Was ist eine „Verarbeitungstätigkeit“ im Sinne der DSGVO?

Der Verantwortliche hat nach Art. 30 Abs. 1 DSGVO ein Verzeichnis aller „Verarbeitungstätigkeiten“ zu führen. Möchte ein Unternehmen mit der Erstellung dieser wichtigen Übersicht beginnen, stellt sich unweigerlich die Frage, bis auf welche Detailtiefe diese „Verarbeitungstätigkeiten“ beschrieben werden müssen. Oder anders: was genau ist eine „Verarbeitungstätigkeit“?

Die Antwort auf diese Frage ist nicht nur für das Verzeichnis nach Art. 30 Abs. 1 DSGVO von Bedeutung. Auch andere Vorschriften verweisen auf Verarbeitungstätigkeiten, so etwa in Art. 28 Abs. 4 DSGVO: „um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen“.

Eine gesetzliche Definition des Begriffs findet sich in Art. 4 DSGVO nicht. Dort wird nur die „Verarbeitung“ definiert, als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Da die Verarbeitung als Begriff definiert wird, die DSGVO jedoch auch die Formulierung „Verarbeitungstätigkeit“ verwendet, wird man davon ausgehen können, dass es sich hierbei nicht um ein Synonym handelt. Ansonsten hätte der Gesetzgeber in Art. 30 Abs. 1 DSGVO auch einfach von „Verarbeitungen“ sprechen können.

LfDI Baden-Württemberg im aktuellen Tätigkeitsbericht

Der Landesbeauftragte aus Baden-Württemberg (LfDI BaWü) hat zu dieser wichtigen Frage in seinem neusten Tätigkeitsbericht (pdf)Stellung genommen (ab S. 11).

Als Verarbeitungstätigkeit wird im Allgemeinen ein spezieller, eigenständiger Geschäftsprozess verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.

Interessant hierbei ist, dass der LfDI die Verarbeitungstätigkeit durchaus mit einem Geschäftsprozess gleichsetzt und damit wohl von einem weit geringeren Detailierungsgrad, als bei einer Verarbeitung an sich (also etwa einer Erhebung oder einer Löschung von Daten), ausgeht. Denn ein Geschäftsprozess dürfte in der Praxis zumeist nicht nur eine Verarbeitung umfassen.

Relativierend wirkt dann jedoch der zweite Satz, dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Hier scheint der LfDI dann doch einen sehr engen Konnex zwischen einer Verarbeitung und einer Verarbeitungstätigkeit ziehen zu wollen.

Doch der LfDI gibt in seinem Tätigkeitsbericht noch weitere Kriterien für die Festlegung einer Verarbeitungstätigkeit vor.

Was konkret eine Verarbeitungstätigkeit ist, hängt vom jeweiligen Unternehmen ab. In einem kleinen Unternehmen mit wenigen Mitarbeitern kann z. B. die gesamte Personalverwaltung (inkl. Bewerbungsverfahren und Lohnabrechnung) als eine einzige Verarbeitungstätigkeit gesehen werden. Bei einem mittleren Unternehmen sollte eine stärkere Untergliederung stattfinden, z. B. in Personalgewinnung, Personaleinstellung, Verwaltung des aktuellen Personals, Beendigung der Arbeitsverhältnisse und ähnliche Verarbeitungstätigkeiten.

Der LfDI schlägt also vor, den Umfang einer Verarbeitungstätigkeit von der Größe des Unternehmens und damit wohl auch des Umfangs der innerhalb einer Verarbeitungstätigkeit vorgenommen Verarbeitungen abhängig zu machen. Die DSGVO knüpft den Begriff der Verarbeitungstätigkeit jedoch nicht an die Größe des Unternehmens.

Hinweise der DSK

Ganz ähnlich wie der LfDI verstehen den Begriff „Verarbeitungstätigkeit“ wohl auch die anderen deutschen Aufsichtsbehörden. In den Hinweisen (pdf)der DSK zum Verzeichnis von Verarbeitungstätigkeiten stellt die DSK fest:

Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.

Interessant ist der Unterschied zur Umschreibung durch den LfDI. In den Hinweisen der DSK wird zugestanden, dass der Geschäftsprozess auf einem geeigneten Abstraktionsniveau beschrieben werden kann.

Auch aus diesen Hinweisen geht aber hervor, dass die DSK den Begriff „Verarbeitungstätigkeit“ in enger Verbindung mit dem Zweck der Verarbeitung sieht. So wird in Bezug auf die Informationen zum Zweck der Verarbeitung festgestellt: Je Beschreibung einer Verarbeitungstätigkeit ist der Verarbeitungszweck zu dokumentieren, z. B. Personalaktenführung/Stammdaten, Lohn-, Gehalts- und Bezügeabrechnung, Arbeitszeiterfassung. In diesen Beispielen wird deutlich, dass die DSK davon ausgeht, dass eine Verarbeitungstätigkeit nicht allein eine Verarbeitung, sondern mehrere Verarbeitungen umfassen darf.

Beispiel für ein Verzeichnis des BayLDA

Betrachtet man daneben die vom Bayerischen Landesamt für Datenschutzaufsicht veröffentlichen Beispiele von Verzeichnisses nach Art. 30 Abs. 1 DSGVO, lässt jedoch wieder der Schluss ziehen, dass eine „Verarbeitungstätigkeit“ nicht zwingend mit einer Verarbeitung gleichzusetzen ist. So nennt das BayLDA in seinem Verzeichnis für Vereine (pdf) eine Verarbeitungstätigkeit etwa „Mitgliederverwaltung“. Es dürfte klar sein, dass die Mitgliederverwaltung nicht nur eine einzelne Verarbeitung umfasst, sondern viele verschiedene.

Fazit

Insgesamt wird man festhalten können, dass weder in der DSGVO noch in den Hinweisen der Aufsichtsbehörden absolut klar wird, was eine „Verarbeitungstätigkeit“ darstellt. Mir erscheint, als gemeinsame Schnittmenge der Hinweise und Informationen der Behörden, als auch mit Blick auf die Handhabbarkeit der Vorgaben des Art. 30 DSGVO, eine Interpretation sinnvoll, nach der mit einer „Verarbeitungstätigkeit“ sowohl die „Verarbeitungen“ (Art. 4 Nr. 2 DSGVO) als auch zusätzliche Informationen zu diesen Verarbeitungen, wie Zwecke und Kategorien der Daten umfasst sind. Der Zweck der Durchführung einer Verarbeitungstätigkeit (z.B.: Bewerbermanagement) hängt aber auch unweigerlich mit dem Zweck der einzelnen Verarbeitungen zusammen, wie dies der LfDI BaWü betont.

Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?

