Bußgeld in Höhe von 310.000 EUR: Einkauf und Verwendung von Datensätzen (Leads) für Werbezwecke ohne rechtmäßige Einwilligung

Die französische Aufsichtsbehörde (CNIL) hat ein Bußgeld in Höhe von 310.000 EUR gegen das Unternehmen FORIOU erlassen, weil das Unternehmen personenbezogene Datensätze ohne Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für Marketingzwecke verwendet hat (Pressemitteilung der CNIL). Der konkrete Fall an sich mag „wenig spannend“ klingen, jedoch sind die der Entscheidung zugrunde liegenden Ansichten der CNIL generell praxisrelevant für den Umgang mit Daten von Kunden oder potentiellen Neukunden.

Entscheidung der CNIL

FORIOU führt telefonische Akquisitionskampagnen durch, um die von ihm vermarkteten Treueprogramme und -karten zu bewerben. Die Daten der potentiellen Interessenten kauft das Unternehmen von Datenmaklern und Betreibern von Websites für Gewinnspiele und Produkttests. Im Grunde also ein recht alltäglicher Vorgang in der heutigen digitalen Wirtschaft – der Einkauf von Leads / Datensätzen für Werbezwecke.

Die CNIL stellte im Rahmen einer Untersuchung jedoch fest, dass FORIOU keine Rechtsgrundlage, in Form einer wirksamen Einwilligung nach Art. 6 Abs. 1 a) DSGVO, für die Verwendung der Daten nachweisen konnte. Hierbei lag der Fehler nicht nur bei dem werbenden Unternehmen selbst – die Datensätze / Leads waren quasi schon ohne ausreichende Rechtsgrundlage erhoben und mit diesem Makel der „Rechtswidrigkeit“ an FORIOU verkauft worden. Folgende Verstöße legte die CNIL dem Unternehmen zur Last:

  • Irreführende Darstellung der Formulare zur Datenerhebung und Einholung einer (unwirksamen) Einwilligung bei den Datenlieferanten.
  • Die Zustimmungs-Schaltflächen, mit denen die Betroffenen die Einwilligung in die Weitergabe und werbliche Nutzung ihrer Daten erteilen sollten, wurden (durch ihre Größe, Farbe, Überschrift und Position) viel größer und deutlicher hervorgehoben, als die Ablehnungsmöglichkeit.
  • Zudem ist FORIOU, als Käufer der Daten, nach der DSGVO verpflichtet, sich zu vergewissern, dass die betroffenen Personen eine gültige Einwilligung erteilt haben.
  • Zwar habe FORIOU seinen Datenlieferanten im Vorfeld bestimmte vertragliche Anforderungen auferlegt – diese jedoch im weiteren Verlauf nicht wirksam kontrolliert.
  • Zudem wurde FORIOU nicht in jedem Formular als Partner / Unternehmen erwähnt, welches die Daten für werbliche Nutzungszwecke erhält.

Fazit

Die Entscheidung der CNIL knüpft inhaltlich an die festgestellten Verstöße im vergangenen Bußgeldverfahren gegen das Unternehmen CRITEO an. Für die Praxis bedeutet dies, dass Unternehmen, wenn sie personenbezogene Daten von Datenlieferanten, Partnern oder auch Konzerngesellschaften erhalten, stets selbst dafür Sorge tragen müssen, dass eine Rechtsgrundlage für den intendierten Nutzungszweck vorhanden ist.

Datenschutzbehörde Baden-Württemberg: neue Handreichung zu „Drittstaatentransfers“ – wann liegt eine „Übermittlung“ vor und wie muss darüber informiert werden?

Der LfDI Baden-Württemberg hat mit Stand Januar 2024 „Handreichung zu Kapitel V der DS-GVO“ veröffentlicht. Darin erläutert die Datenschutzbehörde ihre Position zu einigen praxisrelevanten Themen rund um Datentransfers in Drittländer außerhalb der EU. Nachfolgend betrachte ich beispielhaft zwei Aspekte der Handreichung.

Wann liegt eine „Übermittlung“ personenbezogener Daten vor?

Die Antwort auf diese Frage ist schon länger umstritten – u.a. auch, weil die DSGVO nicht definiert, was unter einer „Übermittlung“ im Sinne von Kap. V DSGVO zu verstehen ist.

Der LfDI geht für Fallkonstellationen des Zugriffs aus Drittländern auf Daten innerhalb der EU davon aus,  

„dass es sich auch beim Einräumen einer faktischen Zugriffsmöglichkeit aus dem Drittstaat (beispielsweise für administrative oder Supportzwecke) um einen Transfer gemäß Kapitel V DS-GVO handeln kann, zumindest dann, wenn der Zugriff später auch tatsächlich erfolgt.“

Wichtig sind bei dieser Ansicht zwei Aspekte:

  • Es „kann“ sich um eine Übermittlung handeln. Es liegt daher damit nicht per se bei Zugriffsmöglichkeit eine Übermittlung vor.
  • Und: dies ist nur der Fall, wenn der Zugriff auf Daten auch tatsächlich erfolgt.

Gerade die zweite Anforderung des LfDI ist aus meiner Sicht zu begrüßen. Denn hiermit positioniert sich die Behörde klar gegen Auslegungen, die bereits allein eine Zugriffsmöglichkeit als „Übermittlung“ ansehen wollen. Die Datenschutzbehörde verlangt aber klar, dass faktisch ein Zugriff erfolgen muss – die Möglichkeit allein genügt nicht.

Wie muss in Datenschutzhinweisen über Drittlandstransfers informiert werden?

Nach Art. 13 Abs. 1 f) DSGVO muss der Verantwortliche „gegebenenfalls“ über die Absicht informieren, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

In dieser gesetzlichen Anforderung stecken mehrere (alternative) Informationspflichten. Information über

  • die Absicht, personenbezogene Daten zu übermitteln
  • das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses
  • die geeigneten oder angemessenen Garantien nach Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DSGVO und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar.

