Thüringer Fragebogen zur Prüfung von Webseiten: verschiedene Handlungsoptionen für Unternehmen

Der Thüringer Landesbeauftragt für Datenschutz und Informationsfreiheit (TLfDI) hat wohl in großer Zahl Fragebögen an Thüringer Unternehmen versandt. Thema ist der Einsatz von Analysesoftware auf den jeweiligen Websites der angeschriebenen Unternehmen.

Das Schreiben selbst ist offiziell, soweit ich weiß, noch nicht abrufbar. Der Kollege André Stämmler berichtet zu dem Anschreiben in seinem Blog.

Hintergrund der Befragung dürfte auch das Urteil des Europäischen Gerichtshofs sein, in dem sich das Gericht mit der Frage der Voraussetzungen einer wirksamen Einwilligung bei dem Einsatz von Cookies befasst hat (Aktenzeichen C-673/17 – Planet 49; Achtung: der EuGH hat hier nicht entschieden, dass beim Einsatz von Cookies oder gar Google Analytics, per se immer eine Einwilligung einzuholen wäre). Gefragt wird in dem Schreiben der Behörde unter anderem, ob und welche Analysetools eingesetzt werden und ob und auf welchem Wege eine Einwilligung dazu eingeholt wird. Wie gesagt: ob beim Einsatz von Google Analytics oder anderen Tools eine Einwilligung zwingend erforderlich ist, hat der EuGH nicht entschieden. Die deutschen Behörden gehen jedoch laut mehreren Pressemitteilungen davon aus.

Unternehmen könnten verunsichert sein, ob die Beantwortung der übersandten Fragen verpflichtend ist oder nicht, da zwar betont werde, dass das Schreiben keinen verpflichtenden Charakter habe, gleichzeitig aber darauf hingewiesen wird, dass ein verpflichtender Bescheid (also ein Verwaltungsakt) bei Nicht-Beantwortung der Fragen die Folge sein kann.

Zusätzliche Irritation ruft das Schreiben dadurch hervor, da es als „Auskunftsersuchen nach Art. 58 Abs. 1 lit. a) DSGVO Anhörung nach 28 ThürVwfG“ überschrieben ist. Die Behörde möchte damit wahrscheinlich zum Ausdruck bringen, dass der momentan versandte Fragebogen eine Anhörung nach § 28 VwVfG zu einem Auskunftsersuchen nach Art. 58 Abs.1 lit a) DSGVO darstellt. Zumindest nach ihrer Ansicht. Dann läge in der Beantwortung des Fragebogens eine freiwillige Mitwirkung im Rahmen des Verwaltungsverfahrens an dessen Ende, wahrscheinlich abhängig davon, ob und wie die Fragen beantwortet werden, ein formelles Auskunftsersuchen nach Art. 58 Abs. 1 lit a) DSGVO stehen.

Man kann aber schon aktuell fragen, wie unverbindlich die Beantwortung der Fragen aus Sicht der Unternehmen überhaupt sein kann, wenn im gleichen Schreiben bei Nichtbeantwortung mit einem verbindlichen Auskunftsersuchen „gedroht“ wird. Erscheint die Beantwortung des jetzigen Fragebogens dadurch als verpflichtend, kann man auch darin schon einen Verwaltungsakt sehen. Gegen diesen stünde dann selbstverständlich schon jetzt der Rechtsweg offen. Meine persönliche Meinung: oft stellen diese Anschreiben mit Fragen an Unternehmen Verwaltungsakte dar. Es ist für eine Einordnung als Verwaltungsakt auch unerheblich, ob einem solchen Schreiben eine Rechtsbehelfsbelehrung beigefügt ist oder nicht.

Abseits der, evtl. etwas wissenschaftlichen Diskussion über die juristische Einordnung solcher Fragebögen, stellt sich für Unternehmen vordergründig die Frage, wie auf solche Schreiben reagiert werden sollte. Man kann den Fragenbogen natürlich einfach beantworten, wenn man weiß oder zumindest vermutet, dass man die Anforderungen der DSGVO ordnungsgemäß umsetzt. Andererseits lässt sich fragen, warum man etwas beantworten soll, was man eigentlich gar nicht muss?

In beiden Fällen kann man Akteinsicht nach § 29 Abs. 1 VwVfG beantragen, um herauszufinden, was die Behörde an (Tatsachen)Grundlagen schon zusammengetragen hat. Und wenn man der Auffassung ist, dass solch ein Anschreiben einen Verwaltungsakt darstellt, könnte man theoretisch auch Anfechtungsklage vor dem Verwaltungsgericht erheben. Damit schöpft man dann auch die Verfahrensgarantien und Rechtbehelfe, wie sie in Art. 58 Abs. 4 DSGVO gegenüber den Maßnahmen der Aufsichtsbehörden zwingend vorgesehen sind, aus.

Gericht: Betroffene haben keinen Anspruch auf Vornahme bestimmter Maßnahmen durch eine Datenschutzbehörde

Kann eine betroffene Person, die von einem unzulässigen Umgang mit ihren personenbezogenen Daten ausgeht, von einer Datenschutzbehörde ein aufsichtsbehördliches Einschreiten oder sogar die Vornahme einer konkreten Maßnahme verlangen? Um diese Frage ging es in einem Fall, den das Sozialgericht Frankfurt (Oder) zu entscheiden hatte. Das Gericht lehnt einen solchen Anspruch auf Grundlage der DSGVO ab (Gerichtsbescheid v. 08.05.2019 – S 49 SF 8/19).

Sachverhalt

In dem Verfahren klagten betroffene Personen gegen den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die Kläger verlangten von dem BfDI ein Einschreiten gegen behauptete Datenrechtsverstöße des Jobcenters. U.a. begehrten die Kläger Auskunft vom Jobcenter, die sie wohl zunächst nicht erhielten. Diese wurde aber nach einem entsprechenden Hinweis des BfDI dann doch erteilt. Nach Ansicht der Kläger enthielt diese aber falsche Daten und wandten sich deswegen erneut an den BfDI. Dieser verwies die Kläger auf die Geltendmachung der Auskunft bzw. der Betroffenenrechte gegenüber dem Jobcenter.

Die Kläger beantragten, den BfDI zu verurteilen, gegen die Datenrechtsverstöße des Jobcenters einzuschreiten, um ihnen Auskunft über den Zugriff auf ihre Daten durch andere Stellen zu erteilen.

