Unternehmen hat sich ebenfalls öffentlich zu dem Bußgeld geäußert und wird gegen den Bescheid vorgehen.

Ich möchte mich hier zu diesem konkreten Verfahren gar nicht äußern. Wir werden (sollte die LfD den Bescheid nicht aufheben) wohl sicher noch eine gerichtliche Entscheidung in dieser Sache erleben.

Auf welchen praxisrelevanten Aspekt ich hinweisen möchte, ist der Vorwurf von notebooksbilliger.de an die LfD, dass die Behörde nicht selbst vor Ort war und die Kamerasysteme in Augenschein genommen hat. Auf der Webseite des Unternehmens heißt es:

Zu keinem Zeitpunkt war das Videosystem darauf ausgerichtet, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Das von der Datenschutzbeauftragten suggerierte Klima der Furcht ist eine haltlose Unterstellung und gefährdet unseren Ruf.

Außerdem hat trotz mehrmaliger Einladung durch NBB kein Mitarbeiter der Behörde in den Lagern oder Versandzentren des Unternehmens mit Mitarbeitern gesprochen. Es wurde sich also weder ein Bild von den Kameras gemacht noch über Arbeitsprozesse und die Unternehmenskultur informiert“.

Untersuchungsgrundsatz nach VwVfG

Im Kern steht hier also der Vorwurf im Raum, dass die Aufsichtsbehörde ihre Pflicht zu Ermittlung des entscheidungserheblichen Sachverhalts (Untersuchungsgrundsatz, § 24 VwVfG) verletzt hat. Diese verwaltungsrechtliche Anforderung entstammt nicht dem Datenschutzrecht, aber ist selbstverständlich von den Datenschutzbehörden zu beachten. Daher ist dieser Aspekt (des möglicherweise anstehenden gerichtlichen Verfahrens) auch generell für Unternehmen von Bedeutung, wenn sie sich einer Untersuchung durch Datenschutzbehörden ausgesetzt sehen.

Es wird davon ausgegangen, dass die Ermittlung des entscheidungserheblichen Sachverhalts eine originäre Pflicht der zuständigen Behörde ist. Hierzu kann sie sich auch der Hilfe Dritter bedienen.

Speziell datenschutzrechtlich sieht die DSGVO eine Befugnis der Datenschutzbehörden vor, die mit der Pflicht zur Sachverhaltsermittlung korreliert. Nach Art. 58 Abs. 1 lit. f DSGVO ist die Datenschutzbehörde etwa befugt, nach dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. Diese Befugnis dient gerade dazu, eine Prüfung der Einhaltung der DSGVO vornehmen zu können.

Folge bei unterbliebener Ermittlung

Der Vorwurf des Unternehmens lautet hier, dass die Behörde nicht vor Ort war, um die Kameraanlage zu prüfen. Nun könnte man evtl. argumentieren, dass eine Inaugenscheinnahme nicht zwingend erforderlich ist, wenn man stattdessen Kamerapläne und weitere Beschreibungen oder Fotos erhält. Gerade bei dem Einsatz von Kameras erscheint meines Erachtens aber der persönliche Eindruck vor Ort durchaus von Relevanz zu sein. Nicht umsonst gibt es ja viele Urteile, die allein die Wirkung von Kameraattrappen ausreichen lassen, um eine Verletzung von Persönlichkeitsrechten anzunehmen.

Geht man davon aus, dass die Behörde den Untersuchungsgrundsatz aus § 24 VwVfG verletzt hat, muss man auf der Rechtsfolgenseite trennen.

Per se ist die mangelhafte Sachverhaltsermittlung nicht selbstständig anfechtbar, sondern nur bei einem Vorgehen gegen die Sachentscheidung (§ 44a VwGO).

Bei fehlender oder mangelhafter Aufklärung des Sachverhalts liegt ein Verfahrensfehler in Bezug auf den jeweiligen Verwaltungsakt vor, der aber „nur“ zu einer formellen Rechtswidrigkeit führt. Eine Aufhebung kommt dann nur unter den gesteigerten Voraussetzungen des § 46 VwVfG in Betracht.

