Deutsche Aufsichtsbehörden veröffentlichen Leitlinien zur Datenübertragung im Rahmen von Asset Deals

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich per Beschluss (pdf) mit Stand vom 24.5.2019 auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Asset Deal zu berücksichtigen sind.

Zu erwähnen ist, dass die Aufsichtsbehörden aus Berlin und Sachsen den Beschluss abgelehnt haben.

Die Frage um die datenschutzrechtliche Zulässigkeit der Übertragung von Kundendaten im Rahmen eines Asset Deal ist nicht neu. Bisher gab es aber noch keine veröffentlichte Position aller deutschen Behörden. Nun liegt ein solcher Mehrheitsbeschluss vor.

Nachfolgend möchte ich nur kurz auf ein paar Punkte des Beschlusses eingehen.

Kundendaten bei laufenden Verträgen

Die DSK stellt hierzu fest:

Hier bedarf der Vertragsübergang zivilrechtlich einer Genehmigung der Kundin oder des Kunden (§ 415 BGB / Schuldübernahme). In dieser zivilrechtlichen Genehmigung wird als Minus auch die datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten gesehen. Damit sind die Gegeninteressen der Kundin oder des Kunden gewahrt.

Beim ersten Lesen könnte man meinen, die Behörden verlangen eine datenschutzrechtliche Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO. Dies ist jedoch meines Erachtens nicht der Fall.

Zum einen verwenden die Behörden hier ausdrücklich den Begriff “Zustimmung” und nicht “Einwilligung”. Auch die DSGVO kennt im Übrigen den Unterschied zwischen “Zustimmung” und der “Einwilligung”, wie man an den Regelungen in Art. 8 Abs. 1 und 2 DSGVO sehen kann. In dem Beschluss wird daher meines Erachtens bewusst von einer „Zustimmung“ gesprochen und nicht von einer Einwilligung.

Zum anderen sprechen die Behörden davon, dass in diesem Fall die “Gegeninteressen” der Kunden gewahrt sind. Eine Berücksichtigung der Interessen ist aber im Rahmen einer Einwilligung nach Art. 4 Nr. 11 DSGVO nicht erforderlich. Diese wird wirksam erteilt oder eben nicht. Zuletzt bezieht sich der gesamte Beschluss laut seiner Überschrift auf den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO.

Ich halte es daher für gut vertretbar, die Aussage der Behörden so zu verstehen, dass Kundendaten innerhalb laufender Verträge datenschutzrechtlich ohne eine zusätzliche Einwilligung nach der DSGVO übertragen werden können. Leider geht der Beschluss nicht darauf ein, ob evtl. auch Art. 6 Abs. 1 lit. b) DSGVO als Erlaubnistatbestand in Betracht kommt, hierbei vor allem in der Variante der Vertragsdurchführung.

Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzter Vertragsbeziehung jünger als 3 Jahre

Wenn es um die Übertragung von Daten zu Bestandskunden geht, zieht die DSK eine, meiner Ansicht nach, gut vertretbare Grenze bei der regelmäßigen Verjährung nach § 195 BGB von 3 Jahren.

Daten von Kunden, die innerhalb dieses Zeitfensters fallen, werden nach Ansicht der Behörden nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO

im Wege der Widerspruchslösung (Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist (z. B. 6 Wochen) übermittelt. Diese Vorgehensweise ist für die Unternehmen aufwandsschonend und berücksichtigt durch die großzügige Widerspruchsfrist auch die Interessen der Kundinnen und Kunden.

Interessant hieran ist die relativ lang bemessene Frist zum Widerspruch. Nach Ansicht der Behörden immerhin mehr als einen Monat. Natürlich wird deutlich, dass die DSK die 6 Wochen „nur“ als Beispiel nennt. Jedoch sollte man in der Praxis daran denken, eine „ausreichend bemessene“ Frist zu gewähren. Lediglich ein paar Tage dürften etwa zu kurz sein.

Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO

Sollen bei einem Asset Deal Gesundheitsdaten übertragen wurden, geht die DSK offensichtlich von einem harten Einwilligungserfordernis aus.

Solche Daten können nur im Wege der informierten Einwilligung nach Art. 9 Abs. 2 lit. a), Art. 7 DS-GVO übergeleitet werden.

Leider geht die DSK hier nicht auf weitere Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO ein, wie etwa lit. f) „Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen“ oder auch auf Art. 9 Abs. 2 lit. b) DSGVO, wenn es um Beschäftigtendaten geht. Dies dürfte aber damit zusammenhängen, dass sich der Beschluss auf “Kundendaten” bezieht.

Deutsche Datenschutzbehörden: Prüfung von Apps mit Facebook-SDK geplant

Am 3. und 4. April 2019 haben die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) auf ihrer 97. Konferenz u.a. auch über eine geplante Prüfung von Apps und durch diese vorgenommene Verarbeitung personenbezogener Daten diskutiert.

Aus dem veröffentlichten Protokoll (pdf) ergibt sich, dass die Konferenz beschlossen hat, den internen Arbeitskreis Medien unter Beteiligung des Arbeitskreises Technik zu bitten, Prüfszenarien für eine entsprechende Kontrolle von Apps zu entwickeln (siehe TOP 27).

Hierbei geht es den Aufsichtsbehörden aber nicht um eine allgemeine Prüfung von Apps, sondern ganz speziell um solche Apps, die das Software-Development Kit (SDK) von Facebook nutzen.

Nach Aussage der Datenschutzbehörde aus Hamburg würden

über das in vielen Apps verwendete Software-Development Kit von Facebook zahlreiche und häufig sensible Nutzerdaten an Facebook übermittelt.

Es scheint, dass die Behörde aus dem Norden in dieser Thematik schon ein wenig Erfahrung sammeln konnte. Zumindest wird in dem Protokoll weiter beschrieben, dass sich nach Ansicht der Hamburger Behörde in einer Vielzahl solcher Apps kein Hinweis auf die Übermittlung personenbezogener Daten an Facebook finde. Hiermit dürfte wohl ein möglicher verstoß gegen die Transparenzvorgaben der Art. 12-14 DSGVO im Raum stehen.

Hamburg gehe schätzungsweise davon aus, dass bei etwa 30 % der betroffenen Apps kein hinreichender datenschutzrechtlicher Hinweis erfolgt und regt an, dies im Rahmen einer koordinierten Prüfung zu untersuchen.

Dieser Anregung der Aufsichtsbehörde steht ein großer Teil der anderen Bundes- und Landesbehörden positiv gegenüber. Laut dem Protokoll erklären sich die Datenschutzbehörden aus Hamburg, Saarland, Niedersachsen, Mecklenburg-Vorpommern, BfDI, LDA Bayern, Berlin, Hessen und ggf. Rheinland-Pfalz bereit,

sich an der Entwicklung gemeinsamer Prüfstrategien und Kontrollen zu beteiligen.