Eine zurzeit heiß diskutierte Frage ist, welche Rolle der Betriebsrat im Sinne des Datenschutzes im Unternehmen überhaupt einnimmt“. Mit dieser Feststellung leitet der Landesbeauftragte aus Baden-Württemberg (LfDI) in seinem aktuellen Tätigkeitsbericht (pdf, ab S. 37) das Kapitel „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ ein und liefert in der Überschrift direkt auch seine Antwort auf diese praxisrelevante Frage. Die Begründung des LfDI: Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.

Warum ist die Frage praxisrelevant? Sollte der Betriebsrat (bzw. eine Interessenvertretung der Arbeitnehmer) als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, würden sich hieraus viele Umsetzungsaufgaben innerhalb eines Unternehmens ergeben. Angefangen mit der Pflicht des Betriebsrates, ein eigenes Verzeichnis der Verarbeitungstätitgkeiten (Art. 30 DSGVO) zu führen, selbst die Informationspflichten (Art. 13 / 14 DSGVO) zu erfüllen, eventuell einen eigenen Datenschutzbeauftragten (Art. 37 DSGVO) zu benennen und natürlich etwa auch eine eigene Rechtsgrundlage für Datenverarbeitungen (Art. 6 Abs. 1 DSGVO) zu finden. Viele weitere Themen wären relevant, so etwa, ob nicht das Unternehmen und der Betriebsrat für bestimmte Verarbeitungen als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO) anzusehen sind.

Orientiert man sich an der bisherigen Respr. des Bundesarbeitsgerichts (BAG) zum alten Datenschutzrecht, würde man davon ausgehen, dass der Betriebsrat Teil des Verantwortlichen ist (BAG, Beschl. v. 14.1.2014 – 1 ABR 54/12). Im Zuge der Anwendbarkeit der DSGVO, ist diese Einordnung jedoch auf den juristischen Prüfstand gestellt worden.

Ein Urteil des BAG oder auch des Bundesverwaltungsgerichts oder gar des Europäischen Gerichtshofs zu dieser Frage steht noch aus. Jedoch haben sich in Deutschland bereits einige Gerichte mit der Thematik auseinandergesetzt. Das Ergebnis: es ist umstritten.

Nachfolgend möchte ich einen kleinen Überblick zu den Entscheidungen geben. Interessant daran ist, dass es fast immer um das Verlangen des Betriebsrates bzw. der Personalvertretung geht, Einsicht in nicht anonymisierte Entgelt- oder Gehaltslisten zu erhalten. Entscheidende betriebsverfassungsrechtliche Norm ist dann auch zumeist § 80 Abs. 2 BetrVG. Dabei kommen die Gerichte am Ende oft zu demselben Ergebnis. Auf dem Weg dorthin sind die Argumente, ob der Betriebsrat eigener Verantwortlicher ist, jedoch verschieden.

LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18

Das LAG Niedersachsen geht davon aus, dass dem Anspruch des Betriebsrats auf einen Blick in die Bruttoentgeltlisten datenschutzrechtliche Belange nicht entgegenstehen. Das LAG verweist auf § 26 Abs. 6 BDSG, in dem ausdrücklich klargestellt ist, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Solange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt – was oben bereits bejaht wurde – handelt es sich bei ihm nicht um einen „Dritten“ iSv Art. 4 Nummer 10 EU-DSGVO. Eine Rechtmäßigkeit der Datenverarbeitung ist hier nach Art. 6 I c) Euro-DSGVO gegeben, da die Einsichtnahme in die Bruttolohn- und gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat dient.

Schön finde ich ja den Hinweis auf die „Euro-DSGVO“. Um aber beim Thema zu bleiben: das LAG sieht den Betriebsrat nicht als „Dritten“ an; zumindest, solange er sich im Rahmen der Wahrnehmung gesetzlicher Aufgaben bewegt.

LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17

Auch das LAG Sachsen-Anhalt geht davon aus, dass dem durch den Betriebsrat verfolgten Anspruch des Betriebsausschusses zur Einsichtnahme gemäß § 80 Abs. 2 S. 2 2. Halbsatz BetrVG datenschutzrechtliche Belange nicht entgegenstehen.

Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.

Das LAG Sachsen-Anhalt vertritt mithin die Ansicht, dass der Betriebsrat als eigener Verantwortlicher innerhalb des Unternehmens anzusehen ist.

LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18

Im Verfahren vor dem LAG Hessen ging es, etwas abweichend, um die Auskunft darüber, an welche Arbeitnehmer mit Ausnahme leitender Angestellter Sonderzahlungen geleistet wurden. Das LAG begründet seine Entscheidung aber auch hier mit Art. 80 Abs. 2 BetrVG.

Nach Ansicht des LAG bestehen im Übrigen datenschutzrechtliche Bedenken auch deshalb nicht,

weil der Betriebsrat selbst Teil der verantwortlichen Stelle im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung ist.

Das LAG Hessen schlägt sich hier auf die Seite jener, die den Betriebsrat nicht selbst als Verantwortlichen ansehen. Weiter begründet das LAG Hessen:

Die Zurverfügungstellung der im Antrag genannten Informationen an den Betriebsrat stellt daher keine Weitergabe des Arbeitgebers an Dritte dar.

Umfassender als die anderen Gerichte befasst sich das LAG Hessen aber mit der Frage, welche Rechtsgrundlage für die Datenverarbeitung herangezogen werden kann. Das LAG geht davon aus, dass, soweit der Betriebsrat im Rahmen seiner ihm gesetzlich zugewiesenen Aufgaben handele,

die Verarbeitung dieser Daten nach Art. 6 Absatz 1c Datenschutzgrundverordnung rechtmäßig ist.

Zudem stellt das LAG fest, dass der Betriebsrat an das Datenschutzrecht gebunden ist. Aus dieser Formulierung könnte man nun doch eine andere Ansicht ableiten. Jedoch macht das LAG in seiner weiteren Begründung deutlich, dass es den Betriebsrat als Teil des Verantwortlichen (Arbeitgeber) ansieht. Nach dem LAG gestatte das Datenschutzrecht – wie sich aus Art. 6 Abs. 1 lit. c DSGVO ergebe – die Verarbeitung von Daten durch den Betriebsrat,

wenn der Arbeitgeber insoweit einer rechtlichen Verpflichtung, z.B. aus § 80 Absatz 2 BetrVG, unterliegt. Dies ist hier der Fall“. Das LAG rechnet folglich die Verarbeitung durch den Betriebsrat dem Arbeitgeber zu, der sich wiederum hierfür auf Art. 6 Abs. 1 lit. c) DSGVO berufen kann.

Zwischenergebnis in der Rechtsprechung: 2:1 für die Ansicht, dass der Betriebsrat Teil des Verantwortlichen ist.