Aber, und dies ist für die materielle Rechtmäßigkeit der Entscheidung relevant: wenn der Sachverhalt mangelhaft ermittelt ist, kann sich dies bei einer Ermessensentscheidung auf die materielle Rechtmäßigkeit des Verwaltungsaktes auswirken. Aber: ein Ermessensfehler liegt grunsätzlich erst dann vor, wenn die Behörde tatsächlich vorhandene entscheidungserhebliche Gesichtspunkte außer acht gelassen oder falsch gewichtet hat.

Eine Entscheidung aus dem Datenschutzrecht (wenn auch noch zum BDSF aF) gibt es zu diesem Thema etwa vom VG Gelsenkirchen (Beschl. v. 14.10.2013 – 17 L 304/13). Dort wurde (im Eilverfahren) gegen einen Bescheid der Datenschutzbehörde NRW vorgegangen. Aus der Begründung des Gerichts:

Es ist anerkannt, dass die rechtsfehlerfreie Ermessensausübung als Grundlage einer Entscheidung die zutreffende und vollständige Sachverhaltsermittlung voraussetzt. Denn die Verwaltung kann ihren Entscheidungsfreiraum nur sachgerecht nutzen, wenn sie den wesentlichen Sachverhalt kennt“.

Und weiter:
Ermessensfehlerhaft sind daher Entscheidungen, wenn die Behörde von unzutreffenden tatsächlichen Voraussetzungen oder einer unvollständigen Sachverhaltsvorstellung ausgeht“.

In diesem Verfahren gab das Gericht dem Antragsteller recht und erkannte den Bescheid der Datenschutzbehörde bei summarischer Prüfung als materiell rechtswidrig an. Wegen Verstoßes gegen § 24 VwVfG und dessen Auswirkung auf die Ermessenentscheidung der Behörde.

Gemessen hieran begründen bereits die vorstehend angeführten Unklarheiten hinsichtlich des rechtlich relevanten Sachverhalts die Ermessensfehlerhaftigkeit des angefochtenen Bescheides“.

Auch die Verhängung eines Bußgeldes nach Art. 59 Abs. 2 lit. i, 83 DSGVO steht im Ermessen der Datenschutzbehörde (vgl. etwa VG Ansbach, Urt. v. 16.3.2020 – AN 14 K 19.00464).

Fazit

Sollte sich in einem gerichtlichen Verfahren wirklich herausstellen, dass hier der Untersuchungsgrundsatz nicht beachtet wurde, bestehen also durchaus Chancen dafür, dass der Bescheid der Behörde wegen Ermessensfehlerhaftigkeit aufgehoben wird. Unternehmen sollten diesen, zunächst evtl. rein förmlich anmutenden Aspekt, daher stets im Rahmen von behördlichen Verfahren beachten.  

Sächsische Datenschutzbehörde: keine Möglichkeit der Rechtsdurchsetzung gegenüber allein in Drittländern ansässigen Unternehmen

Am 22.12.2020 hat der Landesdatenschutzbeauftragte für Sachsen seinen neuesten Tätigkeitsbericht veröffentlicht (Berichtsjahr bis 31.12.2019, PDF). In einem kurzen Absatz erwähnt die Datenschutzbehörde dort auch ein praxisrelevantes und für die Durchsetzung der DSGVO seit Beginn der Arbeiten an dem Gesetz bekanntes Problem: die Durchsetzung der DSGVO gegenüber Unternehmen in Drittländern (S. 109).

Bekanntlich unterliegen sowohl Verantwortliche als auch Auftragsverarbeiter mit Sitz in Drittländern und ohne (!) Niederlassung in der EU unter gewissen Voraussetzungen der DSGVO. Meiner Meinung nach ist vielen Unternehmen, die aus Drittländern Dienstleistungen in der EU anbieten, überhaupt nicht bewusst, dass auch für sie die Regelungen der DSGVO gelten.

