Österreichische Datenschutzbehörde: Beschwerdeverfahren nach der DSGVO nur in der amtlichen Landessprache

Mit Entscheidung vom 21.09.2018 hat die Datenschutzbehörde in Österreich (DSB) die Beschwerde einer Person nach Art. 77 DSGVO zurückgewiesen, die sich nur auf Englisch über ein österreichisches Unternehmen per E-Mail bei der DSB beschwerte.

Zunächst brachte der Beschwerdeführer seine erste Eingabe in englischer Sprache per E-Mail an die DSB ein. Aus dem Inhalt der Eingabe vermutete die DSB, dass der Beschwerdeführer eine Beschwerde gegen eine in Wien niedergelassene Gesellschaft wegen einer Verletzung des Rechts auf Löschung (Art. 17 DSGVO) beabsichtigte.

Nach Aufforderung durch die DSB, die Beschwerde nachzubessern, verwies der Beschwerdeführer auf Artikel und Erwägungsgründe der deutschen Fassung der DSGVO, die Beschwerde selbst war jedoch erneut in englischer Sprache verfasst.

Die DSB verwies zur Begründung ihrer Aufforderung zur Nachbesserung des Antrags des Beschwerdeführers u.a. auf Art. 8 des Bundes-Verfassungsgesetzes (B-VG). Danach ist die deutsche Sprache als verfassungsmäßige Amtssprache der Republik in allen Eingaben bei österreichischen Behörden zwingend zu verwenden.

An dieser Auslegung ändere auch die DSGVO und insbesondere der hier relevante Art. 77 DSGVO zum Beschwerderecht betroffener Personen nichts.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person

unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.

Nach Ansicht der DSB hat auf dieser Grundlage eine betroffene Person bei Geltendmachung ihrer Rechte im Verwaltungsrechtsweg die internationale Wahl zwischen mehreren Aufsichtsbehörden im Gebiet der Europäischen Union hat, nämlich jener des gewöhnlichen Aufenthaltsortes der betroffenen Person, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Vorliegend könnte Zuständigkeit der österreichischen Aufsichtsbehörde begründet gewesen sein, da die Beschwerdegegnerin in Wien niedergelassen war.

Daraus ist aber nicht abzuleiten, dass ein Verfahren vor der Datenschutzbehörde durch eine Partei verfahrensrechtlich in einer anderen Sprache als der verfassungsmäßigen Amtssprache beantragt und geführt werden darf. Vielmehr sollen die alternativen Einbringungsbehörden einer betroffenen Person die Möglichkeit eröffnen, sich an eine geografisch näher gelegene Aufsichtsbehörde zu wenden, deren Amtssprache ihr geläufig ist.“

Aus diesem Grund wurde die Beschwerde hier zurückgewiesen. Die DSB verwies in ihrer Antwort an den Beschwerdeführer auch auf die Möglichkeit, dass dieser sich an die zuständige Aufsichtsbehörde an seinem gewöhnlichen Aufenthaltsort oder Arbeitsplatz im Gebiet der Europäischen Union wenden kann.

Auch in Deutschland kennen wir für die Kommunikation durch und gegenüber Behörden eine ähnliche Vorgabe, wie jene in Österreich, wenn auch nicht mit Verfassungsrang. Nach § 23 Abs. 1 VwVfG ist Amtssprache deutsch. Jedoch darf auch eine deutsche Behörde einen fremdsprachigen Antrag nicht einfach ignorieren (vgl. § 23 Abs. 2-4 VwVfG).

Datenschutzbehörde NRW: Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung

Die DSGVO enthält keine speziellen Vorgaben zu den technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, die per E-Mail versendet werden. Art. 32 Abs. 1 DSGVO gibt allgemein vor:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Beispielhaft („unter anderem Folgendes“) benennt Art. 32 Abs. 1 DSGVO in lit. a) auch die Verschlüsselung personenbezogener Daten. Eine unbedingte Pflicht, personenbezogene Daten stets nur verschlüsselt zu übermitteln, enthält die DSGVO aber nicht. In der Praxis ist die Frage, ob und wenn ja wann und in welcher Form Daten verschlüsselt übertragen werden sollten, ein Dauerbrenner.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) hat Ende 2018 ihre Position zu den technischen Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand veröffentlicht.

Nach Ansicht der LfDI NRW ist bei der Übermittlung von E-Mails grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene zu unterscheiden. Bei der Verschlüsselung auf Inhaltsebene werden Texte einer E-Mail sowie von Anhängen verschlüsselt. Hierbei kommen nach der Behörde in erster Linie die Standards S/MIME und OpenPGP infrage. Metadaten werden von der Inhaltsverschlüsselung jedoch nicht erfasst. Bei der Verschlüsselung auf Transportebene werden sowohl Meta- als auch Inhaltsdaten auf der Verbindung zwischen Mail-Client und Server bzw. zwischen verschiedenen Mail-Servern verschlüsselt.

Danach stellt die LfDI NRW ihre Positionen dar, die „bei der Wahl der technischen und organisatorischen Maßnahmen“ zugrunde zu legen seien.

Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird“.