App-Betreiber bzw. durchaus auch Entwickler von Apps sollten daher in näherer Zukunft damit rechnen, dass Datenschutzbehörden etwa einen Fragenkatalog zur Einbindung des Facebook-SDK versenden könnten. Insbesondere sollte natürlich unabhängig von einer solchen Prüfaktion jeder App-Betreiber für eine DSGVO-konforme Datenschutzerklärung sorgen, um den Anforderungen der Art. 12-14 DSGVO zu genügen. Nach Art. 13 Abs. 1 lit. e) DSGVO gehören zu den verpflichtend zu erteilenden Informationen für App-Nutzer auch Angaben über „die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“. Diese Vorgabe dürfte aus Sicht der Aufsichtsbehörden im vorliegenden Fall insbesondere relevant sein.

Hinzuweisen ist aus Beratersicht aber auch darauf, dass Art. 13 Abs. 1 lit. e) DSGVO alternativ entweder die konkrete Angabe von Empfängern (das wäre dann z.B. Facebook) oder auch die Nennung der der Kategorien von Empfängern von personenbezogenen Daten gestattet. Es ist also nicht zwingend vorgesehen, dass stets ein konkretes Unternehmen als Empfänger benannt werden muss. Jedoch sollte man auch wissen, dass durchaus darüber diskutiert wird, wie diese Vorschrift praktisch anzuwenden ist. Zum Teil wird behördlicherseits auch vertreten, dass, im Sinne eines Stufenverhältnisses, per se immer die konkreten Empfänger anzugeben sind und nur, wenn dies nicht möglich ist, die Kategorien genannt werden könnten.

Datenschutz im Automobilbereich: Datenschutzbehörde Baden-Württemberg zu den datenschutzrechtlichen Anforderungen der Produktbeobachtungspflicht durch Hersteller

Der Landesbeauftragte für den Datenschutz Baden-Württemberg berichtet in seinem aktuellen Tätigkeitsbericht (S. 94 ff., pdf) unter anderem über die Ergebnisse einer Prüfung der Einhaltung datenschutzrechtlicher Voraussetzungen durch Autowerkstätten.

In diesem Zusammenhang befasst sich der Landesdatenschutzbeauftragte auch mit den datenschutzrechtlichen Anforderungen, die bei der einem Hersteller obliegenden Pflicht zur Produktüberwachung/Produktbeobachtung von Fahrzeugen zu beachten sind.

Die Ansicht der Aufsichtsbehörde:

Die datenschutzrechtliche Grundlage für die Datenverarbeitung der erforderlichen Fahrzeugdaten für die Produktüberwachung/Produktbeobachtung und für eventuelle Rückrufaktionen ist Artikel 6 Absatz 1 Buchstabe c DS-GVO.

Nach Auffassung der Aufsichtsbehörde liegt hier die Erfüllung einer rechtlichen „Verpflichtung des Automobilherstellers aus dem Produkthaftungsgesetz“ vor.

Das deutsche Produkthaftungsgesetz basiert auf den Regelungen der Richtlinie 85/374/EWG. Im Produkthaftungsgesetz findet sich jedoch keine ausdrückliche Regelung oder Pflicht zur Beobachtung des Produktes im Markt. Die Produkthaftung ist verschuldensunabhängig ausgestaltet.

Die Produktbeobachtungspflicht wird in Deutschland durch die Rechtsprechung schon seit langem als eine Verkehrssicherungspflicht des Herstellers anerkannt, die jedoch nicht an das Produkthaftungsgesetz anknüpft, sondern Teil der sog. Produzentenhaftung ist. Diese deliktsrechtliche Haftung gründet sich auf dem Prinzip, dass derjenige, der eine Gefahrenquelle eröffnet oder beherrscht, für diese verantwortlich ist. Auch nach Inverkehrgabe des Produkts ist der Hersteller verpflichtet, die Bewährung seines Produkts in der Praxis zu verfolgen.

Die Datenschutzbehörde scheint diese, aus den allgemeinen Haftungsregeln des Zivilrechts entwickelte, Pflicht als Anknüpfungspunkt für die Zulässigkeit der für die Beobachtung des Produkts erforderliche Datenverarbeitung anzusehen.

Meiner Ansicht nach ist die Auffassung im Ergebnis richtig. Auch wenn die Rechtsgrundlage der Datenverarbeitung möglicherweise eher die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ist (oder zusätzlich als Rechtsgrundlage herangezogen werden kann). Hersteller sind zivilrechtlich dazu verpflichtet, ihre Produkte im Markt zu beobachten. Hierfür müssen und dürfen sie auch Daten verarbeiten. Mit meinem Kollegen und Partner Philipp Reusch habe ich genau zu diesem Thema „Internet der Dinge: Datenschutzrechtliche Anforderungen bei der Produktbeobachtung“ vor 2 Jahren einen Fachbeitrag in der Zeitschrift BetriebsBerater (15/16, 2017, 841) veröffentlicht.

Daneben müssen Hersteller natürlich beachten, dass auch die übrigen Pflichten der DSGVO zu beachten sind, wenn personenbezogene Daten verarbeitet werden. Insbesondere gehören hierzu die Informationspflichten nach Art. 13 bzw. 14 DSGVO.

 

Datenschutzbehörden zum Einsatz von Drohnen: in der Regel nicht datenschutzkonform möglich

Auf der Webseite der Datenschutzbehörde aus Baden-Württemberg ist ein Positionspapier der Datenschutzkonferenz (DSK) zur „Nutzung von Kameradrohnen durch nicht-öffentliche Stellen“ (Stand: 16.1.2019) abrufbar (pdf).

In dem Positionspapier befassen sich die deutschen Behörden recht knapp mit den datenschutzrechtlichen Anforderungen an den Einsatz von Drohnen durch Private. Das Ergebnis:

Insbesondere in urbanen Umgebungen ist das Betreiben von Drohnen mit Film- und Videotechnik im Einklang mit den geltenden Gesetzen in der Regel nicht möglich.

Das ist natürlich eine ziemlich vernichtende Feststellung, wenn man bedenkt, wie oft private Nutzer oder Unternehmen bereits heutzutage Drohnen einsetzen. Zudem denke man auch an wirtschaftlich begründete Einsatzszenarien, wie die Vermessung von Feldern oder anderen Flächen oder auch Luftaufnahmen mit wissenschaftlichem Hintergrund. Gerade Unternehmen mit einem Entwicklungsschwerpunkt, etwa in der Maschinenindustrie, im Automobilbereich, in der Luftfahrt oder auch im Agrarsektor setzen Drohnen ein, um neue Technologien zu entwickeln oder zu testen.