Zum zweiten Punkt vertritt etwa die irische Aufsichtsbehörde die Ansicht, dass die Information auf jeden Fall erteilt werden muss, auch wenn sie nur negativ ausfällt weil es keinen Angemessenheitsbeschluss gibt (z. B.: „Für das Land XYZ liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor“) (vgl. hier meinen Blogbeitrag).

Der LfDI Baden-Württemberg setzt in seiner Handreichung voraus, dass 1) eine namentliche Nennung des Empfängerlandes und 2) des eingesetzten Transferinstruments erfolgen muss. Dies bedeutet für Datenschutzhinweise, dass diese sowohl das oder die konkreten Drittländer benennen müssen. Daneben muss auch konkret für das jeweilige Drittland angegeben werden, ob und welcher  Angemessenheitsbeschluss vorliegt oder aber z.B. die EU-Standarddatenschutzklauseln verwendet werden.

Wichtig: die irische Aufsichtsbehörde legt die Anforderungen des Art. 13 DSGVO in der Weise aus, dass es nicht ausreicht, einfach einen Link zu einer allgemeinen Webseite der Europäischen Kommission zu setzen. Die betroffene Person sollte vielmehr in der Lage sein, auf das jeweilige Dokument, auf das man sich beruft, zuzugreifen. Also etwa per Link auf den konkreten Angemessenheitsbeschluss.

Österreichisches Bundesverwaltungsgericht: Recht auf Datenübertragbarkeit (Art. 20 DSGVO) gegen den (alten) Arbeitgeber? Ja, aber…

Art. 20 DSGVO ist in der Rechtsprechung bisher kaum relevant geworden. Daher ist eine jüngere Entscheidung des österreichischen Bundesverwaltungsgericht (BVwG) zum Recht auf Datenübertragbarkeit gegen eine ehemalige Arbeitgeberin besonders interessant (20.12.2023 – W211 2261679-1).

Sachverhalt

Die Klägerin war bei der Verantwortlichen, einem Transportunternehmen, beschäftigt und kündigte das Arbeitsverhältnis. Die Klägerin verfügte über eine berufliche Emailadresse. Über diese Emailadresse wickelte sowohl berufliche als auch private Emailkorrespondenz ab.

Nach der Kündigung forderte die Klägerin von ihrer ehemaligen Arbeitgeberin basierend auf Art. 20 DSGVO, ihre personenbezogenen Daten, insbesondere ihre Korrespondenz (privat und beruflich), die auf dem Emailaccount gespeichert sei, in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln.

Die Herausgabe der Daten wurde von der Arbeitgeberin in Bezug auf berufliche Emails verweigert, u.a. weil die Klägerin nun in einem Konkurrenzunternehmen arbeite. Hinsichtlich privater Emails sei diese Nutzung zwar gegen eine Dienstanweisung erfolgt – diese würden aber übermittelt und danach gelöscht.

Die Klägerin legte hierzu Beschwerde bei der österreichischen Datenschutzbehörde (DSB) ein. Die DSB wies die Beschwerde wegen Verletzung des Rechts auf Datenübertragbarkeit jedoch als unbegründet ab.

Nach Ansicht der DSB betreffe das Recht auf Datenübertragbarkeit jene Daten, die eine betroffene Person einem Verantwortlichen bereitgestellt habe. Dazu würden keine Daten zählen, die von anderen Nutzern eines Dienstes bereitgestellt worden seien. Deswegen würden empfangene Emails nicht unter den Anspruch aus Art. 20 DSGVO fallen. Darüber hinaus dürften bei Ausübung dieses Rechts die Rechte und Freiheiten anderer nicht beeinträchtigt werden. Die Übermittlung der beruflichen Emails würde die Arbeitgeberin schwer und unzulässig beeinträchtigen. Die Übermittlung privater Emails würde ebenfalls Rechte und Freiheiten Dritter beeinträchtigen, und zwar die Absender. Auch könnte der Inhalt der Emails sich auf Dritte beziehen.

Gegen diese Entscheidung der DSB wendet sich die Klägerin.

Entscheidung

Das BVwG verhielt sich nicht zu der Frage, welche Auswirkung die (vorgebrachte) Untersagung der privaten Nutzung der Emails hat. Nach Ansicht des BVwG ist die Frage, ob es eine Dienstanweisung gegen die private Nutzung des beruflichen Emailaccounts gab oder nicht,

für die datenschutzrechtliche Einschätzung im Endeffekt unerheblich“.

Das BVwG scheint hier also den Bereich des Datenschutzes streng von Fragen des (möglicherweise geltenden) Fernmeldegeheimnisses zu trenne.

Wichtig: Art. 20 DSGVO gilt auch im Arbeitsverhältnis

Implizit stellt das BVwG klar, dass das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO auch im (beendeten) Arbeitsverhältnis gilt. Denn es befasst sich nicht mit der Frage, ob Art. 20 DSGVO in der vorliegenden Konstellation überhaupt greift. Vielmehr prüft das BVwG das Vorliegen der Tatbestandsvoraussetzungen und Ausnahmen.

Was bedeutet „bereitgestellt“?

Nach Ansicht des BVwG sind unter „bereitgestellten“ Daten zunächst jene Daten zu verstehen, welche die betroffene Person aktiv und wissentlich der Verantwortlichen übermittelt hat (zB Daten, die bei der Kontoeröffnung angegeben werden, hochgeladene Bilder in sozialen Medien, Kontaktlisten des Webmail-Kontos).

Zudem verweist das BVwG auf die sehr weite Auslegung des Begriffs durch die Art.-29-Datenschutzgruppe. Danach umfasst das Recht auch jene Daten, die durch Nutzung des Dienstes der Verantwortlichen oder durch Beobachtung angefallen bzw. generiert worden sind.

