Category Archives: Datenschutzbehörde

Unzureichende Einbindung des Gruppen/Konzern-DSB und mangelnde Ressourcen? 18.000 EUR Bußgeld gegen ein Unternehmen in Luxemburg

Posted on by

Das Verwaltungsgericht des Großherzogtums Luxemburg bestätigte ein von der luxemburgischen Datenschutzbehörde gegen einen Verantwortlichen verhängtes Bußgeld in Höhe von 18.000 EUR, weil dieser 1) den Datenschutzbeauftragten der Gruppe nicht ausreichend eingebunden und 2) ihm nicht genügend Ressourcen zur Erfüllung seiner Aufgaben zur Verfügung gestellt hatte. Die Entscheidung wurde in Englisch auf GDPRhub zusammengefasst.

Sachverhalt

Eine Unternehmensgruppe benannte einen Datenschutzbeauftragten („Group DPO“) gemäß Art. 37 Abs. 2 DSGVO. Zur Unterstützung des Group DPO wurde ein Rechtsanwalt (wohl aus dem Unternehmen) als lokale Kontaktstelle in Luxemburg eingesetzt. Der Verantwortliche richtete auch ein „GDPR-Board“ ein, ein Gremium, das sich mit dem Datenschutz in Luxemburg befassen musste.

Der Group DPO war jedoch kein Mitglied dieses Gremiums und wurde nur durch die Protokolle der GDPR-Board-Sitzungen oder durch Fragen, die die lokale Kontaktstelle stellte, über die behandelten Themen informiert.

Entscheidung des Gerichts (Bestätigung der Bußgeldentscheidung)

Keine ausreichende Beteiligung des Group DPO

Gemäß Art. 38 Abs. 1 DSGVO hat der Verantwortliche sicherzustellen, dass der DSB in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen ordnungsgemäß und frühzeitig eingebunden wird. Insbesondere relevant ist diese Vorgabe im Hinblick auf die Aufgabe des DSB gem. Art. 39 Abs. 1 DSGVO, den Verantwortlichen hinsichtlich seiner Pflichten nach der DSGVO zu unterrichten und zu beraten.

Vor diesem Hintergrund stellte das Gericht fest, dass es notwendig und zwingend erforderlich ist, dass der DSB bei allen Themen und Projekten, die die mit dem Schutz personenbezogener Daten zusammenhängenden Fragen betreffen, in einem möglichst frühen Stadium eingebunden wird.

In diesem Fall wurde der Group DPO aber erst eingeschaltet, wenn eine betroffene Person mit der Bearbeitung ihrer Anfrage durch die lokale Kontaktstelle nicht zufrieden war. Der Verantwortliche verwies zwar auf die regelmäßige Kommunikation (Telefon, Video und E-Mail) zwischen der lokalen Kontaktstelle und dem Group DPO, legte aber keine Nachweise dieser Kommunikation vor.

Das Gericht stellte fest, dass der Datenschutzbeauftragte nicht unmittelbar an allen datenschutzrelevanten Angelegenheiten beteiligt und eingebunden war, was einen Verstoß gegen Art. 38 Abs. 1 & 39 Abs. 1 DSGVO darstellt.

Das Gericht sieht hier also strenge Anforderungen an die Einbindung des Datenschutzbeauftragten. Es genügt gerade nicht, diesen nur regelmäßig über bestimmte Themen zu informieren – er muss auch (bereits möglichst frühzeitig) in diese Themen und die interne Beratung hierzu aktiv eingebunden werden.

Dem Datenschutzbeauftragten zur Verfügung gestellte Ressourcen

Gemäß Art. 38 Abs. 2 DSGVO hat der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen, indem er ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellt und Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt.

Das Gericht stellte fest, dass der Verantwortliche keine Informationen zur formalen Festlegung der Arbeitszeit der lokalen Kontaktstelle vorgelegt hat. Nach Ansicht des Gerichts rechtfertigt der Umfang der Tätigkeit des Verantwortlichen in Luxemburg (70 Standorte, zwischen 1.600 und 2.100 Beschäftigte und 25.000 Verbraucher pro Tag) die Beschäftigung von mindestens einer Vollzeitkraft für den Datenschutz.

Das Gericht nahm einen Verstoß gegen Art. 38 Abs. 2 DSGVO an, da dem Datenschutzbeauftragten die erforderlichen Ressourcen nicht im angemessenen Umfang zur Verfügung gestellt wurden.

Bußgeldhaftung nach der DSGVO: welche Faktoren sprechen für und gegen ein Verschulden? Bundesverwaltungsgericht Österreich zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“

Posted on by

Das Bundesverwaltungsgericht Österreich (BVwG) hat kürzlich eine wichtige Entscheidung gefällt, die sich mit den Faktoren für und auch gegen ein Verschulden im Rahmen von Art. 83 DSGVO befasst. Interessant ist dabei insbesondere, dass die Vorgaben des EuGH aus dem Deutsche Wohnen-Verfahren nun durch ein mitgliedstaatliches Gericht konkretisiert werden.

Hintergrund

Das Unternehmen betreibt ein Kundenbindungsprogramm, im Rahmen dessen auch Einwilligungen für die Verarbeitung zu werblichen Zwecken eingeholt wurden. Die österreichische Aufsichtsbehörde (DSB) leitete ein Prüfverfahren und aufgrund der Ermittlungsergebnisse auch ein Verwaltungsstrafverfahren ein, welches mit einem Bußgeldbescheid endete. Gegen diesen legte das Unternehmen Beschwerde ein.

Nach Ansicht der DSB habe das Ersuchen um Einwilligung der betroffenen Personen, die sich für das Kundenbindungsprogramm registriert hätten, nicht den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO entsprochen. Das Unternehmen habe daher personenbezogene Daten unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt habe werden können.

Im vorliegenden Verfahren ging um Fragen der Bußgeldhaftung des Unternehmens, also Art. 83 DSGVO. Konkret möchte ich mich hier mit dem Merkmal des Verschuldens (also der subjektiven Tatseite) befassen.

Merkmal des Verschuldens

Wie bekannt, hatte der EuGH in dem Deutsche Wohnen-Verfahren (C-807/21) im Dezember 2023 geurteilt, dass gegen einen Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Ein Verschulden liegt nach Rechtsprechung des EuGH wiederum dann vor, wenn das Unternehmen hätte erkennen können, dass sein Verhalten datenschutzwidrig war.

Die DSB sah ein Verschulden als gegeben an: die Geschäftsführer des Unternehmens hätten im konkreten Fall zunächst aufgrund objektiver Sorgfaltswidrigkeit die Entwürfe zu den gegenständlichen Ersuchen um Einwilligung genehmigt, obwohl diese dem Wortlaut der DSGVO bzw. den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO widersprechen würden. Zudem, so die DSB, hätten sie kein wirksames internes Kontrollsystem im Rahmen des Betriebs des Unternehmens implementiert, um die laufende Rechtsentwicklung in Bezug auf die gegenständlichen Einwilligungsersuchen zu überwachen.

Die beiden Kernvorwürfe waren also:

  • (Er)Kennenmüssen der Unzulässigkeit der Einwilligung, allein aufgrund der DSGVO-Anforderungen
  • Kein ausreichendes internes Compliance-System, das auch die aktuelle Rechtsprechung und Behördenansichten zu Anforderungen an die Einwilligung nach der DSGVO überwacht

Entscheidung des BVwG zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte

Das BVwG befasst sich mit der Frage des Verschuldens im Abschnitt „3.3.4.1. Zur strafrechtlichen Verantwortlichkeit und Verschulden der Beschwerdeführerin“.

Zunächst weist das Gericht auf die Grundlagen seiner nachfolgenden Bewertung hin. Insbesondere die Rechtsprechung des EuGH, wonach ein Verantwortlicher sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt.