Entscheidung

Das Sozialgericht wies die Klage als unzulässig ab, da es an einer Anspruchsgrundlage fehle. Das Gericht geht also davon aus, dass eine entsprechende Klagemöglichkeit nicht besteht.

Weder aus den Vorschriften des Sozialrechts … noch insbesondere aus der Datenschutz-Grundverordnung ist ein individueller Anspruch eines Bürgers gegen den Beklagten auf die Vornahme einer bestimmten Maßnahme herleitbar.

Das Gericht verweist zunächst auf Art. 78 Abs. 2 DSGVO. Danach bestehe zwar dem Grunde nach ein Klagerecht, jedoch ist der Klagegrund auf bestimmte Fälle beschränkt.

Nach Art. 78 Abs. 2 DSGVO hat die betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DSGVO erhobenen Beschwerde in Kenntnis gesetzt hat.

Dies sei hier jedoch weder Klagegegenstand, noch liegt oder lag eine dahingehende Untätigkeit des BfDI vor.

Zudem habe nach Art. 77 Abs. 1 DSGVO jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn diese der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt.

Danach, so das Gericht, ist der BfDI als Datenschutzaufsichtsbehörde allein verpflichtet, sich mit einer Beschwerde zu befassen, soweit sie nicht offensichtlich unbegründet oder exzessiv ist und den Gegenstand der Beschwerde zu untersuchen und den Beschwerdeführer über den Fortgang und das Ergebnis der Untersuchung zu unterrichten.

Eine weitergehende Verpflichtung besteht grundsätzlich nicht.

Das Beschwerderecht nach Art. 77 DSGVO werde als Petitionsrecht verstanden.

Diesen Anforderungen aus der DSGVO sei der BfDI hier jedoch stets nachgekommen. Er hat die Betroffenen über den Fortgang der Beschwerde informiert und auch auf Schreiben geantwortet.

Daher kommt das Gericht zu dem Ergebnis:

Eine Verurteilung zu einer aufsichtsrechtlichen Maßnahme gegen das Jobcenter kann das Gericht den Beklagten nicht verurteilen. Dies ist aus der DSGVO nicht herleitbar.

Fazit

Das Gericht orientiert sich bei seiner Begründung strikt an den Vorgaben der DSGVO. Diese sieht eine Klagemöglichkeit gegen verbindliche Beschlüsse (also Verwaltungsakte) der Aufsichtsbehörde vor. Im Rahmen einer solchen Klage kann dann natürlich auch die Ermessensentscheidung der Aufsichtsbehörde überprüft werden. Jedoch sieht die DSGVO nicht vor, dass ein Betroffener direkt Klage auf Vornahme einer ganz bestimmten behördlichen Maßnahme erheben könnte.

Lohnbuchhaltung durch Steuerberater: Bundesrat möchte gesetzliche Klarheit zur Einordnung nach der DSGVO schaffen

Seit einiger Zeit ist zwischen den deutschen Datenschutzbehörden umstritten, wie die Tätigkeiten von Steuerberater datenschutzrechtlich einzuordnen sind, wenn diese „nur“ Tätigkeiten der Lohnbuchhaltung durchführen.

Ist der Steuerberater in diesem Fall Auftragsverarbeiter oder (als Berufsgeheimnisträger) eigener Verantwortlicher?

Hier einige Positionen:

LfDI Baden-Württemberg: „Danach kommt für die Beauftragung des Steuerberaters mit der laufenden Lohn- und Gehaltsabrechnung datenschutzrechtlich nur eine Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO in Betracht“.

LDA Bayern (pdf): „Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen“.

LDI NRW: „Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen  – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung  gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung“.

Aktuell liegt im Bundesrat zur Verhandlung der Entwurf eines Dritten Gesetzes zur Entlastung insbesondere der mittelständischen Wirtschaft von Bürokratie (Drittes Bürokratieentlastungsgesetz) (BR Drs 454/19). Im Rahmen dieses Entwurfs soll auch das Steuerberatungsgesetz (StBerG) angepasst werden.

Die Ausschüsse im Bundesrat schlagen nun mit Empfehlungen (pdf) vom 27.09.2019 eine zusätzliche Anpassung des § 11 StBerG „Verarbeitung personenbezogener Daten“ vor.

§ 11 Abs. 2 StBerG soll wie folgt gefasst werden:

(2) Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72).

Die Ausschüsse begründen diesen Vorschlag unter anderem mit der unklaren Rechtsage und den verschiedenen Ansichten der Datenschutzbehörden. Die Ausschüsse im Bundesrat stellen sich gegen die Ansichten jener Aufsichtsbehörden, die von einer Auftragsverarbeitung durch Steuerberater ausgehen, wenn diese Tätigkeiten im Rahmen der Lohnbuchhaltung anbieten.

Vereinzelt gehen die Landesbeauftragten für den Datenschutz und Informationsfreiheit davon aus, dass es sich bei den in § 6 Nummer 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, nicht um Tätigkeiten der Hilfeleistung in Steuersachen im Sinne von § 1, § 33 StBerG handelt. Dieser Auffassung kann nicht gefolgt werden.“ (Hervorhebung durch mich)

Die Ausschüsse gehen davon aus, dass Steuerberater bzw. die in § 3 StBerG aufgeführten Personen und Gesellschaften eigenverantwortlich tätig sind. Die in § 6 Nr. 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“ seien gerade nicht vom Anwendungsbereich des Steuerberatungsgesetzes ausgenommen.

Die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst regelmäßig vielmehr die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen“.

Die Ausschüsse empfehlen mithin eine gesetzliche Vorgabe zur Einordnung von wirtschaftlichen Tätigkeiten und damit umfassten Datenverarbeitungen innerhalb des Verantwortlichkeitsgefüges der DSGVO. Die Ausschüsse nennen dies in der Begründung eine „klarstellende Ergänzung“.

Jedoch wird man auch fragen können, ob der nationale Gesetzgeber Vorgaben dazu machen darf, wie datenschutzrechtliche Verantwortlichkeiten zu verteilen sind und vor allem wie bestimmte Tätigkeiten innerhalb der DSGVO einzuordnen sind? Als Verantwortlicher oder als Auftragsverarbeitung? Auf eine Öffnungsklausel der DSGVO wird in der Begründung nicht verwiesen und es gilt natürlich zu beachten, dass die legal definierten Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ unmittelbar bindend sind. Spinnt man diese Idee hypothetisch weiter, könnte der nationale Gesetzgeber dazu übergeben, Festlegungen zur Rollenverteilung nach der DSGVO zu treffen, was wiederum dem Harmonisierungsgedanken der DSGVO entgegenstehen könnte.