Die sächsische Behörde berichtet, dass bei ihr zahlreiche Beschwerden gegen Unternehmen mit Sitz außerhalb der Europäischen Union eingingen. Zwar sieht die DSGVO in einem solchen Fall, wenn also keine Niederlassung in der EU besteht, die Pflicht nach Art. 27 DSGVO vor, einen Vertreter in der EU zu benennen. Doch, ketzerisch gefragt, was passiert, wenn auch diese Pflicht nicht eingehalten wird? Wohl nichts, wie nun die Angaben der Behörde aus Sachsen zeigen.

Genau diese Miesere schildert die Behörde nämlich. Im Grunde gibt es in einer solchen Situation keine wirksame Durchsetzungsmöglichkeit europäischen Datenschutzrechts.

Soweit die Verantwortlichen kein Vertreter nach Artikel 27 DSGVO benannt haben, stellt sich die Einwirkung auf den Verantwortlichen in seiner Umsetzung als praktisch schwierig dar.“

Zwar merkt die Behörde an, dass soweit Maßnahmen gegenüber diesen Verantwortlichen ergriffen werden sollen, zwar eventuell ein Amtshilfeverfahren und ein Procedere auf dem diplomatischen Weg über die Außenvertretungen der Bundesrepublik Deutschland einzuleiten wäre.

Jedoch scheint dieser Weg für die Behörde praktisch nicht gangbar zu sein. Daher fasst die Datenschutzbehörde ihr derzeitiges Vorgehen wie folgt zusammen:

Aktuell teile ich den Beschwerdeführern mit, dass ich – in Ermangelung zwischenstaatlicher Vereinbarungen – keine Möglichkeiten sehe, meine Rechtspositionen bzw. Anordnungen durchzusetzen“.

Dieses Ergebnis ist meines Erachtens durchaus ernüchternd. Offenbart hier eine Behörde doch ungeschönt, dass sie keine Möglichkeit sieht, das europäische Recht (obwohl anwendbar) durchzusetzen. Meines Erachtens darf man in diesen Situationen aber nicht den Aufsichtsbehörden einen Vorwurf machen. Dieser Fehler einer effektiven Durchsetzung war von Angang an systematisch in der DSGVO angelegt und hängt natürlich eng mit dem (intendierten) sehr weiten räumlichen Anwendungsbereich der Verordnung zusammen.

Datenschutzbeauftragter als Unternehmensvertreter im Verwaltungsverfahren?

Die Stellung und Aufgaben des Datenschutzbeauftragten (DSB) sind ja bekanntlich in Artt. 38, 39 DSGVO festgelegt. Hierbei fokussiert sich das Gesetz natürlich auf datenschutzspezifische Themen, wie etwa die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter zu beraten oder auch als Anlaufstelle für die Datenschutzbehörde zu agieren.

Eine Rolle als Vertreter des Verantwortlichen oder Auftragsverarbeiters nach außen, insbesondere prozessual, ist dem DSB in der DSGVO eigentlich nicht angedacht. Zumindest wird hierauf nicht eingegangen und eigentlich mag man sogar davon ausgehen, dass der DSB eine solche Vertretung gegenüber Aufsichtsbehörden wegen seiner unabhängigen Stellung (Art. 38 Abs. 3 DSGVO) nicht einnimmt.

In diesem Zusammenhang bin ich bei der Analyse der aktuellen Entscheidung des EDSA in dem Verfahren der irischen Aufsichtsbehörde gegen Twitter auf einen sehr interessanten und meines Erachtens hoch praxisrelevanten Aspekt gestoßen.  Die Entscheidung des EDSA ist hier abrufbar und auch ansonsten lesenswert, handelt es sich doch auch um die erste bindende Entscheidung des EDSA in einem Streitbeilegungsverfahren nach Art. 65 DSGVO.