Zur Haftung des Verantwortlichen setzt das BVwG vorab den generellen Pflichtenrahmen. Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich

auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind.“

Diese Haftung des Verantwortlichen bildet nach Ansicht des BVwG bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür, nach Art. 83 DSGVO eine Geldbuße zu verhängen.

Nach dem Urteil in der Rechtssache „Deutsche Wohnen“ hat man sich gefragt, was der EuGH konkret mit der Umschreibung „wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“ meint – welche Faktoren in der Praxis also für oder gegen ein Verschulden sprechen können. Hierzu gibt das BVwG einige praxisrelevante Hinweise:

A. Erkundigungspflicht des Verantwortlichen (bzw. der Geschäftsführung)

Das BVwG ist, mit der DSB, der Ansicht, dass das Unternehmen eine Erkundigungspflicht hinsichtlich der einschlägigen relevanten Bestimmungen der DSGVO (hier im Zusammenhang mit den verwendeten Einwilligungserklärungen), vor Verwendung eben dieser Einwilligung im Zuge des Markstarts des Programms traf. Nach Ansicht der DSB hätten die Geschäftsführer dann, bei bestehenden Zweifeln, diese durch weitere Erkundigungen beseitigen müssen, beispielsweise durch eine Auskunftsanfrage an die belangte Behörde oder mittels Rechtsgutachten von Sachverständigen, das sich mit dieser spezifischen Fragestellung beschäftige.

B. Erkennenmüssen allein aufgrund des Wortlauts der DSGVO-Norm

Nach Ansicht des BVwG hätten insbesondere die beiden Geschäftsführer sowie die Leiterin der Rechtsabteilung erkennen müssen, dass die gewählte Gestaltung der Einwilligung nicht im Einklang mit der DSGVO stand.

Hierbei sei nicht ausschlaggebend, ob sich das Unternehmen mit

  • dem Urteil des EuGH in der Rechtssache Planet49 (zur Frage der Anforderungen an die Einwilligung),
  • oder den Leitlinien 05/2020 der Art. 29 Datenschutzgruppe zur Einwilligung auseinandergesetzt habe.

Denn im vorliegenden Fall hätte bereits aufgrund des reinen Wortlautes der Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO von dem Unternehmen erkannt werden müssen, dass die von ihr gewählte optische Gestaltung aufgrund der dargestellten kumuliert irreführenden Faktoren nicht den Anordnungen einer in „informierter Weise und unmissverständlich abgegebenen Willensbekundung“ entspricht.

C. (Un)Kenntnis der internen Rechtsabteilung

Zudem geht das BVwG davon aus, dass insbesondere der mit der Beratung des Unternehmens betrauten Rechtsabteilung hätte auffallen müssen, dass die bei den Einwilligungserklärungen gewählte Vorgehensweise missverständlich und damit rechtswidrig war.

D. Rechtsprechung und Verwaltungspraxis

Als möglichen entlastenden (!) Faktor prüft das BVwG, ob zum Tatzeitpunkt eventuell entsprechende Rechtsprechung oder eine Praxis der Aufsichtsbehörden existierte, die gegen ein Verschulden sprechen könnte. Vorliegend, so das BVwG, lag aber

keine höchstgerichtliche Rechtsprechung oder entsprechende Verwaltungspraxis zu den zitierten Bestimmungen vor, aufgrund derer die Beschwerdeführerin entgegen der dargestellten, irreführenden Faktoren darauf vertrauen hätte können, dass die Gestaltung der DSGVO entspricht“.

Dies ist ein wichtiger Aspekt bei der Verteidigung gegen Bußgelder – eine entsprechende Verwaltungspraxis kann ein Verantwortlicher verwenden, um seine Rechtsansicht zu stützen und im Rahmen des Verschuldens

Im Grunde wird damit auch bestätigt, was aus meiner Sicht für datenverarbeitende Stellen ein großer Vorteil ist: die Pluralität des Aufsichtssystems in Deutschland. Mit 18 Datenschutzbehörden (inkl. BfDI, und die speziellen Aufsichtsbehörden noch nicht mitgezählt), finden sich sehr viele verschiedene Sichtweisen und rechtliche Interpretation der Behörden. Diese Sichtweisen und darauf beruhende Verwaltungspraxis (siehe oben) können und sollten Verantwortliche und Auftragsverarbeiter bei ihren eigenen Datenverarbeitungen und der rechtlichen Bewertung mit in den Blick nehmen.

E. Externe Rechtsgutachten

Auch würde das BVwG als entlastenden Faktor wohl das Vorliegen von externen Einschätzungen, wie etwa Rechtsgutachten, bewerten. Vorliegend habe das Unternehmen aber keine

Rechtsgutachten hinsichtlich der DSGVO Konformität der gegenständlichen Einwilligungserklärungen erstellen lassen“.

F. Nachfrage bei der Aufsichtsbehörde

Ja, auch dies könnte ein entlastender Faktor beim Verschulden sein. Andererseits muss man als anfragendes Unternehmen aber natürlich auch mit der Antwort leben, wenn sie „nicht gefällt“. Das BVwG stellt vorliegend fest, dass bei der belangten Behörde (DSB) als Spezialbehörde diesbezüglich keine Auskünfte eingeholt wurden.

G. Fehlende Dokumentation zur internen oder externen rechtlichen Bewertung

Negativ bewertet das BVwG den Umstand, dass das Unternehmen keine (aussagekräftigen) Unterlagen zu stattgefundener interner und externer Beratung der Beschwerdeführerin im Hinblick auf die (Gestaltung der) Einwilligungserklärungen vorgelegt hat. Hieraus hätte sich (durchaus auch positiv) ergeben können, dass die angeführten Faktoren aus rechtlicher Sicht ausführlich diskutiert bzw. problematisiert worden wären.

H. Anforderungen an das interne Kontrollsystem (Compliance)

Nach Ansicht des BVwG muss für die Wirksamkeit eines internen Kontrollsystems dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen. Zwar habe das Unternehmen hier gewisse Kontroll- und Beratungsmechanismen im Bereich des Datenschutzes eingeführt. Jedoch habe dieses System im konkreten Fall nicht funktioniert.

Fazit

Insgesamt geht das BVwG daher davon aus, „dass auf subjektiver Tatseite zumindest Verschulden in Form von Fahrlässigkeit der Beschwerdeführerin vorliegt“. Die Entscheidung gibt für die Praxis einen guten Leitfaden für verschiedenste Faktoren und (Gegen)Argumente, die im Rahmen des Verschuldens durch Verantwortliche und Auftragsverarbeiter bei der Bußgeldhaftung nach Art. 83 DSGVO in der Praxis berücksichtigt werden sollten.

Endlich: Keine Anwendbarkeit des Fernmeldegeheimnisses für Arbeitgeber bei erlaubter / geduldeter privater Nutzung von betrieblichen E-Mail- oder Internetdiensten – Datenschutzbehörde NRW

Posted on by

„Halleluja“, möchte man fast ausrufen. Eine seit Ewigkeiten bestehende rechtliche Diskussion um die Anwendbarkeit der strengen Vorgaben des Fernmeldegeheimnisses auf Arbeitgeber scheint sich aufzulösen – und zwar im positiven Sinne für Arbeitgeber.

Rückblick

Seit Jahren wird bekanntlich darüber diskutiert, geschrieben und geurteilt, ob und wann Arbeitgeber als Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten (§ 3 Abs. 2 TDDDG) gelten – womit auch das Fernmeldegeheimnis greifen würde – wenn sie ihren Mitarbeitern die private Nutzung von beruflichen E-Mail-Postfächern und/oder Internetzugang gestatten oder dies dulden.

In ihrer Orientierungshilfe (PDF) aus 2016 ging die DSK davon aus, dass wenn der Arbeitgeber den Beschäftigten auch die private Nutzung von Internet und/oder des betrieblichen E-Mail-Postfaches erlaubt, zusätzlich zum allgemeinen Datenschutzrecht das (damals noch geltende) Telekommunikationsgesetz (TKG) bzw. das Telemediengesetz (TMG) zu beachten ist.