Seltsamer Beschluss der Datenschutzkonferenz zu „verhaltensbasierter Werbung“ (UPDATE)

Auf der Webseite der Datenschutzkonferenz (DSK) wurde mit Datum vom 25.9.2019 ein Beschluss zu „verhaltensbasierter Werbung“ veröffentlicht (PDF). Seltsam ist der Beschluss, da er sich materiell rechtlich überhaupt nicht mit verhaltensbasierter Werbung befasst und zudem auch formelle Defizite aufweist und den Leser mit Fragen zurücklässt.

Beschluss

Der Beschluss bezieht sich auf eine Beschwerde des Netzwerk Datenschutzexpertise (Netzwerk). Gemeint ist wohl diese Beschwerde (PDF). Dort wird auf mögliche Verstöße gegen das Datenschutzrecht durch Google und „andere Internet-Unternehmen der Branche“ hingewiesen. Die Beschwerde des Netzwerks ist von vier Personen unterzeichnet und datiert auf den 4.6.2019. Laut dem Beschluss der DSK wird in der Beschwerde die Datenverarbeitung durch Google sowie weitere Anbieter, die Mitglieder des IAB Europe sind, gerügt. Die DSK bezieht sich ausdrücklich nur auf diese Beschwerde, die bei mehreren deutschen Datenschutzbehörden eingelegt wurde.

Die DSK folgert aus der Beschwerde, dass diese sich allein gegen Google richtet, da weitere „Anbieter bzw. Akteure“ nicht ausdrücklich genannt werden.

Die DSK hat daraufhin den oben verlinkten Beschluss gefasst. Kurzer Exkurs zu dem Verständnis der DSK, was ein Beschluss ist. „Beschlüsse sind Positionen, die die Auslegung datenschutzrechtlicher Regelungen bzw. entsprechende Empfehlungen betreffen.“ (siehe: Geschäftsordnung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz), PDF). Zur besseren Verständlichkeit meiner nachfolgenden Kritik, hier der Inhalt des Beschlusses:

Die Beschwerde erfüllt die Anforderungen gem. Art. 77 DSGVO, da sie

1. von natürlichen Personen als betroffenen Personen eingelegt wurden (die 4 Unterzeichner);

2. sich gegen einen konkreten Verantwortlichen richtet (Google) und

3. die betroffenen Personen beschwerdebefugt sind, da sie umfassend erläutern, dass die Datenverarbeitung bei der personalisierten Online-Werbung gegen die DS-GVO verstößt und sie dadurch in ihren Rechten verletzt werden.

II. Beschwerdegegner ist zunächst nur Google. Soweit sich die Beschwerde gegen dieses Unternehmen richtet, ist sie zunächst an den Hamburgischen Beauftragten weiterzuleiten.

IV. Das IAB Europe ist kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO, da es sich beim IAB Europe lediglich um einen Interessenverband von Unternehmen aus dem Bereich Programmatic Advertising handelt.

V. Sofern eine Aufsichtsbehörde der Auffassung ist, die Beschwerde sei dahingehend auszulegen, dass sich die Beschwerde gegen die jeweiligen Mitgliedsunternehmen des IAB Europe richtet, so ist mit der Beschwerde entsprechend Ziff. III. zu verfahren.

Kritik

Es stellt sich natürlich zunächst die Frage, was die DSK mit diesem Beschluss bezweckt. Dies wird zumindest für mich, auch nach mehrmaligen Lesen, nicht ganz deutlich.

Kritisieren lässt sich zunächst, dass der Beschluss, anders als in der Überschrift suggeriert, inhaltlich nichts mit einer materiell-rechtlichen Position der Behörden zur verhaltensbasierten Werbung zu tun hat. Vielmehr scheint es hier um die Festlegung einer nationalen Zuständigkeit für eine (oder mehrere?) Beschwerde(n) sowie die Feststellung des Vorliegens der Voraussetzungen für eine (oder mehrere?) Beschwerde(n) zu gehen.

Da stellt sich freilich die Frage, was diese Beschwerde so besonders macht, dass die DSK sich zu einem Beschluss gezwungen sah? Denn andere Beschwerden, die bei den Behörden eingehen, werden nicht per Beschluss der DSK veredelt. Zu dem Hintergrund des Beschlusses, finden sich keine Angaben.

Zudem ist zu fragen, was Ziel des Beschlusses ist? Eine bindende Wirkung für alle Aufsichtsbehörden? Diesen Anschein erweckt Ziff. II: „ist sie zunächst an den Hamburgischen Beauftragten weiterzuleiten“. Gibt die DSK nun alles Aufsichtsbehörden bindend vor, wie diese mit Beschwerden umzugehen haben und welche Behörde national zuständig ist? Meine Vermutung ist, dass der Beschluss eine Manifestierung der Vorgabe des § 19 Abs. 2 S. 1 BDSG darstellt. Danach gibt die Aufsichtsbehörde, bei der eine betroffene Person Beschwerde eingereicht hat, die Beschwerde an die federführende Aufsichtsbehörde nach § 19 Abs. 1 BDSG, in Ermangelung einer solchen an die Aufsichtsbehörde eines Landes ab, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Da diese Abgabe aber ohnehin gesetzlich zwingend („gibt die Beschwerde…ab“) vorgegeben ist, stellt sich die Frage nach dem Sinn des Beschlusses.

In Ziff. II wird per Beschluss vorgegeben, dass „Google“ der Beschwerdegegner sei. Welche Einheit ist hier jedoch mit „Google“ gemeint? Die Google LLC, die Google Ireland Limited oder z.B. Google Germany GmbH? Dies wird in dem Beschluss nicht deutlich und lässt den Leser ratlos zurück. Auch aus der oben verlinkten Beschwerde wird dies nicht klar. Konkretisiert die DSK evtl. eine zu allgemein abgefasste Beschwerde per Beschluss? (dem würde sich die Frage anschließen, ob sie dies darf). Man kann, aufgrund der Erwähnung der Behörde aus Hamburg, schlussfolgern, dass wohl die Google Germany GmbH mit Sitz in Hamburg gemeint ist. Warum wird dies dann aber nicht in dem Beschluss deutlich gemacht?

