Schwedische Datenschutzbehörde: wann werden personenbezogene Daten „unverzüglich“ gelöscht?

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

In der Praxis stellt sich oft die Frage, wie schnell denn nun Daten zu löschen sind? Was also „unverzüglich“ bedeutet (ausführlicher haben sich Philipp Quiel und ich hiermit in unserem Beitrag zur Herbstakademie 2020 „Bestimmt unbestimmt – Vorschläge zur Auslegung und Anwendung unklarer Formulierungen in der Datenschutz-Grundverordnung“ (DSRITB 2020, 1) befasst).

Generell ist bei der Anwendung von Unionsrecht (wie hier der DSGVO) zu beachten, dass bei einer unionsrechtlich autonom erfolgenden Interpretation rein nationale Rechtsverständnisse in der Regel nur sehr begrenzt zur Klärung des Regelungsinhalts einer Norm hinzugezogen werden können. Daher ist es meines Erachtens auch nicht richtig, bei der Auslegung eines europäischen Rechtsbegriffs wie „unverzüglich“ allein auf tradierte nationale Verständnisse abzustellen, wie etwa auf § 121 Abs. 1 S. 1 BGB und das Verständnis von „ohne schuldhaftes Zögern (unverzüglich)“. Hierfür wird davon ausgegangen, dass ein Zuwarten von zwei Wochen als nicht mehr unverzüglich anzusehen ist, wenn keine besonderen Umstände vorliegen (MüKom/BGB, 8. Aufl. 2018, § 121 Rn. 7).

Die schwedische Datenschutzbehörde hat nun in einem Prüfverfahren (PDF) (welches im One Stop Shop Verfahren nach der DSGVO bearbeitet wurde) entschieden, dass eine Löschung von personenbezogenen Daten innerhalb von 16 Tagen als „unverzüglich“ anzusehen war. Dies zeigt deutlich, dass bei Auslegung und Anwendung der DSGVO der rein nationale Blick oft zu kurz greift. Zum anderen gibt diese Entscheidung für die Praxis zumindest einen ersten Anhaltspunkt dafür, was aus Behördensicht eine „unverzügliche“ Löschung bedeuten kann.

Internes EDSA Dokument: Territoriale Anwendung der ePrivacy-Richtlinie und Zuständigkeit der Aufsichtsbehörden

Im Rahmen der 50. Sitzung des Europäischen Datenschutzausschusses (EDSA) vom 18.6.2021 hat das Gremium ein internes Dokument mit dem Titel „Dokument 04/2021 über Kriterien der territorialen Zuständigkeit der Aufsichtsbehörden für die Durchsetzung von Artikel 5 Absatz 3 der Datenschutzrichtlinie für die elektronische Kommunikation“ (PDF) angenommen. Im Rahmen eines Antrags auf Zugang zu öffentlichen Dokumenten nach den Vorgaben des EU-Rechts, habe ich das Dokument nun erhalten.

Nach Angaben des federführenden Berichterstatters ziele das Dokument darauf ab, gemeinsame Kriterien für die territoriale Zuständigkeit der Aufsichtsbehörden gemäß Art. 5 (3) der Richtlinie 2002/58/EG (ePrivacy-RL) festzulegen, insbesondere in Situationen, in denen ein für die Verarbeitung Verantwortlicher bzw. Diensteanbieter Niederlassungen in mehreren Mitgliedstaaten hat.

Hintergrund

Hintergrund des Dokuments sind verschiedene Entscheidungen von Aufsichtsbehörden in Mitgliedstaaten zur Durchsetzung der Vorgaben des Art. 5 Abs. 3 ePrivacy-RL, also der Regelung zur Einwilligung (und den Ausnahmen) beim Einsatz von Cookies und anderen Trackingtechnologien. In dem ab 1.12.2021 geltenden § 25 TTDSG wird diese Vorgabe nun auch in deutsches Recht umgesetzt. Das EDSA-Dokument dürfte daher auch für Unternehmen von praktischer Relevanz sein, etwa im Fall ein Prüfverfahrens zum Einsatz von Cookies auf Webseiten oder in Apps, wenn ein Unternehmen mehrere Niederlassungen in der EU hat.

Inhalt

Grundsätzlich stellt der EDSA fest, dass es nach den Bestimmungen der ePrivacy-RL jedem Mitgliedstaat obliegt, die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die Ziele der Richtlinie erreicht werden. Jedoch enthält die ePrivacy-RL keine Angaben zu ihrem räumlichen Geltungsbereich.

Der EDSA trennt in dem Dokument zwei Situationen.

Zum einen den Fall, dass ein Unternehmen Niederlassungen in mehreren Mitgliedstaaten hat. Nach Ansicht der Datenschutzbehörden gibt die Rechtsprechung des EuGH zur territorialen Anwendung der aufgehobenen Richtlinie 95/46/EG einen Hinweis darauf, wie die territoriale Anwendung geregelt werden sollte. Der EDSA verweist hier auf die „Fanpage“-Entscheidung des EuGH, C-210/16 vom 5.6.2018. Bemerkenswert an dieser Einordnung ist freilich, dass die ePrivacy-RL diesen Verweis auf Vorgaben zum Anwendungsbereich und Zuständigkeit von Behörden nach der Richtlinie 95/46/EG gerade nicht vorsieht. Zwar stellen nach Art. 1 Abs. 2 ePrivacy-RL deren Bestimmungen eine „Detaillierung und Ergänzung der Richtlinie 95/46/EG“ dar. Gerade für den praktisch extrem relevanten Bereich des Art. 5 Abs. 3 ePrivacy-RL, passt dieser Verweis aber nicht, da es dort gerade nicht (!) um personenbezogene Daten geht.