Die DSK kommt in dem Papier zu dem Schluss, dass ein datenschutzkonformer Einsatz „in der Regel“ nicht möglich sei. Leider wird in dem Papier kein Hinweis darauf gegeben, welche Maßnahmen aus Sicht der Behörden erforderlich wären, um einen datenschutzgerechten Einsatz von Drohnen zu ermöglichen.

Anwendbarkeit der DSGVO

Richtig verweisen die Behörden darauf, dass, wenn Drohnen mit Foto- oder Videotechnik zum Einsatz kommen und natürlich Personen aufgenommen werden, eine Verarbeitung personenbezogener Daten vorliegt und damit die Vorgaben der DSGVO zu beachten sind.

Bereits hinsichtlich des Anwendungsbereichs der DSGVO ist jedoch darauf hinzuweisen, dass tatsächlich auch „personenbezogene Daten“ verarbeitet werden müssen. Also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Die Aufnahmen der Drohne müssen also mindestens den Rückschluss auf eine natürliche Person ermöglichen. Kann dieser nicht erfolgen, z.B. weil Personen nicht erkennbar oder aufgrund äußerer Merkmale nicht identifizierbar sind, liegen auch keine personenbezogenen Daten vor und die DSGVO wäre nicht anwendbar. Dieser Hinweis wird leider in dem Positionspapier nicht erteilt.

Erlaubnistatbestand

Hinsichtlich der für die Verarbeitung erforderlichen Rechtsgrundlage erwähnt das Papier nur die Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO. Aus Sicht der Behörden spielt bei dieser Abwägung der Einsatzzweck der Drohne eine entscheidende Rolle. Und auch hier tendiert die DSK leider per se zu einer sehr restriktiven Auslegung:

Die genannten Voraussetzungen sind in der Mehrzahl der Fälle wegen des regelmäßigen Überwiegens von Interessen Betroffener nicht erfüllt. Dies ist insbesondere dann der Fall, wenn die Aufnahmen für eine Veröffentlichung im Internet erstellt werden.

Warum regelmäßig die Interessen der Betroffenen überwiegen sollen, erwähnen die Behörden nicht. Aus der DSGVO ergibt sich dieses Überwiegen nicht. Es ist vielmehr eine einzelfall- oder zumindest fallspezifische Interessenabwägung durchzuführen, die in der Praxis von sehr vielen Faktoren beeinflusst sein kann. Ein grundsätzliches Überwiegen von schutzwürdigen Interessen anzunehmen, erscheint daher leider zu pauschal.

Informationspflichten

Zudem gehen die Behörden auch auf die Informationspflichten nach den Art. 12 ff. DSGVO ein. Auch hier wird seitens der DSK aber sehr pauschal angenommen, dass die gesetzlichen Vorgaben nicht eingehalten werden können:

Zudem können die für die Verarbeitung personenbezogener Daten erforderlichen Informationspflichten gem. Art. 12 ff. DS-GVO in der Regel nicht erfüllt werden.

Unverständlich an dieser Auffassung ist, dass mehrere Datenschutzbehörden in der Vergangenheit zur ähnlichen Thematik des Fotografierens von Menschen(ansammlungen) aus größerer Entfernung ausdrücklich die Meinung vertreten haben, dass es sich um eine heimliche Datenerhebung handele und damit die besonderen Ausnahmen von der Informationspflicht nach Art. 14 Abs. 5 DSGVO eingreifen würden. So etwa der LfDI Baden-Württemberg (Fotografieren und Datenschutz –Wir sind im Bild!) oder der Landesbeauftragte aus Hamburg (Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus). Warum die DSK nun in dem Positionspapier diese Möglichkeit einer Ausnahme nach Art. 14 DSGVO nicht einmal anspricht oder diskutiert, erschließt sich mir nicht. Für Unternehmen, die Drohnen einsetzen, würden diese Hinweise doch gerade einen möglichen Lösungsansatz zum datenschutzkonformen Einsatz von Drohnen bieten. Daneben ist zu beachten, dass Informationspflichten, je nach den Umständen, natürlich auch beim Drohneneinsatz erfüllt werden können. Es können etwa Schilder aufgestellt werden, Personen direkt angesprochen und auf ergänzende Informationen im Internet hingewiesen werden; es könnten auch Visitenkarten mit einem Link zur Datenschutzerklärung verteilt werden. Auch bei der Erfüllung gesetzlicher Informationspflichten kommt es stark auf die Umstände des Einzelfalls an.

Tracking und DSGVO – Datenschutzbehörden: Pseudonymisierung soll nicht zugunsten von Unternehmen berücksichtigt werden

Die deutsche Datenschutzkonferenz (DSK) hat letzte Woche ihre lang erwartet Orientierungshilfe (pdf) zum Tracking und vor allem zu dem Verhältnis von TMG und DSGVO veröffentlicht. Auf das letztgenannte Thema möchte ich hier nicht näher eingehen.

Hinweisen möchte ich vielmehr auf eine meines Erachtens unhaltbare Position der DSK im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO. Dieser Erlaubnistatbestand bildet aus Sicht der DSK die wohl meist einschlägige Rechtsgrundlage, wenn es um ein Tracking von Personen im Internet über Webseiten oder Nutzern in Apps geht.

Die DSK stellt die drei erforderlichen Prüfungsschritte der Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO dar.

  1. Stufe: Vorliegen eines berechtigten Interesses der Verantwortlichen oder eines Dritten
  2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen
  3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall

Im Rahmen der dritten Stufe weist die DSK richtigerweise darauf hin, dass die ermittelten, sich gegenüberstehenden Interessen zu gewichten sin. Hierfür kann keine allgemeingültige Regel aufgestellt werden. Soweit kein Problem.

Doch dann stellt die DSK recht apodiktisch fest:

Zu beachten ist, dass im Rahmen der Abwägung ohnehin bestehende Pflichten aus der DSGVO, z.B.  Informationspflichten oder die Sicherheit der Verarbeitung durch Pseudonymisierung, nicht zugunsten des Verantwortlichen berücksichtigt werden können. 

Diese pauschale Ablehnung einer positiven Berücksichtigung von Pseudonymisierungsmaßnahmen ist meines Erachtens kontraproduktiv für eine wirksame Umsetzung der DSGVO in der Praxis und vor allem rechtlich auch so nicht haltbar. Im Grunde gibt die DSK hier zu verstehen, dass Unternehmen personenbezogene Daten zwingend pseudonymisieren müssten, da dies so in der DSGVO vorgegeben sei und diese, datenschutzfreundliche Maßnahme, dem Unternehmen nicht zum Vorteil gereichen darf. Ich einer solchen Situation verstehe ich jede datenverarbeitende Stelle, die sich fragt, warum man überhaupt pseudonymisieren sollte? Denn der Vorgang der Pseudonymisierung kann, je nach vorliegenden Datenarten und dem Umfang, recht aufwendig sein. Hierzu muss man nur einmal einen Blick in die Legaldefinition der Pseudonymisierung in Art. 4 Nr. 5 DSGVO werfen. Die Anforderungen sind recht hoch.