Die LfDI NRW geht also davon aus, dass ausnahmslos immer mindestens eine Transport-Verschlüsselung umzusetzen ist. Wie oben erwähnt, ergibt sich eine solche zwingende Verschlüsselungspflicht nicht aus der DSGVO. Man könnte daher argumentieren, dass diese Auffassung über die Anforderungen der DSGVO hinausgeht. Eventuell geht die Behörde bei ihrer Beurteilung davon aus, dass die Transportverschlüsslung mittlerweile der in Art. 32 Abs. 1 DSGVO erwähnte „Stand der Technik“ ist. Hierfür könnte der Verweis auf die europäischen Provider sprechen. Dennoch sieht Art. 32 Abs. 1 DSGVO, neben dem Merkmal „Stand der Technik“, noch weitere Kriterien vor, die bei der Frage der umzusetzenden Maßnahmen berücksichtigt werden müssen, so insbesondere die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Verantwortliche und Auftragsverarbeiter müssten also nach der DSGVO immer noch die Möglichkeit haben, anhand dieser Merkmale zu beurteilen, ob eine Verschlüsselung der Daten zwingend erforderlich ist. Die Ansicht der Behörde geht auf die einzelnen, in Art. 32 Abs. 1 DSGVO genannten Kriterien leider nicht näher ein und begründet ihre Auffassung nicht. Würde man die Ansicht der LfDI NRW in der Praxis ernst nehmen, würde dies nicht nur für größere Unternehmen, sondern auch für Vereine, Handwerksbetriebe oder kleine Unternehmen bedeuten, dass diese E-Mails nur mit einer Transportverschlüsselung versenden dürfen.

Hinsichtlich der Art der Transportverschlüsselung ist die LfDI NRW der Auffassung, dass diese entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert werden sollte. Abweichungen können aber möglich sein.

Sollen per E-Mail „besonders schützenswerte Daten“ übermittelt werden, verlangt die LfDI NRW verständlicherweise höhere Anforderungen. Die Behörde versteht unter diesen Daten z.B. „Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten“. Eine alleinige Transportverschlüsselung sei dann möglicherweise nicht ausreichend. Die Behörde bezieht sich hierbei anscheinend auch auf die in Art. 9 Abs. 1 DSGVO erwähnten „besonderen Kategorien personenbezogener Daten“.

Interessant an der Aufzählung der LfDI NRW ist aber etwa das Beispiel der „Beschäftigtendaten“. Hierunter könnten dem Grunde nach bereits der Name und Vorname eines Beschäftigten fallen, ohne das weitere schützenswerte Daten betroffen sein müssen. In einem solchen Fall noch umfassendere Maßnahmen als eine Transportverschlüsselung zur fordern, erscheint jedoch dem Gründe nach nicht begründbar. So sieht etwa § 26 Abs. 3 BDSG iVm § 22 Abs. 2 BDSG auch nur bei der Verarbeitung besonderer Kategorien personenbezogener Daten von Beschäftigten die Pflicht vor, „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“.

Zuletzt ist noch darauf hinzuweisen, dass die LfDI NRW der Auffassung ist, dass der Betreff der E-Mail keine personenbezogenen Daten enthalten sollte.

Die LfDI NRW informiert darüber, dass die Datenschutzkonferenz derzeit Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation erarbeitet.

Austrian data protection authority: Data subjects have no right to demand implementation of certain data protection measures under GDPR

Decisions on the GDPR (from supervisory authorities and courts) are still rare and therefore I am always very pleased when such a decision, in which the new European law is applied and interpreted, sees the light of day.

According to Art. 32 para 1 lit. a GDPR, the controller and the processor shall, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate the pseudonymisation and encryption of personal data.

According to Art. 5 para 1 lit. c GDPR, personal data shall be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’).

In a current procedure, the Austrian Data Protection Authority (DPA) issued an official decision (German) on 13. September 2018 in response to a complaint regarding these two articles of the GDPR.

Facts

On 23 June 2018, the complainant in the proceedings filed two complaints against two respondents, alleging a violation of the fundamental right to data protection (Section 1 of the Data Protection Act in Austria) due to the failure to delete data or pseudonymize it. The respondents to the complaint were public authorities, specifically the Federal Ministry for Europe, Integration and the Exterior and the Federal Chancellery. The facts of the case themselves are somewhat more comprehensive (since at the beginning it was also a question of deletion of data). In the end, however, the subject-matter of the complaint was only the question of whether the respondents had violated the complainant’s right to confidentiality by failing to pseudonymize the complainant’s personal data in their electronic file systems (ELAK).

Decision oft he DPA

First, I believe that DPA correctly points out that the complainant did not, until the conclusion of the proceedings, establish any concrete act which would have violated her fundamental right to secrecy.

Rather, the complainant limited itself to bringing to light events not manifested in the ELAK, such as potential hacker attacks, data leaks or foreseeable technological innovations, in the course of which the complainant could in future suffer damage through the disclosure of her data, due to a “failure to pseudonymise” her data.

However, such a potential violation of rights is not sufficient, why the complaint regarding possible future violations had already been dismissed on this ground. Then the DPA comes to interesting interpretations of the regulations of the GDPR. In the opinion of the DPA, no right can be derived from the GDPR,

according to which a data subject could demand specific data security measures within the meaning of Art. 32 GDPR from the controller. Nor can a data subject – as requested by the complainant – demand specific measures to minimise data within the meaning of Art. 5 para 1 lit. c GDPR.

Admittedly, it is in principle possible for a data subject to be violated in its fundamental right to confidentiality due to inadequate data security measures taken by a controller (e.g. because this leads to disclosure to unauthorised third parties). However, even in this case, the data subject would not have the right to choose a specific data security measure.

According to the DPA, it is clear from Art. 32 GDPR that the obligation to ensure the security of the processing of personal data applies to the data controller or the processor,

which, taking into account the elements referred to in paragraph 1 of this provision, may be provided in a number of ways“.

The DPA also systematically interprets the relevant provisions of the GDPR. The rights of data subjects are expressly regulated in Chapter III. Pseudonymisation can be found as a measure, however, in Chapter IV, which regulates the objective duties of controllers and processors.