Nach Auffassung der Aufsichtsbehörden ist der Arbeitgeber in diesem Fall Telekommunikationsdienste- bzw. Telemediendienste-Anbieter. Dies hat die Konsequenz, dass er an das Fernmeldegeheimnis des § 88 Abs. 2 S. 1 TKG gebunden ist“.

Die Folge in der Praxis: Arbeitgeber durften (bei gestatteter / geduldeter privater Nutzung) im Grunde nur mit Einwilligung der Mitarbeiter Zugriff auf beruflich bereitgestellte Postfächer nehmen oder den Internetverkehr prüfen. Zudem galt ein strafrechtliches Verbot nach § 206 StGB.

Diese Auffassung wurde insbesondere in der Literatur und auch Teilen der Rechtsprechung nicht geteilt (vgl. etwa LAG Berlin-Brandenburg, Urt. v. 14.1.2016 – 5 Sa 657/15; LG Krefeld, Urt. v. 7.2.2018 – 7 O 198/17; LG Erfurt, Urt. v. 28.4.2021 – 1 HK O 43/20). Diese Ansicht lehnte die Anwendung des Fernmeldegeheimnisses ab.

Aktuelle Entwicklung

Letzte Woche hat die Datenschutzbehörde NRW (LDI) ihren Jahresbericht 2024 veröffentlicht (PDF). Dort wird unter Ziff. 12.2. festgehalten:

Für Arbeitgeber*innen gilt nicht mehr das Fernmeldegeheimnis, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden.“

Dieser Trend hat sich schon letztes Jahr abgezeichnet (vgl. Datenschutzbehörde Hessen, Jahrsebericht 2022, S. 30, PDF).

Sehen dies alle deutschen Aufsichtsbehörden so? Hierzu gibt es derzeit keine neuere Aussage der DSK. Nach Angaben der LDI NRW gehen aber mehrere deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich nach Inkrafttreten des TTDSG (jetzt: TDDDG) die rechtliche Bewertung geändert hat: Arbeitgeber, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, unterliegen nicht mehr dem Telekommunikationsrecht.

Deshalb haben sie gegenüber ihren Beschäftigten auch nicht das Fernmeldegeheimnis zu garantieren.

Ein, aus meiner Sicht zutreffendes, Argument der LDI: Bei Arbeitgebern, die die private Nutzung erlauben oder dulden, fehlt es in der Regel am Rechtsbindungswillen. Arbeitgeber treten gegenüber ihren Beschäftigten nicht als geschäftsmäßige Telekommunikationsdienstleister auf.

Die Folge in der Praxis ist, dass bei der Verarbeitung von Mitarbeiterdaten im Rahmen der Zurverfügungstellung von betrieblichen E-Mail-Postfächern oder des Internetzugangs, die allgemeinen Vorgaben der DSGVO und auch des BDSG (oder von Landesdatenschutzgesetzen) zu beachten sind. Es bedarf aber nach Ansicht der LDI NRW gerade keiner Einwilligung, speziell für den Schutzbereich des Fernmeldegeheimnisses. Diese Ansicht dürfte in der Praxis einige Unsicherheiten beseitigen.

Die LDI NRW nennt auch ein konkretes Beispiel: in der Vergangenheit galt, dass Arbeitgeber nur auf die Protokolldaten oder E-Mails der Beschäftigten zugreifen konnten, wenn dafür deren Einwilligung vorlag.

Mit dem TTDSG finden statt der spezifischen telekommunikationsrechtlichen Regeln nun die Vorschriften der DS-GVO Anwendung. Die DS-GVO sichert ein ähnlich hohes Schutzniveau für die personenbezogenen Daten der Beschäftigten.“

Bedeutet: es kann sein, dass auch nach der DSGVO je nach Verarbeitungszweck und Umfang der Verarbeitung dennoch eine Einwilligung erforderlich ist – aber eben nicht per se aufgrund der Geltung des Fernmeldegeheimnisses. Die LDI empfiehlt zurecht, dass wie bisher über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung getroffen bzw. interne Vorgaben erstellt werden sollten. Darin sollen etwa die Fragen des Zugriffs, der Protokollierung, der Auswertung und der Durchführung von Kontrollen geklärt werden.

Bundesregierung plant „Entbürokratisierung“ des Datenschutzes – Erhöhung der Benennungsschwelle für DSB, Konzentration von Behördenzuständigkeiten und verbindliche Beschlüsse der DSK

Posted on by

Der Bundeskanzler, der Vizekanzler und der Bundesminister der Finanzen haben sich am 5. Juli 2024 auf eine „umfassende Wachstumsinitiative“ geeinigt. Der Text des Dokuments ist hier abrufbar (PDF). Laut der Einleitung hat sich die Bundesregierung auf ein umfassendes Maßnahmenpaket verständigt, das der deutschen Wirtschaft umgehend Impulse für mehr wirtschaftliche Dynamik geben wird.

Zum Zeitplan (immerhin ist bald Sommerpause im Parlament und im September 2025 stehen Bundestagswahlen an) wird dort beschrieben, dass die Bundesregierung die in diesem Paket enthaltenen Maßnahmen „nun schnell umsetzen“ werde. Soweit es neuer Gesetze oder weiterer gesetzlicher Anpassungen bedarf, werden die entsprechenden Regelungsvorschläge gemeinsam mit dem Haushaltsgesetz oder später im zweiten Halbjahr 2024 im Kabinett beschlossen. Klingt aus meiner Sicht sehr optimistisch.

Nachfolgend möchte ich schlaglichtartig einen Blick auf die Vorschläge und mögliche Konsequenzen im Bereich Datenschutzrecht werden.

Die Sicht der Bundesregierung auf den Datenschutz

Zunächst fällt auf, unter welchen Schlagworten die Parteien SPD, Die Grünen und die FDP den Datenschutzschutz verorten. Vorschläge im Bereich des Datenschutzrechts finden sich im Abschnitt „II. Unternehmerische Dynamik stärken: Unnötige Bürokratie abbauen“. Ein wenig mag man sich hierbei schon die Augen reiben. Parteien wie die SPD, die insbesondere für die Interessen der Arbeitnehmer (und damit den Mitarbeiterdatenschutz) eintritt oder Die Grünen, deren Mitglied und früheres Mitglied des Europäischen Parlaments, Jan Philipp Albrecht, die DSGVO überhaupt erst möglich gemacht hat, verstehen den Datenschutz als „unnötige Bürokratie“. Die FDP vertritt ohnehin die Position, dass der bürokratische Aufwand überprüft werden muss.

Ziel der Bundesregierung ist: die Anwendung datenschutzrechtlicher Anforderungen reduzieren. Das klingt zunächst politisch natürlich super – wer soll da widersprechen? Wenn wir uns gleich einige Vorschläge aus der Initiative anschauen, können Sie ja einmal für sich prüfen, welche Anforderungen dadurch auch tatsächlich reduziert werden.

Die Bundesregierung strebt in Abstimmung mit den Ländern folgende Maßnahmen an:

1. Zuständigkeitskonzentration bei einer Aufsichtsbehörde

Für bestimmte Branchen/Sektoren wird mit den Ländern vereinbart, die Zuständigkeit bei der Aufsichtsbehörde eines Landes zu konzentrieren, damit es bundesweit für die Unternehmen eine Aufsicht und damit u.a. eine einheitliche Ansprechstelle mit besonderer Expertise für komplexe Fragestellungen gibt.“

Die Bundesregierung hat hier wahrscheinlich die Schaffung von ausschließlich zuständigen Aufsichtsbehörden für bestimmten Themenbereiche im Sinne. Bsp: alle Fragen des Online-Handels werden bei der Behörde in Hamburg gebündelt. Alle anderen Aufsichtsbehörden der Länder wären dann z.B. für Fragen des Datenschutzes bei Kunden- & Gastkonten, der Löschung von Kundendaten etc. nicht mehr zuständig.