Daneben ist diese Ansicht meines Erachtens aber auch rechtlich nicht vertretbar. Die DSGVO kennt nämlich keine Pflicht zur Pseudonymisierung, ebenso wenig wie eine Pflicht zur Verschlüsselung. Beide Maßnahmen sind im hier relevanten Art. 32 Abs. 1 DSGVO (Sicherheit der personenbezogenen Daten) als Beispiele umzusetzenden Maßnahmen genannt. Art. 32 Abs. 1 lit. a) DSGVO gibt vor: „Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten“.

Die Formulierung „unter anderem Folgendes ein“ in der deutschen Version der DSGVO ist ein Übersetzungsfehler. Dies ergibt sich aus dem Vergleich mit der englischen Sprachversion. Dort wird die Aufzählung mit „including inter alia as appropriate“ eingeleitet. Anders als die deutsche Fassung, verweist der englische Text ausdrücklich auf die Erforderlichkeit bzw. Angemessenheit einer jeden Maßnahme. Die Übersetzung von „as appropriate“ wurde in der deutschen Sprachfassung schlicht vergessen. Zudem ist zu beachten, dass Art. 32 Abs. 1 DSGVO jegliche Sicherheitsmaßnahmen von verschiedensten Faktoren abhängig macht, wie etwa dem Stand der Technik und auch der Implementierungskosten.

Anders, als von der DSK dargestellt, handelt es sich bei der Maßnahme „Pseudonymisierung“ nicht um eine ohnehin bestehende Pflicht nach der DSGVO. Zwar verweist die DSK im Folgesatz darauf, dass durch „zusätzliche Schutzmaßmaßnahmen die Beeinträchtigungen durch die Verarbeitung derart reduziert werden“ können, dass die Interessenabwägung zugunsten des Verantwortlichen ausfallen kann. Es stellt sich hier aber die Frage, was diese zusätzlichen Schutzmaßnahmen sein sollen, wenn etwa Pseudonymisieurng aus Sicht der DSK bereits eine gesetzlich zwingend vorgegebene Maßnahme ist.

Insgesamt ist es aus meiner Sicht daher nicht begründbar, wenn die DSK mit der Aussage kommuniziert, dass von Unternehmen umgesetzte Schutzmaßnahmen in der Interessenabwägung keine Berücksichtugung finden könnten.

Was ist eine „Verarbeitungstätigkeit“ im Sinne der DSGVO?

Der Verantwortliche hat nach Art. 30 Abs. 1 DSGVO ein Verzeichnis aller „Verarbeitungstätigkeiten“ zu führen. Möchte ein Unternehmen mit der Erstellung dieser wichtigen Übersicht beginnen, stellt sich unweigerlich die Frage, bis auf welche Detailtiefe diese „Verarbeitungstätigkeiten“ beschrieben werden müssen. Oder anders: was genau ist eine „Verarbeitungstätigkeit“?

Die Antwort auf diese Frage ist nicht nur für das Verzeichnis nach Art. 30 Abs. 1 DSGVO von Bedeutung. Auch andere Vorschriften verweisen auf Verarbeitungstätigkeiten, so etwa in Art. 28 Abs. 4 DSGVO: „um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen“.

Eine gesetzliche Definition des Begriffs findet sich in Art. 4 DSGVO nicht. Dort wird nur die „Verarbeitung“ definiert, als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Da die Verarbeitung als Begriff definiert wird, die DSGVO jedoch auch die Formulierung „Verarbeitungstätigkeit“ verwendet, wird man davon ausgehen können, dass es sich hierbei nicht um ein Synonym handelt. Ansonsten hätte der Gesetzgeber in Art. 30 Abs. 1 DSGVO auch einfach von „Verarbeitungen“ sprechen können.

LfDI Baden-Württemberg im aktuellen Tätigkeitsbericht

Der Landesbeauftragte aus Baden-Württemberg (LfDI BaWü) hat zu dieser wichtigen Frage in seinem neusten Tätigkeitsbericht (pdf)Stellung genommen (ab S. 11).

Als Verarbeitungstätigkeit wird im Allgemeinen ein spezieller, eigenständiger Geschäftsprozess verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.

Interessant hierbei ist, dass der LfDI die Verarbeitungstätigkeit durchaus mit einem Geschäftsprozess gleichsetzt und damit wohl von einem weit geringeren Detailierungsgrad, als bei einer Verarbeitung an sich (also etwa einer Erhebung oder einer Löschung von Daten), ausgeht. Denn ein Geschäftsprozess dürfte in der Praxis zumeist nicht nur eine Verarbeitung umfassen.

Relativierend wirkt dann jedoch der zweite Satz, dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Hier scheint der LfDI dann doch einen sehr engen Konnex zwischen einer Verarbeitung und einer Verarbeitungstätigkeit ziehen zu wollen.

Doch der LfDI gibt in seinem Tätigkeitsbericht noch weitere Kriterien für die Festlegung einer Verarbeitungstätigkeit vor.

Was konkret eine Verarbeitungstätigkeit ist, hängt vom jeweiligen Unternehmen ab. In einem kleinen Unternehmen mit wenigen Mitarbeitern kann z. B. die gesamte Personalverwaltung (inkl. Bewerbungsverfahren und Lohnabrechnung) als eine einzige Verarbeitungstätigkeit gesehen werden. Bei einem mittleren Unternehmen sollte eine stärkere Untergliederung stattfinden, z. B. in Personalgewinnung, Personaleinstellung, Verwaltung des aktuellen Personals, Beendigung der Arbeitsverhältnisse und ähnliche Verarbeitungstätigkeiten.

Der LfDI schlägt also vor, den Umfang einer Verarbeitungstätigkeit von der Größe des Unternehmens und damit wohl auch des Umfangs der innerhalb einer Verarbeitungstätigkeit vorgenommen Verarbeitungen abhängig zu machen. Die DSGVO knüpft den Begriff der Verarbeitungstätigkeit jedoch nicht an die Größe des Unternehmens.

Hinweise der DSK

Ganz ähnlich wie der LfDI verstehen den Begriff „Verarbeitungstätigkeit“ wohl auch die anderen deutschen Aufsichtsbehörden. In den Hinweisen (pdf)der DSK zum Verzeichnis von Verarbeitungstätigkeiten stellt die DSK fest:

Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.

Interessant ist der Unterschied zur Umschreibung durch den LfDI. In den Hinweisen der DSK wird zugestanden, dass der Geschäftsprozess auf einem geeigneten Abstraktionsniveau beschrieben werden kann.