LAG Düsseldorf, Beschl. v. 23.10.2018 – 8 TaBV 42/18

In dem Fall des LAG Düsseldorf ging um Ansprüche auf Vorlage von Gehaltslisten in elektronischer bzw. gedruckter Form. Die Parteien stritten darüber, ob der Betriebsrat neben der Einsichtnahme auch eine Überlassung der Entgeltlisten verlangen kann. Nach Auffassung des LAG kann der Betriebsrat weder die Übergabe der Entgeltlisten in elektronischer oder gedruckter Form, noch die Überlassung eines PC, auf dem die Listen gespeichert sind, noch die Gestellung zusätzlichen Büropersonals zwecks Schaffung einer „Abschreibemöglichkeit“ der Listen verlangen. Konkret ging es hier, etwas abweichend, um einen möglichen Anspruch aus dem EntgTranspG. Nach Ansicht des LAG räumt das EntgTranspG dem Betriebsrat seinem Wortlaut nach an keiner Stelle einen Überlassungsanspruch ein, vielmehr spreche 13 Abs. 2 S. 1 EntgTranspG von „hat das Recht einzusehen“.

Da das LAG hier diesen Anspruch ablehnte, musste es (leider) zu der datenschutzrechtlichen Frage keine Stellung mehr nehmen.

Ob die Überlassung von Entgeltlisten an Betriebsrat und Betriebsausschuss weiterhin auch aus datenschutzrechtlichen Gründen unzulässig ist, bedarf in Anbetracht des vorstehenden, klaren Auslegungsergebnisses keiner Erörterung.

BVerwG, Beschl. v. 19.12.2018 – 5 P 6.17

Bisher soweit ersichtlich noch kaum beachtet, hatte auch das Bundesverwaltungsrecht (BVerwG) die Möglichkeit, sich zu der Frage zu äußern, wie eine Personalvertretung datenschutzrechtlich einzuordnen ist. Die Entscheidung betraf jedoch, anders als die obigen Entscheidungen, den öffentlichen Bereich. Das BVerwG geht davon aus, dass der Bezirkspersonalrat im konkreten Fall einen Informationsanspruch hat, weil sein Informationsbegehren einen Aufgabenbezug aufweist und die beanspruchten Informationen nach Art und Umfang zur Aufgabenwahrnehmung erforderlich sind. Entscheidende Norman waren hier jene aus dem Landespersonalvertretungsgesetz Rheinland-Pfalz.

Das Verwaltungsgericht ist im Ergebnis auch zutreffend davon ausgegangen, dass Regelungen des Datenschutzrechts der streitgegenständlichen Informationsübermittlung nicht entgegenstehen.

Das BVerwG geht in seiner Begründung zum Datenschutzrecht zunächst auf die Rechtlage vor Anwendbarkeit der DSGVO ein. Bislang wurde als geklärt angesehen, dass die Datenübermittlung der Dienststelle an den Personalrat nicht den Bestimmungen der Datenschutzgesetze unterliegt, sondern die einschlägigen personalvertretungsgesetzlichen Anspruchsnormen die insoweit maßgeblichen bereichsspezifischen Rechtsgrundlagen im Sinne des Datenschutzrechts bilden. Zudem stünden die Persönlichkeitsrechte der Betroffenen der Einsichtnahme des Personalrats in Unterlagen, die personenbezogene Daten der Beschäftigten enthalten, nicht entgegen, wenn die Einsichtnahme unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf den zur Aufgabenerfüllung erforderlichen Umfang begrenzt ist.

Das BVerwG befasst sich sodann mit der Frage, ob diese Rechtslage mit dem Inkrafttreten der DSGVO, die als Verordnung in den Mitgliedstaaten unmittelbare Anwendung findet und keiner nationalen Umsetzung bedarf, eine Änderung erfahren hat. Das Gericht verweist hierfür auf Ansichten der Literatur, dass nunmehr mangels hinreichend spezifischer und damit vorrangiger Regelungen der Personalvertretungsgesetze die datenschutzrechtlichen Regelungen über die Verarbeitung bzw. Weitergabe von personenbezogenen Daten in Dienst- und Beschäftigungsverhältnissen anzuwenden seien, wenn die Dienststellenleitung personenbezogene Daten an die Personalvertretung übermittelt und diese dort genutzt werden.

Es geht mithin um die Frage, ob nicht, neben den personalvertretungsrechtlichen Vorschriften, auch datenschutzrechtliche Regelungen zu beachten sind. Dies hätte dann eventuell auch die Frage nach der Einordnung des Personalrates umfasst.

Jedoch lässt das BVerwG eine abschließende Entscheidung in dieser Sache ausdrücklich offen.

Denn jedenfalls führt die geforderte Prüfung im vorliegenden Fall nicht zu einem anderen Ergebnis als es bei der Prüfung der personalvertretungsrechtlichen Erforderlichkeitsprüfung erzielt worden ist.

Ausblick

Die Frage, wie die Personalvertretung innerhalb eines Unternehmens oder einer öffentlichen Stelle datenschutzrechtlich einzuordnen ist, ist daher weiterhin nicht abschließend entschieden. Wie oben erwähnt, kann man hinsichtlich der Respr. verschiedener LAG von einer leichten Tendenz zur alten Rechtslage (Teil des Verantwortlichen) ausgehen.

Bis eine finale Entscheidung in Deutschland oder gar durch den EuGH vorliegt, wird es sicher noch ein wenig dauern. Unabhängig von der Stellung der Personal- oder Interessenvertretung muss aber für die Praxis beachtet werden, dass etwa ein Betriebsrat, auch wenn er Teil des Verantwortlichen ist, natürlich die Vorgaben der DSGVO, dann im Gewand des Verantwortlichen, einhalten muss. Hierzu zählen vor allem auch die Datenschutzgrundsätze in Art. 5 Abs. 1 DSGVO und weitere Normen, wie etwa angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO.

Hessischer Datenschutzbeauftragter veröffentlicht FAQ zur DSGVO – Unter anderem: vorsorgliche Einwilligung ist möglich

Immer noch sind viele Fragen bei der Anwendung der DSGVO unbeantwortet und umstritten. Die hessische Datenschutzbehörde hat, aufgrund „einer Flut von Anfragen beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI)“, Antworten zu den am häufigsten gestellten Fragen auf ihrer Webseite veröffentlicht.

Natürlich findet man dort als Suchender sicherlich nicht die Antwort auf jede Frage zur DSGVO. Dennoch sind die Antworten des HBDI, insbesondere für Unternehmen mit Hauptsitz in Hessen, sicherlich eine lesenswerte Ressource.

Interessant ist etwas die Aussage der Behörde zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich der HBDI der bereits vom BayLDA veröffentlichten Ansicht anzunähern und den Anwendungsbereich der Auftragsverarbeitung recht eng zu ziehen, nämlich nur auf solche Fälle, in denen tatsächlich ein Dritter mit der Verarbeitung von Daten beauftragt wird.

Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“

Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes nicht sicher ist.