Zunächst wird es hier aus meiner Sicht einer Herausforderung sein, die „Branchen/Sektoren“ für die Praxis und Aufsicht sauber zu trennen. Zum obigen Beispiel: gehört zum Online-Shopping auch das Tracking in der App / auf der Webseite? Gehören dazu auch Verarbeitungen von bloßen Webseitenbesuchern von Online-Shops, die aber noch nicht kaufen? Gehören hierzu auch Verträge mit Dienstleistern, die etwa eine Chatfunktion im Shop bereitstellen?

Zweitens wird eine solche Konzentration aus meiner Sicht für die betroffenen Unternehmen nicht immer „positiv ausgehen“. Bsp: Online-Shops werden in Zukunft allein aus Hamburg beaufsichtigt. Unternehmen mit Zentralen in Bayern, Baden-Württemberg oder etwa NRW erhalten für alltägliche Fragen zu ihrem Angebot damit neue Ansprechpartner und vor allem verschwindet damit für die Mehrheit der Unternehmen natürlich auch der lokale Bezug der Aufsichtsbehörden. Man mag es kaum glauben, aber ja, man kann (und viele Unternehmen tun dies sehr erfolgreich) mit seiner zuständigen Aufsicht proaktiv in den Austausch gehen – man kann sich vor Ort treffen, Trends besprechen und die Umsetzung des Datenschutzes proaktiv begleiten. Ob diese Arbeitsweise auch noch stattfindet, wenn allein eine (aus Sicht des Unternehmens unbekannte und weit entfernte) Behörde zuständig ist?

Nun mag man einwenden: heutzutage kein Problem. Dann macht man das alles per Videokonferenz. Das Bsp. Online-Shop ist natürlich nur eines von vielen Themen – bzw. knüpft die Regieurng ja eher an Branchen/Sektoren.

Ich gebe Ihnen ein anderes (sehr provokatives) Bsp: für Fragen des Datenschutzes im Automobilbereich (automatisiertes Fahren, Datenverarbeitung im Bereich Infotainment) ist in Zukunft Thüringen zuständig. Hersteller wie VW, BMW und Mercedes (aber auch 1st Tier Zulieferer) müssen dann in allen Fragen des Datenschutzes mit dieser einen Behörde sprechen – und ggfs. auch Kämpfe führen. Und das ist dann eben nicht mehr die Behörde vor Ort.

Meine Erfahrung mit Mandanten ist, dass Unternehmen mit der „eigenen“ Behöre oft sehr gut und vertrauensvoll zusammenarbeiten. Und gerade diese, langjährige Zusammenarbeit, spart am Ende Aufwand im Datenschutzrecht, den man hätte, wenn man einfach mal „drauf los entwickelt“ und sich nicht abstimmt.

2. Verbindliche Beschlüsse der DSK

Stärkere bundesweite Vereinheitlichung der Anwendung des Datenschutzrechts durch verbindliche Beschlüsse der Datenschutzkonferenz; damit Rechtsunsicherheiten und bürokratischer Aufwand für Unternehmen reduziert werden und die Unternehmen sich innerhalb von Deutschland auf eine möglichst einheitliche Anwendung durch die verschiedenen Aufsichtsbehörden der Länder verlassen können.“

Zunächst eine, aus meiner Sicht, gute Nachricht – die Regierung möchte die föderale Struktur der Behörden zumindest im Grundsatz weiter fortführen. In welcher inhaltlichen Form, wird sich zeigen, siehe Ziffer 1.

Die Beschlüsse der DSK sollen, wohl für die Aufsichtsbehörden selbst, bindend werden. Also eine Orientierung an Art. 65 DSGVO zur Streitbeilegung im EDSA. Eine solche Initiative ist aus meiner Sicht durchaus sinnvoll. Vor allem mit Blick auf die Rechts(un)sicherheit bei der Anwendung des Datenschutzrechts. Spannend wird natürlich dann, in welcher Form Rechtsschutzmöglichkeiten der Aufsichtsbehörden selbst (Klagen gegen den Beschluss) und betroffener Unternehmen ausgestaltet werden, wenn Unternehmen inhaltlich nicht mit der Meinung der DSK übereinstimmen.

Einige Leser/innen wissen, dass ich ein großer Verfechter der föderalen Struktur in Deutschland und auch der manchmal unterschiedlichen Auslegungen des Datenschutzrechts bin. In der Praxis kommt es aus meiner Sicht einfach darauf an, was man aus den verschiedenen Ansichten von Datenschutzbehörden macht. Denn dies kann für Unternehmen durchaus auch positive Effekte (Stichwort: Bußgeldrisiko bei unterschiedlichen Meinungen der Aufsichtsbehörden?) haben. Als kleines lokales Unternehmen hat man andererseits immer die Möglichkeit, die Sichtweise seiner Aufsichtsbehörde zu folgen, um „Ruhe“ zu habe.

3. Weniger Datenschutzbeauftragte = besserer Datenschutz?

Aus meiner Sicht ein Evergreen der letzten Jahre. Die Regierung möchte § 38 BDSG zwar nicht mehr in Gänze streichen, nun aber (wieder einmal) die Benennungsschwelle erhöhen.

Erhöhung der Schwelle, ab der Unternehmen einen Datenschutzbeauftragten bestellen müssen von derzeit 20 Mitarbeitenden auf 50 Mitarbeitende.“

Die Regierung betreibt hier aus meiner Sicht reinen Populismus. Denn: nur, weil ein kleines Unternehmen evtl. keinen DSB mehr benennen muss, bedeutet dies ja nicht, dass es sich nicht mehr an das Datenschutzrecht halten muss. Viele betroffenen Unternehmen denken aber so. Leider. Kein DSB, dann auch keine DSGVO.

Das ist ein absoluter Trugschluss, den die Regierung aber auch mit keinem Wort aufklärt. Weniger Bürokratie? Auf dem Papier entfällt ggfs. eine Pflicht. Jene zur Benennung des DSB. Aber dennoch müssen diese kleinen Unternehmen ja immer noch voll die DSGVO einhalten. Und wir können nun gemeinsam überlegen, wie gut dies in der Praxis funktioniert, wenn es in diesen Unternehmen keine zuständige Person mehr für Fragen des Datenschutzes geben soll. Wer kümmert sich dann (wenn überhaupt noch)? Am Ende könnte gerade diese Maßnahme sogar zu noch mehr Frust bei betroffenen Unternehmen führen, wenn gegen sie z.B. eine Beschwerde eingereicht wird und sie dann merken, dass die DSGVO dennoch voll anwendbar ist.

Achso, und noch ein kleiner Nachtrag: dass nach § 38 Abs. 1 S. 2 BDSG eigentlich ohnehin viele Unternehmen, auch mit weniger als 20 oder dann 50 Mitarbeitenden, einen DSB benötigen, wird natürlich auch nicht beachtet. Denn danach muss jedes Unternehmen, unabhängig von der Mitarbeiterzahl, einen DSB benennen, wenn die Voraussetzungen zur Durchführung einer DSFA nach Art. 35 DSGVO vorliegen. Und wenn man nun die Blacklists der DSK, der Aufsichtsbehörden und auch die Kriterienkataloge des EDSA betrachtet, ist man schneller in einer DSFA-Pflicht, als man „Piep“ sagen kann.

4. Europäische Ebene

Eher als Absichtserklärung zu verstehen, sind die geplanten Maßnahmen auf europäischer Ebene.

Auf europäischer Ebene wird sich die Bundesregierung dafür einsetzen, dass a. die Anwendung und Durchsetzung der DSGVO auf europäischer Ebene mit dem Ziel der Vereinfachung harmonisiert und die Zusammenarbeit der Aufsichtsbehörden der Mitgliedstaaten (insbesondere im Europäischen Datenschutzausschuss) verbessert wird“.