Der Beschluss verhält sich zudem nicht zu der (ggfs. vorliegenden federführenden) Zuständigkeit der Behörde aus Irland. In der in dem Beschluss angesprochenen Beschwerde wird ausdrücklich darauf hingewiesen, dass eine entsprechende Beschwerde bei der irischen Datenschutzbeauftragten erhoben wurde und, angesichts „der europaweiten Dimension der in dieser Beschwerde aufgeworfenen Fragen und Unternehmen“ es sinnvoll erscheint, dass die Aufsichtsbehörden dieses Thema gemeinsam prüfen (S. 15).

Der Beschluss bezieht sich mehrmals auf „die Beschwerde“. Es scheint also um eine einzelne Beschwerde zu gehen. Art. 77 Abs. 1 DSGVO, dessen Voraussetzungen nach dem Beschluss hier vorliegen, bezieht sich ausdrücklich auf eine Beschwerde einer betroffenen Person. Laut dem Text der Beschwerde erhalten die Datenschutzbehörden „individuelle Beschwerden von Frau Elisabeth Niekrenz, Herrn Thilo Weichert, Herrn Frank Spaeing und Herrn Friedemann Ebelt“ (S. 15). Nach Ziff. I 1. des Beschlusses erfüllt die einzelne Beschwerde des Netzwerkes die Anforderungen des Art. 77 DSGVO, da sie „von natürlichen Personen als betroffenen Personen eingelegt wurden (die 4 Unterzeichner)“. Hier scheint der Beschluss die eine, referenzierte Beschwerde des Netzwerkes und die wohl vorliegenden Einzelbeschwerden zu vermengen. Geht die DSK folglich davon aus, dass eine Beschwerde nach Art. 77 DSGVO auch zulässig ist, wenn mehrere natürliche Personen in einem Schreiben eine Beschwerde einreichen?

Nach Ziff. I 2. des Beschlusses richtet sich die Beschwerde gegen einen „konkreten Verantwortlichen“, Google. Auch dies muss verwundern, da aus dem Beschluss nicht deutlich wird, welche juristische Person mit „Google“ gemeint ist (siehe oben). Auch in der Beschwerde des Netzwerkes wird nur „Google“ genannt, nicht jedoch die LLC oder etwa die deutsche GmbH. Es stellt sich daher die Frage, wen die DSK hier (per Beschluss) als Verantwortlichen betrachtet und gleichzeitig als solchen festlegt?

In Ziff. V wird darauf hingewiesen, dass eine Aufsichtsbehörde, die der Auffassung ist, dass die Beschwerde dahingehend auszulegen sei, „dass sich die Beschwerde gegen die jeweiligen Mitgliedsunternehmen des IAB Europe richtet“, mit dieser Beschwerde entsprechend Ziff. III zu verfahren habe. Ziff. III fehlt jedoch in dem Beschluss der DSK. Es stellt sich daher die Frage, wie Aufsichtsbehörden in diesem Fall nach Ansicht der DSK zu verfahren haben? Fehlt Ziff. III bewusst oder handelt es sich um einen formellen Fehler?

Zuletzt noch ein ganz persönlicher Kritikpunkt, der mich bereits in mehrere Verwaltungsverfahren stutzten lässt: die DSK stellt per Beschluss in Ziff. I 3. fest, dass die Anforderungen von Art. 77 DSGVO erfüllt seien (weitere Fragen: kann die DSK das Vorliegen von Tatbestandsvoraussetzungen der DSGVO in einem konkreten Verwaltungsverfahren feststellen? Geht die DSK hier davon aus, dass sie über eine entsprechende Rechtsnatur verfügt, um materiell-rechtliche Vorgaben zu prüfen und aufgrund dieser Prüfung den Aufsichtsbehörden Vorgaben zu machen?), da die Beschwerdeführer erläutern, dass „die Datenverarbeitung bei der personalisierten Online-Werbung gegen die DS-GVO verstößt“. Für Art. 77 Abs. 1 DSGVO ist jedoch ausreichend, dass die betroffene Person der Ansicht ist, dass die Verarbeitung gegen die DSGVO verstößt. Die DSK scheint hier im Beschluss diese Position einfach als gegeben hinzunehmen. Sie hätte ja durchaus auch schreiben können, „erläutern, dass die…ihrer Ansicht nach gegen die DSGVO verstößt“. Dieser Verweis auf die Ansicht der Beschwerdeführer fehlt in dem Beschluss jedoch gänzlich, ohne dass eventuell bisher die Stellungnahme des Verantwortlichen begutachtet wurde.

Wie bereits einleitend angemerkt, fällt zuletzt auf, dass der Beschluss materiell-rechtlich keine Aussagen zur verhaltensorientierten Werbung trifft. Es scheint sich vielmehr um einen Beschluss zu einer (oder mehreren?) Beschwerde(n) und deren Zulässigkeit und der Zuständigkeit der Bearbeitung zu handeln. Möglicherweise gab es auch Streit unter den deutschen Behörden hinsichtlich des weiteren Vorgehens. Eine Unterrichtung nach Art. 77 Abs. 2 DSGVO scheint der Beschluss aus meiner Sicht nicht zu sein. Denn diese Unterrichtung muss nur gegenüber dem Beschwerdeführer, nicht jedoch der Allgemeinheit erfolgen. Zudem, und viel wichtiger, ist die DSK keine „Aufsichtsbehörde“ im Sinne des Art. 77 Abs. 2 DSGVO. Nur diese muss aber den Beschwerdeführer unterrichten.

Update vom 4.10.2019

Nach meinem Blogbeitrag zu dem oben besprochenen und verlinkten Beschluss der DSK, hat man in den Datenschutzbehörden die geäußerte Kritik wohl zur Kenntnis genommen. Nun wurde der Beschluss erneut auf der Webseite der DSK veröffentlicht (pdf). Wenn man hofft, dass darauf hingewiesen wird, dass dieser Beschluss eine zweite oder zumindest angepasste Version des ursprünglich veröffentlichten Beschlusses darstellt, wird man jedoch enttäuscht. Der Beschluss enthält weiterhin keine Angabe dazu, wann er gefasst wurde. Auf der Webseite ist weiterhin der 25.09.2019 als Veröffentlichungsdatum angegeben. Der Dateiname verweist auf den 26.9.