„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“

Der HBDI scheint also davon auszugehen, dass eine Verarbeitung aus Sicht des Verantwortlichen auf zwei Erlaubnistatbestände, wovon einer die Einwilligung ist, gestützt werden kann, wenn man unsicher ist, ob die eigentlich avisierte Rechtsgrundlage wirklich eingreift. Der Kollege Tim Wybitul hat genau zu diesem Thema heute in einem Beitrag auf LinkedIn darauf hingewiesen, dass aus dem neues Kurzpapier (PDF) der DSK zur Einwilligung wohl eine andere Ansicht ableitbar ist. Eventuell vertritt der HBDI hier also eine nicht ganz so strenge Auffassung.

Österreichische Datenschutzbehörde: Löschung von personenbezogenen Daten ist auch durch Anonymisierung möglich

Die Österreichische Datenschutzbehörde (DSB) hat mit Bescheid vom 5.12.2018 (DSB-D123.270/0009-DSB/2018) eine äußerst relevante Praxisfrage für die Anwendung der DSGVO entschieden. Genügt für eine Löschung von personenbezogenen Daten (und damit der Erfüllung des Löschungsanspruchs eines Betroffenen nach Art. 17 Abs. 1 DSGVO), dass diese Daten anonymisiert werden? Die Einschätzung der DSB: die Anonymisierung von personenbezogenen Daten kann grundsätzlich ein mögliches Mittel zur Löschung im Sinne der DSGVO sein.

Sachverhalt

In dem Verfahren ging es um die Beschwerde einer betroffenen Person, die gegenüber einem Unternehmen (mit dem ursprünglich auch vertragliche Beziehungen bestanden) einen Antrag auf Löschung all ihrer Daten gestellt hatte. Die Beschwerdegegnerin hat die vollständige Löschung seiner Daten jedoch verweigert. In dem Fall ging es zudem noch um eine zunächst nicht eindeutig durchführbare Identifizierung des Beschwerdeführers. Nachdem diese bei dem Unternehmen intern jedoch vollzogen war, hat es die dem Beschwerdeführer eindeutig zuordenbaren Daten entweder sofort gelöscht, oder „DSGVO-konform anonymisiert“.

Besonders relevant war vorliegend die durch das Unternehmen an die DSB übermittelte Information, wie es die Anonymisierung vornimmt. Diese erfolgte in Umsetzung folgender kombinierter Schritte aus Löschung und Anonymisierung:

  • Löschung des Vertragsangebots: Sowohl die Kundenanfrage als auch das Angebot, das aufgrund der Onlineangaben des Kunden vom Kundenmanagementsystem erstellt worden wären, wären gelöscht worden.
  • Löschung aller elektronischer Kontakte (E-Mail-Adresse, Telefonnummer, etc.) des Kunden.
  • Änderung der Person (Name, Vorname, Adresse): Sowohl Name, als auch Adresse seien durch eine anonyme, nicht zuordenbare Person (Max Mustermann) mit identem Geschlecht und Geburtsdatum unwiderruflich manuell überschrieben worden.
  • Die nun inhaltsleere Kundenverbindung sei nur mehr Max Mustermann zugeordnet.
  • Der mit einer Kundenverbindung automatisch gestartete interne Ablauf sei sofort gestoppt worden.
  • Zusammenlegung der zu löschenden Person auf die neue anonyme Person zur Sicherstellung, dass die Überschreibung auch technisch nachhaltig verankert sei.
  • Löschen des Kunden im Elektronischen Akt (Historie).

Durch die Umsetzung all dieser beschriebenen Schritte sei eine faktische Anonymisierung der ursprünglichen Kundenverbindung durch das Überschreiben mit einer „Dummy Kundenverbindung“ herbeigeführt worden.

Auf Nachfrage der DSB ergänzte das Unternehmen, dass des Weiteren keine personenbezogenen Daten in den Logdaten gespeichert werden, da die Identifikation ausschließlich über Kennzahlen („ID´s“) erfolge. Dort wäre die Verknüpfung aber irreversibel entfernt worden. Eine Wiederherstellung oder Rekonstruktion der Daten auch aus den Logdaten sei nicht möglich.

Entscheidung der DSB

Zutreffend verweist die DSB einleitend darauf, dass der verbindliche Teil der DSGVO den Begriff der „Anonymisierung“ nicht kennt. Nur in ErwG 26 DSGVO wird dieser erwähnt (jedoch nicht definiert) und festgehalten, dass die DSGVO keine Anwendung auf anonymisierte Daten findet, worunter Informationen verstanden werden, „die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.

Danach befasst sich die DSB mit der Definition des Begriffs der „Verarbeitung“ (Art. 4 Nr. 2 DSGVO), in dem jedoch keine Definition des Begriffs „Löschung von personenbezogenen Daten“ (wie er in Art. 17 Abs. 1 DSGVO) verwendet wird, zu finden ist.

Nach Art. 4 Nr. 2 DSGVO sind aber nach Ansicht der DSB das Löschen und die Vernichtung als alternative Formen der Verarbeitung angeführt („das Löschen oder die Vernichtung“), die nicht zwingend deckungsgleich sind.

Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt.

Diese Klarstellung der DSB ist bereits die erste wichtige Aussage des Bescheids. Löschung bedeutet nicht, dass Daten faktisch vernichtet werden müssen.

Nach Ansicht der DSB steht dem Verantwortlichen hinsichtlich der Mittel (also der vorgenommenen Art und Weise der Löschung) ein Auswahlermessen zu (hierzu verweist die DSB auch umfangreich auf Kommentarliteratur).

Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten kann somit grundsätzlich ein mögliches Mittel zur Löschung iSv Art. 4 Z 2 iVm Art. 17 Abs. 1 DSGVO sein.

Jedoch verlangt die DSB, meines Erachtens zurecht, dass sichergestellt sein muss, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Wann ein solcher unverhältnismäßiger Aufwand anzunehmen sein wird, ist natürlich am Ende stets eine Einzelfallfrage. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann nach Ansicht der DSB der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (hierzu verweist die DSB auch auf die Stellungnahme 5/2014 der ehemaligen Art. 29-Datenschutzgruppe).

Im vorliegenden Fall hat das Unternehmen die personenbezogenen Daten nach Ansicht der DSB

„teils vernichtet (also ohne „Hinterlassen“ von anonymisierten Daten), teils durch Entfernung des Personenbezugs zum Beschwerdeführer „gelöscht“.

Diese Kombination aus Vernichtung und Entfernung des Personenbezugs (auch durch Ersetzen mit Dummy Daten) ist nach Auffassung der DSB ausreichend, um eine Löschung iSd DSGVO annehmen zu können.

Die DSB verweist abschließend auf einen weiteren wichtigen Aspekt: hypothetische Verläufe, insbesondere die Weiterentwicklung der Technologie, müssen an dem Ergebnis nichts ändern. Der Beschwerdeführer führte an, dass „die Daten zu einem späteren Zeitpunkt „de-anonymisiert werden könnten“. Nach Ansicht der DSB liegt eine Löschung dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person nicht mehr möglich ist.

Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität ist daher – unabhängig vom verwendeten Mittel zur Löschung – nicht notwendig.

Die DSB beurteilt die Frage, wann Daten iSd DSGVO gelöscht sind, mithin aus dem Blickwinkel des zu erzielenden Ergebnisses. Die Verarbeitung personenbezogener Daten darf nicht mehr möglich sein. Auf welchem Wege und vor allem mit welchen Mitteln ein Verantwortlicher zu diesem Ergebnis gelangt, ist in der DSGVO gerade nicht vorgegeben und daher durch den Verantwortlichen individuell umsetzbar. Aus Sicht der Praxis dürfte diese Entscheidung zum Begriff des „Löschens“ in der DSGVO besondere Relevanz besitzen.

Österreichische Datenschutzbehörde: Beschwerdeverfahren nach der DSGVO nur in der amtlichen Landessprache

Mit Entscheidung vom 21.09.2018 hat die Datenschutzbehörde in Österreich (DSB) die Beschwerde einer Person nach Art. 77 DSGVO zurückgewiesen, die sich nur auf Englisch über ein österreichisches Unternehmen per E-Mail bei der DSB beschwerte.

Zunächst brachte der Beschwerdeführer seine erste Eingabe in englischer Sprache per E-Mail an die DSB ein. Aus dem Inhalt der Eingabe vermutete die DSB, dass der Beschwerdeführer eine Beschwerde gegen eine in Wien niedergelassene Gesellschaft wegen einer Verletzung des Rechts auf Löschung (Art. 17 DSGVO) beabsichtigte.

Nach Aufforderung durch die DSB, die Beschwerde nachzubessern, verwies der Beschwerdeführer auf Artikel und Erwägungsgründe der deutschen Fassung der DSGVO, die Beschwerde selbst war jedoch erneut in englischer Sprache verfasst.

Die DSB verwies zur Begründung ihrer Aufforderung zur Nachbesserung des Antrags des Beschwerdeführers u.a. auf Art. 8 des Bundes-Verfassungsgesetzes (B-VG). Danach ist die deutsche Sprache als verfassungsmäßige Amtssprache der Republik in allen Eingaben bei österreichischen Behörden zwingend zu verwenden.

An dieser Auslegung ändere auch die DSGVO und insbesondere der hier relevante Art. 77 DSGVO zum Beschwerderecht betroffener Personen nichts.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person

unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.

Nach Ansicht der DSB hat auf dieser Grundlage eine betroffene Person bei Geltendmachung ihrer Rechte im Verwaltungsrechtsweg die internationale Wahl zwischen mehreren Aufsichtsbehörden im Gebiet der Europäischen Union hat, nämlich jener des gewöhnlichen Aufenthaltsortes der betroffenen Person, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Vorliegend könnte Zuständigkeit der österreichischen Aufsichtsbehörde begründet gewesen sein, da die Beschwerdegegnerin in Wien niedergelassen war.

Daraus ist aber nicht abzuleiten, dass ein Verfahren vor der Datenschutzbehörde durch eine Partei verfahrensrechtlich in einer anderen Sprache als der verfassungsmäßigen Amtssprache beantragt und geführt werden darf. Vielmehr sollen die alternativen Einbringungsbehörden einer betroffenen Person die Möglichkeit eröffnen, sich an eine geografisch näher gelegene Aufsichtsbehörde zu wenden, deren Amtssprache ihr geläufig ist.“

Aus diesem Grund wurde die Beschwerde hier zurückgewiesen. Die DSB verwies in ihrer Antwort an den Beschwerdeführer auch auf die Möglichkeit, dass dieser sich an die zuständige Aufsichtsbehörde an seinem gewöhnlichen Aufenthaltsort oder Arbeitsplatz im Gebiet der Europäischen Union wenden kann.

Auch in Deutschland kennen wir für die Kommunikation durch und gegenüber Behörden eine ähnliche Vorgabe, wie jene in Österreich, wenn auch nicht mit Verfassungsrang. Nach § 23 Abs. 1 VwVfG ist Amtssprache deutsch. Jedoch darf auch eine deutsche Behörde einen fremdsprachigen Antrag nicht einfach ignorieren (vgl. § 23 Abs. 2-4 VwVfG).

Datenschutzbehörde NRW: Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung

Die DSGVO enthält keine speziellen Vorgaben zu den technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, die per E-Mail versendet werden. Art. 32 Abs. 1 DSGVO gibt allgemein vor:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Beispielhaft („unter anderem Folgendes“) benennt Art. 32 Abs. 1 DSGVO in lit. a) auch die Verschlüsselung personenbezogener Daten. Eine unbedingte Pflicht, personenbezogene Daten stets nur verschlüsselt zu übermitteln, enthält die DSGVO aber nicht. In der Praxis ist die Frage, ob und wenn ja wann und in welcher Form Daten verschlüsselt übertragen werden sollten, ein Dauerbrenner.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) hat Ende 2018 ihre Position zu den technischen Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand veröffentlicht.

Nach Ansicht der LfDI NRW ist bei der Übermittlung von E-Mails grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene zu unterscheiden. Bei der Verschlüsselung auf Inhaltsebene werden Texte einer E-Mail sowie von Anhängen verschlüsselt. Hierbei kommen nach der Behörde in erster Linie die Standards S/MIME und OpenPGP infrage. Metadaten werden von der Inhaltsverschlüsselung jedoch nicht erfasst. Bei der Verschlüsselung auf Transportebene werden sowohl Meta- als auch Inhaltsdaten auf der Verbindung zwischen Mail-Client und Server bzw. zwischen verschiedenen Mail-Servern verschlüsselt.

Danach stellt die LfDI NRW ihre Positionen dar, die „bei der Wahl der technischen und organisatorischen Maßnahmen“ zugrunde zu legen seien.

Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird“.

Die LfDI NRW geht also davon aus, dass ausnahmslos immer mindestens eine Transport-Verschlüsselung umzusetzen ist. Wie oben erwähnt, ergibt sich eine solche zwingende Verschlüsselungspflicht nicht aus der DSGVO. Man könnte daher argumentieren, dass diese Auffassung über die Anforderungen der DSGVO hinausgeht. Eventuell geht die Behörde bei ihrer Beurteilung davon aus, dass die Transportverschlüsslung mittlerweile der in Art. 32 Abs. 1 DSGVO erwähnte „Stand der Technik“ ist. Hierfür könnte der Verweis auf die europäischen Provider sprechen. Dennoch sieht Art. 32 Abs. 1 DSGVO, neben dem Merkmal „Stand der Technik“, noch weitere Kriterien vor, die bei der Frage der umzusetzenden Maßnahmen berücksichtigt werden müssen, so insbesondere die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Verantwortliche und Auftragsverarbeiter müssten also nach der DSGVO immer noch die Möglichkeit haben, anhand dieser Merkmale zu beurteilen, ob eine Verschlüsselung der Daten zwingend erforderlich ist. Die Ansicht der Behörde geht auf die einzelnen, in Art. 32 Abs. 1 DSGVO genannten Kriterien leider nicht näher ein und begründet ihre Auffassung nicht. Würde man die Ansicht der LfDI NRW in der Praxis ernst nehmen, würde dies nicht nur für größere Unternehmen, sondern auch für Vereine, Handwerksbetriebe oder kleine Unternehmen bedeuten, dass diese E-Mails nur mit einer Transportverschlüsselung versenden dürfen.