Anknüpfungspunkt für den EDSA ist (durchaus verständlich, mit Blick auf den alten Art. 4 Richtlinie 95/46/EG) also das Vorhandensein einer Niederlassung in einem Mitgliedstaat. Daraus folgert der EDSA, dass jeder Mitgliedstaat berechtigt ist, sein nationales Recht zur Umsetzung der ePrivacy-RL durchzusetzen, „soweit es Nutzer betrifft, die sich in ihrem Hoheitsgebiet befinden“. Dies bedeutet nach Auffassung der Behörden auch, dass keine Gesetzgebung zur Umsetzung der ePrivacy-RL die Aufsichtsbehörde eines anderen Mitgliedstaats daran hindern kann die Richtlinie im Einklang mit ihren innerstaatlichen Bestimmungen in Bezug auf Nutzer in ihrem Hoheitsgebiet durchzusetzen.

Der EDSA orientiert sich also tatsächlich stark an dem vorbenannten Urteil des EuGH.

Zum anderen den Fall, dass keine Niederlassung in der EU vorhanden ist. In diesem Fall, so der EDSA, kann das nationale Recht eines Mitgliedstaats andere Kriterien als die Niederlassung vorsehen, um sein nationales Recht in Bezug auf diesen für die Verarbeitung Verantwortlichen bzw. Diensteanbieter durchsetzen.

Zusammengefasst, folgt daraus aus Sicht der europäischen Datenschutzbehörden.

Wenn die Verarbeitung ausschließlich durch die nationalen Rechtsvorschriften zur Umsetzung von Art. 5 Abs. 3 ePrivacy-RL geregelt ist, ist die für die Durchsetzung zuständige Behörde berechtigt, ihre Befugnisse auszuüben, wenn:

  • der für die Verarbeitung Verantwortliche/Dienstleister ist in ihrem Hoheitsgebiet niedergelassen;
  • die Verarbeitung erfolgt im Rahmen der Tätigkeiten einer Niederlassung in ihrem Hoheitsgebiet, auch wenn die ausschließliche Verantwortung für Erhebung und Verarbeitung für das gesamte Gebiet der Europäischen Union bei einer Niederlassung in einem anderen Mitgliedstaat liegt;
  • bei Fehlen eines für die Verarbeitung Verantwortlichen/Diensteanbieters oder einer Niederlassung in ihrem Hoheitsgebiet, das nationale Recht ein weiteres Kriterium für seine Durchsetzung enthalten kann.

Aus meiner Sicht dürfte für die Praxis vor allem die Interpretation in dem zweiten Bulletpoint relevant sein, wenn also mehrere Niederlassungen in mehreren Mitgliedstaaten vorhanden sind. Dann kommt es nach dem EDSA, auch im Anwendungsberiech des Art. 5 Abs. 3 ePrivacy-RL, auf die Frage an, ob der Zugriff auf Informationen oder das Speichern von Informationen in Endgeräten „im Rahmen der Tätigkeiten“ einer Niederlassung in dem jeweiligen Mitgliedstaat erfolgen. Ob diese analoge Anwendung der Vorgaben der Richtlinie 95/46/EG bzw. der Rechtsprechung des EuGH hierzu zwingend ist, erscheint mir jedoch (wie beschrieben) mindestens diskutabel. Zudem muss beachtet werden, dass zur Durchsetzung der e-Privacy-RL nicht zwingend die Datenschutzbehörden berufen sind. Die ePrivacy-RL eröffnet dem nationalen Gesetzgeber entsprechenden Spielraum bei der Umsetzung, was im Ergebnis bedeuten würde, die Rechtsprechung des EuGH zur Zuständigkeit von Datenschutzbehörden auf die Zuständigkeit anderer Behörden zu übertragen. Ich bin sehr gespannt, wie dieses Papier in Zukunft in Behördenentscheidungen Eingang findet.

BayLDA: Newsletter-Anmeldungen als Gegenleistung für kostenlose Produkte – „freiwillig“ nach DSGVO?

In seinem jüngsten Tätigkeitsbericht (PDF, 13.7.2021) befasst sich das BayLDA mit der Vorgabe des Art. 7 Abs. 4 DSGVO und der Frage, wann eine Einwilligung „freiwillig“ abgegeben wurde.

Die Behörde berichtet von einem Fall, in dem ein Verlag eine nahezu kostenlose Software auf einem Online-Portal im Gegenzug zu einer verpflichtenden Einwilligung in die Newsletter-Anmeldung zur Verfügung gestellt hat. Alternativ konnte die Software auf einem eigenen Portal des Verlags kostenpflichtig ohne Einwilligung in die werbliche Nutzung erworben werden.

Dabei spielt bei der Beurteilung der Freiwilligkeit der Einwilligung das Vorhandensein von Wahlmöglichkeiten eine zentrale Rolle.

Die Behörde verweist auf die Leitlinien des EDSA zur Einwilligung. Die dortigen Erläuterungen versteht die Behörde so, dass Anmeldungen zu einem Newsletter im Gegenzug zu einen kostenlosen Produkt nur dann freiwillig sind, wenn das gleiche Produkt auf derselben Plattform kostenpflichtig und ohne Pflicht zur Newsletter-Anmeldung angeboten wird.

Ansicht der Behörde: „Es reicht dabei nicht aus, dieses Produkt kostenpflichtig auf einer völlig anderen Plattform von einem Drittanbieter anzubieten„.

Denn, so die Behörde, dies würde bedeuten, dass der Verantwortliche die Entwicklungen des Marktes verfolgen müsste, um eine fortgesetzte Gültigkeit der Einwilligung in die Datenverarbeitungstätigkeiten sicherzustellen, da der Drittanbieter seine Dienstleistungen zu einem späteren Zeitpunkt ändern könnte.