Ich habe den ursprünglich veröffentlichten Beschluss natürlich heruntergeladen und dieser steht hier zum Abruf bereit (pdf).

Tatsächlich bin ich etwas irritiert und ja, auch verärgert, dass die Aufsichtsbehörden in dieser intransparenten Weise agieren. Wenn die erste Version des Beschlusses Fehler enthielt, kann man dies ja unproblematisch auf der Webseite deutlich machen. Fehler (dürfen) passieren. Eventuell war die erste Version ja auch so inhaltlich nicht abgestimmt. Jedoch wird hier ein Beschluss öffentlich gemacht und dann im Nachhinein, ohne Information des Empfängerkreises, nachträglich angepasst. Wie soll dieses Vorgehen bei uns als interessierten Lesern und sicherlich auch beabsichtigten Empfängerkreis verstanden werden? Sollen wir besser wöchentlich prüfen, ob nicht Beschlüsse oder andere Entscheidungen der DSK nachträglich angepasst wurden? Oder sollen wir entsprechende Veröffentlichungen der DSK, wie man so schön sagt, „nicht so ernst nehmen“?

Die Anpassungen betreffen die Bezifferung im Beschluss selbst und einen Verweis in Ziff. IV (nun auf Ziff. II).

Im konkreten Fall mag der Beschluss keine bahnbrechende Relevanz haben. Was jedoch, zumindest für mich, zurückbleibt, ist ein Unverständnis über ein solches intransparentes Handeln der DSK gegenüber der Öffentlichkeit.

Verwendung von Meldungen zu Datenschutzverletzungen für Bußgeldverfahren? Ein Stimmungsbild.

Art. 33 Abs. 1 DSVGO schreibt vor, dass im Falle einer Verletzung des Schutzes personenbezogener Daten der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden muss (es sei denn, dass voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht).

Art. 33 Abs. 3 DSVGO gibt einen Katalog an Informationen vor, die Inhalt der Meldung an die Aufsichtsbehörde sein müssen. U.a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze sowie eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Der Verantwortliche muss in der Meldung nach Art. 33 DSGVO mithin darlegen, wie es zu der Datenschutzverletzung kam.

Doch die Aufsichtsbehörden sind nicht nur für die Entgegennahme der Meldungen zuständig. Gleichzeitig besteht für sie nach Art. 58 Abs. 2 lit. i DSGVO die Befugnis, eine Geldbuße nach Art. 83 DSVGO zu verhängen. Im Falle von Datenschutzverletzungen, die sich (nach der Legaldefinition in Art. 4 Nr. 12 DSVGO) auf die Vernichtung, den Verlust, die Veränderung, oder die unbefugte Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten bezieht, steht zumeist ein Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung im Raum).

Nun stellt sich für Verantwortliche oft die Frage: kann ich bedenkenlos die Meldung absetzen, ohne befürchten zu müssen, dass die übermittelten Informationen im Rahmen eines Bußgeldes gegen mich verwendet werden? Muss ich mich also selbst belasten?

Der deutsche Gesetzgeber hat diese Situation im Rahmen der Anpassung des DSGVO erkannt und eine klare Regelung in § 43 Abs. 4 BDSG getroffen: „Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden“. (Hervorhebung durch mich).

Eigentlich dürften also deutsche Aufsichtsbehörden die Informationen aus der Meldung nicht für die Einleitung eines Bußgeldverfahrens nutzen, ohne, dass die Zustimmung des meldenden Verantwortlichen vorliegt.

Doch wie interpretieren die (deutschen) Aufsichtsbehörden diese Vorschrift? Nachfolgend habe ich in einer Tabelle die Ansichten oder zumindest entsprechende Andeutungen verschiedener Datenschutzbehörden zusammengetragen.

Aufsichtsbehörde

Aussage

Quelle

Art. 29 Gruppe „… hat die Aufsichtsbehörde auch die Möglichkeit, Sanktionen wegen der versäumten Meldung oder Benachrichtigung (Artikel 33 und 34) einerseits sowie wegen fehlender (angemessener) Sicherheitsmaßnahmen (Artikel 32) andererseits zu verhängen, da es sich um zwei separate Verstöße handelt“. Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU)2016/679, WP 250 rev.01, S. 11
BlnBDI „Dagegen dürfen die durch die Meldung erhaltenen Informationen nicht dazu genutzt werden, die der Meldung zugrunde liegende Datenschutzverletzung zu sanktionieren.“ Jahresbericht 2018, S. 24
HessBDI § 43 Abs. 4 BDSG schränkt die Konsequenzen einer Meldung nach Art. 33 DS-GVO für ein Bußgeldverfahren ein.“ 47. Tätigkeitsbericht, S. 178
LfDI BaWü „Gemeldete Datenschutzverletzungen    können demnach grundsätzlich auch im Rahmen von Ordnungswidrigkeitsverfahren und Strafverfahren gegen den die Verletzung meldenden verwendet werden.“ 33. Tätigkeitsbericht 2016/2017, S. 17
HmbBfDI „Eine Sanktionierung kam gemäß § 43 Abs. 4 BDSG aufgrund der ordnungsgemäßen Meldung nicht in Betracht.“ 27. Tätigkeitsbericht Datenschutz 2018, S. 52
TLfDI „Dabei stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu   einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“ Pressemitteilung, Datenpanne –Bußgeld bei Meldung? Erfurt, 23.08.2019
BayLDA „Was macht BayLDA mit den Meldungen? Z.Zt. keine Geldbuße bei mitgeteilten Verstößen geplant“ Vortragsfolien von Thomas Kranig, Die DS-GVO in der Praxis – Erfahrungsbericht nach knapp einem Jahr, S. 34
LfD Sachsen-Anhalt Information auf der Webseite zur Meldung einer Datenschutzverletzung:„Die Verarbeitung dient ausschließlich den Zwecken der Überprüfung der Einhaltung der Artikel 33 und 34 DS-?GVO“. Online-Formular, Meldung einer Datenschutzverletzung,

Man sieht, dass unter den deutschen Behörden uneinheitliche Auffassungen zu bestehen scheinen, ob Informationen aus einer Meldung für ein Bußgeldverfahren genutzt werden können.

Über weitere Hinweise freue ich mich und nehme sie gerne auf.

Bayerisches Landesamt für Datenschutzaufsicht zu Facebook Custom Audience: Einwilligung nicht zwingend erforderlich?