The data protection authority can only investigate this obligation of the controller within the framework of an officially initiated examination procedure (Art. 55 para. 1 in conjunction with Art. 57 para. 1 lit a and h GDPR) and, if necessary, instruct the controller to comply with the regulation (Art. 58 para. 2 lit d GDPR).”

Österreichische Datenschutzbehörde: Betroffene haben kein Recht auf Einhaltung bestimmter Datenschutzmaßnahmen

Entscheidungen zur DSGVO (von Aufsichtsbehörden und Gerichten) sind noch rar und daher freut es mich immer sehr, wenn einmal eine solche Entscheidung, in der das neue europäische Recht angewendet und ausgelegt wird, das Licht der Öffentlichkeit erblickt.

Nach Art. 32 Abs. 1 lit. a) DSGVO müssen der Verantwortliche und der Auftragsverarbeiter, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein.

Nach Art. 5 Abs. 1 lit. c) DSGVO muss der Verantwortliche darauf achten, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind („Datenminimierung“).

Die Österreichische Datenschutzbehörde (DSB) hat in einem aktuellen Verfahren mit Bescheid vom 13.09.2018 auf eine Beschwerde zu diesen beiden Regelungen der DSGVO Stellung genommen.

Sachverhalt

Die Beschwerdeführerin des Verfahrens brachte am 23. Juni 2018 zwei Beschwerden gegen zwei Beschwerdegegner ein und behauptete darin eine Verletzung im Grundrecht auf Datenschutz (§ 1 Datenschutzgesetz – DSG) wegen unterlassener Datenlöschung bzw. Pseudonymisierung. Beschwerdegegner waren öffentliche Stellen, konkret das Bundesministerium für Europa, Integration und Äußeres und das Bundeskanzleramt. Der Sachverhalt selbst ist noch etwas umfassender (da es zu Anfang auch um eine Löschung ging). Beschwerdegegenstand war am Ende aber nur die Frage, ob die Beschwerdegegner die Beschwerdeführerin „im Recht auf Geheimhaltung verletzt haben, indem sie die Pseudonymisierung personenbezogener Daten der Beschwerdeführerin in ihren elektronischen Aktensystemen (ELAK) unterlassen haben“.

Entscheidung der DSB

Zunächst weist die DSB meines Erachtens zutreffend darauf hin, dass die Beschwerdeführerin bis zum Abschluss des Verfahrens keine konkrete Handlung dargetan hat, durch die sie in ihrem Grundrecht auf Geheimhaltung verletzt worden wäre.

Sie beschränkte sich vielmehr darauf, aufgrund einer „unterlassenen Pseudonymisierung“ ihrer Daten im ELAK (noch) nicht manifestierte Ereignisse, wie potenzielle Hacker-Angriffe, „Datenlecks“, oder absehbare technologische Innovationen ins Treffen zu führen, in deren Rahmen die Beschwerdeführerin durch Offenlegung ihrer Daten zukünftig Schaden nehmen könnte.

Jedoch reicht eine solche potentielle Verletzung der Rechte nicht aus,

weshalb die Beschwerde hinsichtlich möglicherweise in Zukunft eintretender Verletzungen bereits aus diesem Grunde abzuweisen war“.

Dann gelangt die DSB zu interessanten Interpretationen der Vorschriften der DSGVO. Nach Ansicht der DSB ist aus der DSGVO kein Recht abzuleiten,

wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen iSv Art. 32 DSGVO von einem Verantwortlichen verlangen könnte. Ebenso wenig kann eine betroffene Person – wie von der Beschwerdeführerin begehrt – spezifische Maßnahmen zur Datenminimierung iSv Art. 5 Abs. 1 lit. c DSGVO verlangen.

Zwar sei es grundsätzlich möglich, dass eine betroffene Person aufgrund unzureichender Datensicherheitsmaßnahmen eines Verantwortlichen im Grundrecht auf Geheimhaltung verletzt wird (etwa, weil es dadurch zur Offenlegung an unbefugte Dritte kommt). Jedoch würde der betroffenen Person auch in diesem Fall kein Recht auf Wahl einer spezifischen Datensicherheitsmaßnahme erwachsen

Nach Ansicht der DSB ist nämlich aus Art. 32 DSGVO ersichtlich, dass die Verpflichtung zur Sicherheit der Verarbeitung personenbezogener Daten den Verantwortlichen bzw. den Auftragsverarbeiter trifft,

wobei diese Sicherheit – unter Berücksichtigung der in Abs. 1 dieser Bestimmung genannten Elemente – auf mehrere Arten gewährleistet sein kann“.

Zudem legt die DSB die entsprechenden Vorschriften der DSGVO auch systematisch aus. Die Rechte betroffener Personen sind ausdrücklich in Kapitel III geregelt. Die Pseudonymisierung findet sich als Maßnahme aber in Kapitel IV, das die objektiven Pflichten von Verantwortlichen und Auftragsverarbeitern regelt.

Diese Verpflichtung des Verantwortliche kann die Datenschutzbehörde nur im Rahmen eines amtswegig eingeleiteten Prüfverfahrens untersuchen (Art. 55 Abs. 1 iVm Art. 57 Abs. 1 lit a und h DSGVO) und den Verantwortlichen gegebenenfalls zur Einhaltung der Verordnung anweisen (Art. 58 Abs. 2 lit d DSGVO).

Eine meines Erachtens sehr interessante Entscheidung zu den neuen Regelungen der DSGVO. Die Interpretation der DSB mag womöglich nicht jeder teilen. Die Begründung ist aber meines Erachtens schlüssig.

Auch für Unternehmen in Deutschland kann diese Interpretation einer europäischen Aufsichtsbehörde relevant sein, da die hier maßgebenden Vorschriften auch in Deutschland unmittelbar gelten.