Im Beschäftigungskontext könnten dies etwa Bewerbungsunterlagen, dienstliche E-Mails und elektronische Zeitaufzeichnungen sein. Damit war der Anwendungsberiech von Art. 20 DSGVO eröffnet. Diese Ansicht ist meines Erachtens richtig (vgl. etwa meinen Beitrag in RDV 2018, S. 3 “Datenübertragbarkeit im Beschäftigungsverhältnis – Arbeitgeberwechsel: Und die Daten kommen mit?“), auch wenn Art. 20 DSGVO wohl eigentlich nicht für diese Situationen gedacht war. Spannend wird es vielmehr bei den einzelnen Voraussetzungen und auch Ausnahmen des Art. 20 DSGVO.

BVwG: Betroffener muss „Bereitstellung“ darlegen

Eine erste Einschränkung bei der Ausübung des Rechts macht das BVwG bei dem Antrag auf Datenübertragung.

Die betroffene Person wird zur Geltendmachung ihres Begehrens darlegen müssen, dass die Daten, die sie übertragen lassen möchte, von ihr bereitgestellt wurden und sie betreffen, dass ihre Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und dass sie automatisch verarbeitet werden“.

Das BVwG verlangt hier also vom Betroffenen den Nachweis, dass es sich um „bereitgestellte“ Daten iSv Art. 20 DSGVO handelt. Das Gericht begründet seine Ansicht u.a. damit, dass es sich um ein antragsbedürftiges Recht handele.

Im vorliegenden Fall habe der Antrag kein ausreichend konkretisiertes Begehren auf Datenübertragbarkeit nach Art. 20 DSGVO für andere Daten als die Emails enthält. Abgesehen von der Korrespondenz über den Emailaccount werden weitere Daten, die übermittelt werden sollen, nicht ausreichend konkretisiert.

Übertragung beruflicher Mails?

Das BVwG stützt sich in seiner Entscheidung auf die Argumentation der DSB. Eine Übertragung der beruflichen Emails wird auf der Grundlage der Ausnahme nach Art. 20 Abs. 4 DSGVO abgelehnt.

Die Übermittlung der beruflichen Emails würde die Rechte der Arbeitgeberin, zB in Bezug auf Geschäftskontakte und Rechnungsdaten, insbesondere vor dem Hintergrund, dass die Klägerin nunmehr in einem Konkurrenzunternehmen tätig ist, schwer beeinträchtigen.

Wichtig: damit macht das BVwG auch klar, dass der Verantwortliche selbst im Rahmen des Art. 20 Abs. 4 DSGVO eine „andere Person“ ist.

Übertragung private Mails?

Hier begründet das BVwG die Ablehnung des Anspruchs aus Art. 20 DSGVO anders. Hinsichtlich der auf der personalisierten Emailadresse verfassten privaten Emails kann nicht davon ausgegangen werden, dass die Betroffene diese im Sinne der Bestimmung der Verantwortlichen „bereitgestellt“ hat.

Das BVwG verneint hier also bereits das Vorliegen eines Tatbestandsmerkmals.

Zwar würde rein technisch, durch die Nutzung des Emailaccounts eine quasi automatische Bereitstellung der Daten an die Verantwortliche erfolgen.

Aber: es handelt sich dabei um keine Daten, die die Verantwortliche in irgendeiner sonstigen Weise verarbeitet noch verarbeiten will, noch der Betroffenen diesbezüglich einen Dienst zu Verfügung stellt, noch im eigentlichen Sinne einen solchen Dienst – für private Emails – zur Verfügung stellen will.

Nach dem BVwG fehlt es am Merkmal „bereitgestellt“, weil der Verantwortliche keine Absicht hat, diese Daten zu erhalten oder für die Bereitstellung einen Dienst zur Verfügung zu stellen. „Bereitstellen“ verlangt also nach dem BVwG, dass der Verantwortliche bewusst und willentlich die Daten empfängt bzw. verarbeitet.

Das Ergebnis des BVwG: Ein Recht auf Datenübertragbarkeit der verfassten privaten Emails aus dem Emailaccount besteht demnach nicht.

Geplante EU-Verordnung zur besseren Durchsetzung der DSGVO – Weitergabe von Informationen aus behördlichen Datenschutzverfahren an andere nationale Aufsichtsbehörden (z. B. Wettbewerb, Finanzen) vorgeschlagen

Derzeit wird in Brüssel über den Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 (2023/0202(COD)) verhandelt. Im Europäischen Parlament ist der LIBE-Ausschuss federführend zuständig und dieser hat mit Datum vom 14. Dezember 2023 seine Änderungsvorschläge zu dem Berichtsentwurf vom 9. November 2023 vorgelegt.

Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO

Ich hatte hier im Blog schon vor einiger Zeit einen Beitrag zu einer möglichen geänderten Fristenberechnung bei der Meldung von Datenschutzverletzungen verfasst. Die vorgeschlagene Verordnung fliegt meines Erachtens immer noch sehr unter dem „Radar“ der betroffenen Kreise, hat dabei extrem viele (potentiell) relevante Änderungen zur Folge.

Kurz zur Einordnung: die Verordnung soll Verfahrensregeln im Fall von grenzüberschreitenden Verarbeitungen und darauf basierenden aufsichtsbehördlichen Verfahren etablieren. Die Regelungen der Verordnung würden nationalen Verfahrensvorgaben als Spezialvorschriften vorgehen.

Heute möchte ich auf einen aus meiner Sicht für betroffene Unternehmen und öffentliche Stellen beachtenswerten Vorschlag aus dem LIBE-Ausschuss hinweisen.