Die Ansicht der Behörde finde ich nachvollziehbar. Aber man mag auch anders argumentieren. Etwa, dass eine fortgesetzte Überwachung der Gültigkeit der Einwilligung in der DSGVO nicht vorgesehen ist. Man könnte zB argumentieren, dass im Moment der Abgabe der Einwilligung die Voraussetzungen erfüllt sein müssen. Auch die Freiwilligkeit. Wenn dann auf dieser Grundlage Daten verarbeitet werden, erfolgt diese auf der einmal erteilten Einwilligung. So hat etwa auch das OVG Saarlouis in einem Urteil zum Nachweis der erteilten Einwilligung entschieden, „dass der für die Verarbeitung Verantwortliche den Umstand einer wirksamen Einwilligungserteilung – wie hier z.B. gegenüber der Beklagten als Aufsichtsbehörde – nachweisen muss„. Das OVG stellt klar auf die Situation der Erteilung ab. Auch der EuGH ging in Orang Romania davon aus, dass sich der Nachweis einer wirksamen Einwilligung auf die Situation der Erteilung bezieht („dass es dem für die Verarbeitung von Daten Verantwortlichen obliegt, nachzuweisen, dass die betroffene Person ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet hat„).

Wann können Verantwortliche sich weigern, einer Anfrage der betroffenen Person nachzukommen?

Nach Art. 12 Abs. 5 DSGVO muss der Verantwortliche grundsätzlich „Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34“ unentgeltlich zur Verfügung stellen. Also insbesondere auch den Auskunftsanspruch nach Art. 15 DSGVO per se unentgeltlich erfüllen. Hiervon macht die DSGVO jedoch zwei Ausnahmen.

Bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Die Datenschutzbehörde des Vereinigten Königreichs (ICO) hat auf ihrer Webseite einige interessante Aussagen dazu veröffentlicht, wann ihrer Ansicht nach ein Antrag eines Betroffenen als „offensichtlich unbegründet“ bewertet werden kann.

Die kann der Fall sein, wenn:

  • die Person eindeutig nicht die Absicht hat, ihr Recht auf Auskunft auszuüben. Zum Beispiel stellt eine Person einen Antrag, bietet dann aber an, ihn im Gegenzug für irgendeine Form von Vorteil für die Organisation zurückzuziehen; oder
  • der Antrag in böswilliger Absicht gestellt wird und dazu dient, eine Organisation zu schikanieren, ohne einen anderen Zweck als die Störung zu verfolgen.

Gerade die zuerst genannte Fallgruppe kommt meiner Erfahrung nach in der Praxis durchaus öfter vor, insbesondere in streitigen Verfahren im Arbeitsrecht wird ein Auskunftsantrag durchaus verwendet, um auf der Gegenseite für Aufwand zu sorgen und um auf Fehler zu hoffen. Wenn dann aber z. B. ein monetärer Vergleich angeboten wird, wird der Antrag zurückgenommen.

Die ICO geht davon aus, dass die zweite Fallgruppe zum Beispiel vorliegen kann, wenn die betroffene Person:

  • in der Anfrage selbst oder in anderen Mitteilungen ausdrücklich erklärt, dass sie beabsichtigt, eine Störung zu verursachen;
  • unbegründete Anschuldigungen gegen die Organisation oder bestimmte Mitarbeiter erhebt, die eindeutig durch Böswilligkeit veranlasst sind;
  • auf einen bestimmten Mitarbeiter abzielt, gegen den sie einen persönlichen Groll hegt; oder
  • systematisch verschiedene Anfragen an die Organisation als Teil einer Kampagne sendet, z. B. einmal pro Woche, mit der Absicht, Störungen zu verursachen.

Die Datenschutzbehörde weist zurecht darauf hin, dass diese Fallgruppen und Beispiele natürlich stets im Einzelfall geprüft werden müssen. Organisationen müssen eine Anfrage in dem Kontext betrachten, in dem sie gestellt wird. Wenn die Person wirklich ihre Rechte wahrnehmen möchte, ist es unwahrscheinlich, dass die Anfrage offensichtlich unbegründet ist.

Zuletzt weist die ICO noch darauf hin, dass aggressive oder beleidigende Ausdrücke zwar nicht akzeptabel sind, aber die Verwendung solcher Ausdrücke eine Anfrage nicht unbedingt offensichtlich unbegründet macht.

Bayerische Datenschutzbehörde: Auskunftsanspruch von Beschäftigten kann gestuft beantwortet werden

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seinen neuen Tätigkeitsbericht (PDF) für das Jahr 2020 vorgelegt. Die Behörde äußert sich auch zu dem (praktisch wichtigen) Thema des Auskunftsanspruch von (ehemaligen) Beschäftigten gegenüber ihrem Arbeitgeber.

Nach Ansicht der Behörde genügt es, wenn Beschäftigte von ihren Arbeitgebern pauschal Auskunft über die zu ihrer Person gespeicherten Daten begehren, dass Arbeitgeber zunächst eine konkrete Auskunft zu den Personalstammdaten und im Übrigen zu den Kategorien verarbeiteter personenbezogener Daten erteilen. Für eine weitergehende Auskunft dürfen Arbeitgeber die Betroffenen bitten, ihren Anspruch zu präzisieren.

Die Behörde hält – angesichts der typischerweise größeren Anzahl unterschiedlicher vom Arbeitgeber durchgeführten Verarbeitungstätigkeiten und von verarbeiteten Daten der Beschäftigten – eine gestufte Vorgehensweise für gut vertretbar.