Neuer Beschluss der deutschen Datenschutzbehörden: Betrieb einer Facebook Fanpage ohne Vereinbarung mit Facebook rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen neuen Beschluss (pdf) zum Betrieb von Facebook Fanpages veröffentlicht, der konkretere Vorgaben aufstellt, welche Anforderungen durch Unternehmen, die eine Fanpage betreiben, zu erfüllen sind.

Die erste Entschließung der DSK, die kurz nach dem Urteil des EuGH (Rs. C-210/16) veröffentlicht wurde, blieb noch recht vage, was die konkreten Maßnahmen betraf, die Fanpage Betreiber umsetzen sollten (mein Beitrag dazu).

In dem neuen Beschluss stellt die DSK insbesondere (anders als in der ersten Entschließung) heraus:

Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“

Gemeint ist hier die Vereinbarung zwischen gemeinsam Verantwortlichen nach Art. 26 DSGVO. In einer solchen Vereinbarung müssen die Verantwortlichen (nach dem Urteil des EuGH sind dies der Betreiber der Fanpage und Facebook) in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten nach den Art. 13 und 14 DSGVO nachkommt.

Die DSK präzisiert ihre Anforderungen an Betreiber einer Fanpage und Facebook weiter. Die gemeinsam Verantwortlichen sollen „Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen“.

Der Beschluss der DSK liest sich meines Erachtens wie ein Hinweis der Behörden, was man nun von Unternehmen und auch Facebook erwartet. Die Anforderungen konkretisiert der Beschluss zudem in der Form eines Fragenkataloges im Anhang. Nach Ansicht der DSK müssen die im Anhang aufgeführten Fragen sowohl von Facebook als auch und von Fanpage Betreibern beantwortet wer-den können.

Meines Erachtens kann aus dem Fragenkatalog bereits abgeleitet werden, was aus Sicht der Behörden als elementare Voraussetzungen des Betriebs einer Fanpage zu betrachten sind. Man braucht wohl auch nicht viel Fantasie, um sich vorzustellen, dass genau dieser Fragenkatalog in naher Zukunft durch Aufsichtsbehörden an Betreiber von Fanpages verschickt wird. U.a. enthält der Anhang folgenden Frage:

  • In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
  • Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
  • Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
  • Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?

Einige dieser Fragen werden von Unternehmen, die eine Fanpage betreiben, nicht beantwortet werden können, da diesen hierzu wohl faktische Informationen fehlen.

Für Unternehmen, die eine Fanpage betreiben, bedeutet dies nun, sich darüber Gedanken zu machen, wie man mit der eigenen Seite umgeht. Die Aussagen der DSK und die damit meines Erachtens intendierte Stoßrichtung, ist in jedem Fall klarer, als in der ersten Entschließung.

Derzeit liegt ein Entwurf für eine Vereinbarung nach Art. 26 DSGVO von Facebook leider noch nicht vor. Jedoch soll ein solcher Vertrag sehr bald veröffentlicht werden. Zwar sieht Art. 26 DSGVO keine zwingende Form für die Vereinbarung vor, so dass diese nicht unbedingt schriftlich abgeschlossen werden muss. Per se würde also sogar eine mündliche Vereinbarung ausreichen.  Jedoch verlangt Art 26 Abs. 1 DSGVO, dass die Vereinbarung in transparenter Form vorliegen muss. Zudem muss das „Wesentliche“ der Vereinbarung den betroffenen Personen nach Art. 26 Abs. 2 S. 2 DSGVO zur Verfügung gestellt werden. Diese Voraussetzungen könnten bei einer rein mündlichen Vereinbarung nur schwer erfüllbar sein.

Als ad hoc Maßnahme könnte man sich auch vorstellen, Informationen von Facebook Seiten (aus den AGB, Hilfeseiten und Erläuterungen zu Fanpages) zusammenzusammeln, um so eine Informationsbasis zu schaffen. Dieses Vorgehen dürfte aber immer noch das Risiko bergen, dass man als Unternehmen nicht alle Informationen abschließend erhält oder nicht validieren kann.

Am Ende wird man konstatieren müssen, dass zur gemeinsamen Verantwortlichkeit sinnlogisch mehrere Stellen gehören und Facebook nun hoffentlich so schnell wie möglich die Vereinbarung zur gemeinsamen Verantwortlichkeit bereitstellt.

Bayerischer Landesbeauftragter für Datenschutz: Keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung

Sowohl vor als auch nach dem 25.5.2018 (und auch weiterhin) spielten und spielen in der Praxis die Anpassungen von bestehenden oder der Abschluss von neuen Verträgen zur Auftragsverarbeitung eine wichtige Rolle. Dabei haben sich die gesetzlichen Vorgaben in diesem Bereich (nun Art. 28 DSGVO) gar nicht so sehr geändert. Der Abschluss eines Vertrages etwa war auch vor dem 25.5.2018 erforderlich.

Nach Art. 28 Abs. 3 lit. h) DSGVO muss der Vertrag unter anderem vorsehen, dass der Auftragsverarbeiter, „dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt“. Der Auftragsverarbeiter muss danach ausdrücklich Kontrollen durch den Verantwortlichen ermöglichen und auch dazu beitragen. Diese Kontrollen sollen es dem Verantwortlichen ermöglichen zu prüfen, ob der Dienstleister die in Art. 28 DSGVO vorgegebenen Regularien beim Umgang mit personenbezogenen Daten beachtet.