Hinsichtlich der Art der Transportverschlüsselung ist die LfDI NRW der Auffassung, dass diese entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert werden sollte. Abweichungen können aber möglich sein.

Sollen per E-Mail „besonders schützenswerte Daten“ übermittelt werden, verlangt die LfDI NRW verständlicherweise höhere Anforderungen. Die Behörde versteht unter diesen Daten z.B. „Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten“. Eine alleinige Transportverschlüsselung sei dann möglicherweise nicht ausreichend. Die Behörde bezieht sich hierbei anscheinend auch auf die in Art. 9 Abs. 1 DSGVO erwähnten „besonderen Kategorien personenbezogener Daten“.

Interessant an der Aufzählung der LfDI NRW ist aber etwa das Beispiel der „Beschäftigtendaten“. Hierunter könnten dem Grunde nach bereits der Name und Vorname eines Beschäftigten fallen, ohne das weitere schützenswerte Daten betroffen sein müssen. In einem solchen Fall noch umfassendere Maßnahmen als eine Transportverschlüsselung zur fordern, erscheint jedoch dem Gründe nach nicht begründbar. So sieht etwa § 26 Abs. 3 BDSG iVm § 22 Abs. 2 BDSG auch nur bei der Verarbeitung besonderer Kategorien personenbezogener Daten von Beschäftigten die Pflicht vor, „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“.

Zuletzt ist noch darauf hinzuweisen, dass die LfDI NRW der Auffassung ist, dass der Betreff der E-Mail keine personenbezogenen Daten enthalten sollte.

Die LfDI NRW informiert darüber, dass die Datenschutzkonferenz derzeit Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation erarbeitet.

Austrian data protection authority: Data subjects have no right to demand implementation of certain data protection measures under GDPR

Decisions on the GDPR (from supervisory authorities and courts) are still rare and therefore I am always very pleased when such a decision, in which the new European law is applied and interpreted, sees the light of day.

According to Art. 32 para 1 lit. a GDPR, the controller and the processor shall, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate the pseudonymisation and encryption of personal data.

According to Art. 5 para 1 lit. c GDPR, personal data shall be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’).

In a current procedure, the Austrian Data Protection Authority (DPA) issued an official decision (German) on 13. September 2018 in response to a complaint regarding these two articles of the GDPR.

Facts

On 23 June 2018, the complainant in the proceedings filed two complaints against two respondents, alleging a violation of the fundamental right to data protection (Section 1 of the Data Protection Act in Austria) due to the failure to delete data or pseudonymize it. The respondents to the complaint were public authorities, specifically the Federal Ministry for Europe, Integration and the Exterior and the Federal Chancellery. The facts of the case themselves are somewhat more comprehensive (since at the beginning it was also a question of deletion of data). In the end, however, the subject-matter of the complaint was only the question of whether the respondents had violated the complainant’s right to confidentiality by failing to pseudonymize the complainant’s personal data in their electronic file systems (ELAK).

Decision oft he DPA

First, I believe that DPA correctly points out that the complainant did not, until the conclusion of the proceedings, establish any concrete act which would have violated her fundamental right to secrecy.

Rather, the complainant limited itself to bringing to light events not manifested in the ELAK, such as potential hacker attacks, data leaks or foreseeable technological innovations, in the course of which the complainant could in future suffer damage through the disclosure of her data, due to a “failure to pseudonymise” her data.

However, such a potential violation of rights is not sufficient, why the complaint regarding possible future violations had already been dismissed on this ground. Then the DPA comes to interesting interpretations of the regulations of the GDPR. In the opinion of the DPA, no right can be derived from the GDPR,

according to which a data subject could demand specific data security measures within the meaning of Art. 32 GDPR from the controller. Nor can a data subject – as requested by the complainant – demand specific measures to minimise data within the meaning of Art. 5 para 1 lit. c GDPR.

Admittedly, it is in principle possible for a data subject to be violated in its fundamental right to confidentiality due to inadequate data security measures taken by a controller (e.g. because this leads to disclosure to unauthorised third parties). However, even in this case, the data subject would not have the right to choose a specific data security measure.

According to the DPA, it is clear from Art. 32 GDPR that the obligation to ensure the security of the processing of personal data applies to the data controller or the processor,

which, taking into account the elements referred to in paragraph 1 of this provision, may be provided in a number of ways“.

The DPA also systematically interprets the relevant provisions of the GDPR. The rights of data subjects are expressly regulated in Chapter III. Pseudonymisation can be found as a measure, however, in Chapter IV, which regulates the objective duties of controllers and processors.

The data protection authority can only investigate this obligation of the controller within the framework of an officially initiated examination procedure (Art. 55 para. 1 in conjunction with Art. 57 para. 1 lit a and h GDPR) and, if necessary, instruct the controller to comply with the regulation (Art. 58 para. 2 lit d GDPR).”

Österreichische Datenschutzbehörde: Betroffene haben kein Recht auf Einhaltung bestimmter Datenschutzmaßnahmen

Entscheidungen zur DSGVO (von Aufsichtsbehörden und Gerichten) sind noch rar und daher freut es mich immer sehr, wenn einmal eine solche Entscheidung, in der das neue europäische Recht angewendet und ausgelegt wird, das Licht der Öffentlichkeit erblickt.

Nach Art. 32 Abs. 1 lit. a) DSGVO müssen der Verantwortliche und der Auftragsverarbeiter, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein.

Nach Art. 5 Abs. 1 lit. c) DSGVO muss der Verantwortliche darauf achten, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind („Datenminimierung“).

Die Österreichische Datenschutzbehörde (DSB) hat in einem aktuellen Verfahren mit Bescheid vom 13.09.2018 auf eine Beschwerde zu diesen beiden Regelungen der DSGVO Stellung genommen.