In der Beschreibung des Sachverhalts wird dort auch auf die Frage eingegangen, ob denn Twitter im Rahmen des durch die irische Datenschutzbehörde durchgeführten Verwaltungsverfahrens und der darauf folgenden Einleitung des Verfahrens nach Art. 65 DSGVO beim EDSA zuvor ordentlich angehört und beteiligt wurde. Achtung, es geht hier nicht um die Involvierung des DSB von Twitter an sich, sondern des Unternehmens in dem Verwaltungsverfahren selbst. Das Sekretariat des EDSA fragte hierzu bei der irischen Behörde an:


On 4 September 2020, the Secretariat contacted the IE SA with additional questions in order to confirm whether TIC has been given the opportunity to exercise its‘ right to be heard regarding all the documents that were submitted to the Board for making its decision. On 8 September 2020, the IE SA confirmed that it was the case and provided the documents to prove it”.

Die “IE SA” ist die irische Behörde. „TIC“ ist die Abkürzung für Twitter.

Das EDSA Sekretariat verweist zuvor als Begründung auf Art. 41 Abs. 2 lit. a der Charta der Grundrechte der Europäischen Union. Danach hat jede Person das Recht, gehört zu werden, bevor ihr gegenüber eine für sie nachteilige individuelle Maßnahme getroffen wird. In der Rechtsprechung des EuGH wird stets die Bedeutung des Rechts auf Anhörung und seinen sehr weiten Geltungsumfang in der Unionsrechtsordnung bekräftigt. Das Recht auf Anhörung garantiert jeder Person die Möglichkeit, im Verwaltungsverfahren, bevor ihr gegenüber eine für ihre Interessen nachteilige Entscheidung erlassen wird, sachdienlich und wirksam ihren Standpunkt vorzutragen (EuGH, Urt. v. 22.11.2012 – C-277/11).

Die irische Datenschutzbehörde hat nach den obigen Ausführungen in der Entscheidung Dokumente an den EDSA geleitet, aus denen sich ergibt, dass das Unternehmen in dem Verwaltungsverfahren ordentlich angehört wurde. Hierzu verweist der Beschluss des EDSA in Fußnote 13 auf folgende Information:
Amongst the documents sent by IE SA, there were emails from the Global DPO acknowledging receipt of the relevant documents”.

Der DSB von Twitter hat in dem Verfahren relevante Dokumente von der Behörde erhalten und deren Erhalt auch per E-Mail bestätigt.

Das bedeutet, dass der EDSA anscheinend für eine Anhörung in einem Verwaltungsverfahren auch die Kommunikation mit bzw. Adressierung des DSB, quasi als Vertreter des Unternehmens im Verwaltungsverfahren, als ausreichend ansieht.

In Deutschland kennen wir dieses Recht aus § 28 VwVfG. Danach sind es „Verfahrensbeteiligte“ iSv § 13 Abs. 1 und Abs. 2 bzw. deren Vertreter oder Bevollmächtigte (§ 14 VwVfG), denen das Recht auf Anhörung zusteht. Den DSB an sich würde man bei uns wohl nicht als Verfahrensbeteiligten oder Bevollmächtigten ansehen. Zumindest nicht ohne entsprechende Bevollmächtigung und von Sonderkonstellationen einer Anscheins- oder Duldungsvollmacht abgesehen. Würde sich die Ansicht des EDSA (basierend auf der Auslegung europäischen Rechts) durchsetzen, würde dies in der Praxis für Unternehmen bedeuten, dass eine Kommunikation mit der Aufsichtsbehörde intern auf jeden Fall klar strukturiert erfolgen muss. Denn im schlimmsten Fall haben interne Abteilungen wie Legal oder Compliance keine Kenntnis von der Kommunikation mit der Behörde, diese würde aber von einer ordentlichen Anhördung des Unternehmens ausgehen. Klingt für mich insgesamt auch nach einer spannenden Frage zum Verhältnis zwischen DSGVO (bzw. der Charta) und nationalem Verfahrensrecht.