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD; die Aufsichtsbehörde für den öffentlichen Bereich in Bayern) hat nun ein durchaus praxisrelevantes Kurzpapier zu der Frage veröffentlicht, ob Auftragsverarbeiter ihr Mitwirken an diesen Kontrollen durch den Verantwortlichen von Zahlungen (z.B. von Aufwendungen) abhängig machen können. Aus eigener Erfahrung kann ich sagen, dass derartige Klauseln, die dem Auftragsverarbeiter das Recht zusprechen, für seine Mitwirkungshandlungen im Zuge der Erfüllung der DSGVO-Pflichten eine gesonderte Vergütung zu verlangen, in der Praxis sehr verbreitet sind. Laut dem Kurzpapier werden auch bayerische öffentliche Stellen von Auftragsverarbeitern unter anderem mit dem Ansinnen konfrontiert, einer Vertragsklausel zuzustimmen, die dem Auftraggeber eine Vor-Ort-Kontrolle nur gegen ein besonderes Entgelt ermöglicht.

Nach Auffassung des BayLfD müssen die Kontrollrechte nach der DSGVO ohne besondere Begründung seitens des Verantwortlichen als Auftraggeber und ohne Abwehrmöglichkeit seitens des Auftragsverarbeiters (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO: “und dazu beiträgt”) ausgeübt werden können. „Andernfalls könnte der Verantwortliche nämlich seinen bei ihm auch nach Einbindung eines Auftragsverarbeiters verbleibenden Pflichten insbesondere gegenüber den betroffenen Personen nicht angemessen nachkommen“.

Daher darf nach Ansicht des BayLfD die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Ein solches Entgelt könne zudem entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten.

Als Lösung schlägt der BayLfD vor, dass der Auftragsverarbeiter die ihm durch Vor-Ort-Kontrollen seines Auftraggebers entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einrechnet (“Einpreisung”). Um dem Risiko für Auftragsverarbeiter zu begegnen, nicht von Auftraggebern “überrannt” zu werden, verweist der BayLfD darauf, dass jede Partei einer Auftragsverarbeitungs-Vereinbarung nach Treu und Glauben zur Rücksichtnahme auf die jeweils andere Partei verpflichtet ist. Diese Verpflichtung könne in der Vereinbarung durchaus näher ausgestaltet werden, etwa durch Bestimmungen, „dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen bzw. abzustimmen ist, oder dass anlasslose Inspektionen mengenmäßig kontingentiert sind“.

Die Ansicht des BayLfD wird man sicherlich diskutieren können. Dann ein vom Gesetz gefordertes „Beitragen“ zu den Kontrollen durch den Auftragsverarbeiter kann dem Grunde auch bei der Vereinbarung eines Entgelts vorliegen. Die DSGVO selbst schließt dies zumindest in Art. 28 DSGVO nicht aus. Das Gesetz konkretisiert nicht, inwiefern das „Beitragen“ kostenlos erfolgen muss. Der europäische Gesetzgeber hat aber solche Problematiken, dass die Pflichtenerfüllung der DSGVO nur gegen Entgelt ermöglicht wird, durchaus erkannt und an anderen Stellen entsprechende Regelungen für eine Kostenfreiheit getroffen, etwa in Art. 12 Abs. 5 DSGVO zu den Betroffenenrechten.

Zudem kann man die Auffassung vertreten, dass die vorgeschlagene Lösung über näher ausgestaltetet Regelungen zur Rücksichtnahme auf die Interessen der anderen Partei ebenso eine Abhängigkeit der Kontrollrechte von bestimmten Handlungen schafft. Denn wenn vor der Kontrolle diese zwischen den Parteien „abzustimmen“ ist, kann dies ebenfalls bedeutet, dass eine Kontrolle nicht ohne einvernehmliche Planung und gemeinsame Festlegung durch beide Parteien erfolgen kann. Damit hätte es aber wieder der Auftragsverarbeiter in der Hand, der Kontrolle „entgegenzuwirken“, was der BayLfD hinsichtlich des Entgelts als unzulässig ansieht.

Hier die richtige (vertragliche) Balance zu finden ist sicherlich nicht ganz einfach und wird vielfach auch durch die Umstände des Einzelfalls beeinflusst sein.

Verwaltungsgericht: Facebook Custom Audience mit Kundenliste ist ohne Einwilligung unzulässig

Dass der Einsatz von Facebook Custom Audience aus datenschutzrechtlicher Sicht nicht unkritisch ist, dürfte seit einiger Zeit bekannt sein. Zuletzt hatte die bayerische Aufsichtsbehörde für Unternehmen, das BayLDA, im Oktober 2017 in einer Pressemitteilung darauf hingewiesen, dass Unternehmen in Bayern diesbezüglich überprüft wurden. Zudem stellte das BayLDA seine Sichtweise zur Zulässigkeit der verschiedenen Varianten des Werbe-Tools dar.

Die Variante „Facebook Custom Audience über die Kundenliste“ sieht das BayLDA nur als datenschutzrechtlich zulässig an, wenn Betroffene, deren Daten, u.a. auch die E-Mail-Adresse, gehasht an Facebook zum Abgleich mit Facebook-Nutzern weitergegeben wird, zuvor in die Verwendung der Daten für den werblichen Zweck eingewilligt haben.

Nachdem ein bayerisches Unternehmen, welches diese Variante von Facebook Custom Audience nutzte, vom BayLDA geprüft wurde und der Ansicht der Behörde nicht folgte, dass in diesem Fall die Einwilligung er Betroffenen erforderlich sei (diese lag nicht vor), erließ das BayLDA gegen das Unternehmen einen Bescheid, mit dem das Unternehmen verpflichtet wurde, binnen zwei Wochen nach Zustellung des Bescheides die erstellten Custom Audiences (Kundenlisten) zu löschen.