Schritt 1: Auskunft über die Personalstammdaten im Klartext, so dass der Beschäftigte erkennen kann, ob sie richtig sind. Das betrifft Name, Vorname, Geburtstag, Adresse und Geburtsort. Ansonsten genügt es, wenn Auskunft zu den Kategorien von personenbezogenen Daten, erteilt wird.

Schritt 2: Möchte der Betroffene mehr Daten, muss er seinen Auskunftsanspruch gemäß ErwG 63 Satz 7 DSGVO dahingehend präzisieren, auf welche Informationen und/oder Verarbeitungstätigkeiten sich das Auskunftsersuchen bezieht.

Erst nach dieser erfolgten Präzisierung ist dann der Arbeitgeber in der Pflicht, die entsprechenden Auskünfte mit konkreten Daten zu erteilen„.

Scope of the new SCC – discussions about recital 7

Is it possible to transfer data to third countries without concluding SCC as long as the GDPR applies to processing by the recipient? A closer look at recital 7 of the new SCC decision by Philipp Quiel & me.

Sentence 2 and 3 of recital 7 of the European Commissions’ newly released SCC (Decision (EU) 2021/914) for the GDPR have raised one heavily debated and not so easy to answer question stipulating from the scope of applicability of the SCC referred to in recital 7. This question is the following: is it possible to transfer data to third countries without concluding SCC as long as the GDPR applies?

You can download the full article here (PDF).

(Räumlicher) Anwendungsbereich des neuen TTDSG – Rechtsunsicherheit vorprogrammiert

Am 20. Mai hat der Bundestag bekanntlich das neue „Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) in der Fassung des federführenden Ausschusses für Wirtschaft angenommen. Die Beschlussempfehlung mit dem angenommenen Gesetzestext findet sich hier (PDF).

Das neue TTDSG tritt zum 1. Dezember 2021 in Kraft.

In § 26 TTDSG enthält das Gesetz auch eine Vorschrift zur Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie, also dem Einwilligungserfordernis im Fall des Zugriffs auf Informationen in Endgeräten oder des Speichern von Informationen in Endgeräten. Oder kurz: für das (Online)Tracking.

In diesem Beitrag möchte ich aber nicht hierauf eingehen, sondern möchte auf einen Aspekt hinweisen, der meines Erachtens aus praktischer Sicht noch einige Fragen (oder auch unschöne Situationen) hervorrufen dürfte. Es geht um die Frage, wann denn das TTDSG und damit auch die Regelung des § 26 TTDSG überhaupt anwendbar ist. Im Rahmen der Stellungnahmen zu  Ausschussanhörung sind auf diesen Aspekt auch der BITKOM (PDF) und der Kollege Alexander Golland (PDF) eingegangen.

§ 1 Abs. 3 TTDSG

Die relevante Vorgabe zum Anwendungsbereich (insbesondere auch räumlich) enthält § 1 Abs. 3 TTDSG: „Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. § 3 des Telemediengesetzes bleibt unberührt“.

Zunächst fällt auf, dass die Anwendung des TTDSG nicht von einer Verarbeitung personenbezogener Daten abhängt. Das ist natürlich auch richtig, da die ePrivacy-Richtlinie ebenfalls nicht (erst) beim Umgang mit personenbezogenen Daten gilt, was auch der EuGH in seinem Urteil in der Rs C‑673/17 ebenfalls klargestellt hat (Rz. 70„Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt“).

Die Vorschrift ist in mehrere Alternativen unterteilt. Voraussetzung ist stets, dass Unternehmen oder Personen handeln und diese, entweder

  • 1) im Geltungsbereich des TTDSG eine Niederlassung haben oder
  • 2) Dienstleistungen erbringen oder daran mitwirken oder
  • 3) Waren auf dem Markt bereitstellen.

Kurz ein paar kritische Anmerkungen zu 1) und 2).

Zu 1)

Für die Anwendbarkeit des TTDSG reicht es aus, dass ein Unternehmen eine Niederlassung in Deutschland hat. Es ist nicht erforderlich, dass diese Niederlassung irgendwie aktiv in Tätigkeiten eingebunden ist, die zB ein Tracking beinhalten. Allein das Vorhandensein einer Niederlassung ist ausreichend. Das ist ein sehr weiter Anwendungsbereich und geht sogar noch über Art. 3 Abs. 1 DSGVO hinaus, der ja zumindest verlangt, dass eine Datenverarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt“ (Hervorhebung durch mich).

Man kann natürlich politisch eine solche weite Ausdehnung verlangen. Nur sollte man sich dann auch mit der praktischen Umsetzung und vor allem Durchsetzung des Rechts auseinandersetzen. Ein Beispiel: ein Unternehmen aus der Schweiz bietet über einen Online-Shop Waren in der Schweiz und Frankreich an. Das Unternehmen hat auch eine Niederlassung in Deutschland, die jedoch nur für den Einkauf von Waren verantwortlich ist.

Nach § 1 Abs. 3 TTDSG unterliegt ein Tracking auf der Webseite des Schweizer Unternehmens dem TTDSG. Ohne dass der Online-Shop überhaupt Waren in Deutschland anbietet oder darauf ausgerichtet ist. Man mag mich dafür schelten, aber ich glaube nicht, dass dies die gesetzgeberische Intention war.

Zu 2)

Doch es geht noch weiter. Auch wenn keine Niederlassung in Deutschland vorhanden ist, soll das TTDSG Anwendung finden. Dies dann, wenn Unternehmen im Geltungsbereich des TTDSG „Dienstleistungen erbringen oder daran mitwirken“. Wenn also Dienstleistungen in Deutschland erbracht werden.