Auch aus diesen Hinweisen geht aber hervor, dass die DSK den Begriff „Verarbeitungstätigkeit“ in enger Verbindung mit dem Zweck der Verarbeitung sieht. So wird in Bezug auf die Informationen zum Zweck der Verarbeitung festgestellt: Je Beschreibung einer Verarbeitungstätigkeit ist der Verarbeitungszweck zu dokumentieren, z. B. Personalaktenführung/Stammdaten, Lohn-, Gehalts- und Bezügeabrechnung, Arbeitszeiterfassung. In diesen Beispielen wird deutlich, dass die DSK davon ausgeht, dass eine Verarbeitungstätigkeit nicht allein eine Verarbeitung, sondern mehrere Verarbeitungen umfassen darf.

Beispiel für ein Verzeichnis des BayLDA

Betrachtet man daneben die vom Bayerischen Landesamt für Datenschutzaufsicht veröffentlichen Beispiele von Verzeichnisses nach Art. 30 Abs. 1 DSGVO, lässt jedoch wieder der Schluss ziehen, dass eine „Verarbeitungstätigkeit“ nicht zwingend mit einer Verarbeitung gleichzusetzen ist. So nennt das BayLDA in seinem Verzeichnis für Vereine (pdf) eine Verarbeitungstätigkeit etwa „Mitgliederverwaltung“. Es dürfte klar sein, dass die Mitgliederverwaltung nicht nur eine einzelne Verarbeitung umfasst, sondern viele verschiedene.

Fazit

Insgesamt wird man festhalten können, dass weder in der DSGVO noch in den Hinweisen der Aufsichtsbehörden absolut klar wird, was eine „Verarbeitungstätigkeit“ darstellt. Mir erscheint, als gemeinsame Schnittmenge der Hinweise und Informationen der Behörden, als auch mit Blick auf die Handhabbarkeit der Vorgaben des Art. 30 DSGVO, eine Interpretation sinnvoll, nach der mit einer „Verarbeitungstätigkeit“ sowohl die „Verarbeitungen“ (Art. 4 Nr. 2 DSGVO) als auch zusätzliche Informationen zu diesen Verarbeitungen, wie Zwecke und Kategorien der Daten umfasst sind. Der Zweck der Durchführung einer Verarbeitungstätigkeit (z.B.: Bewerbermanagement) hängt aber auch unweigerlich mit dem Zweck der einzelnen Verarbeitungen zusammen, wie dies der LfDI BaWü betont.

Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?

Eine zurzeit heiß diskutierte Frage ist, welche Rolle der Betriebsrat im Sinne des Datenschutzes im Unternehmen überhaupt einnimmt“. Mit dieser Feststellung leitet der Landesbeauftragte aus Baden-Württemberg (LfDI) in seinem aktuellen Tätigkeitsbericht (pdf, ab S. 37) das Kapitel „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ ein und liefert in der Überschrift direkt auch seine Antwort auf diese praxisrelevante Frage. Die Begründung des LfDI: Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.

Warum ist die Frage praxisrelevant? Sollte der Betriebsrat (bzw. eine Interessenvertretung der Arbeitnehmer) als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, würden sich hieraus viele Umsetzungsaufgaben innerhalb eines Unternehmens ergeben. Angefangen mit der Pflicht des Betriebsrates, ein eigenes Verzeichnis der Verarbeitungstätitgkeiten (Art. 30 DSGVO) zu führen, selbst die Informationspflichten (Art. 13 / 14 DSGVO) zu erfüllen, eventuell einen eigenen Datenschutzbeauftragten (Art. 37 DSGVO) zu benennen und natürlich etwa auch eine eigene Rechtsgrundlage für Datenverarbeitungen (Art. 6 Abs. 1 DSGVO) zu finden. Viele weitere Themen wären relevant, so etwa, ob nicht das Unternehmen und der Betriebsrat für bestimmte Verarbeitungen als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO) anzusehen sind.

Orientiert man sich an der bisherigen Respr. des Bundesarbeitsgerichts (BAG) zum alten Datenschutzrecht, würde man davon ausgehen, dass der Betriebsrat Teil des Verantwortlichen ist (BAG, Beschl. v. 14.1.2014 – 1 ABR 54/12). Im Zuge der Anwendbarkeit der DSGVO, ist diese Einordnung jedoch auf den juristischen Prüfstand gestellt worden.

Ein Urteil des BAG oder auch des Bundesverwaltungsgerichts oder gar des Europäischen Gerichtshofs zu dieser Frage steht noch aus. Jedoch haben sich in Deutschland bereits einige Gerichte mit der Thematik auseinandergesetzt. Das Ergebnis: es ist umstritten.

Nachfolgend möchte ich einen kleinen Überblick zu den Entscheidungen geben. Interessant daran ist, dass es fast immer um das Verlangen des Betriebsrates bzw. der Personalvertretung geht, Einsicht in nicht anonymisierte Entgelt- oder Gehaltslisten zu erhalten. Entscheidende betriebsverfassungsrechtliche Norm ist dann auch zumeist § 80 Abs. 2 BetrVG. Dabei kommen die Gerichte am Ende oft zu demselben Ergebnis. Auf dem Weg dorthin sind die Argumente, ob der Betriebsrat eigener Verantwortlicher ist, jedoch verschieden.

LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18

Das LAG Niedersachsen geht davon aus, dass dem Anspruch des Betriebsrats auf einen Blick in die Bruttoentgeltlisten datenschutzrechtliche Belange nicht entgegenstehen. Das LAG verweist auf § 26 Abs. 6 BDSG, in dem ausdrücklich klargestellt ist, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Solange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt – was oben bereits bejaht wurde – handelt es sich bei ihm nicht um einen „Dritten“ iSv Art. 4 Nummer 10 EU-DSGVO. Eine Rechtmäßigkeit der Datenverarbeitung ist hier nach Art. 6 I c) Euro-DSGVO gegeben, da die Einsichtnahme in die Bruttolohn- und gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat dient.

Schön finde ich ja den Hinweis auf die „Euro-DSGVO“. Um aber beim Thema zu bleiben: das LAG sieht den Betriebsrat nicht als „Dritten“ an; zumindest, solange er sich im Rahmen der Wahrnehmung gesetzlicher Aufgaben bewegt.

LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17

Auch das LAG Sachsen-Anhalt geht davon aus, dass dem durch den Betriebsrat verfolgten Anspruch des Betriebsausschusses zur Einsichtnahme gemäß § 80 Abs. 2 S. 2 2. Halbsatz BetrVG datenschutzrechtliche Belange nicht entgegenstehen.

Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.

Das LAG Sachsen-Anhalt vertritt mithin die Ansicht, dass der Betriebsrat als eigener Verantwortlicher innerhalb des Unternehmens anzusehen ist.

LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18

Im Verfahren vor dem LAG Hessen ging es, etwas abweichend, um die Auskunft darüber, an welche Arbeitnehmer mit Ausnahme leitender Angestellter Sonderzahlungen geleistet wurden. Das LAG begründet seine Entscheidung aber auch hier mit Art. 80 Abs. 2 BetrVG.