Sachverhalt

Die Beschwerdeführerin des Verfahrens brachte am 23. Juni 2018 zwei Beschwerden gegen zwei Beschwerdegegner ein und behauptete darin eine Verletzung im Grundrecht auf Datenschutz (§ 1 Datenschutzgesetz – DSG) wegen unterlassener Datenlöschung bzw. Pseudonymisierung. Beschwerdegegner waren öffentliche Stellen, konkret das Bundesministerium für Europa, Integration und Äußeres und das Bundeskanzleramt. Der Sachverhalt selbst ist noch etwas umfassender (da es zu Anfang auch um eine Löschung ging). Beschwerdegegenstand war am Ende aber nur die Frage, ob die Beschwerdegegner die Beschwerdeführerin „im Recht auf Geheimhaltung verletzt haben, indem sie die Pseudonymisierung personenbezogener Daten der Beschwerdeführerin in ihren elektronischen Aktensystemen (ELAK) unterlassen haben“.

Entscheidung der DSB

Zunächst weist die DSB meines Erachtens zutreffend darauf hin, dass die Beschwerdeführerin bis zum Abschluss des Verfahrens keine konkrete Handlung dargetan hat, durch die sie in ihrem Grundrecht auf Geheimhaltung verletzt worden wäre.

Sie beschränkte sich vielmehr darauf, aufgrund einer „unterlassenen Pseudonymisierung“ ihrer Daten im ELAK (noch) nicht manifestierte Ereignisse, wie potenzielle Hacker-Angriffe, „Datenlecks“, oder absehbare technologische Innovationen ins Treffen zu führen, in deren Rahmen die Beschwerdeführerin durch Offenlegung ihrer Daten zukünftig Schaden nehmen könnte.

Jedoch reicht eine solche potentielle Verletzung der Rechte nicht aus,

weshalb die Beschwerde hinsichtlich möglicherweise in Zukunft eintretender Verletzungen bereits aus diesem Grunde abzuweisen war“.

Dann gelangt die DSB zu interessanten Interpretationen der Vorschriften der DSGVO. Nach Ansicht der DSB ist aus der DSGVO kein Recht abzuleiten,

wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen iSv Art. 32 DSGVO von einem Verantwortlichen verlangen könnte. Ebenso wenig kann eine betroffene Person – wie von der Beschwerdeführerin begehrt – spezifische Maßnahmen zur Datenminimierung iSv Art. 5 Abs. 1 lit. c DSGVO verlangen.

Zwar sei es grundsätzlich möglich, dass eine betroffene Person aufgrund unzureichender Datensicherheitsmaßnahmen eines Verantwortlichen im Grundrecht auf Geheimhaltung verletzt wird (etwa, weil es dadurch zur Offenlegung an unbefugte Dritte kommt). Jedoch würde der betroffenen Person auch in diesem Fall kein Recht auf Wahl einer spezifischen Datensicherheitsmaßnahme erwachsen

Nach Ansicht der DSB ist nämlich aus Art. 32 DSGVO ersichtlich, dass die Verpflichtung zur Sicherheit der Verarbeitung personenbezogener Daten den Verantwortlichen bzw. den Auftragsverarbeiter trifft,

wobei diese Sicherheit – unter Berücksichtigung der in Abs. 1 dieser Bestimmung genannten Elemente – auf mehrere Arten gewährleistet sein kann“.

Zudem legt die DSB die entsprechenden Vorschriften der DSGVO auch systematisch aus. Die Rechte betroffener Personen sind ausdrücklich in Kapitel III geregelt. Die Pseudonymisierung findet sich als Maßnahme aber in Kapitel IV, das die objektiven Pflichten von Verantwortlichen und Auftragsverarbeitern regelt.

Diese Verpflichtung des Verantwortliche kann die Datenschutzbehörde nur im Rahmen eines amtswegig eingeleiteten Prüfverfahrens untersuchen (Art. 55 Abs. 1 iVm Art. 57 Abs. 1 lit a und h DSGVO) und den Verantwortlichen gegebenenfalls zur Einhaltung der Verordnung anweisen (Art. 58 Abs. 2 lit d DSGVO).

Eine meines Erachtens sehr interessante Entscheidung zu den neuen Regelungen der DSGVO. Die Interpretation der DSB mag womöglich nicht jeder teilen. Die Begründung ist aber meines Erachtens schlüssig.

Auch für Unternehmen in Deutschland kann diese Interpretation einer europäischen Aufsichtsbehörde relevant sein, da die hier maßgebenden Vorschriften auch in Deutschland unmittelbar gelten.

Neuer Beschluss der deutschen Datenschutzbehörden: Betrieb einer Facebook Fanpage ohne Vereinbarung mit Facebook rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen neuen Beschluss (pdf) zum Betrieb von Facebook Fanpages veröffentlicht, der konkretere Vorgaben aufstellt, welche Anforderungen durch Unternehmen, die eine Fanpage betreiben, zu erfüllen sind.

Die erste Entschließung der DSK, die kurz nach dem Urteil des EuGH (Rs. C-210/16) veröffentlicht wurde, blieb noch recht vage, was die konkreten Maßnahmen betraf, die Fanpage Betreiber umsetzen sollten (mein Beitrag dazu).

In dem neuen Beschluss stellt die DSK insbesondere (anders als in der ersten Entschließung) heraus:

Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“

Gemeint ist hier die Vereinbarung zwischen gemeinsam Verantwortlichen nach Art. 26 DSGVO. In einer solchen Vereinbarung müssen die Verantwortlichen (nach dem Urteil des EuGH sind dies der Betreiber der Fanpage und Facebook) in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten nach den Art. 13 und 14 DSGVO nachkommt.

Die DSK präzisiert ihre Anforderungen an Betreiber einer Fanpage und Facebook weiter. Die gemeinsam Verantwortlichen sollen „Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen“.

Der Beschluss der DSK liest sich meines Erachtens wie ein Hinweis der Behörden, was man nun von Unternehmen und auch Facebook erwartet. Die Anforderungen konkretisiert der Beschluss zudem in der Form eines Fragenkataloges im Anhang. Nach Ansicht der DSK müssen die im Anhang aufgeführten Fragen sowohl von Facebook als auch und von Fanpage Betreibern beantwortet wer-den können.

Meines Erachtens kann aus dem Fragenkatalog bereits abgeleitet werden, was aus Sicht der Behörden als elementare Voraussetzungen des Betriebs einer Fanpage zu betrachten sind. Man braucht wohl auch nicht viel Fantasie, um sich vorzustellen, dass genau dieser Fragenkatalog in naher Zukunft durch Aufsichtsbehörden an Betreiber von Fanpages verschickt wird. U.a. enthält der Anhang folgenden Frage:

  • In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
  • Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
  • Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
  • Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?

Einige dieser Fragen werden von Unternehmen, die eine Fanpage betreiben, nicht beantwortet werden können, da diesen hierzu wohl faktische Informationen fehlen.

Für Unternehmen, die eine Fanpage betreiben, bedeutet dies nun, sich darüber Gedanken zu machen, wie man mit der eigenen Seite umgeht. Die Aussagen der DSK und die damit meines Erachtens intendierte Stoßrichtung, ist in jedem Fall klarer, als in der ersten Entschließung.