Weitergabe von Informationen aus aufsichtsbehördlichen Verfahren an andere nationale Stellen

Nach einem neu vorgeschlagenen Art. 7 Abs. 2a (Änderungsantrag 311 in dem Dokument vom 14. Dezember 2023) sollen die Aufsichtsbehörden anstreben, die im Rahmen der in dieser Verordnung festgelegten Verfahren erhaltenen Informationen an die für den Datenschutz und andere Bereiche zuständigen nationalen und Unionsaufsichtsbehörden, einschließlich der Wettbewerbs-, Finanzdienstleistungs-, Energie-, Telekommunikations- und Verbraucherschutzbehörden, weiterzuleiten, wenn die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden.

Hier noch das englische Original:

Supervisory authorities shall strive to communicate the information obtained in the context of the procedures set out in this Regulation to national and Union supervisory authorities competent in data protection and other areas, including competition, financial services, energy, telecommunications and consumer protection authorities, where the information is deemed relevant to the tasks and duties of those authorities.”

Der Vorschlag bedeutet im Grunde, dass Datenschutzbehörden dazu angehalten sind, Informationen aus einem Aufsichtsverfahren gegen einen Verantwortlichen oder Auftragsverarbeiter auch an andere nationale Stellen zu geben, die ebenfalls in ihrem jeweiligen Rechtsbereich für die Überwachung des Verantwortlichen oder Auftragsverarbeiters zuständig sind.

Interessant ist, dass der Vorschlag wohl keine Pflicht zur Weitergabe der Informationen vorsieht. Andererseits sollen die Aufsichtsbehörden zur Informationsweitergabe angehalten werden. Für die Frage, ob Informationen aus dem Verfahren weitergegeben werden sollen, kommt es nach dem Vorschlag wohl allein auf die Einschätzung der Datenschutzbehörde an. Die Weitergabe soll erfolgen, wenn „die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden“ – aus Sicht der Datenschutzbehörde.

An welche Aufsichtsbehörden in anderen Rechtsbereichen die Informationen weitergegeben werden sollen, wird nicht abschließend benannt („einschließlich“). Beispielhaft werden etwa Behörden aus dem Bereich Wettbewerb, Energie, Telekommunikation oder auch Verbraucherschutz.

In Deutschland könnte man also an die Weitergabe von „relevanten“ Informationen an die BaFin oder das Bundeskartellamt denken. Ziemlich klar ist der Zweck des Vorschlags, anderen Aufsichtsbehörden ebenfalls die Durchführung von entsprechenden Verfahren zu ermöglichen.

Jedoch soll die Weitergabe nach dem Vorschlag wohl tatsächlich nur an Behörden, also öffentliche Stellen, erfolgen.

Der Sinn und Zweck des Vorschlags ergibt sich recht klar aus der Begründung im Berichtsentwurf (Änderungsantrag 117, Dokument vom 9. November 2023; inoffizielle Übersetzung):

In der Erkenntnis, dass die Untersuchung von Verstößen im Bereich des Datenschutzes Beweise für Verstöße in anderen Bereichen liefern können. Dies ist eine Forderung vieler zivilgesellschaftlicher Organisationen

Keine Pflicht zur Vertraulichkeit?

Man wird die Frage stellen können, wie eine solche Vorgabe bzw. ein solches Recht mit der Vertraulichkeitsverpflichtung der Datenschutzbehörden einhergeht.

Nach Art. 54 Abs. 2 DSGVO sind ja die Mitglieder und die Bediensteten jeder Aufsichtsbehörde gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Eventuell mag man über Art. 57 Abs. 1 g) DSGVO hiervon noch eine Ausnahme machen – jedoch allein in Bezug auf andere Datenschutzbehörden.

Sollte aber die neue Verordnung für zusätzliche Verfahrensregeln anwendbar werden, dann gilt diese (als EU-Verordnung) neben der DSGVO und konkretisiert bzw. ändert als Spezialregelung sogar die allgemeinen Regelungen der DSGVO, wie auch Art. 54 Abs. 2 DSGVO.

Auch ein Verweis auf möglicherweise entgegenstehende nationale Verbote würde wohl nicht helfen. Denn auch hierbei ist zu beachten, dass die verschlagene Verordnung unmittelbar in jedem Mitgliedsstaat Anwendung finden würde. So führt etwa die EU-Kommission in der Begründung ihres Entwurfs aus: „Daher ist eine (in den Mitgliedstaaten unmittelbar geltende) Verordnung erforderlich, um die rechtliche Fragmentierung zu verringern und das Maß an Harmonisierung zu gewährleisten“.

Ich werde in Zukunft sicher noch ein paar Beiträge zu der Verordnung veröffentlichen. Wie gesagt, sind dort viele interessante und praxisrelevante Änderungsvorschläge enthalten.

Durchführung des Digital Services Act (DSA): Bundesratsausschüsse gegen Zuständigkeitskonzentration beim BfDI für Verbote zur Online-Werbung

Nach Art. 26 Abs. 3 DSA dürfen Anbieter von Online-Plattformen Nutzern keine Werbung anzeigen, die auf Profiling nach der DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten beruht. Zudem dürfen nach Art. 28 Abs. 2 DSA Anbieter von Online-Plattformen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten des Nutzers darstellen, wenn sie hinreichende Gewissheit haben, dass der betreffende Nutzer minderjährig ist.

Zuständigkeitsregelung im Entwurf des DDG

Im Entwurf eines Gesetzes zur Durchführung des DSA (PDF, 15.01.2024, S. 71 f.) hatte die Bundesregierung in § 12 Abs. 3 des Digitale-Dienste-Gesetz (DDG) eigentlich vorgesehen, dass die Zuständigkeit für die Durchsetzung der Art. 26 Abs. 3 und Art. 28 Abs. 2 DSA dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) übertragen wird.