Nach Ansicht des LAG bestehen im Übrigen datenschutzrechtliche Bedenken auch deshalb nicht,

weil der Betriebsrat selbst Teil der verantwortlichen Stelle im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung ist.

Das LAG Hessen schlägt sich hier auf die Seite jener, die den Betriebsrat nicht selbst als Verantwortlichen ansehen. Weiter begründet das LAG Hessen:

Die Zurverfügungstellung der im Antrag genannten Informationen an den Betriebsrat stellt daher keine Weitergabe des Arbeitgebers an Dritte dar.

Umfassender als die anderen Gerichte befasst sich das LAG Hessen aber mit der Frage, welche Rechtsgrundlage für die Datenverarbeitung herangezogen werden kann. Das LAG geht davon aus, dass, soweit der Betriebsrat im Rahmen seiner ihm gesetzlich zugewiesenen Aufgaben handele,

die Verarbeitung dieser Daten nach Art. 6 Absatz 1c Datenschutzgrundverordnung rechtmäßig ist.

Zudem stellt das LAG fest, dass der Betriebsrat an das Datenschutzrecht gebunden ist. Aus dieser Formulierung könnte man nun doch eine andere Ansicht ableiten. Jedoch macht das LAG in seiner weiteren Begründung deutlich, dass es den Betriebsrat als Teil des Verantwortlichen (Arbeitgeber) ansieht. Nach dem LAG gestatte das Datenschutzrecht – wie sich aus Art. 6 Abs. 1 lit. c DSGVO ergebe – die Verarbeitung von Daten durch den Betriebsrat,

wenn der Arbeitgeber insoweit einer rechtlichen Verpflichtung, z.B. aus § 80 Absatz 2 BetrVG, unterliegt. Dies ist hier der Fall“. Das LAG rechnet folglich die Verarbeitung durch den Betriebsrat dem Arbeitgeber zu, der sich wiederum hierfür auf Art. 6 Abs. 1 lit. c) DSGVO berufen kann.

Zwischenergebnis in der Rechtsprechung: 2:1 für die Ansicht, dass der Betriebsrat Teil des Verantwortlichen ist.

LAG Düsseldorf, Beschl. v. 23.10.2018 – 8 TaBV 42/18

In dem Fall des LAG Düsseldorf ging um Ansprüche auf Vorlage von Gehaltslisten in elektronischer bzw. gedruckter Form. Die Parteien stritten darüber, ob der Betriebsrat neben der Einsichtnahme auch eine Überlassung der Entgeltlisten verlangen kann. Nach Auffassung des LAG kann der Betriebsrat weder die Übergabe der Entgeltlisten in elektronischer oder gedruckter Form, noch die Überlassung eines PC, auf dem die Listen gespeichert sind, noch die Gestellung zusätzlichen Büropersonals zwecks Schaffung einer „Abschreibemöglichkeit“ der Listen verlangen. Konkret ging es hier, etwas abweichend, um einen möglichen Anspruch aus dem EntgTranspG. Nach Ansicht des LAG räumt das EntgTranspG dem Betriebsrat seinem Wortlaut nach an keiner Stelle einen Überlassungsanspruch ein, vielmehr spreche 13 Abs. 2 S. 1 EntgTranspG von „hat das Recht einzusehen“.

Da das LAG hier diesen Anspruch ablehnte, musste es (leider) zu der datenschutzrechtlichen Frage keine Stellung mehr nehmen.

Ob die Überlassung von Entgeltlisten an Betriebsrat und Betriebsausschuss weiterhin auch aus datenschutzrechtlichen Gründen unzulässig ist, bedarf in Anbetracht des vorstehenden, klaren Auslegungsergebnisses keiner Erörterung.

BVerwG, Beschl. v. 19.12.2018 – 5 P 6.17

Bisher soweit ersichtlich noch kaum beachtet, hatte auch das Bundesverwaltungsrecht (BVerwG) die Möglichkeit, sich zu der Frage zu äußern, wie eine Personalvertretung datenschutzrechtlich einzuordnen ist. Die Entscheidung betraf jedoch, anders als die obigen Entscheidungen, den öffentlichen Bereich. Das BVerwG geht davon aus, dass der Bezirkspersonalrat im konkreten Fall einen Informationsanspruch hat, weil sein Informationsbegehren einen Aufgabenbezug aufweist und die beanspruchten Informationen nach Art und Umfang zur Aufgabenwahrnehmung erforderlich sind. Entscheidende Norman waren hier jene aus dem Landespersonalvertretungsgesetz Rheinland-Pfalz.

Das Verwaltungsgericht ist im Ergebnis auch zutreffend davon ausgegangen, dass Regelungen des Datenschutzrechts der streitgegenständlichen Informationsübermittlung nicht entgegenstehen.

Das BVerwG geht in seiner Begründung zum Datenschutzrecht zunächst auf die Rechtlage vor Anwendbarkeit der DSGVO ein. Bislang wurde als geklärt angesehen, dass die Datenübermittlung der Dienststelle an den Personalrat nicht den Bestimmungen der Datenschutzgesetze unterliegt, sondern die einschlägigen personalvertretungsgesetzlichen Anspruchsnormen die insoweit maßgeblichen bereichsspezifischen Rechtsgrundlagen im Sinne des Datenschutzrechts bilden. Zudem stünden die Persönlichkeitsrechte der Betroffenen der Einsichtnahme des Personalrats in Unterlagen, die personenbezogene Daten der Beschäftigten enthalten, nicht entgegen, wenn die Einsichtnahme unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf den zur Aufgabenerfüllung erforderlichen Umfang begrenzt ist.

Das BVerwG befasst sich sodann mit der Frage, ob diese Rechtslage mit dem Inkrafttreten der DSGVO, die als Verordnung in den Mitgliedstaaten unmittelbare Anwendung findet und keiner nationalen Umsetzung bedarf, eine Änderung erfahren hat. Das Gericht verweist hierfür auf Ansichten der Literatur, dass nunmehr mangels hinreichend spezifischer und damit vorrangiger Regelungen der Personalvertretungsgesetze die datenschutzrechtlichen Regelungen über die Verarbeitung bzw. Weitergabe von personenbezogenen Daten in Dienst- und Beschäftigungsverhältnissen anzuwenden seien, wenn die Dienststellenleitung personenbezogene Daten an die Personalvertretung übermittelt und diese dort genutzt werden.

Es geht mithin um die Frage, ob nicht, neben den personalvertretungsrechtlichen Vorschriften, auch datenschutzrechtliche Regelungen zu beachten sind. Dies hätte dann eventuell auch die Frage nach der Einordnung des Personalrates umfasst.

Jedoch lässt das BVerwG eine abschließende Entscheidung in dieser Sache ausdrücklich offen.