Welche konkreten Maßnahmen die Regierung hier auf Ebene des EDSA im Blick, wird nicht klar. Aktuell geht die Tendenz auf europäischer Ebene aber aus meiner Sicht eher nicht Richtung „Vereinfachung“ der Zusammenarbeit der Behörden, sondern in die andere Richtung. Denn bald wird eine neue Verordnung zur Durchsetzung der DSGVO das Licht der Welt erbblicken, die Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679. Aus meiner Sicht hat diese bislang in Deutschland noch wenige Platz in der Diskussion gefunden, obwohl sie einige extrem relevante Regelungen enthält. Hier ein Blogbetrag dazu von mir.

Kundenbeschwerde wegen 1,50 EUR führt zu DSGVO-Bußgeld in Höhe von ca. 172.000 EUR – Ein Problem: Teilzeit-DSB, der seine Aufgaben nicht erfüllen konnte

Posted on by

Die Datenschutzbehörde aus Belgien (APD) verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 172.431 EUR, weil es das Unternehmen unter anderem versäumt hatte, die personenbezogenen Daten einer betroffenen Person im Zusammenhang mit Direktwerbung zu löschen und weil es einen Teilzeit-DSB beschäftigte, der aber überlastet war und seine Aufgaben nicht wirksam wahrnehmen konnte (hier die englische Zusammenfassung der Entscheidung bei noyb).

Hintergrund

Die betroffene Person kaufte ein Produkt von dem Verantwortlichen und entdeckte auf der Rechnung eine unerwartete Gebühr von 1,50 EUR für einen „Energiebeitrag“. Die betroffene Person bat um die Erstattung dieses Zuschlags und verlangte die Löschung aller ihrer personenbezogenen Daten. Der Verantwortliche lehnte die Erstattung der Gebühr ab, bestätigte jedoch den Eingang des Löschungsantrags und bestätigte, dass dieser umgehend bearbeitet werde.

Es kam, wie es kommen musste. Die Daten wurden zunächst nicht gelöscht. Die betroffene Person erhielt weiterhin Werbung von dem Verantwortlichen. Der Betroffene wandte sich dann mit der Bitte um Schlichtung an die belgische Datenschutzbehörde. 

Spätestens jetzt hätten bei dem Verantwortlichen wirklich alle Hebel in Bewegung gesetzt werden müssen. Aber: der Verantwortliche reagierte nicht auf Anschreiben der APD. Daraufhin legte die betroffene Person Beschwerde bei der Datenschutzbehörde ein.

Der Verantwortliche räumte im Verfahren Fehler des früheren eigenen Datenschutzbeauftragten (DSB) ein und erklärte außerdem, dass das Ausbleiben einer Antwort an die APD während der Schlichtung auf den früheren DSB zurückzuführen war und dass weder der derzeitige DSB noch die Geschäftsleitung von diesen Problemen wussten und der frühere DSB weder die Korrespondenz mit der APD oder der betroffenen Person bearbeitet noch diese Informationen intern weitergegeben hat.

Im Rahmen des Verfahrens erläuterte der Verantwortliche, dass er Initiativen ergriffen habe, um seine Reaktionsfähigkeit zu verbessern, insbesondere durch die Einstellung eines neuen DSB, der in Vollzeit mit einem Team von zwei Personen arbeitet.

Entscheidung der Datenschutzbehörde 

Die APD geht unter anderem von Verstößen gegen Art. 5 Abs. 2 und Art. 24 DSGVO aus. Insbesondere kritisiert die Behörde, dass der frühere Teilzeit-DSB nicht die erforderliche Zeit und Ressourcen zur Verfügung hatte, um seinen Tätigkeiten nachzukommen. 

Die APD weist ganz generell darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss, um sicherzustellen, dass er in der Lage ist, nachzuweisen, dass die Verarbeitung im Einklang mit der DSGVO durchgeführt wird. Die Unfähigkeit des Verantwortlichen im vorliegenden Fall, die tatsächliche Löschung der Daten der betroffenen Person zu überprüfen oder schlüssig zu bestätigen, ließen Zweifel an der Wirksamkeit der bestehenden technischen und organisatorischen Maßnahmen aufkommen.

Als Verstoß gegen Art. 5 Abs. 1und Art. 24 DSGVO sah die Behörde auch die Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren. Nach Ansicht der APD verdeutlichte dies das Versäumnis, Maßnahmen zur Gewährleistung der Einhaltung der DSGVO entsprechend Art. 5 und 24 DSGVO zu ergreifen.

Zudem verweist die Behörde auch auf die Anforderungen des Art. 38 Abs. 2 DSGVO hinsichtlich der Aufgaben des internen Datenschutzbeauftragten. Der Verantwortliche muss den DSB unterstützen, indem er ihm die zur Erfüllung seiner Aufgaben erforderlichen Mittel zur Verfügung stellt und hierbei muss er folgende Faktoren berücksichtigen.

  • der DSB muss gegebenenfalls in alle datenschutzrelevanten Angelegenheiten einbezogen werden
  • der Verantwortliche muss dem DSB ausreichend Zeit für die Wahrnehmung seiner Aufgaben zur Verfügung stellen
  • der Verantwortliche muss die Bestellung des DSB allen Mitarbeitern mitteilen, um sicherzustellen, dass seine Rolle innerhalb der Organisation weithin bekannt ist
  • der Verantwortliche muss für laufende Schulungen sorgen, um die Kenntnisse des DSB auf dem neuesten Stand zu halten.

Einen Verstoß gegen diese Vorgaben sah die Behörde unter anderem in der Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren.

Bayerische Datenschutzbehörden: keine eigene Verantwortlichkeit des Mitarbeiters beim Missbrauch von beruflichen Daten für private Zwecke (Exzess)?

Posted on by

Der BayLfD hat jüngst eine aus meiner Sicht wirklich gelungene und hilfreiche Orientierungshilfe zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO veröffentlicht. In der Orientierungshilfe befasst sich die Behörde auch mit der Frage der Verantwortlichkeit in Situationen des sog. Mitarbeiterexzesses – Fälle, „bei denen Beschäftigte von Verantwortlichen Daten, auf die sie nur für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden“.

Die „bayerische Auffassung“ – Arbeitgeber / Dienstherr bleibt Verantwortlicher

In diesem Zug war ich durchaus überrascht, von der sog. „bayerischen Auffassung“ zu lesen (ab S. 42 ff.). Diese Ansicht wird vom BayLfD wie folgt zusammengefasst:

Die beiden bayerischen Aufsichtsbehörden – der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht – vertreten übereinstimmend die Auffassung, dass ein Beschäftigter nicht zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO wird, wenn er Daten, die ihm für dienstliche Zwecke zur Verfügung stehen, mittels dienstlicher Abfragesysteme für private Zwecke abruft“.

Nach Auffassung des BayLfD und wohl auch des BayLDA stellt diese zweckwidrige Verwendung von Daten aus dem beruflichen Kontext noch keine Handlung dar, die den Beschäftigten zu einem eigenen datenschutzrechtlichen Verantwortlichen machen würde.

Die Konsequenzen dieser Auffassung sind praxisrelevant:

  • „Die öffentliche Stelle bleibt damit im Fall des bloß zweckwidrigen Datenabrufs Einzelverantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, auch für den Datenschutzverstoß durch ihren Beschäftigten“
  • „Der rechtswidrige Abruf dienstlich zugänglicher Daten zu rein privaten Zwecken stellt einen Datenschutzverstoß dar, aufgrund dessen gegen den Verantwortlichen gemäß Art. 83 DSGVO grundsätzlich eine Geldbuße verhängt werden kann“

Gründe für die Ansicht des BayLfD und BayLDA

Der BayLfD begründet seine Auffassung unter anderem damit, dass Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO nur ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ausschlaggebend sei dabei die Entscheidung über die grundsätzlichen Zwecke und Mittel der Abfragesysteme.