Begründet wurde dies u.a. damit, dass sich die in diesen Regelungen enthaltenen Werbeverbote auf in der Datenschutz-Grundverordnung definierte Begriffe stützen,

für deren Auslegung und Umsetzung in der Praxis die oder der Bundesbeauftragte die einschlägige Erfahrung und Expertise aufweist, wie zum Beispiel, ob besondere Kategorien personenbezogener Daten verarbeitet werden oder ein Profiling der Nutzenden stattfindet.“

Veto aus den Ausschüssen des Bundesrates

Mit Datum vom 19.01.2024 haben die beratenden Ausschüsse des Bundesrates nun ihre Empfehlungen zu dem Gesetzentwurf veröffentlicht (PDF). Zu § 12 Abs. 3 DDG wird dort durch den Ausschuss für Innere Angelegenheit eine Anpassung empfohlen – nicht der BfDI soll zuständig sein, sondern die Datenschutzbehörden der Länder.

Begründet wird diese Anpassung u.a. damit, dass Adressaten der Verpflichtungen nach Art. 26 und 28 DSA ausschließlich nicht öffentliche Stellen (Unternehmen als Anbieter von Online-Plattformen) seien,

deren Datenverarbeitung nach § 40 BDSG der Datenschutzkontrolle durch die Datenschutzaufsichtsbehörden der Länder unterliegt.“

Entgegen der Begründung der Bundesregierung für die Zuständigkeitszuweisung an den BfDI, welche auf eine einschlägige Erfahrung und Expertise des BfDI verweist,

muss nach Ansicht des Bundesrates festgestellt werden, dass diesem bislang nicht mehr als eine eingeschränkte sektorale Aufsicht über Telekommunikationsanbieter obliegt.“

Zudem seien bei einer Beschwerdeprüfung auf Grundlage des DSA (bzw. des DDG) Berührungspunkte zu allgemeindatenschutzrechtlichen Fragen,

die der Vollzugsverantwortung der Datenschutzaufsichtsbehörden der Länder vorbehalten sind, regelmäßig vorbestimmt.“

Auch führe eine Zuständigkeitszuweisung an den BfDI

absehbar zur Aufspaltung von datenschutzrechtlichen Beschwerdeverfahren, was den Zielen der Effektivität und Rechtssicherheit widerspricht“.

Einen vermittelnden Vorschlag legen der federführende Verkehrsausschuss und der Wirtschaftsausschuss vor.

Ihrer Ansicht nach sollten der BfDI und die Landesdatenschutzbehörden zuständig sein. Nach Ansicht dieser Ausschüsse würde mit § 12 Abs. 3 DDG eine Aufsichtsstruktur eingeführt,

die eine nicht gebotene nationale Zuständigkeitszersplitterung und weitere Abstimmungsbedarfe in der Praxis nach sich zöge und einheitliche Lebens- und Prüfvorgänge aufspalten würde“.

Daher schlagen sie vor, dass die Landesdatenschutzbehörden für die Webseiten, für die sie ohnehin zuständig sind, auch bezüglich der Vorgaben in Art. 26 Abs. 3 und Art. 28 Abs. 2 DSA zuständig werden.

Welche Variante am Ende im Bundesrat Zustimmung findet, muss man abwarten. Klar ist aber die Tendenz der Ausschüsse, die Zuständigkeit nicht allein dem BfDI zu übertragen.

Widerspruch gegen die Datenverarbeitung: wann liegen „Gründe, die sich aus ihrer besonderen Situation ergeben“ vor?

Nach Art. 21 Abs. 1 DSGVO hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung, die aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO erfolgt, Widerspruch einzulegen. Wann diese „besondere Situation“ vorliegt, erläutert das Gesetz aber nicht. 

Für die Praxis stellt Art. 6 Abs. 1 f) DSGVO in der Wirtschaft eine wichtige Rechtsgrundlage dar. Umso interessanter ist daher die Antwort auf die Frage, wann Betroffene einer Verarbeitung widersprechen können.

Wortlaut

Art. 21 Abs. 1 DSGVO gewährt eindeutig kein voraussetzungsloses Widerspruchsrecht, sondern macht dieses von Gründen abhängig, die sich aus der besonderen Situation des Betroffenen ergeben. Nur zu widersprechen, genügt daher nicht. Dies ergibt sich auch aus einem systematischen Vergleich mit Art. 21 Abs. 3 DSGVO, der gerade allein den Widerspruch (ohne Bezug zu einer besonderen Situation) genügen lässt, wenn Daten für Zwecke der Direktwerbung verwendet werden. 

Rechtsprechung

Landessozialgericht Hessen

Das LSG Hessen (Beschl. v. 29.1.2020 – L 4 SO 154/19 B) hat sich zu den Anforderungen der Darlegung der besonderen Situation des Betroffenen geäußert. 

Das LSG verlangt, dass konkrete Tatsachen zu dieser besonderen Situation vorgetragen werden müssen, die ausnahmsweise das Unterlassen der Erhebung von Daten rechtfertigen sollen. Dies ergebe sich aus der Normstruktur des Art. 21 Abs. 1 S. 2 DSGVO, die eine Abwägung erfordert.

Im konkreten Fall verwies der Kläger u.a. auf eine nach seiner Auffassung der Rechtsprechung des Bundessozialgerichts widersprechende Verwaltungspraxis. Dies genügte dem LSG nicht. Zudem brachte der Betroffene gegen die Verarbeitung seinen Gesundheitszustand vor. Auch dies lehnte das LSG als „besondere Situation“ ab. 

sind dies keine Gründe, die einen Bezug zu Datenschutzbelangen haben.“ 

Interessant an dieser Ansicht des LSG ist, dass das Gericht anscheinend bei den Gründen einen konkreten Datenschutzbezug verlangt. 

Bundesverwaltungsgericht Österreich

Im letzten Jahr hat sich auch das Bundesverwaltungsgericht (BVwG) Österreich (19.4.2023 – W287 2243166-1) mit den Anforderungen an den Widerspruch befasst. 