Das Bayerische Landesamt für Datenschutzaufsicht hat am 30.08.2019 eine Pressemitteilung (pdf) zur aktuellen Prüfung der Website des Blutspendedienstes des Bayerischen Roten Kreuzes. Anlass der Prüfung war der Einsatz von Tracking-Tools auf der Website des Blutspendedientes.

Dass diese Prüfung stattfindet, wurde bereits letzte Woche bekannt. Daher ist die Mitteilung meines Erachtens auch nicht überraschend.

Interessant sind jedoch meines Erachtens zwei Aussagen des BayLDA bzw. seines Präsidenten zum Einsatz von Tracking-Tools und den datenschutzrechtlichen Anforderungen.

Zum einen wird in der der Pressemitteilung zu den datenschutzrechtlichen Pflichten von Webseiten-Betreibern ausgeführt:

Der Website-Betreiber muss auch sicherstellen, dass er die Tracking-Tools rechtmäßig einbindet, d. h. dass eine Rechtsgrundlage die Einbindung erlaubt oder der Nutzer vorab seine Einwilligung erklärt hat.

Interessant hierbei ist, dass das BayLDA ausdrücklich alternativ neben der Einwilligung auch andere Rechtsgrundlagen (also etwa eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO) als möglichen Erlaubnistatbestand für eine Datenverarbeitung anspricht. Die Behörde geht anscheinend nicht davon aus, dass werbliche Tracking-Tools (wie in dieser Prüfung wohl Facebook Custom Audience) nur mit Einwilligung der Besucher genutzt werden können.

Diese Aussage bedeutet wohl nicht, dass der Einsatz werblicher Tracking-Tools per se auch auf der Grundlage einer Interessenabwägung zulässig wäre. Jedoch lassen die Ausführungen des BayLDA erkennen, dass man sich nicht vorab allein auf die Einwilligung der Betroffenen als einzig mögliche Rechtsgrundlage festlegen möchte. Zudem ist noch zu bemerken, dass das BayLDA ganz allgemein auf „eine Rechtsgrundlage“ verweist, also auch nicht allein nur auf die Interessenabwägung.

Zudem wird Herr Kranig, der Präsident des BayLDA wie folgt zitiert:

Was vielen nicht klar ist: nicht der Website-Betreiber, der ein Tracking-Tool auf der Website einbindet, übermittelt Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtsdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht.

Diese Aussage ist insbesondere vor dem Hintergrund des aktuellen EuGH-Urteils in Sachen Like-Button (FashionID, Urt. v. 29. Juli 2019, C-40/17) interessant. Dort hatte der EuGH ausgeführt, dass „der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten dieses Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden“ kann. Das BayLDA geht also wohl davon aus, dass der Webseiten-Betreiber selbst nicht die Übermittlung durchführt. Jedoch wird für die Verantwortlichkeit des Betreibers, anders als im Urteil des EuGH, auch gar nicht auf die Übermittlung (hier stellt sich die Frage, von wem? Dem Besucher selbst? Seinem Browser / dem Browser-Hersteller?) abgestellt, sondern allein auf die Ermöglichung der Erhebung von Daten der Besucher durch den Anbieter des Tools.

Zum Schluss fügt Herr Kranig einen, meines Erachtens zutreffenden und bei vielen Unternehmen immer noch nicht ausreichend gewürdigten Hinweis an:

Dieser Fall zeigt, dass nicht nur die Aufsichtsbehörden Websites prüfen, sondern im Prinzip jedermann mit wenig Aufwand über den Browser testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde melden, ist bei Websites besonders hoch.

Datenschutzbehörde Bremen befragt Unternehmen zur Nutzung von Microsoft Office 365

Die LfDI Bremen hat auf ihrer Webseite Informationen zu einer aktuellen Umfrage bei den 30 größten Unternehmen der Hansestadt zum Einsatz von Microsoft Office 365 veröffentlicht. Hierfür werden Fragebögen an Unternehmen in Bremen gesendet.

Die Aufsichtsbehörde begründet die Aktion damit, dass es zahlreiche Nachfragen zur cloud-basierten Bürosoftware Office 365 gegeben habe und daher der Einsatz der Software im Hinblick auf die Sicherheit und Rechtmäßigkeit der Verarbeitung personenbezogener Daten genauer betrachtet werden soll.

Die angeschriebenen Unternehmen wurden laut Angaben der LfDI aufgefordert, den Fragebogen bis zum 30. September 2019 zu beantworten.

Der von der LfDI genutzte Fragebogen findet sich hier (pdf).

Die Frage sind noch recht allgemein gehalten. Die LfDI wird sich in einem ersten Schritt wohl zunächst einen Überblick über den Einsatz der Software und auch die interne Dokumentation der Unternehmen zu dem Einsatz verschaffen wollen.

U.a. wird auch danach gefragt, ob vor dem Einsatz der Software eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt wurde. Sollte die Antwort „nein“ lauten, soll das Unternehmen begründen, warum die DSFA nicht stattfand. Hierbei scheint die LfDI eventuell Berichte aus den Niederlanden im Kopf zu haben. Dort wurde für das Justizministerium durch eine Beratungsgesellschaft eine DSFA durchgeführt und die Ergebnisse veröffentlicht.

Daneben fragt die LfDI etwa auch nach der Rechtsgrundlage der Datenübermittlung in Drittstaaten (konkret die USA).

Das jeweilige Anschreiben an die Unternehmen ist nicht veröffentlicht. Da laut den Informationen auf der Webseite die Unternehmen aber „aufgefordert“ werden, bis zu einer bestimmten Frist Informationen bereitzustellen, kann es sich hier auch um einen Verwaltungsakt handeln. Dafür kann etwa sprechen, wenn in dem Anschreiben auf § 40 Abs. 4 BDSG verwiesen wird, wonach der Aufsicht unterliegenden Stellen verpflichtet sind, einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen.

Erst kürzlich entschied das Verwaltungsgericht Mainz (Urteil vom 09.05.2019 – 1 K 760/18.MZ) in einem Verfahren, in dem die Datenschutzbehörde von dem Betreiber eines Tanzlokals Auskunft in Form eines Fragenkataloges, der insgesamt 16 Fragen umfasste, insbesondere hinsichtlich des Umfangs der eingesetzten Videoüberwachungstechnik, begehrte. Das Verwaltungsgericht sah den diesbezüglich erlassenen Verwaltungsakt der Behörde als rechtmäßig an. Das Verwaltungsgericht verwies hierzu u.a. auf die Untersuchungsbefugnisse der Behörden nach Art. 58 DSGVO und die Aufgabe nach Art. 57 Abs. 1 lit. a DSGVO, die Anwendung der DSGVO zu überwachen und durchzusetzen. Auf Art. 57 Abs. 1 lit. a DSGVO verweist auch hier die LfDI Bremen in den Erläuterungen.