Über diese entscheidet ein Beschäftigter jedoch auch dann nicht, wenn er dienstliche Daten für private Zwecke missbraucht“.

Er verwende vielmehr lediglich die ihm zur Verfügung gestellten Abfragesysteme und diese für außerdienstliche, private Zwecke. Der BayLfD verweist in den Fußnoten auch auf die Ansicht des BayLDA in drei Tätigkeitsberichten.

So geht das BayLDA im Tätigkeitsbericht 2020 (ab S. 78 f.) unter anderem davon aus, dass ein Mitarbeitender beim bloßen Datenabruf aus Datenbanken des Unternehmens, bei dem er beschäftigt ist bzw. der bloßen Einsichtnahme in personenbezogene Daten in entsprechende Unterlagen zu privaten Zwecken, nicht zum eigenständigen Verantwortlichen wird, da die beiden dort genannten Kriterien – Zweck- und Mittelbestimmung – nach dem Wortlaut („und“) kumulativ vorliegen müssen. Der Mitarbeitende bestimme nicht über den Mitteleinsatz.

Als zweites Argument verweist der BayLfD auf die vorhandene Vorgabe in Art. 28 Abs. 10 DSGVO für Auftragsverarbeiter. Für den Fall, dass ein Auftragsverarbeiter in rechtswidriger Weise seine Befugnisse überschreitet, wird er insoweit eigener Verantwortlicher. Eine solche Regelung fehle aber in Art. 29 DSGVO in Bezug auf Beschäftigte.

Etwas anderes soll nur dann gelten, wenn der Beschäftigte die abgerufenen Daten mittels arbeitgeberfremder Ressourcen weiterverarbeitet. Also etwa über seinen privaten Laptop oder sein Smartphone. Ab diesem Zeitpunkt greife Art. 4 Nr. 7 DSGVO für den Beschäftigten.

Andere Ansichten

Nun gesteht der BayLfD in seiner Orientierungshilfe aber auch ein, dass diese bayerische Ansicht nicht der einzige derzeit vorgeschlagene Weg ist und von einigen anderen Aufsichtsbehörden nicht geteilt wird. So sehen etwa die Landesdatenschutzbeauftragten in Baden-Württemberg und Nordrhein-Westfalen den Beschäftigten, der dienstliche Daten für private Zwecke verwendet, als Verantwortlichen an.

Zudem verweist der BayLfD auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts (Erkenntnis vom 21. Dezember 2021, W258 2238615-1/16E) und auch die andere Auffassung des Europäischen Datenschutzausschusses (Leitlinien 07/2020), der allein an die Zwecke der Verarbeitung knüpft und hieraus bereits die eigene Verantwortlichkeit des Mitarbeiters ableitet.

Der BayLfD geht in Fn. 140 davon aus, dass die Entscheidung des österreichischen Bundesverwaltungsgerichts – soweit ersichtlich – die erste Entscheidung eines Gerichts im deutschsprachigen Raum zu dieser Frage sei. Ergänzen lässt sich insoweit noch eine ältere Entscheidung des Verwaltungsgerichts (VG) Mainz (Urteil vom 17.12.2020 – 1 K 778/19.MZ), das ebenfalls nicht die Ansichten von BayLfD und BayLDA vertritt.

Nach dem VG ist von einem den Zurechnungszusammenhang unterbrechenden „Exzess“ jedenfalls dann auszugehen, wenn Beschäftigte Daten unbefugt für eigene Zwecke verarbeiten – wie z.B. bei der Einsichtnahme in behördliche Datenbanken für private Zwecke oder Entwendung von Kundendaten. Das VG lässt also, entgegen der bayerischen Auflassung, die eigene Zweckbestimmung durch den Mitarbeiter durchaus für eine eigene Verantwortlichkeit ausreichen. Der jeweilige Beschäftigte schwinge sich dann insoweit selbst zum Verantwortlichen auf, indem er anfängt, selbst darüber zu entscheiden, wie und warum mit Daten umgegangen wird.

Einschätzung

Ich war von der Ansicht beim ersten Lesen der Orientierungshilfe tatsächlich überrascht, da ich bisher auch immer die eigenständige Zweckänderung durch den Mitarbeiter als ausreichend für die Einstufung als Verantwortlicher gesehen habe.

Die Argumentation der Behörden, dass der Mitarbeiter deshalb nicht verantwortlich ist, da er ja nicht über die Mittel der Verarbeitung entscheide, ist aus meiner Sicht zudem diskutabel. Denn wenn der Mitarbeiter etwa eine CRM-Software verwendet, um dort für private Zwecke nach Kundendaten zu suchen, bestimmt er meines Erachtens natürlich auch in diesem Moment über den Einsatz des Mittels „CRM-Software“ – eben allein für seine privaten Zwecke. Zudem könnte man hierfür ergänzend die Ansicht des Generalanwalts in der Rs. C-579/21 anführen (hierzu mein Blogbeitrag), in der er davon ausgeht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann, da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Fazit

Überspitzt formuliert kann man konstatieren: solange Mitarbeiter in Bayern (im privaten oder öffentlichen Bereich) allein über Systeme ihres Arbeitgebers missbräuchlich mit Daten umgehen, droht ihnen von Seiten der Datenschutzaufsicht kein Ungemach. Der Arbeitgeber müsste befürchten, wegen eines Verstoßes gegen Art. 32 DSGVO geprüft oder ggfs. sanktioniert zu werden.

Verzicht auf den Auskunftsanspruch im arbeitsgerichtlichen Vergleich? Zur Abdingbarkeit von Betroffenenrechten

Posted on by

Bekanntlich gehört die Geltendmachung von Auskunftsansprüchen nach Art. 15 DSGVO in arbeitsgerichtlichen Verfahren mittlerweile „zum guten Ton“ – ob nun wirklich immer mit einer Intention des Datenschutzes oder doch eher, um Aufwände zu kreieren, sei hier dahingestellt.

In ihrem aktuellen Tätigkeitsbericht 2023 (ab S. 119) befasst sich die Datenschutzbehörde des Saarlandes (LfDI) mit der relevanten Frage, ob Arbeitgeber und Arbeitnehmer eine Vereinbarung (etwa in Form eines Vergleichs) mit dem Inhalt treffen können, dass der Betroffene auf die Ausübung seines Auskunftsanspruchs nach Art. 15 DSGVO verzichtet? Ob das Betroffenenrecht also zur Disposition der Parteien steht?

Datenschutz als Grundrecht – Selbstbestimmtheit der Betroffenen

Die LfDI verweist darauf, dass das europäische Datenschutzrecht Ausfluss des Grundrechts aus Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh) ist. Dieses Grundrecht sei wichtig – jedoch kein Grundrecht unabdingbarer Natur, wie etwa die Menschenwürde aus Art. 1 GRCh.

Die Behörde geht davon aus, dass das Prinzip der Selbstbestimmtheit des Betroffenen im Datenschutzrecht besondere Bedeutung hat. Was etwa durch das Institut der Einwilligung aus Art. 6 Abs. 1 lit. a, Art. 7 DSGVO unmissverständlich zum Ausdruck komme.

Die LfDI leitet hieraus in einem Erst-Recht-Schluss ab:

Kann der Betroffene durch eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten seine Zustimmung erteilen und dieser Verarbeitung dadurch eine rechtliche Grundlage verleihen, so muss er auch eine Entscheidungsbefugnis dahingehend haben, ob und in wieweit er seine hierzu im Annex stehenden Betroffenenrechte ausübt bzw. auf diese verzichtet.“

Dies gelte auch in Situationen, in denen es evtl. ein Machtgefälle bzw. Ungleichgewicht zwischen den Parteien gibt – wie im Beschäftigtenverhältnis. Die LfDI macht hier aber eine relevante Einschränkung ihrer Ansicht. Sie sieht insbesondere dort die Möglichkeit der Selbstbestimmtheit, wo es um zurückliegende Verarbeitungen in der Vergangenheit geht.