Das BVwG verlangt, dass der Betroffene im Widerspruch anzugeben hat, inwiefern eine Verarbeitung der Daten, die sich auf den Erlaubnistatbestand des Art. 6 Abs. 1 f) DSGVO stützt, aufgrund einer besonderen Situation dennoch nicht zulässig sein soll. 

Vom Betroffenen ist konkret darzulegen, 

worin im grundrechtlichen Schutzzweck des Datenschutzes seine besondere Situation liegt, die über die im Rahmen des Art. 6 Abs. 1 lit. e und lit. f DSGVO bereits erfolgte allgemeine Güterabwägung hinaus eine Ausnahme von der rechtmäßigen Verarbeitung gegeben sein soll“.

Interessant ist hier, dass das BVwG die besondere Situation des Betroffenen wohl eher als Ausnahme ansieht. Denn es führt aus, dass bei der Annahme der besonderen Situation Zurückhaltung geboten sei. 

Legt der Betroffene „nicht einmal ansatzweise dar, weshalb in seinem Fall eine besondere Situation im zuvor dargelegten Sinne vorliegen sollte“, sind die Anforderungen des Art. 21 Abs. 1 DSGVO nicht erfüllt. In dem Verfahren des BVwG hat übrigens auch die Österreichische Datenschutzbehörde genau diese Ansicht, die das Gericht stützt, vertreten. 

Die Behauptungs- und Beweislast für das Vorliegen der Voraussetzungen liegt nach Ansicht des BVwG beim Betroffenen.

Dementsprechend hat sein Antrag eine qualifizierte Darlegung zu enthalten, die es dem Verantwortlichen ermöglicht, die Voraussetzungen zu prüfen.

Fazit

Abschließend geklärt scheint die Frage, wann eine „besondere Situation“ vorliegt, noch nicht. Gerade die Entscheidung und Begründung des BVwG enthält jedoch nützliche Hinweise dazu, wie Verantwortliche mit Widersprüchen gegen Datenverarbeitungen nach Art. 21 Abs. 1 DSGVO umgehen können.

„personenbezogene Daten unverzüglich gelöscht werden“ – Datenschutzbehörde Irland: 49 Tage sind nicht mehr „unverzüglich“

Mit Entscheidung (PDF) vom 15. November 2023 hat die irische Datenschutzbehörde (DPC) unter anderem einen Verstoß der Microsoft Operations Ireland Limited gegen Art. 17 Abs. 1 DSGVO festgestellt.

Sachverhalt

In dem Verfahren ging es auch um das Auslisten von Links aus der Suchmaschine Bing. Der Betroffene beschwerte sich beim BayLDA und dieses leitete die Beschwerde nach Irland weiter. Unter anderem wandte sich der Betroffene am 9. Oktober 2021 mit mehreren Löschaufforderungen an Microsoft. Diese wurden zunächst zurückgewiesen – wie Microsoft aber später eingestand, fälschlicherweise. Der Löschprozess für die personenbezogenen Daten startete dann erst ab dem 26. November 2021. Aus Sicht der DPC sind hier 49 Tage vergangen (wobei man dafür den 9. Oktober mit einbezieht).

Entscheidung

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern bestimmte Voraussetzungen erfüllt sind.

Was genau „unverzüglich“ bedeutet, ist in der DSGVO nicht geregelt. Eine rein nationale Auslegung verbietet sich. Nach der Rechtsprechung des EuGH müssen Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten (zum Begriff „Schaden“ in Art. 82 DSGVO, C-300/21, Rz. 29).

Im konkreten Fall vergingen nach Ansicht der DPC 49 Tage, bis der der Löschprozess angestoßen wurde. Die Aufsichtsbehörde geht davon aus, dass diese Dauer nicht mehr als „unverzüglich“ im Sinne von Art. 17 Abs. 1 DSGVO angesehen werden kann.

Datenschutzbehörde Österreich: Datenschutzhinweise beeinflussen „vernünftige Erwartungen“ der Betroffenen (Art. 6 Abs. 1 f) DSGVO)

In einer Entscheidung vom 01.08.2023 (Geschäftszahl 2023-0.544.853) hat die Datenschutzbehörde Österreich (DSB) eine relevante Aussage zur Anwendung des Erlaubnistatbestandes der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO getroffen.

Sachverhalt

In dem Verfahren beschwerte sich eine Frau als Fahrgast eines Zuges bei der DSB, dass ihre Jahreskarte elektronisch überprüft worden sei. Das bloße Aushändigen der Jahreskarte sei von den Kontrollorganen nicht akzeptiert worden. Diese elektronische Kontrolle sei datenschutzwidrig gewesen.

Entscheidung der DSB

Die DSB prüft die Zulässigkeit der Datenverarbeitung im Rahmen der elektronischen Kontrolle. Sie stellt hier nicht auf Art. 6 Abs. 1 b) DSGVO (Vertragsdurchführung) ab, was meines Erachtens auch eine Möglichkeit gewesen wäre, sondern prüft den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO.

Im Rahmen der Prüfung der sich gegenüberstehenden Interessen verweist die DSB zurecht auf ErwG 47 DSGVO, in dem es heißt: „dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.“

Die DSB umschreibt diesen Aspekt wie folgt: „die vernünftige Erwartungshaltung einer betroffenen Person im Hinblick auf die Verwendung ihrer Daten im Rahmen einer Interessenabwägung als gewichtiger Faktor zu berücksichtigen“.