Gegen diesen Bescheid ging das Unternehmen, zunächst im Wege des vorläufigen Rechtsschutzes, vor dem Verwaltungsgericht (VG) Bayreuth gerichtlich vor. Das Verwaltungsgericht entschied nun mit Beschluss v. 08.05.2018 – B 1 S 18.105, dass der Antrag des Unternehmens abgelehnt wird, da Sache die in der Hauptsache erhobene Klage Unternehmens voraussichtlich ohne Erfolg bleiben wird.

Oder kurz: das Gericht folgt der Auffassung des BayLDA („folgt das Gericht den Gründen der angegriffenen Anordnung vom 16.01.2018“), dass der Einsatz der Variante von Facebook Custom Audience über das Hochladen von Kundenlisten in den eigenen Facebook Account des Unternehmens der vorherigen Einwilligung der Betroffenen bedarf.

Der Beschluss des VG ist sehr ausführlich und durchaus lesenswert. Insbesondere die Darstellung der verschiedenen Rechtspositionen und Begründungen der Parteien ist interessant.

Zudem noch ein Hinweis: der Beschluss erging auf Grundlage der alten Rechtslage vor dem 25.5.2018. Das heißt nicht, dass alle in dem Beschluss benannten Gründe und Erwägungen nun hinfällig wären. Denn wie wir wissen, unterscheidet sich die DSGVO gar nicht so sehr von dem alten BDSG. An der ein oder anderen Stelle, können sich meines Erachtens aber auch Unterschiede ergeben (Beispiel: die DSGVO kennt kein Listenprivileg für Werbezwecke, sondern benennt die Verarbeitung für Zwecke der Direktwerbung als ein mögliches berechtigtes Interesse; das alte BDSG definierte die Anonymisierung von Daten, die DSGVO jedoch nicht).

Nachfolgend möchte ich ganz kurz die Gründe des VG für seine Entscheidung aufführen:

  • Uber die verwendeten E-Mail-Adressen ist ein Personenbezug herstellbar. Durch den Vorgang des „Hashens“ werden die Daten nicht (i.S.v. § 3 Abs. 6 BDSG) anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen.
  • Bei der Übermittlung der gehashten E-Mail-Adressen der Kunden des Unternehmens an Facebook handelt es sich nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung, sondern um eine Übermittlung an Dritte und in der Folge eine Datenverarbeitung.
  • In der vorliegenden Sachverhaltsgestaltung ist nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Die Übermittlung der (gehashten) E-Mail-Adressen ist integraler Bestandteil der Werbemaßnahme. Eine eigenständige Bedeutung der bloßen Durchführung eines Datenabgleichs, der dann als Teil einer Auftragsdatenverarbeitung angesehen werden könnte, ist nicht zu erkennen.
  • Das Unternehmen kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ (§ 28 Abs. 3 Satz 2 BDSG (alt)) stützen. Bei E-Mail-Adressen handelt es sich nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind.
  • Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG (alt), da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält. Darüber hinaus wäre jedoch zusätzlich eine zugunsten des Unternehmens ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG (alt)), die jedoch hier zum Nachteil des Unternehmens ausgeht.
  • Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) (Interessenabwägung) kann die Übermittlung der (gehashten) E-Mail-Adressen nicht gerechtfertigt werden. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind die im § 28 Abs. 3 BDSG (alt) getroffenen Wertungen des Gesetzgebers zu berücksichtigen. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den Regelungen in § 28 Abs. 3 BDSG (alt) selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte.
  • Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Zu berücksichtigen ist daher auch, dass das Unternehmen die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten einzuholen.

Wie gesagt, sind einzelne Begründung aufgrund der neuen Rechtslage nicht per se übertragbar. Es zeigt sich aber insgesamt, dass das VG hier in allen entscheidenden Punkten der Argumentation des BayLDA folgt.

Besonders spannend ist für mich, aus juristischer Sicht, die Frage nach der Auftragsverarbeitung durch Facebook. Das VG verweist hier deutlich darauf, dass es nicht unbedingt auf den zwischen Facebook und dem Unternehmen abgeschlossenen Vertrag ankommt, sondern die faktischen Gegebenheiten entscheiden. Das bedeutet aber auch, dass es wohl faktische Gegebenheiten geben kann, in denen man Facebook durchaus als Auftragsverarbeiter des Unternehmens ansehen könnte.

Zu beachten zudem, dass sich diese Entscheidung nur auf eine Alternative des Werbe-Tools von Facebook bezieht. Daneben gibt es auch noch die Möglichkeit, ein Pixel des Netzwerkes in die eigene Webseite einzubinden (also keine Listen mit Kundendaten hochzuladen).

Datenschutz-Grundverordnung in der Arztpraxis – Fragebogen der Datenschutzbehörde zur Praxisorganisation

Die ab dem 25.5.2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO) gilt nicht nur für große, internationale Unternehmen. Auch mittelständische Betriebe und Selbstständige müssen sich mit den, teilweise neuen, Vorgaben zum Umgang mit personenbezogenen Daten befassen. In Deutschland kommen zudem die Regelungen des ebenfalls ab dem 25.5.2018 geltenden neuen Bundesdatenschutzgesetzes hinzu.

Der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern hat Ende 2017 einen Fragebogen (pdf) an zufällig ausgewählte Arztpraxen versendet, in dem er die Erfüllung verschiedenster Anforderungen der DSGVO abfragt. Die Ergebnisse der Befragung sollen der Behörde helfen, den Beratungsbedarf bei Arztpraxen einzuschätzen.

Arztpraxen (aber selbstverständlich auch andere datenverarbeitende Stellen) sollten sich, auch wenn sie den Fragebogen nicht selbst erhalten haben, mit den Fragen auseinandersetzen und für sich prüfen, ob sie entsprechende Antworten geben könnten. Die Fragen der Behörde stellen eine erste Richtungsvorgabe dafür dar, was Unternehmen ab dem 25.5.2018 für Anfragen von Seiten der Aufsichtsbehörden erwarten könnten und welche Regelungsbereiche der DSGVO aus Sicht der Behörde besondere Relevanz haben.