Formulierung des Vergleiches / Verzichts

Zudem befasst sich die LfDI auch mit der erforderlichen Formulierung einer solchen Vereinbarung. Grundsätzlich müssen die Formulierungen in einem arbeitsgerichtlichen Vergleich natürlich hinreichend klar und bestimmt sein,

um ein datenschutzrechtliches Betroffenenrecht einvernehmlich auszuschließen“.

Auch eine sog. Salvatorische Abgeltungsklausel, mit der jegliche Ansprüche aus dem Arbeitsverhältnis und dessen Beendigung, gleich ob bekannt oder unbekannt und gleich aus welchem Rechtsgrund, abgegolten sein sollen, genügt nach Auffassung der LfDI dem Bestimmtheitserfordernis.

Auch wenn sich die Vereinbarung dem Wortlaut nach „nur“ auf Ansprüche „aus dem Arbeitsverhältnis“ bezieht, ist dies nach Auffassung der Behörde unschädlich, da das Arbeitsverhältnis gerade Grundlage der Datenverarbeitung ist. Der Bezug zum „Arbeitsverhältnis“ umfasst danach nicht nur arbeitsrechtliche Ansprüche im engeren Sinne,

sondern auch solche datenschutzrechtlicher Art, welche mit dem Arbeitsverhältnis in Verbindung stehen und für welche das Arbeitsverhältnis Verarbeitungsgrundlage war“.

Jedoch macht die LfDI noch eine Einschränkung.

Der Verzicht auf das Betroffenenrecht könne sich nicht auf solche Verarbeitungen beziehen, die der Betroffene noch nicht absehen kann. Hier müsse er weiterhin einen Auskunftsanspruch haben.

Mit Blick auf die Begründung zuvor, dass es sich um Ansprüche aus dem „Arbeitsverhältnis“ handeln muss, scheint die LfDI also eine Grenze zu solchen Verarbeitungen zu ziehen, die erst in Zukunft stattfinden würden.

Insgesamt stellt die Aufsichtsbehörde aber am Ende ihrer Ausführungen noch einmal fest:

Auskunftsansprüche über Datenverarbeitungen der Vergangenheit, genauer über solche Verarbeitungen, welche aus zeitlich vor dem hierauf gerichteten Vertragsschluss (Vergleichsschluss) resultierenden Datenerhebungen stammen, stehen indes grundsätzlich zur Disposition der Vertragsparteien“.

Fazit

Die LfDI vertritt eine, aus meiner Sicht, durchaus pragmatische und eher verantwortlichenfreundliche Position zur Frage, ob Betroffenenrechte abdingbar sind. Wichtig ist der Behörde zurecht eine klar verständliche und transparente Regelung hierzu. Zudem will die LfDI den Verzicht auf das Betroffenenrecht „nur“ für vergangene Verarbeitungen gelten lassen. Wichtig: ob der Betroffene von den vergangenen Verarbeitungen auch tatsächlich Kenntnis hat, scheint keine Voraussetzung aus Sicht der Behörde zu sein.

Spannend wäre jetzt natürlich die Diskussion, ob die Argumentation der LfDI auf andere Betroffenenrechte übertragbar ist (zB das Recht auf Löschung oder Berichtigung) – aus meiner Sicht schon. Zum einen beschränkt die LfDI ihre Ansicht nicht nur auf das Auskunftsrecht. Zum anderen sind die vorgebrachten Argumente durchaus auch für andere Betroffenenrechte anwendbar.  

Bundesverwaltungsgericht Österreich wendet EDSA-Leitlinien zur Berechnung von Geldbußen an

Posted on by

Datenschutzbehörden verwenden zur Berechnung von Geldbußen bekanntlich die EDSA-Leitlinien 04/2022 vom 24.5.2023. Gleichzeitig wissen wir, dass Leitlinien des EDSA keine unmittelbare rechtliche Bindungswirkung für Verantwortliche, Auftragsverarbeiter oder auch nationale Gerichte haben. Der EDSA selbst stellte dazu bereits 2021 fest: „In dieser Hinsicht spiegeln die Leitlinien und Empfehlungen des EDPB, obwohl sie an sich nicht verbindlich sind, den gemeinsamen Standpunkt und das gemeinsame Verständnis wider, das die Behörden einheitlich anwenden wollen“. (Stellungnahme des EDSA).

Dennoch stellen die Leitlinien des EDSA in der Praxis, aber auch in gerichtlichen Verfahren, eine wichtige Ansicht dar, die auch von Generalanwälten am EuGH zur Auslegung der DSGVO verwendet werden (vgl. etwa Rz. 28 in der Rs. C-307/22, zu den Leitlinien 01/2022).

Für die Wirkung und auch rechtliche Bedeutung von Leitlinien relevant ist daher eine neuere Entscheidung des Bundesverwaltungsgerichts (BVwG) aus Österreich vom 26.3.2024 (Gz. W137 2241630-1).

In dem Verfahren ging es um eine Geldbuße der österreichischen Behörde auf Grundlage von Art. 83 DSGVO. Hiergegen wurde Beschwerde eingelegt. Das Bundesverwaltungsgericht setzte das Verfahren dann zunächst aus, bis der EuGH in der Rechtssache Deutsche Wohnen (C-807/21) entschieden hatte. Danach wurde das Verfahren inhaltlich fortgesetzt.

Das BVwG teilte den Parteien nach der Fortsetzung der Verhandlung mit, dass das Gericht bei der Frage der Bemessung der Geldbuße die Leitlinien 04/2022 zumindest mit heranziehen wird.

Dabei wurde den Verfahrensparteien bekannt gegeben, dass sich der Senat bei der allfälligen Strafbemessung an den Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO des Europäischen Datenschutzausschusses, Version 2.1; angenommen am 24. Mai 2023 (auch „Guidelines“ des EDPB) orientieren werde.“

Hiergegen scheint keine der Verfahrensparteien Einwände gehabt zu haben oder rechtliche Argumente gegen die Anwendung der Kriterien des EDSA vorgebracht zu haben.

Bei der konkreten Berechnung der Geldbuße hat das BVwG die Leitlinien des EDSA auch verwendet – wohl aber nicht allein die Leitlinien, da das Gericht davon spricht, dass es diese „ergänzend…herangezogen“ hat.

Das Bundesverwaltungsgericht hat ergänzend die Leitlinien 04/2022 des Europäischen Datenschutzausschusses  als Berechnungsgrundlage herangezogen, die bei – hier gegebenem geringem Schweregrad („low level of seriousness“) – und der oben festgehaltenen Umsatzgröße einen statischen Strafrahmen von bis zu EUR 500.000 annehmen, wobei der konkrete Umsatz im unteren Drittel der Bandbreite (100 Millionen bis 250 Millionen Euro) liegt“.

Was lässt sich aus dieser Entscheidung des BVwG ableiten?

Das Gericht scheint zum einen keinerlei rechtliche Bedenken hinsichtlich der Anwendung der Leitlinien zur Berechnung von Geldbußen zu haben. Zum anderen wird die dort vorgeschlagene Berechnungsmethode vom BVwG verwendet (was für das betroffene Unternehmen im Übrigen auch nicht immer „schlecht“ sein muss). Daher scheint das Gericht also auch die vorgeschlagene Berechnung des EDSA auf Basis des Art. 83 DSGVO als schlüssig anzusehen. Zumindest ergeben sich aus der Entscheidung des BVwG keine Hinweise darauf, dass das Gericht die Vorschläge des EDSA inhaltlich als unzulässig oder mit der DSGVO nicht vereinbar ansieht. Im Ergebnis wird man die Entscheidung des BVwG daher auch als eine Art „Bestätigung“ der vom EDSA vorgeschlagenen Berechnungsmethode ansehen können.