Spannend an der weiteren Prüfung der DSB ist nun, dass die Aufsichtsbehörde diese „vernünftigen Erwartungen“ der Betroffenen auch aus den Informationen der Datenschutzerklärung des Verantwortlichen ableitet. Diese Ansicht ist meines Erachtens zutreffend und aus Sicht der Praxis zu begrüßen. Denn ErwG 47 DSGVO nimmt hinsichtlich der Quelle bzw. des Ursprungs der „vernünftigen Erwartungen“ der Betroffenen keine Einschränkungen vor – die Erwartungen können sich also aus allen möglichen Informationsquellen ergeben, wie Werbung, Produktinformationen oder eben auch Datenschutzhinweisen.

Hierzu die Ansicht der DSB: „Wie den Feststellungen zu entnehmen ist, informiert die Beschwerdegegnerin ihre Kunden in transparenter Weise in ihrer Datenschutzerklärung sowie im Handbuch für Reisen mit den N*** in Österreich. Folglich hat die Beschwerdeführerin damit zu rechnen, dass bei Benützung von Personenverkehrszügen der Beschwerdegegnerin ihre Jahreskarte elektronisch validiert wird.

Abweichend die deutschen Aufsichtsbehörden

Die Ansicht der DSB ist vor allem deswegen interessant, weil unsere deutschen Aufsichtsbehörden zu den „vernünftigen Erwartungen“ eine strengere Ansicht vertreten (zumindest in jüngerer Vergangenheit). In der Orientierungshilfe der DSK zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung aus 2022 gehen die deutschen Behörden davon aus, dass Pflichtinformationen in Datenschutzhinweisen die Erwartungen der Betroffenen nicht erweitern könnten (S. 4):

Die Erwartungen der betroffenen Person können dabei nicht durch die nach der DS-GVO vorgesehenen Pflichtinformationen (Art. 13, 14 DS-GVO) erweitert werden.“

Ich fand diese Ansicht schon immer diskutabel, da, wie gesagt, ErwG 47 DSGVO gar keine Einschränkungen zu den vernünftigen Erwägungen vornimmt. Interessant ist, dass auch die DSK dies einmal so wie die österreichische DSB gesehen hat. Im Kurzpapier Nr. 3 (Verarbeitung personenbezogener Daten für Werbung, 2018) geben die deutschen Behörden nämlich an:

Die vernünftigen Erwartungen der betroffenen Person werden bei Maßnahmen zur werblichen Ansprache maßgebend durch die Informationen nach Art. 13, 14 DS-GVO zu den Zwecken der Datenverarbeitung bestimmt werden.“

EU-Kommission schlägt veränderte Fristenberechnung für die DSGVO und Meldungen von Datenschutzverletzungen vor

Zwischen den Jahren hat man (manchmal) die Zeit, sich mit Themen zu befassen, die während des Jahres zu kurz gekommen sind. Bei mir ist das zum Beispiel der Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO (COM(2023) 348 final).

Vielen dürfte der Vorschlag vor allem im Hinblick auf die geplanten Anpassungen bei der Zusammenarbeit der europäischen Datenschutzbehörden und auch Vorgaben zum Umgang mit Beschwerden bekannt sein.

Vorschlag der EU-Kommission zur Fristenberechnung

Interessant ist aus meiner Sicht aber ganz allgemein der vorgeschlagene Art. 29. Dieser lautet:

Beginn der Fristen und Definition eines Arbeitstages

(1)Die von den Aufsichtsbehörden nach der Verordnung (EU) 2016/679 festgelegten Fristen bzw. die darin enthaltenen Fristen werden im Einklang mit der Verordnung (EWG, Euratom) Nr. 1182/71 des Rates 17 berechnet.

(2)Die Fristen beginnen an dem Arbeitstag, der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679 oder der vorliegenden Verordnung bezieht.“

Absatz 1 birgt mittlerweile keine große Überraschung mehr. Fristen der DSGVO werden nicht nach nationalem Recht (etwa dem BGB) berechnet, sondern nach europäischem Recht. Konkret, der Verordnung (EWG, Euratom) Nr. 1182/71.

Wichtig ist in Absatz 1 dennoch die Klarstellung, dass dies nicht nur für die vorgeschlagene Verordnung zu den Verfahrensregeln gilt – sondern ausdrücklich auch für „darin enthaltenen Fristen“; darin bezieht sich auf die DSGVO insgesamt.

Jetzt kommen wir aber zu dem viel relevanteren Absatz 2.

Danach sollen Fristen an dem Arbeitstag beginnen, „der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679…bezieht“. Auch diese Vorgabe ist nicht allein auf die vorgeschlagene Verordnung bezogen, sondern ausdrücklich auf alle Fristen aus der DSGVO.

Die Besonderheit an dieser Regelung: sie führt im Vergleich zu den generellen Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71 zu einer abweichenden Fristenberechnung für solche Regelungen, die Stundenfristen vorsehen (wie Art. 33 Abs. 1 DSGVO).

Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71

Nach Art. 3 Abs. 1 und Abs. 2 a) gilt eigentlich folgendes.

Wenn für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend ist, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.

Und, eine nach Stunden bemessene Frist beginnt am Anfang der ersten Stunde und endet mit Ablauf der letzten Stunde der Frist.

Eine solche nach Stunden bemessene Frist findet sich in Art. 33 Abs. 1 DSGVO. Die Meldung an die Aufsichtsbehörde soll „möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde“ durch den Verantwortlichen erfolgen.

Das „Bekanntwerden“ ist hier das relevante Ereignis (auch dazu kann man trefflich streiten, soll hier aber nicht Thema sein).

Beispiel des BayLfD zur aktuellen Berechnungsvorgabe

In seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ bildet der BayLfD dazu das folgende Beispiel (ab Rz. 77 ff).

Das für den Anfang der Frist maßgebliche Ereignis ist das Bekanntwerden der Datenschutzverletzung. Die Frist tritt dann nicht sofort, sondern mit Anfang der nächsten Stunde in Lauf. Wird also eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72-Stunden-Frist um 17.00 Uhr.