Sollte es sich hier um einen Verwaltungsakt handeln, bestehen für die Unternehmen natürlich auch die gesetzlich vorgeschriebenen Rechtschutzmöglichkeiten.

Deutsche Aufsichtsbehörden veröffentlichen Leitlinien zur Datenübertragung im Rahmen von Asset Deals

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich per Beschluss (pdf) mit Stand vom 24.5.2019 auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Asset Deal zu berücksichtigen sind.

Zu erwähnen ist, dass die Aufsichtsbehörden aus Berlin und Sachsen den Beschluss abgelehnt haben.

Die Frage um die datenschutzrechtliche Zulässigkeit der Übertragung von Kundendaten im Rahmen eines Asset Deal ist nicht neu. Bisher gab es aber noch keine veröffentlichte Position aller deutschen Behörden. Nun liegt ein solcher Mehrheitsbeschluss vor.

Nachfolgend möchte ich nur kurz auf ein paar Punkte des Beschlusses eingehen.

Kundendaten bei laufenden Verträgen

Die DSK stellt hierzu fest:

Hier bedarf der Vertragsübergang zivilrechtlich einer Genehmigung der Kundin oder des Kunden (§ 415 BGB / Schuldübernahme). In dieser zivilrechtlichen Genehmigung wird als Minus auch die datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten gesehen. Damit sind die Gegeninteressen der Kundin oder des Kunden gewahrt.

Beim ersten Lesen könnte man meinen, die Behörden verlangen eine datenschutzrechtliche Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO. Dies ist jedoch meines Erachtens nicht der Fall.

Zum einen verwenden die Behörden hier ausdrücklich den Begriff „Zustimmung“ und nicht „Einwilligung“. Auch die DSGVO kennt im Übrigen den Unterschied zwischen „Zustimmung“ und der „Einwilligung“, wie man an den Regelungen in Art. 8 Abs. 1 und 2 DSGVO sehen kann. In dem Beschluss wird daher meines Erachtens bewusst von einer „Zustimmung“ gesprochen und nicht von einer Einwilligung.

Zum anderen sprechen die Behörden davon, dass in diesem Fall die „Gegeninteressen“ der Kunden gewahrt sind. Eine Berücksichtigung der Interessen ist aber im Rahmen einer Einwilligung nach Art. 4 Nr. 11 DSGVO nicht erforderlich. Diese wird wirksam erteilt oder eben nicht. Zuletzt bezieht sich der gesamte Beschluss laut seiner Überschrift auf den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO.

Ich halte es daher für gut vertretbar, die Aussage der Behörden so zu verstehen, dass Kundendaten innerhalb laufender Verträge datenschutzrechtlich ohne eine zusätzliche Einwilligung nach der DSGVO übertragen werden können. Leider geht der Beschluss nicht darauf ein, ob evtl. auch Art. 6 Abs. 1 lit. b) DSGVO als Erlaubnistatbestand in Betracht kommt, hierbei vor allem in der Variante der Vertragsdurchführung.

Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzter Vertragsbeziehung jünger als 3 Jahre

Wenn es um die Übertragung von Daten zu Bestandskunden geht, zieht die DSK eine, meiner Ansicht nach, gut vertretbare Grenze bei der regelmäßigen Verjährung nach § 195 BGB von 3 Jahren.

Daten von Kunden, die innerhalb dieses Zeitfensters fallen, werden nach Ansicht der Behörden nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO

im Wege der Widerspruchslösung (Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist (z. B. 6 Wochen) übermittelt. Diese Vorgehensweise ist für die Unternehmen aufwandsschonend und berücksichtigt durch die großzügige Widerspruchsfrist auch die Interessen der Kundinnen und Kunden.

Interessant hieran ist die relativ lang bemessene Frist zum Widerspruch. Nach Ansicht der Behörden immerhin mehr als einen Monat. Natürlich wird deutlich, dass die DSK die 6 Wochen „nur“ als Beispiel nennt. Jedoch sollte man in der Praxis daran denken, eine „ausreichend bemessene“ Frist zu gewähren. Lediglich ein paar Tage dürften etwa zu kurz sein.

Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO

Sollen bei einem Asset Deal Gesundheitsdaten übertragen wurden, geht die DSK offensichtlich von einem harten Einwilligungserfordernis aus.

Solche Daten können nur im Wege der informierten Einwilligung nach Art. 9 Abs. 2 lit. a), Art. 7 DS-GVO übergeleitet werden.

Leider geht die DSK hier nicht auf weitere Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO ein, wie etwa lit. f) „Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen“ oder auch auf Art. 9 Abs. 2 lit. b) DSGVO, wenn es um Beschäftigtendaten geht. Dies dürfte aber damit zusammenhängen, dass sich der Beschluss auf „Kundendaten“ bezieht.

Deutsche Datenschutzbehörden: Prüfung von Apps mit Facebook-SDK geplant

Am 3. und 4. April 2019 haben die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) auf ihrer 97. Konferenz u.a. auch über eine geplante Prüfung von Apps und durch diese vorgenommene Verarbeitung personenbezogener Daten diskutiert.

Aus dem veröffentlichten Protokoll (pdf) ergibt sich, dass die Konferenz beschlossen hat, den internen Arbeitskreis Medien unter Beteiligung des Arbeitskreises Technik zu bitten, Prüfszenarien für eine entsprechende Kontrolle von Apps zu entwickeln (siehe TOP 27).

Hierbei geht es den Aufsichtsbehörden aber nicht um eine allgemeine Prüfung von Apps, sondern ganz speziell um solche Apps, die das Software-Development Kit (SDK) von Facebook nutzen.

Nach Aussage der Datenschutzbehörde aus Hamburg würden

über das in vielen Apps verwendete Software-Development Kit von Facebook zahlreiche und häufig sensible Nutzerdaten an Facebook übermittelt.