Schwedische Datenschutzbehörde: Umsetzung eines Widerspruchs gegen Werbe-E-Mails innerhalb von 2 Tagen

Posted on by

In einer Entscheidung vom 17.10.2023 hatte sich die schwedische Datenschutzbehörde (IMY) mit mehreren Beschwerden gegen das Unternehmen H&M wegen unzulässiger Marketing-E-Mails und Newsletter befasst. Unter anderem ging es um die Frage, wie schnell ein Verantwortlicher einen Werbewiderspruch nach Art. 21 Abs. 2 DSGVO umsetzen muss.

Sachverhalt

Ein Betroffener beschwerte sich, dass er am 5. April 2019 einen Widerspruch nach Art. 21 Abs. 2 DSGVO gegenüber H&M ausgeübt hatte, in der Folgezeit aber weiterhin werbliche E-Mails, in der Form von Newslettern, erhielt.

Der Widerspruch erfolgt wohl einmal in den Kontoeinstellungen und auch durch direkte Kontaktaufnahme mit dem Kundenservice in Polen und England. Am 8. April 2019 antwortete H&M, dass der Betroffene keine weiteren Newsletter erhalten würde.

Intern wurde der Betroffene wohl auch vom allgemeinen Newsletter genommen. Aber nicht von einem speziellen Kundenclub-Newsletter. Der Betroffene erhielt weiter bis zum 1. August 2019 diese Newsletter zugesendet – also ca. 4 Monate. Am 2. August 2019 wurde der Widerspruch dann auch für den Kundenclub-Newsletter umgesetzt.

Entscheidung der IMY

In ihrer Begründung stellt die IMY zunächst die gesetzlichen Anforderungen für diesen Fall dar.

Nach Art. 21 Abs. 2 DSGVO hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke von Werbung einzulegen. Es bedarf hierzu keiner weiteren Abwägung durch den Verantwortlichen oder Begründung durch den Betroffenen. Erfolgt der Widerspruch, so gibt Art. 21 Abs. 3 DSGVO vor, dass die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet werden dürfen.

Nach Ansicht der Aufsichtsbehörde folgt hieraus, dass eine weitere Verwendung der Daten für werbliche Zwecke einen Verstoß gegen Art. 6 Abs. 1 DSGVO darstellt, da hierfür keine Rechtsgrundlage vorliegt.

Die Umsetzung des Werbewiderspruchs stellt aus Sicht der IMY eine Routineaufgabe für Verantwortliche dar, da gerade keine weiteren Voraussetzungen zur Umsetzung des Widerspruchs zu erfüllen sind.

Zudem verlangt Art. 12 Abs. 3 DSGVO, dass der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellt. Die IMY versteht diese Vorgabe so, dass der Verantwortliche unverzüglich den Werbewiderspruch zu bearbeiten und umzusetzen hat.

Die IMY legt hier einen strengen Maßstab an die zeitliche Umsetzung des Widerspruchs in den Systemen von H&M an. Die Aufsichtsbehörde verweist darauf, dass H&M ein automatisiertes Verfahren zur Umsetzung von Widersprüchen implementiert hatte.

Es sei aber stets eine Frage des Einzelfalls und der konkreten Umstände, wie schnell der Verantwortliche den Widerspruch umsetzen muss – wie also die Vorgabe „unverzüglich“ zu verstehen ist.

Im konkreten Fall nahm die Aufsichtsbehörde an:

In Anbetracht der Umstände des Falles ist IMY der Ansicht, dass zwei Tage eine angemessene Frist für die Bearbeitung des Widerspruchs durch das Unternehmen waren

Die IMY begründet ihre Ansicht unter anderem damit, dass hier gerade ein automatisiertes Verfahren eingerichtet wurde. Die Frist könnte etwa im Fall von manuellen Umsetzungen eine andere sein. Zwei Tage sind also nicht als starre Vorgabe zu verstehen. Zudem dürfte hier auch der Umstand eine Rolle gespielt haben, dass es sich um ein großes Unternehmen handelt, welches viele Kunden weltweit hat und daher Widersprüche an sich nichts Besonderes darstellen.

Generell fordert die Aufsichtsbehörde, dass Widersprüche nach Art. 21 Abs. 2 DSGVO schnell umzusetzen sind, da entsprechend Abs. 3 gerade verhindert werden soll, dass die Daten für werbliche Zwecke weiter verarbeitet werden.

Insgesamt ging die Aufsichtsbehörde hier von Verstößen gegen Art. 12 Abs. 3, Art. 21 Abs. 3 und Art. 6 Abs. 1 DSGVO aus.

Bußgeld in Höhe von 310.000 EUR: Einkauf und Verwendung von Datensätzen (Leads) für Werbezwecke ohne rechtmäßige Einwilligung

Posted on by

Die französische Aufsichtsbehörde (CNIL) hat ein Bußgeld in Höhe von 310.000 EUR gegen das Unternehmen FORIOU erlassen, weil das Unternehmen personenbezogene Datensätze ohne Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für Marketingzwecke verwendet hat (Pressemitteilung der CNIL). Der konkrete Fall an sich mag „wenig spannend“ klingen, jedoch sind die der Entscheidung zugrunde liegenden Ansichten der CNIL generell praxisrelevant für den Umgang mit Daten von Kunden oder potentiellen Neukunden.

Entscheidung der CNIL

FORIOU führt telefonische Akquisitionskampagnen durch, um die von ihm vermarkteten Treueprogramme und -karten zu bewerben. Die Daten der potentiellen Interessenten kauft das Unternehmen von Datenmaklern und Betreibern von Websites für Gewinnspiele und Produkttests. Im Grunde also ein recht alltäglicher Vorgang in der heutigen digitalen Wirtschaft – der Einkauf von Leads / Datensätzen für Werbezwecke.

Die CNIL stellte im Rahmen einer Untersuchung jedoch fest, dass FORIOU keine Rechtsgrundlage, in Form einer wirksamen Einwilligung nach Art. 6 Abs. 1 a) DSGVO, für die Verwendung der Daten nachweisen konnte. Hierbei lag der Fehler nicht nur bei dem werbenden Unternehmen selbst – die Datensätze / Leads waren quasi schon ohne ausreichende Rechtsgrundlage erhoben und mit diesem Makel der „Rechtswidrigkeit“ an FORIOU verkauft worden. Folgende Verstöße legte die CNIL dem Unternehmen zur Last:

  • Irreführende Darstellung der Formulare zur Datenerhebung und Einholung einer (unwirksamen) Einwilligung bei den Datenlieferanten.
  • Die Zustimmungs-Schaltflächen, mit denen die Betroffenen die Einwilligung in die Weitergabe und werbliche Nutzung ihrer Daten erteilen sollten, wurden (durch ihre Größe, Farbe, Überschrift und Position) viel größer und deutlicher hervorgehoben, als die Ablehnungsmöglichkeit.
  • Zudem ist FORIOU, als Käufer der Daten, nach der DSGVO verpflichtet, sich zu vergewissern, dass die betroffenen Personen eine gültige Einwilligung erteilt haben.
  • Zwar habe FORIOU seinen Datenlieferanten im Vorfeld bestimmte vertragliche Anforderungen auferlegt – diese jedoch im weiteren Verlauf nicht wirksam kontrolliert.
  • Zudem wurde FORIOU nicht in jedem Formular als Partner / Unternehmen erwähnt, welches die Daten für werbliche Nutzungszwecke erhält.

Fazit

Die Entscheidung der CNIL knüpft inhaltlich an die festgestellten Verstöße im vergangenen Bußgeldverfahren gegen das Unternehmen CRITEO an. Für die Praxis bedeutet dies, dass Unternehmen, wenn sie personenbezogene Daten von Datenlieferanten, Partnern oder auch Konzerngesellschaften erhalten, stets selbst dafür Sorge tragen müssen, dass eine Rechtsgrundlage für den intendierten Nutzungszweck vorhanden ist.