Wen diese Vorschrift an eine andere Regelung erinnert, der liegt richtig, wenn er in Art. 3 Abs. 2 DSGVO sucht. Dort wird das sog. Marktortprinzip festgeschrieben. Die Aufnahme dieses Prinzips im Anwendungsberiech des TTDSG ist auch ausdrücklich vom Gesetzgeber gewollt (S. 34 des Gesetzentwurfs, PDF): „Dabei gilt nach wie vor das Marktortprinzip. Die im Verhältnis zur E-Privacy-Richtlinie subsidiär geltende DSGVO enthält bereits das Marktortprinzip, das damit auch für die Verarbeitung von personenbezogenen Daten durch Telekommunikationsanbieter gilt“. Und: „§ 1 Absatz 3 TTDSG hat daher Bedeutung für alle Bestimmungen, die sich nicht auf die Verarbeitung personenbezogener Daten beziehen und die nicht unter § 3 des Telemediengesetzes fallen, so dass das Marktortprinzip bei der Anwendung dieses Gesetzes gilt, soweit nicht § 3 des Telemediengesetzes Anwendung findet„.

Auch ohne Niederlassung in Deutschland, gilt also § 26 TTDSG für ein Unternehmen aus Indien, welches über eine Webseite Dienstleistungen in Deutschland erbringt. Aber, nur weil ein Gesetz gilt, bedeutet dies nicht, dass es auch eingehalten bzw. durchgesetzt wird.

Der Gesetzgeber des TTDSG hat jedoch auf halber Strecke halt gemacht und keine entsprechenden Folgereglungen zur Durchsetzung des TTDSG ggü. Unternehmen in Drittstaaten erlassen. In Art. 27 DSGVO ist etwa für diesen Fall vorgesehen, dass ein Vertreter in der EU zu benennen ist. Eine solche Pflicht enthält das TTDSG nicht.

Und noch zwei Anmerkungen zum Tatbestand selbst.

Erfasst ist dem Wortlaut nach allein das „Erbringen“ von Dienstleistungen. Nicht erwähnt ist das „Anbieten“. Versteht man dies so, dass nur die aktive Ausführung einer Dienstleistung relevant ist, würde zB ein Tracking auf Webseiten nicht in den Anwendungsbereich des TTDSG fallen, soweit etwa ein Online-Shop Waren und Dienstleistungen nur präsentiert; also „anbietet“. Erst, wenn eine Person eine Dienstleistung bestellt und einen Vertrag hierüber schließt („erbringen“), würden die Vorgaben des TTDSG greifen. Ist das gewollt? Ich meine nein. So steht es aber in § 1 Abs. 3 TTDSG.

Zum anderen wird nicht nur das „Erbringen“ erwähnt, sondern sogar ein „Mitwirken“ hieran. Also Unterstützungsleistungen im Hintergrund. Man denke an Auftragsverarbeiter oder andere Dienstleister. Auch diese Unternehmen wären, ohne Niederlassung in Deutschland, von den Vorgaben des TTDSG erfasst, wenn sie bei der Erbringung von Dienstleistungen (in welcher Form auch immer?) mitwirken. Im TTDSG selbst wird der Begriff nicht definiert. Nach § 2 Abs. 1 TTDSG gelten die Begriffsbestimmungen des TKG. Dort kennt man den Begriff des „Mitwirkens“ (zB in § 3 Nr. 6 TKG). Möchte man diese Parallele zwischen TKG und TMG ziehen (was mE zumindest in der Pauschalität auch schon diskutiert werden kann), dann zeigt sich eine weites Verständnis des Begriffs. So etwa die BNetzA: „Das Eröffnen dieser Nutzungsmöglichkeit stellt im Regelfall kein eigenständiges Erbringen, sondern lediglich eine “Mitwirkung an der Erbringung von Telekommunikationsdiensten“ (vgl. § 3 Nr. 6 b TKG) eines Dritten (Netzbetreiber und/oder TK-Diensteanbieter, einschließlich Wiederverkäufer) dar“ (S. 1, PDF).

Fazit Diese Anmerkungen stellen nur eine erste kleine Einschätzung zu möglichen Praxisproblemen bei der Anwendung des neuen TTDSG, insbesondere im Fall von Auslandsbezügen, dar. Ich bin sehr gespannt, ob und wenn ja wie die Datenschutzbehörden mit möglichen Durchsetzungslücken in der Praxis umgehen.

Übersetzung erforderlich? Anforderungen an die Sprache einer Datenschutzerklärung nach Ansichten der Aufsichtsbehörden

Die DSGVO enthält keine spezifischen Vorgaben dazu, ob Datenschutzinformationen, etwa in der Form von Datenschutzerklärungen auf einer Webseite, in verschiedene Sprachen der Webseitenbesucher übersetzt werden müssen. Dabei stellt sich diese Frage in der Praxis vielen Unternehmen mit Online-Shops oder online angebotenen Dienstleistungen.

Nach ErwG 39 DSGVO setzt der Grundsatz der Transparenz voraus, dass alle Informationen und Mitteilungen zur Verarbeitung von personenbezogenen Daten leicht zugänglich und „verständlich und in klarer und einfacher Sprache abgefasst sind“. Diese Anforderungen findet sich in Art. 12 Abs. 1 DSGVO wieder. Danach trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14, die sich auf die Verarbeitung beziehen, in präziser, transparenter, „verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“.

Die gesetzlichen Vorgaben verhalten sich (zumindest nicht ausdrücklich) nicht zu verschiedenen Sprachversionen von Informationen nach Art. 13 und 14 DSGVO. Jedoch ist klare Pflicht des Verantwortlichen, dass von ihm bereitgestellte Informationen „verständlich“ sind und in „klarer und einfacher“ Sprache erstellt werden. Diese Merkmal bieten durchaus Auslegungspotential für eine Interpretation, dass Datenschutzerklärungen auch in verschiedenen Sprachen vorgehalten werden müssen.