Es scheint, dass die Behörde aus dem Norden in dieser Thematik schon ein wenig Erfahrung sammeln konnte. Zumindest wird in dem Protokoll weiter beschrieben, dass sich nach Ansicht der Hamburger Behörde in einer Vielzahl solcher Apps kein Hinweis auf die Übermittlung personenbezogener Daten an Facebook finde. Hiermit dürfte wohl ein möglicher verstoß gegen die Transparenzvorgaben der Art. 12-14 DSGVO im Raum stehen.

Hamburg gehe schätzungsweise davon aus, dass bei etwa 30 % der betroffenen Apps kein hinreichender datenschutzrechtlicher Hinweis erfolgt und regt an, dies im Rahmen einer koordinierten Prüfung zu untersuchen.

Dieser Anregung der Aufsichtsbehörde steht ein großer Teil der anderen Bundes- und Landesbehörden positiv gegenüber. Laut dem Protokoll erklären sich die Datenschutzbehörden aus Hamburg, Saarland, Niedersachsen, Mecklenburg-Vorpommern, BfDI, LDA Bayern, Berlin, Hessen und ggf. Rheinland-Pfalz bereit,

sich an der Entwicklung gemeinsamer Prüfstrategien und Kontrollen zu beteiligen.

App-Betreiber bzw. durchaus auch Entwickler von Apps sollten daher in näherer Zukunft damit rechnen, dass Datenschutzbehörden etwa einen Fragenkatalog zur Einbindung des Facebook-SDK versenden könnten. Insbesondere sollte natürlich unabhängig von einer solchen Prüfaktion jeder App-Betreiber für eine DSGVO-konforme Datenschutzerklärung sorgen, um den Anforderungen der Art. 12-14 DSGVO zu genügen. Nach Art. 13 Abs. 1 lit. e) DSGVO gehören zu den verpflichtend zu erteilenden Informationen für App-Nutzer auch Angaben über „die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“. Diese Vorgabe dürfte aus Sicht der Aufsichtsbehörden im vorliegenden Fall insbesondere relevant sein.

Hinzuweisen ist aus Beratersicht aber auch darauf, dass Art. 13 Abs. 1 lit. e) DSGVO alternativ entweder die konkrete Angabe von Empfängern (das wäre dann z.B. Facebook) oder auch die Nennung der der Kategorien von Empfängern von personenbezogenen Daten gestattet. Es ist also nicht zwingend vorgesehen, dass stets ein konkretes Unternehmen als Empfänger benannt werden muss. Jedoch sollte man auch wissen, dass durchaus darüber diskutiert wird, wie diese Vorschrift praktisch anzuwenden ist. Zum Teil wird behördlicherseits auch vertreten, dass, im Sinne eines Stufenverhältnisses, per se immer die konkreten Empfänger anzugeben sind und nur, wenn dies nicht möglich ist, die Kategorien genannt werden könnten.

Datenschutz im Automobilbereich: Datenschutzbehörde Baden-Württemberg zu den datenschutzrechtlichen Anforderungen der Produktbeobachtungspflicht durch Hersteller

Der Landesbeauftragte für den Datenschutz Baden-Württemberg berichtet in seinem aktuellen Tätigkeitsbericht (S. 94 ff., pdf) unter anderem über die Ergebnisse einer Prüfung der Einhaltung datenschutzrechtlicher Voraussetzungen durch Autowerkstätten.

In diesem Zusammenhang befasst sich der Landesdatenschutzbeauftragte auch mit den datenschutzrechtlichen Anforderungen, die bei der einem Hersteller obliegenden Pflicht zur Produktüberwachung/Produktbeobachtung von Fahrzeugen zu beachten sind.

Die Ansicht der Aufsichtsbehörde:

Die datenschutzrechtliche Grundlage für die Datenverarbeitung der erforderlichen Fahrzeugdaten für die Produktüberwachung/Produktbeobachtung und für eventuelle Rückrufaktionen ist Artikel 6 Absatz 1 Buchstabe c DS-GVO.

Nach Auffassung der Aufsichtsbehörde liegt hier die Erfüllung einer rechtlichen „Verpflichtung des Automobilherstellers aus dem Produkthaftungsgesetz“ vor.

Das deutsche Produkthaftungsgesetz basiert auf den Regelungen der Richtlinie 85/374/EWG. Im Produkthaftungsgesetz findet sich jedoch keine ausdrückliche Regelung oder Pflicht zur Beobachtung des Produktes im Markt. Die Produkthaftung ist verschuldensunabhängig ausgestaltet.

Die Produktbeobachtungspflicht wird in Deutschland durch die Rechtsprechung schon seit langem als eine Verkehrssicherungspflicht des Herstellers anerkannt, die jedoch nicht an das Produkthaftungsgesetz anknüpft, sondern Teil der sog. Produzentenhaftung ist. Diese deliktsrechtliche Haftung gründet sich auf dem Prinzip, dass derjenige, der eine Gefahrenquelle eröffnet oder beherrscht, für diese verantwortlich ist. Auch nach Inverkehrgabe des Produkts ist der Hersteller verpflichtet, die Bewährung seines Produkts in der Praxis zu verfolgen.

Die Datenschutzbehörde scheint diese, aus den allgemeinen Haftungsregeln des Zivilrechts entwickelte, Pflicht als Anknüpfungspunkt für die Zulässigkeit der für die Beobachtung des Produkts erforderliche Datenverarbeitung anzusehen.

Meiner Ansicht nach ist die Auffassung im Ergebnis richtig. Auch wenn die Rechtsgrundlage der Datenverarbeitung möglicherweise eher die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ist (oder zusätzlich als Rechtsgrundlage herangezogen werden kann). Hersteller sind zivilrechtlich dazu verpflichtet, ihre Produkte im Markt zu beobachten. Hierfür müssen und dürfen sie auch Daten verarbeiten. Mit meinem Kollegen und Partner Philipp Reusch habe ich genau zu diesem Thema „Internet der Dinge: Datenschutzrechtliche Anforderungen bei der Produktbeobachtung“ vor 2 Jahren einen Fachbeitrag in der Zeitschrift BetriebsBerater (15/16, 2017, 841) veröffentlicht.

Daneben müssen Hersteller natürlich beachten, dass auch die übrigen Pflichten der DSGVO zu beachten sind, wenn personenbezogene Daten verarbeitet werden. Insbesondere gehören hierzu die Informationspflichten nach Art. 13 bzw. 14 DSGVO.