Stand der Verhandlungen zur ePrivacy-Verordnung im Rat – u.a. Cookies, Browser & DSGVO

Zum aktuellen Verhandlungsstand der ePrivacy-Verordnung (ePrivacyVO) im Rat der EU wurde nun ein Sachstandsbericht der Präsidentschaft vom 17.11.2017 veröffentlicht (pdf). Nachfolgend einige Hinweise zu dem Bericht.

Verhältnis zur Datenschutz-Grundverordnung

Es wurden Änderungen im Text aufgenommen, mit denen klargestellt werden soll, dass die ePrivacy-Verordnung (ePrivacyVO) als lex specialis zur DSGVO gelten soll, aber nur, soweit personenbezogene Daten natürlicher Personen betroffen sind. Die ePrivacyVO wird auch für juristische Personen gilt. Die DSGVO jedoch nicht; Regeln der DSGVO sollen aber dann auch für juristische Personen anwendbar sein, wenn die ePrivacyVO darauf Bezug nimmt.

Zudem wurde auch an der Einwilligung in der ePrivacyVO gearbeitet; auch hier vor dem Hintergrund, dass in der ePrivacyVO auch juristische Personen (bzw. für sie handelnde Personen) eine Einwilligung erteilen können. Dies soll, nach Aussage der Kommission, aber im nationalen Recht geregelt werden.

Maschine-Maschine-Kommunikation

Die Mitgliedstaaten äußerten Kritik zur geplanten Anwendung der ePrivacyVO auf die Kommunikationen zwischen Maschinen. Die Präsidentschaft schlägt hier eine Unterscheidung entsprechend den Anpassungen an der Richtlinie über den europäischen Kodex für die elektronische Kommunikation vor. Die Anwendungsebene soll nicht in den Anwendungsbereich der ePrivacyVO fallen.

Aufsichtsbehörden

Zwar sollen die Datenschutzaufsichtsbehörden weiterhin zuständig sein für die Überwachung und Durchsetzung des Kapitels II der ePrivacyVO. Jedoch möchte die Präsidentschaft den Mitgliedstaaten die Möglichkeit geben, andere Aufsichtsbehörden für die Überwachung der Vorgaben des Kapitel III zu benennen.

Grundlagen der Verarbeitung (auch Erlaubnis in Bezug auf Cookies etc.)

Es wird festgestellt, das weiterer Beratungsbedarf bei der Frage besteht, ob in der ePrivacyVO zusätzliche Erlaubnistatbestände zum zulässigen Umgang mit elektronischen Kommunikationsdaten aufgenommen werden sollen. Explizit wird auch auf weiterhin erforderlichen Arbeitsaufwand beim Thema „Endgeräte“ der Nutzer und den Einsatz von Cookies hingewiesen. Mitgliedstaaten sprachen sich für eine Balance zwischen dem Schutz der Privatsphäre der Nutzer und den legitimen Geschäftsmodellen aus. In diesem Zusammenhang soll auch die mögliche Rolle und der Einfluss von Browsern und Privatsphäreeinstellungen noch genauer untersucht werden, bevor überhaupt weiter konkret am Text der ePrivacyVO gearbeitet werden kann.

Ist die Datenschutz-Grundverordnung doch schon anwendbar? Zwei Gerichte sagen: ja.

Liest man sich den Art. 99 Abs. 2 DSGVO durch, ist eigentlich dem ersten Anschein nach klar, dass der Gesetzgeber den datenverarbeitenden Stellen (mögen diese nun öffentliche oder nichtöffentliche Stellen sein) und auch den nationalen Gesetzgebern eine Frist von 2 Jahren einräumen wollte, um den Anforderungen der DSGVO gerecht zu werden.

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Sie gilt ab dem 25. Mai 2018.

Die DSGVO und ihre Vorgaben sind also erst ab dem 25.5.2018 anwendbar. Im Sommer diesen Jahres hob genau aus diesem Grund das Verwaltungsgericht Karlsruhe eine Verfügung der Datenschutzbehörde in Baden-Württemberg auf (hierzu mein Blogbeitrag). Das Verwaltungsgericht (VG) Karlsruhe entschied (Urt. v. 6.7.2017 – 10 K 7698/16), dass die DSGVO

erst ab 25.5.2018 Gültigkeit beanspruchen wird.

Doch zwei weitere Entscheidungen von deutschen Gerichten machen nun stutzig. Sowohl das VG Wiesbaden (Beschluss v. 21.9.2017 – 6 L 3805/17.WI.A) als auch das Finanzgericht (FG) Düsseldorf (Beschluss v. 9.8.2017 – 4 K 1404/17) gehen davon aus, dass die DSGVO bereits jetzt durch deutsche Behörden anzuwenden und zu beachten ist. In beiden Fällen gehen die Gerichte ausdrücklich von Datenschutzverstößen von Behörden gegen die Vorgaben der DSGVO aus.

Das VG Wiesbaden entschied, dass das Bundesamt für Migration und Flüchtlinge (BAMF) unzulässigerweise eine Markierung zu einer Person zum Zwecke eines Asylbescheides nutzte. Die Datenmarkierung ist ein technischer Vorgang zur Sicherung der Datenqualität. Die Markierung ist aber kein Datum, welches zu speichern und zu übermitteln ist. Das VG stellt hier auf einen Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO ab. Die Nutzung der Markierung durch das BAMF bedürfte gemäß Art. 6 Abs. 3 lit. a) DSGVO einer Rechtsgrundlage, die die Zwecke, für die die personenbezogenen Daten verarbeitet werden dürfen, festlegt. Eine solche existiere nicht.