Änderung durch den vorgeschlagenen Art. 29 Abs. 2

Sollte aber Art. 29 Abs. 2 der Verordnung zur Festlegung zusätzlicher Verfahrensregeln tatsächlich anwendbar werden, würde die Stundenfrist gerade nicht mit Anfang der nächsten Stunde zu laufen beginnen.

Denn nach Art. 29 Abs. 2 beginnt die Frist „an dem Arbeitstag, der auf das Ereignis folgt“. Die Art. 33-Frist würde also später zu laufen beginnen, als derzeit nach den Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71 und wie im Beispiel des BayLfD.

Hier am obigen Beispiel des BayLfD erläutert:

Wird eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72-Stunden-Frist erst um 00.00 Uhr des nächsten Arbeitstages. Man „gewinnt“ als Verantwortliche mithin einige Stunden.

In anderen Situationen kann der Zeitgewinn noch größer ausfallen. Zum Beispiel, wenn das Bekanntwerden der Datenschutzverletzung um 09.45 Uhr vormittags erfolgt. Dann gewinnt man im Vergleich zur aktuellen Berechnung (Frist würde um 10 Uhr starten) 14 Stunden.

Ausblick

Ich bin gespannt, ob der vorgeschlagene Art. 29 Abs. 2 so in kraft treten wird. Der EDSA und der EDSB haben in ihrer Stellungnahme zu dem Vorschlag der EU-Kommission diese Änderung der Fristenberechnung überhaupt nicht angesprochen. Ob bewusst oder unbewusst, ist aber nicht klar.

Verwaltungsgerichtshof Österreich: „unbedingt erforderlich“ nach Art. 5 Abs. 3 ePrivacy RL (TTDSG) ist etwas anderes als „erforderlich“ nach Art. 6 Abs. 1 lit. f DSGVO

In der Entscheidung vom 31.10.2023 (Ro 2020/04/0024) ging es um die Genehmigung von Verhaltensregeln gemäß Art. 40 Abs. 5 DSGVO für „Presse- und Magazin-Medienunternehmen“ bei der österreichischen Datenschutzbehörde. Die DSB wies den Antrag auf Genehmigung der vorgelegten Verhaltensregeln teilweise im Hinblick auf mehrere Punkte aus den Verhaltensregeln ab. Ein relevanter Punkt war hierbei Punkte D.1.3 (Zwingend erforderliche datenverarbeitende Cookies). Hinsichtlich Punkt D.1.3 ging es u.a. um die Frage der Auslegung der Wortfolge „unbedingt erforderlich“ in Art. 5 Abs. 3 RL 2002/58/EG und zwar dahingehend, ob davon eine näher beschriebene „wirtschaftliche unbedingte Erforderlichkeit“ umfasst sei. Punkt D.1.3 betrifft die Verarbeitung personenbezogener Daten unter Einsatz von Cookies ohne Einwilligung der betroffenen Person, wenn der Verarbeitungsvorgang für die Angebotserbringung zwingend erforderlich ist, wobei nach Punkt D.1.3 erster Absatz der Begriff „erforderlich“ unter Beachtung von Art. 6 Abs. 1 lit. f DSGVO auszulegen sei.

In seiner Entscheidung weist das Gericht (unter Verweis auf die EuGH-Rechtsprechung) darauf hin, dass für die Zulässigkeit der Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. f DSGVO es allein nicht ausreichend ist, dass die Datenverarbeitung zur Verwirklichung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Vielmehr bedarf es zusätzlich einer Abwägung der berechtigten Interessen des Verantwortlichen oder eines Dritten mit den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person.

Das Gericht unterscheidet hierbei klar zwischen den beiden Schutz- und Anwendungsbereichen der DSGVO und der RL 2002/58/EG. Während sich der Begriff „erforderlich“ in Art. 6 Abs. 1 lit. f DSGVO auf die Verarbeitung [personenbezogener Daten] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten bezieht, betreffe der Begriff „unbedingt erforderlich“ in Art. 5 Abs. 3 zweiter Satz RL 2002/58/EG die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, „damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“.

Im Gegensatz zu Art. 6 Abs. 1 lit. f DSGVO setzt daher Art. 5 Abs. 3 zweiter Satz der Richtlinie 2002/58/EG für die Zulässigkeit der Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, keine Interessensabwägung voraus.“

Auf diese unterschiedlichen Prüfkriterien und auch -umfänge hat in der Vergangenheit etwa auch die DSK in ihrer Orientierungshilfe Telemedien hingewiesen (S. 21 f). Die Ausnahmen gemäß § 25 Abs. 2 TTDSG unterscheiden sich danach wesentlich von Art. 6 Abs. 1 lit. f) DSGVO. „Während das TTDSG starre Kriterien benennt, die erfüllt sein müssen, eröffnet die DS-GVO eine gewisse Abwägungsflexibilität“. Nach Ansicht der DSK ist eine Interessenabwägung, die zu Art. 6 Abs. 1 lit. f) DSGVO vorgenommen wurde, daher nicht geeignet, automatisch die Voraussetzungen von § 25 Abs. 2 Nr. 2 TTDSG (bzw. Art. 5 Abs. 3 RL 2002/58/EG zu erfüllen.

Für die Praxis bedeutet diese Auslegung, dass „unbedingt erforderlich“ nach § 25 Abs. 2 Nr. 2 TTDSG gerade nicht eins zu eins wie die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zu prüfen ist. Die RL 2002/58/EG sieht keine Abwägungsmöglichkeit in ihrem Wortlaut vor. Dies mag man aus Sicht von Unternehmen positiv oder negativ verstehen. Negativ, da keine Abwägung mit Interessen möglich ist, um so ggfs. ein passendes Ergebnis zu erzielen. Oder auch positiv, da eben keine entgegenstehenden Interessen berücksichtigt werden müssen, jedoch die Erforderlichkeit nachgewiesen werden muss.