Derzeit liegt ein Entwurf für eine Vereinbarung nach Art. 26 DSGVO von Facebook leider noch nicht vor. Jedoch soll ein solcher Vertrag sehr bald veröffentlicht werden. Zwar sieht Art. 26 DSGVO keine zwingende Form für die Vereinbarung vor, so dass diese nicht unbedingt schriftlich abgeschlossen werden muss. Per se würde also sogar eine mündliche Vereinbarung ausreichen.  Jedoch verlangt Art 26 Abs. 1 DSGVO, dass die Vereinbarung in transparenter Form vorliegen muss. Zudem muss das „Wesentliche“ der Vereinbarung den betroffenen Personen nach Art. 26 Abs. 2 S. 2 DSGVO zur Verfügung gestellt werden. Diese Voraussetzungen könnten bei einer rein mündlichen Vereinbarung nur schwer erfüllbar sein.

Als ad hoc Maßnahme könnte man sich auch vorstellen, Informationen von Facebook Seiten (aus den AGB, Hilfeseiten und Erläuterungen zu Fanpages) zusammenzusammeln, um so eine Informationsbasis zu schaffen. Dieses Vorgehen dürfte aber immer noch das Risiko bergen, dass man als Unternehmen nicht alle Informationen abschließend erhält oder nicht validieren kann.

Am Ende wird man konstatieren müssen, dass zur gemeinsamen Verantwortlichkeit sinnlogisch mehrere Stellen gehören und Facebook nun hoffentlich so schnell wie möglich die Vereinbarung zur gemeinsamen Verantwortlichkeit bereitstellt.

Bayerischer Landesbeauftragter für Datenschutz: Keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung

Sowohl vor als auch nach dem 25.5.2018 (und auch weiterhin) spielten und spielen in der Praxis die Anpassungen von bestehenden oder der Abschluss von neuen Verträgen zur Auftragsverarbeitung eine wichtige Rolle. Dabei haben sich die gesetzlichen Vorgaben in diesem Bereich (nun Art. 28 DSGVO) gar nicht so sehr geändert. Der Abschluss eines Vertrages etwa war auch vor dem 25.5.2018 erforderlich.

Nach Art. 28 Abs. 3 lit. h) DSGVO muss der Vertrag unter anderem vorsehen, dass der Auftragsverarbeiter, „dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt“. Der Auftragsverarbeiter muss danach ausdrücklich Kontrollen durch den Verantwortlichen ermöglichen und auch dazu beitragen. Diese Kontrollen sollen es dem Verantwortlichen ermöglichen zu prüfen, ob der Dienstleister die in Art. 28 DSGVO vorgegebenen Regularien beim Umgang mit personenbezogenen Daten beachtet.

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD; die Aufsichtsbehörde für den öffentlichen Bereich in Bayern) hat nun ein durchaus praxisrelevantes Kurzpapier zu der Frage veröffentlicht, ob Auftragsverarbeiter ihr Mitwirken an diesen Kontrollen durch den Verantwortlichen von Zahlungen (z.B. von Aufwendungen) abhängig machen können. Aus eigener Erfahrung kann ich sagen, dass derartige Klauseln, die dem Auftragsverarbeiter das Recht zusprechen, für seine Mitwirkungshandlungen im Zuge der Erfüllung der DSGVO-Pflichten eine gesonderte Vergütung zu verlangen, in der Praxis sehr verbreitet sind. Laut dem Kurzpapier werden auch bayerische öffentliche Stellen von Auftragsverarbeitern unter anderem mit dem Ansinnen konfrontiert, einer Vertragsklausel zuzustimmen, die dem Auftraggeber eine Vor-Ort-Kontrolle nur gegen ein besonderes Entgelt ermöglicht.

Nach Auffassung des BayLfD müssen die Kontrollrechte nach der DSGVO ohne besondere Begründung seitens des Verantwortlichen als Auftraggeber und ohne Abwehrmöglichkeit seitens des Auftragsverarbeiters (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO: “und dazu beiträgt”) ausgeübt werden können. „Andernfalls könnte der Verantwortliche nämlich seinen bei ihm auch nach Einbindung eines Auftragsverarbeiters verbleibenden Pflichten insbesondere gegenüber den betroffenen Personen nicht angemessen nachkommen“.

Daher darf nach Ansicht des BayLfD die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Ein solches Entgelt könne zudem entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten.

Als Lösung schlägt der BayLfD vor, dass der Auftragsverarbeiter die ihm durch Vor-Ort-Kontrollen seines Auftraggebers entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einrechnet (“Einpreisung”). Um dem Risiko für Auftragsverarbeiter zu begegnen, nicht von Auftraggebern “überrannt” zu werden, verweist der BayLfD darauf, dass jede Partei einer Auftragsverarbeitungs-Vereinbarung nach Treu und Glauben zur Rücksichtnahme auf die jeweils andere Partei verpflichtet ist. Diese Verpflichtung könne in der Vereinbarung durchaus näher ausgestaltet werden, etwa durch Bestimmungen, „dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen bzw. abzustimmen ist, oder dass anlasslose Inspektionen mengenmäßig kontingentiert sind“.

Die Ansicht des BayLfD wird man sicherlich diskutieren können. Dann ein vom Gesetz gefordertes „Beitragen“ zu den Kontrollen durch den Auftragsverarbeiter kann dem Grunde auch bei der Vereinbarung eines Entgelts vorliegen. Die DSGVO selbst schließt dies zumindest in Art. 28 DSGVO nicht aus. Das Gesetz konkretisiert nicht, inwiefern das „Beitragen“ kostenlos erfolgen muss. Der europäische Gesetzgeber hat aber solche Problematiken, dass die Pflichtenerfüllung der DSGVO nur gegen Entgelt ermöglicht wird, durchaus erkannt und an anderen Stellen entsprechende Regelungen für eine Kostenfreiheit getroffen, etwa in Art. 12 Abs. 5 DSGVO zu den Betroffenenrechten.

Zudem kann man die Auffassung vertreten, dass die vorgeschlagene Lösung über näher ausgestaltetet Regelungen zur Rücksichtnahme auf die Interessen der anderen Partei ebenso eine Abhängigkeit der Kontrollrechte von bestimmten Handlungen schafft. Denn wenn vor der Kontrolle diese zwischen den Parteien „abzustimmen“ ist, kann dies ebenfalls bedeutet, dass eine Kontrolle nicht ohne einvernehmliche Planung und gemeinsame Festlegung durch beide Parteien erfolgen kann. Damit hätte es aber wieder der Auftragsverarbeiter in der Hand, der Kontrolle „entgegenzuwirken“, was der BayLfD hinsichtlich des Entgelts als unzulässig ansieht.

Hier die richtige (vertragliche) Balance zu finden ist sicherlich nicht ganz einfach und wird vielfach auch durch die Umstände des Einzelfalls beeinflusst sein.