Denn jedenfalls führt die geforderte Prüfung im vorliegenden Fall nicht zu einem anderen Ergebnis als es bei der Prüfung der personalvertretungsrechtlichen Erforderlichkeitsprüfung erzielt worden ist.

Ausblick

Die Frage, wie die Personalvertretung innerhalb eines Unternehmens oder einer öffentlichen Stelle datenschutzrechtlich einzuordnen ist, ist daher weiterhin nicht abschließend entschieden. Wie oben erwähnt, kann man hinsichtlich der Respr. verschiedener LAG von einer leichten Tendenz zur alten Rechtslage (Teil des Verantwortlichen) ausgehen.

Bis eine finale Entscheidung in Deutschland oder gar durch den EuGH vorliegt, wird es sicher noch ein wenig dauern. Unabhängig von der Stellung der Personal- oder Interessenvertretung muss aber für die Praxis beachtet werden, dass etwa ein Betriebsrat, auch wenn er Teil des Verantwortlichen ist, natürlich die Vorgaben der DSGVO, dann im Gewand des Verantwortlichen, einhalten muss. Hierzu zählen vor allem auch die Datenschutzgrundsätze in Art. 5 Abs. 1 DSGVO und weitere Normen, wie etwa angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO.

Hessischer Datenschutzbeauftragter veröffentlicht FAQ zur DSGVO – Unter anderem: vorsorgliche Einwilligung ist möglich

Immer noch sind viele Fragen bei der Anwendung der DSGVO unbeantwortet und umstritten. Die hessische Datenschutzbehörde hat, aufgrund „einer Flut von Anfragen beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI)“, Antworten zu den am häufigsten gestellten Fragen auf ihrer Webseite veröffentlicht.

Natürlich findet man dort als Suchender sicherlich nicht die Antwort auf jede Frage zur DSGVO. Dennoch sind die Antworten des HBDI, insbesondere für Unternehmen mit Hauptsitz in Hessen, sicherlich eine lesenswerte Ressource.

Interessant ist etwas die Aussage der Behörde zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich der HBDI der bereits vom BayLDA veröffentlichten Ansicht anzunähern und den Anwendungsbereich der Auftragsverarbeitung recht eng zu ziehen, nämlich nur auf solche Fälle, in denen tatsächlich ein Dritter mit der Verarbeitung von Daten beauftragt wird.

Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“

Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes nicht sicher ist.

„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“

Der HBDI scheint also davon auszugehen, dass eine Verarbeitung aus Sicht des Verantwortlichen auf zwei Erlaubnistatbestände, wovon einer die Einwilligung ist, gestützt werden kann, wenn man unsicher ist, ob die eigentlich avisierte Rechtsgrundlage wirklich eingreift. Der Kollege Tim Wybitul hat genau zu diesem Thema heute in einem Beitrag auf LinkedIn darauf hingewiesen, dass aus dem neues Kurzpapier (PDF) der DSK zur Einwilligung wohl eine andere Ansicht ableitbar ist. Eventuell vertritt der HBDI hier also eine nicht ganz so strenge Auffassung.

Österreichische Datenschutzbehörde: Löschung von personenbezogenen Daten ist auch durch Anonymisierung möglich

Die Österreichische Datenschutzbehörde (DSB) hat mit Bescheid vom 5.12.2018 (DSB-D123.270/0009-DSB/2018) eine äußerst relevante Praxisfrage für die Anwendung der DSGVO entschieden. Genügt für eine Löschung von personenbezogenen Daten (und damit der Erfüllung des Löschungsanspruchs eines Betroffenen nach Art. 17 Abs. 1 DSGVO), dass diese Daten anonymisiert werden? Die Einschätzung der DSB: die Anonymisierung von personenbezogenen Daten kann grundsätzlich ein mögliches Mittel zur Löschung im Sinne der DSGVO sein.

Sachverhalt

In dem Verfahren ging es um die Beschwerde einer betroffenen Person, die gegenüber einem Unternehmen (mit dem ursprünglich auch vertragliche Beziehungen bestanden) einen Antrag auf Löschung all ihrer Daten gestellt hatte. Die Beschwerdegegnerin hat die vollständige Löschung seiner Daten jedoch verweigert. In dem Fall ging es zudem noch um eine zunächst nicht eindeutig durchführbare Identifizierung des Beschwerdeführers. Nachdem diese bei dem Unternehmen intern jedoch vollzogen war, hat es die dem Beschwerdeführer eindeutig zuordenbaren Daten entweder sofort gelöscht, oder „DSGVO-konform anonymisiert“.

Besonders relevant war vorliegend die durch das Unternehmen an die DSB übermittelte Information, wie es die Anonymisierung vornimmt. Diese erfolgte in Umsetzung folgender kombinierter Schritte aus Löschung und Anonymisierung:

  • Löschung des Vertragsangebots: Sowohl die Kundenanfrage als auch das Angebot, das aufgrund der Onlineangaben des Kunden vom Kundenmanagementsystem erstellt worden wären, wären gelöscht worden.
  • Löschung aller elektronischer Kontakte (E-Mail-Adresse, Telefonnummer, etc.) des Kunden.
  • Änderung der Person (Name, Vorname, Adresse): Sowohl Name, als auch Adresse seien durch eine anonyme, nicht zuordenbare Person (Max Mustermann) mit identem Geschlecht und Geburtsdatum unwiderruflich manuell überschrieben worden.
  • Die nun inhaltsleere Kundenverbindung sei nur mehr Max Mustermann zugeordnet.
  • Der mit einer Kundenverbindung automatisch gestartete interne Ablauf sei sofort gestoppt worden.
  • Zusammenlegung der zu löschenden Person auf die neue anonyme Person zur Sicherstellung, dass die Überschreibung auch technisch nachhaltig verankert sei.
  • Löschen des Kunden im Elektronischen Akt (Historie).

Durch die Umsetzung all dieser beschriebenen Schritte sei eine faktische Anonymisierung der ursprünglichen Kundenverbindung durch das Überschreiben mit einer „Dummy Kundenverbindung“ herbeigeführt worden.

Auf Nachfrage der DSB ergänzte das Unternehmen, dass des Weiteren keine personenbezogenen Daten in den Logdaten gespeichert werden, da die Identifikation ausschließlich über Kennzahlen („ID´s“) erfolge. Dort wäre die Verknüpfung aber irreversibel entfernt worden. Eine Wiederherstellung oder Rekonstruktion der Daten auch aus den Logdaten sei nicht möglich.

Entscheidung der DSB

Zutreffend verweist die DSB einleitend darauf, dass der verbindliche Teil der DSGVO den Begriff der „Anonymisierung“ nicht kennt. Nur in ErwG 26 DSGVO wird dieser erwähnt (jedoch nicht definiert) und festgehalten, dass die DSGVO keine Anwendung auf anonymisierte Daten findet, worunter Informationen verstanden werden, „die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.