Dann stellt sich aber die Frage: in welchen Sprachen? Soll ein weltweit zugänglicher Online-Shop seine Datenschutzerklärung auch in Sprachen übersetzen, die außerhalb der EU gesprochen werden, „nur“ weil Besucher von dort Zugriff auf die Webseite haben? Reicht allein eine Zugänglichkeit aus, für eine Übersetzungspflicht?

Ganz so weit scheinen auch die Datenschutzbehörden die DSGVO-Anforderungen nicht zu verstehen. Nachfolgend habe ich eine kleine Übersicht verschiedenster Vorgaben zusammengetragen.

EDSA

Nach den Leitlinien des EDSA zur Transparenz (WP260), bedeutet die Anforderung der „Verständlichkeit“ von Informationen, dass Letztere für einen typischen Angehörigen des Zielpublikums verständlich sein sollten. Die Verständlichkeit ist eng mit der Forderung nach einer klaren und einfachen Sprache verbunden.

Der EDSA knüpft eine Übersetzungspflicht mithin an das Zielpublikum und den bewusst gewählten Adressatenkreis des Verantwortlichen. Dies spricht gegen eine generelle Übersetzungspflicht für Datenschutzerklärungen, allein basierend auf einer Zugänglichkeit des Angebots.

Ebenfalls weist der EDSA darauf hin, dass, „sofern das Zielpublikum des Verantwortlichen betroffene Personen beinhaltet, die eine andere Sprache sprechen“, Übersetzungen in diesen Sprachen bereitgestellt werden sollten. In Fn. 15 wird auch ein Beispiel genannt: „Betreibt der Verantwortliche beispielsweise eine Website in besagter Sprache und/oder bietet spezifische Länderauswahlmöglichkeiten an und/oder ermöglicht die Bezahlung von Waren und Dienstleistungen in der Währung eines bestimmten Mitgliedstaates, kann dies ein Hinweis darauf sein, dass sein Zielpublikum betroffene Personen jenes Mitgliedstaates beinhaltet“. Spannend an diesem Beispiel ist aus meiner Sicht die alternative Verknüpfung der Anforderungen (jeweils bei und/oder). Denn es macht durchaus einen Unterschied, ob eine Webseite betrieben wird und (!) spezifische Länderauswahlmöglichkeiten angeboten werden, oder dies eben nicht der Fall ist.

Meines Erachtens lässt sich aber aus den Vorgaben des EDSA ableiten, dass eine Übersetzungspflicht wohl dann anzunehmen ist, wenn der Verantwortliche sein Angebot bewusst auf einen Adressatenkreis mit einer anderen Sprache ausrichtet. Dieses „Ausrichten“ kann durch mehrere Kriterien festgestellt werden. Zum Beispiel: werden AGB in dieser Sprache vorgehalten; werden Produktinformationen in dieser Sprache vorgehalten; kann in der Landeswährung gezahlt werden?

LfD Niedersachsen

Die LfD Niedersachsen hat auf ihrer Webseite „Informationen für Betreiber von Webseiten zur Anpassung an die DS-GVO“ veröffentlicht. Die LfD fordert dort, dass die Sprache „dem Adressatenkreis anzupassen“ ist. Auch hier knüpft die Behörde ein Übersetzungserfordernis mithin an die durch den Verantwortlichen bewusst adressierten Betroffenengruppen.

Zudem verlangt die LfD: „Richtet sich die Webseite auch an ausländische Nutzer, ist die Datenschutzerklärung entsprechend auch in weiteren Sprachen zur Verfügung zu stellen“.

BayLDA
Auch das BayLDA hat sich schon mit der Frage der Sprache von Datenschutzerklärungen befasst und hierzu FAQ veröffentlicht (PDF).

Nach Ansicht des BayLDA gehört zu Erfüllung der Vorgaben des Art. 12 Abs. 1 DSGVO („verständlich“), die Informationen in der gängigen Sprache des Landes zur Verfügung zu stellen, an das sich das Online-Angebot richtet. Auch das BayLDA verfolgt also einen Ansatz über die Ausrichtung bzw. das Zielpublikum.

Das BayLDA macht hiervon aber auch Ausnahmen. Sofern ein Online-Shop seine Waren in Europa durchgängig in englischer Sprache anbietet und ein Kunde in der Lage ist, in diesem englischsprachigen Onlineshop Waren zu erwerben, kann der Verantwortliche nach Ansicht des BayLDA davon ausgehen, dass dieser Kunde auch englische Datenschutzinformationen verstehen.

Wenn also eine Bestellung in einem Online-Shop nur auf Englisch und zB Deutsch möglich ist, reichen nach Ansicht des BayLDA auch dann Datenschutzinformationen auf Englisch und Deutsch, wenn der Verantwortliche auch Kunden in Spanien, Frankreich oder Rumänien beliefert.

LDA Brandenburg

Das LDA Brandenburg hat ein eigenes Informationsblatt zu den Transparenzpflichten veröffentlicht (PDF). Dort geht das LDA davon aus, dass, falls Verantwortliche gezielt einen anderssprachigen Empfängerkreis ansprechen, die Informationspflichten in der Sprache des angesprochenen Empfängerkreises erfüllt werden müssen. Auch das LDA stützt sich also auf die Ausrichtung des Angebots und die Gestaltung, zB der Webseite.

Das LDA geht auch davon aus, dass, wenn es der betroffenen Person ermöglicht wird, die Webseite in einer anderen Sprache aufzurufen und ggf. die dort angebotenen Dienste zu nutzen, sie erwarten kann, dass sie auch in der Datenschutzerklärung in der ausgewählten Sprache darüber informiert wird, wie ihre personenbezogenen Daten bei dem Besuch der Webseite verarbeitet werden.