Doch wie kommt das VG hier überhaupt dazu, die DSGVO als anwendbar anzusehen und Verstöße des BAMF gegen die Artikel der DSGVO festzustellen?

Das VG verweist hierfür auf eine Entscheidung des FG Düsseldorf und damit auch auf eine dort ebenfalls zitierte Entscheidung des EuGH (Urteil v. 18.12.1997, C-129/96).

Die DSGVO ist am 25.05.2016 in Kraft getreten und gilt ab dem 25.05.2018 (Art. 99 Abs. 2 DSGVO. Die Verordnung ist daher auf das vorliegende Verfahren anzuwenden. Denn der Gesetzgebungsakt entfaltet vom Zeitpunkt seiner Bekanntgabe an Rechtswirkungen (EuGH, Urteil v. 18.12.1997, Az. C-129/96 – zur Richtlinienumsetzung, was im Falle einer Verordnung jedoch erst recht gelten muss; so FG Düsseldorf, Beschluss vom 09.08.2017, Az. 4 K 1404/17.Z – nach Juris).

Da die für das BMAF maßgebliche EURODAC-VO (VO (EU) 603/2013) auf die noch gültige RL 95/46/EG verweist, die DSGVO in Art. 94 Abs. 2 wiederum aber vorschreibt, dass Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, so dass die EURODAC-VO im Einklang mit den Vorgaben der DSGVO stehen muss.

Dies mit der Folge, dass die Datenschutzgrundverordnung insoweit immer ergänzend heranzuziehen ist.

Im Ergebnis dieselbe Argumentation verfolgt das FG Düsseldorf in seiner Entscheidung. Das FG Düsseldorf verweist auch auf das obige Urteil des EuGH. Die referenzierte Randnummer 41 lautet:

Sodann werden nach Artikel 191 Absatz 2 EWG-Vertrag, der auf den im Ausgangsverfahren maßgebenden Zeitraum Anwendung findet, die “Richtlinien und Entscheidungen … denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam”. Aus dieser Vorschrift ergibt sich, daß eine Richtlinie gegenüber dem Mitgliedstaat, an den sie gerichtet ist, schon vom Zeitpunkt ihrer Bekanntgabe an Rechtswirkungen entfaltet.

Meines Erachtens sind beide Entscheidungen des VG Wiesbaden und des FG Düsseldorf nicht richtig.

Beide Gerichte referenzieren auf ein Urteil des EuGH vom 18.12.1997. Ebenfalls begründen beide deutschen Gerichte ihre Entscheidung damit, dass zwar der EuGH zu einer Richtlinie entschied, aber dies müsse ja erst recht für eine Verordnung wie die DSGVO gelten.

Beide Gerichte verkennen jedoch, dass der EuGH sich hier auf eine Vorschrift stützt (Art. 191 EWG-Vertrag), die so nicht mehr existiert. Dort hieß es:

Die Richtlinien und Entscheidungen werden denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam.

Die Nachfolgevorschrift ist Art. 297 AEUV. Diese ist inhaltlich viel detaillierter und anders aufgebaut. Art. 297 AEUV regelt die Unterzeichnung, Veröffentlichung, Bekanntgabe und das Inkrafttreten der Gesetzgebungsakte sowie der Rechtsakte ohne Gesetzescharakter. Die Vorschrift geht zwar u.a. auf Art. 191 EWG-Vertrag zurück, der jedoch erheblich ausgedehnt wurden. Die ursprüngliche Fassung des Art. 191 EWG-Vertrag sah lediglich eine Veröffentlichungspflicht für Verordnungen und eine Bekanntgabepflicht für Richtlinien und Entscheidungen vor (GHN/Krajewski/Rösslein AEUV Art. 297 Rn. 1).

Art. 297 AEUV unterscheidet aber nun zwischen Rechtsakten mit und ohne Gesetzescharakter. Diese Unterscheidung traf Art. 191 EWG-Vertrag nicht. Für die DSGVO, als Verordnung und damit Gesetzgebungsakt, sieht Art. 297 Abs. 1 AEUV keine Bekanntgabepflicht vor. Für die DSGVO hat die Frage der Bekanntgabe also gar keine Relevanz. Der Verweis der deutschen Gerichte geht hier fehl.  Die DSGVO entfaltet also gerade noch keine unmittelbare Rechtswirkung, auf die sich Betroffene, Unternehmen oder auch wie hier Behörden stützten könnten. Mit Inkrafttreten wird die DSGVO zwar Bestandteil des Unionsrechts. Nach Art. 92 Abs. 2 DSGVO darf die Europäische Kommission ab dem Inkrafttreten etwa auch ihre Befugnis zum Erlass delegierter Rechtsakte ausüben. Die DSGVO ist aber eben noch nicht unmittelbar im Mitgliedstaat anwendbar.

Dies ergibt sich auch aus der Systematik der DSGVO selbst. Nach Art. 94 Abs. 1 DSGVO wird die Richtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Würde die DSGVO jetzt für datenverarbeitende Stellen schon Vorgaben machen, hätte diese Regelung keinen Sinn. Denn dann würden derzeit dem Grunde nach zwei europäische Regelungssysteme parallel und im Anwendungsbereich überlappend den Schutz personenbezogener Daten regeln. Im Ergebnis würde auch die in Art. 99 DSGVO etablierte Übergangsfrist von zwei Jahren keinen Sinn machen, wenn man davon ausgeht, dass die DSGVO bereits jetzt unmittelbar anwendbar wäre.

Die Entscheidungen des VG Wiesbaden und des FG Düsseldorf sind kritisch zu sehen und abzulehnen.