Danach befasst sich die DSB mit der Definition des Begriffs der „Verarbeitung“ (Art. 4 Nr. 2 DSGVO), in dem jedoch keine Definition des Begriffs „Löschung von personenbezogenen Daten“ (wie er in Art. 17 Abs. 1 DSGVO) verwendet wird, zu finden ist.

Nach Art. 4 Nr. 2 DSGVO sind aber nach Ansicht der DSB das Löschen und die Vernichtung als alternative Formen der Verarbeitung angeführt („das Löschen oder die Vernichtung“), die nicht zwingend deckungsgleich sind.

Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt.

Diese Klarstellung der DSB ist bereits die erste wichtige Aussage des Bescheids. Löschung bedeutet nicht, dass Daten faktisch vernichtet werden müssen.

Nach Ansicht der DSB steht dem Verantwortlichen hinsichtlich der Mittel (also der vorgenommenen Art und Weise der Löschung) ein Auswahlermessen zu (hierzu verweist die DSB auch umfangreich auf Kommentarliteratur).

Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten kann somit grundsätzlich ein mögliches Mittel zur Löschung iSv Art. 4 Z 2 iVm Art. 17 Abs. 1 DSGVO sein.

Jedoch verlangt die DSB, meines Erachtens zurecht, dass sichergestellt sein muss, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Wann ein solcher unverhältnismäßiger Aufwand anzunehmen sein wird, ist natürlich am Ende stets eine Einzelfallfrage. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann nach Ansicht der DSB der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (hierzu verweist die DSB auch auf die Stellungnahme 5/2014 der ehemaligen Art. 29-Datenschutzgruppe).

Im vorliegenden Fall hat das Unternehmen die personenbezogenen Daten nach Ansicht der DSB

„teils vernichtet (also ohne „Hinterlassen“ von anonymisierten Daten), teils durch Entfernung des Personenbezugs zum Beschwerdeführer „gelöscht“.

Diese Kombination aus Vernichtung und Entfernung des Personenbezugs (auch durch Ersetzen mit Dummy Daten) ist nach Auffassung der DSB ausreichend, um eine Löschung iSd DSGVO annehmen zu können.

Die DSB verweist abschließend auf einen weiteren wichtigen Aspekt: hypothetische Verläufe, insbesondere die Weiterentwicklung der Technologie, müssen an dem Ergebnis nichts ändern. Der Beschwerdeführer führte an, dass „die Daten zu einem späteren Zeitpunkt „de-anonymisiert werden könnten“. Nach Ansicht der DSB liegt eine Löschung dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person nicht mehr möglich ist.

Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität ist daher – unabhängig vom verwendeten Mittel zur Löschung – nicht notwendig.

Die DSB beurteilt die Frage, wann Daten iSd DSGVO gelöscht sind, mithin aus dem Blickwinkel des zu erzielenden Ergebnisses. Die Verarbeitung personenbezogener Daten darf nicht mehr möglich sein. Auf welchem Wege und vor allem mit welchen Mitteln ein Verantwortlicher zu diesem Ergebnis gelangt, ist in der DSGVO gerade nicht vorgegeben und daher durch den Verantwortlichen individuell umsetzbar. Aus Sicht der Praxis dürfte diese Entscheidung zum Begriff des „Löschens“ in der DSGVO besondere Relevanz besitzen.

Österreichische Datenschutzbehörde: Beschwerdeverfahren nach der DSGVO nur in der amtlichen Landessprache

Mit Entscheidung vom 21.09.2018 hat die Datenschutzbehörde in Österreich (DSB) die Beschwerde einer Person nach Art. 77 DSGVO zurückgewiesen, die sich nur auf Englisch über ein österreichisches Unternehmen per E-Mail bei der DSB beschwerte.

Zunächst brachte der Beschwerdeführer seine erste Eingabe in englischer Sprache per E-Mail an die DSB ein. Aus dem Inhalt der Eingabe vermutete die DSB, dass der Beschwerdeführer eine Beschwerde gegen eine in Wien niedergelassene Gesellschaft wegen einer Verletzung des Rechts auf Löschung (Art. 17 DSGVO) beabsichtigte.

Nach Aufforderung durch die DSB, die Beschwerde nachzubessern, verwies der Beschwerdeführer auf Artikel und Erwägungsgründe der deutschen Fassung der DSGVO, die Beschwerde selbst war jedoch erneut in englischer Sprache verfasst.

Die DSB verwies zur Begründung ihrer Aufforderung zur Nachbesserung des Antrags des Beschwerdeführers u.a. auf Art. 8 des Bundes-Verfassungsgesetzes (B-VG). Danach ist die deutsche Sprache als verfassungsmäßige Amtssprache der Republik in allen Eingaben bei österreichischen Behörden zwingend zu verwenden.

An dieser Auslegung ändere auch die DSGVO und insbesondere der hier relevante Art. 77 DSGVO zum Beschwerderecht betroffener Personen nichts.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person

unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.

Nach Ansicht der DSB hat auf dieser Grundlage eine betroffene Person bei Geltendmachung ihrer Rechte im Verwaltungsrechtsweg die internationale Wahl zwischen mehreren Aufsichtsbehörden im Gebiet der Europäischen Union hat, nämlich jener des gewöhnlichen Aufenthaltsortes der betroffenen Person, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Vorliegend könnte Zuständigkeit der österreichischen Aufsichtsbehörde begründet gewesen sein, da die Beschwerdegegnerin in Wien niedergelassen war.

Daraus ist aber nicht abzuleiten, dass ein Verfahren vor der Datenschutzbehörde durch eine Partei verfahrensrechtlich in einer anderen Sprache als der verfassungsmäßigen Amtssprache beantragt und geführt werden darf. Vielmehr sollen die alternativen Einbringungsbehörden einer betroffenen Person die Möglichkeit eröffnen, sich an eine geografisch näher gelegene Aufsichtsbehörde zu wenden, deren Amtssprache ihr geläufig ist.“

Aus diesem Grund wurde die Beschwerde hier zurückgewiesen. Die DSB verwies in ihrer Antwort an den Beschwerdeführer auch auf die Möglichkeit, dass dieser sich an die zuständige Aufsichtsbehörde an seinem gewöhnlichen Aufenthaltsort oder Arbeitsplatz im Gebiet der Europäischen Union wenden kann.

Auch in Deutschland kennen wir für die Kommunikation durch und gegenüber Behörden eine ähnliche Vorgabe, wie jene in Österreich, wenn auch nicht mit Verfassungsrang. Nach § 23 Abs. 1 VwVfG ist Amtssprache deutsch. Jedoch darf auch eine deutsche Behörde einen fremdsprachigen Antrag nicht einfach ignorieren (vgl. § 23 Abs. 2-4 VwVfG).