Fazit

Eine generelle Übersetzungspflicht, allein aufgrund einer Abrufbarkeit einer Webseite auf der ganzen Welt, besteht nach der DSGVO nicht. Anknüpfungspunkt für die jeweilige Sprache von Datenschutzinformationen ist das Merkmal der „Verständlichkeit“ in Art. 12 Abs. 1 DSGVO. Die Datenschutzbehörden stützen sich bei Ihren Hinweisen auf die Ausrichtung des Online-Angebots und das von dem Verantwortlichen adressierte Zielpublikum. Wer dies ist, kann anhand einiger Kriterien näher bestimmt werden.

Praxisrelevant ist die etwas abweichende Sicht des BayLDA, dass eine Übersetzung in eine Landessprache nicht erforderlich ist, wenn Personen aus diesem Land Waren oder Dienstleistungen über die Webseite zB auch auf Englisch erfolgreich bestellen. Dann genügt eine englische Datenschutzerklärung.

Irische Datenschutzbehörde: Anforderungen an den Schutz der Vertraulichkeit von Daten bei der Kontaktaufnahme mit Unternehmen im Namen einer anderen Person

Die irische Datenschutzbehörde (DPC) hat auf ihrer Webseite einige interessante Fallbeispiele und Empfehlungen für Situationen veröffentlicht, in denen ein Dritter für die betroffene Person ein Unternehmen kontaktiert und zB Auskunft zu seinen Daten oder eine Löschung vornehmen möchte. Die DPC erläutert zunächst das Problem: eine häufige Reaktion von Unternehmen ist, dass den anfragenden Dritten gesagt wird, das Unternehmen würde nur direkt zB mit dem Kontoinhaber kommunizieren, oder die Personen werden aufgefordert, einen sehr hohen Standard an Nachweisen vorzulegen, dass sie im Namen des Kontoinhabers handeln.

Rechtliche Vorgaben

Die DPC weist zunächst auf die zu beachtenden datenschutzrechtlichen Anforderungen hin. Unternehmen sind verpflichtet, personenbezogene Daten sicher aufzubewahren und sie nicht an jemanden weiterzugeben, den sie nicht kennen sollten – in Übereinstimmung mit dem Prinzip der „Integrität und Vertraulichkeit“ in Art. 5 Abs. 1 lit. f DSGVO. Dieser Grundsatz verlangt, so die DPC, dass personenbezogene Daten nur „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen„.

Von besonderer Bedeutung ist der Begriff „angemessen“. Nach Ansicht der DPC eröffnet dieser Begriff für die Verantwortlichen die Möglichkeit, in diesen Fällen abzuwägen, welches Maß an Sicherheit in den verschiedenen Situationen angemessen ist. Unternehmen sollten Aspekte wie die Art und Sensibilität der betroffenen personenbezogenen Daten, den potenziellen Schaden, wenn personenbezogene Daten an die falsche Person weitergegeben werden, und die Wahrscheinlichkeit, dass Personen legitimerweise im Namen des Kontoinhabers sprechen, berücksichtigen.

Fallbeispiel 1

Die DPC wurde in einer Situation um Rat gebeten, in der eine Person bei dem Versuch, einen Dienstleister über einen Dolmetscher zu kontaktieren, auf Schwierigkeiten stieß. Obwohl der Dolmetscher die relevanten Kontoinformationen korrekt angab, wollte die Organisation nicht mit dem Dolmetscher verhandeln, es sei denn, er legte ein unterzeichnetes Dokument vor, das beweist, dass er die Erlaubnis des Kontoinhabers hat, in dessen Namen zu sprechen.

Die DPC sah in diesem Fall kein offensichtliches Datenschutzproblem, das die Organisation daran hindern würde, mit einem Kunden über den Dolmetscher zu verhandeln. Es war nicht ersichtlich, dass es vernünftig oder unter Sicherheitsaspekten notwendig war, eine zusätzliche Sicherheitsanforderung für die Einschaltung eines Dolmetschers einzuführen, da es kein erhöhtes Risiko eines unbefugten Zugriffs auf personenbezogene Daten gab. Selbst wenn ein zusätzlicher Sicherheitsschritt erforderlich war, um zu überprüfen, ob der Dolmetscher die Erlaubnis des Kontoinhabers hatte, war das Verlangen nach einer unterzeichneten Erlaubnis wahrscheinlich eine unverhältnismäßig hohe Schwelle, bei der die Beantwortung weiterer Sicherheitsfragen oder die Bestätigung der Kontodaten ausgereicht hätte.

Fallbeispiel 2

Einer gehörlosen Person, die einen Gebärdensprachdolmetscher benötigte, als sie mit einem Dienstleister in Kontakt trat, wurde der Zugang zu dem Dienst verweigert, da die Organisation sich weigerte, mit dem Gebärdensprachdolmetscher zu arbeiten. Die Organisation nannte „DSGVO- und Datenschutzbedenken“ als Grund für die Verweigerung des Zugangs.

Nach Ansicht der DPC verhindert oder verbietet aber die DSGVO nicht die Verwendung eines Gebärdensprachdolmetschers, eines Text-Relay-Service oder eines ähnlichen Systems, wenn eine gehörlose oder schwerhörige Person diese Dienste bei der Kontaktaufnahme mit einem Dienstleister nutzen muss. Diensteanbieter sind verpflichtet, geeignete Sicherheitsmaßnahmen zu ergreifen, um die Integrität und Vertraulichkeit der personenbezogenen Daten von Kunden zu schützen. Diese Maßnahmen dürfen jedoch diejenigen nicht unverhältnismäßig benachteiligen, die einen Gebärdensprachdolmetscher oder eine Form des Textdienstes benötigen.

Empfehlungen der DPC

Der Standpunkt der DPC ist, dass das Datenschutzrecht in der Regel Organisationen nicht daran hindert, mit jemandem zu kommunizieren, der den Kontoinhaber vertritt, wenn sie angemessene und verhältnismäßige Schritte unternommen haben, um die Einhaltung ihrer Sicherheits- und Vertraulichkeitsverpflichtungen zu gewährleisten.

Die DPC rät Organisationen, insbesondere Dienstleistern und solchen, die mit der Kundenbetreuung beschäftigt sind, bei der Planung und Umsetzung „geeigneter technischer oder organisatorischer Maßnahmen“ zum Schutz personenbezogener Daten auf einen ausgewogenen und verhältnismäßigen Ansatz bei ihren Sicherheits- und Identitätsprüfungsmaßnahmen zu achten. Im Grunde bleiben die Empfehlungen der DPC vage bzw. belassen das Risiko der Fehleinschätzung hinsichtlich der einzusetzenden Sicherheitsmaßnahmen und -prozesse bei dem Verantwortlichen. Die beiden Beispiele bieten aber zumindest eine gewisse Hilfestellung für Unternehmen. Die DPC verlangt, dass Unternehmen solche Maßnahmen umsetzen, „die sowohl ein hohes Maß an Schutz für den Einzelnen bieten, aber auch diejenigen nicht unverhältnismäßig benachteiligen, die sich nicht ohne weiteres auf diese Maßnahmen einlassen können und die möglicherweise jemanden brauchen, der in ihrem Namen Kontakt aufnimmt“.

Berliner Datenschutzbehörde: Risiken bei Betroffenenanfragen an no-reply Adressen und in Ticket- oder CRM-Systemen

In ihrem aktuellen Jahresbericht 2020 (pdf) bespricht die Datenschutzbehörde aus Berlin einen sehr praxisrelevanten Aspekt der Erfüllung von Betroffenenanfragen, etwa in Bezug auf Löschung oder Auskunft (ab S. 164). Es geht um die Frage, ob Verantwortliche Anfragen auf jeglichem Kommunikationskanal beachten und bearbeiten müssen oder ob man Betroffene auf einen speziellen Datenschutzkontakt verweisen darf?

Die Ansicht der Berliner Behörde ist sehr klar: Verantwortliche müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

No-reply Adressen – ein DSGVO-Problem

Hauptargument der Behörde ist die Vorgabe des Art. 12 Abs. 2 DSGVO. Danach ist der Verantwortliche verpflichtet, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 zu erleichtern. Zudem verweist die Behörde auf die allgemeine Verantwortlichkeitsvorschrift des Art. 24 DSGVO. Die Behörde geht davon aus, dass Verantwortliche durch technisch-organisatorische Maßnahmen sicherstellen müsse,

dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“

Speziell in Bezug auf sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, geht die Behörde davon aus, dass jedenfalls dann ein datenschutzrechtliches Problem bestehe,

wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden“.

Interessant hierbei ist, dass die Behörde also nicht verlangt, dass die Anfrage tatsächlich bearbeitet wird, wenn zumindest in der E-Mail an den Betroffenen deutlich gemacht wird, an welche Adresse sie sich bei Datenschutzfragen wenden können. Zumindest verstehe ich die Aussage der Behörde oben so, quasi als Minimum-Anforderung.

Genau im Satz danach wird die Ansicht der Behörde dann aber doch wieder scheinbar strenger:

„Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen“.

Meiner Ansicht nach wiedersprechen sich die beiden zitierten Ansichten jedoch nicht unbedingt. Die Behörde verlangt grundsätzlich, das Betroffenenanfragen stets bearbeitet werden. Alles andere wäre ja auch überraschend. Geht es um den speziellen Fall einer no-reply Adresse, die deutlich als solche erkennbar ist und in der eine Alternative für Datenschutzanfragen angegeben wird, scheint die Behörde aber zumindest die von der DSGVO geforderte „Erleichterung“ als erfüllt anzusehen. Ich verstehe die Behörde so, dass es vor allem problematisch ist, wenn Betroffene nicht erkennen können, dass der von ihnen gewählte Kanal nicht bearbeitet wird und ihnen auch keine Alternative deutlich erkennbar angeboten wird.

Ticket- und CRM-Systeme

Interessant sind dann auch noch die Ansichten der Behörde zur Bearbeitung von Betroffenenanfragen in Ticket- oder CRM-Systemen, wie sie in der Praxis fast überall zum Einsatz kommen.

Die Behörde verweist darauf, dass bei der Nutzung von Ticket- oder CRM-Systemen darauf zu achten sei,

dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können“.

Bedeutet etwa bei Auskunftsanfragen, dass auch Personen, die keine Kunden sind, eine Negativauskunft zu erteilen ist.

Zudem berichtet die Behörde von einem Fall, in dem im Verlauf der Kommunikation zwischen dem Kundenservice und einer betroffenen Person irgendwann auch das Datenschutzteam in Kopie genommen wird, das verwendete CRM-System aber auf solche Konstellationen nicht eingestellt sei. In diesem Fall wurde dann wohl eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kundenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, wusste aber auch nicht um die Problematik der fehlenden automatischen Weiterleitung an das Datenschutzteam.

Insgesamt zeigt der Bericht der Datenschutzbehörde, dass Anfragen von Betroffenen immer Ernst genommen und intern schnell der zuständigen Abteilung weitergeleitet werden müssen. Wichtig hierbei ist auch eine entsprechende Sensibilisierung der Mitarbeiter, insb. Über Schulungen, interne FAQ-Seiten oder ähnliches.