Category Archives: Datenschutzbehörde

EuGH: Nicht jeder Verstoß gegen die DSGVO führt zu einer rechtswidrigen Verarbeitung

Posted on by

Gestern wurde in der Datenschutz-Community natürlich vor allem über die Urteile des EuGH in der Rechtssache C-487/21 und der Rechtssache C-300/21 diskutiert. Etwas untergegangen ist hierbei ein drittes Urteil des EuGH zum Datenschutzrecht (C-60/22). Die Praxisrelevanz dieses dritten Urteils ist meines Erachtens aber nicht zu unterschätzen. Der EuGH setzt sich mit der Frage auseinander, inwiefern Verstöße gegen Pflichten aus der DSGVO, die nicht direkt eine Verarbeitung personenbezogener Daten betreffen, zu einer Rechtswidrigkeit dieser Datenverarbeitung führen. Aus der Praxis kennen wir diese Diskussion etwa in Bezug auf fehlerhafte Datenschutzhinweise (Art. 12, 13 DSGVO) oder nicht abgeschlosse Verträge zur Auftragsvearbeitung (Art. 28 DSGVO).

Sachverhalt

Das VG Wiesbaden legte dem EuGH unter anderem die Frage vor, ob ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) oder eine fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) dazu führt, dass eine Datenverarbeitung „unrechtmäßig“ im Sinne von Art. 17 Abs. 1 lit. d DSGVO ist.

Entscheidung des EuGH

Der EuGH arbeitet in seinem Urteil sehr schön den Unterschied zwischen jenen Artikeln der DSGVO heraus, die die Rechtmäßigkeit der Datenverarbeitung betreffen und solchen Vorschriften, die gerade keinen Einfluss auf die Rechtmäßigkeit haben.

Voraussetzungen der Rechtmäßigkeit – Art. 6 Abs. 1 DSGVO

Der Startpunkt ist für den EuGH der Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO, wonach personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden [müssen]“. Die dort geforderte Rechtmäßigkeit wird aber nach Ansicht des EuGH nicht in jedem Artikel der DSGVO geregelt oder durch jede Pflicht berührt.

Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt.“ (Rz. 55)

Die Liste der in Art. 6 Abs. 1 DSGVO genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend. Die Einhaltung der in Art. 26 DSGVO und in Art. 30 DSGVO verankerten Pflichten zählen aber nach Ansicht des EuGH

nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung“. (Rz. 59)

Der EuGH folgert hieraus, dass sich aus dem Wortlaut von Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 Unterabs. 1 DSGVO ableiten lässt,

dass ein Verstoß des Verarbeiters gegen die in den Art. 26 und 30 dieser Verordnung vorgesehenen Pflichten keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung darstellt“. (Rz. 61)

Erweiterte Voraussetzungen aus Kap. II DSGVO

Der EuGH weitet die für die Rechtmäßigkeit der Datenverarbeitung relevanten Artikel dann aber doch etwas über Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 DSGVO hinaus aus.

Er orientiert sich hierbei an dem Umfang von Kapitel II DSGVO. Die Art. 7 bis 11 DSGVO betreffen, genau wie die Art. 5 und 6 DSGVO, die Grundsätze die zum Ziel haben,

den Umfang der dem Verarbeiter nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegenden Pflichten näher zu bestimmen“ (Rz. 58).

Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn sie diese anderen Bestimmungen des Kapitels II einhält, die im Wesentlichen die Einwilligung, die Verarbeitung besonderer Kategorien sensibler personenbezogener Daten und die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten betreffen.

Dann ist aus Sicht des EuGH aber auch Schluss. Weitere Artikel und Pflichten der DSGVO betreffen nicht die Frage der Rechtmäßigkeit einer Datenverarbeitung. Aus der Struktur und aus der Systematik der DSGVO gehe eindeutig hervor, dass sie zum einen zwischen den „Grundsätzen“, die in ihrem Kapitel II geregelt werden,

und zum anderen den „allgemeinen Pflichten“ unterscheidet, die zu Abschnitt 1 des Kapitels IV der Verordnung gehören, das die Verantwortlichen betrifft; zu diesen Pflichten zählen die Pflichten nach den Art. 26 und 30 ebendieser Verordnung.“ (Rz. 62)

Zuletzt für der EuGH auch das Ziel der DSGVO als Argument an, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten, insbesondere des Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten. Das Fehlen einer Vereinbarung nach Art. 26 DSGVO oder eines Verzeichnisses im Sinne von Art. 30 DSGVO reicht aber

für sich genommen nicht aus, um nachzuweisen, dass ein Verstoß gegen das Grundrecht auf den Schutz personenbezogener Daten vorliegt“. (Rz. 65)

Auswirkung für die Praxis

Der EuGH befasst sich in seinem Urteil natürlich nur mit den ihm vorgelegten Fragen und hier den Art. 26 und 30 DSGVO. Meiner Ansicht nach ist die Begründung des EuGH hinsichtlich der Frage, welche Artikel der DSGVO für die Rechtmäßigkeit der Verarbeitung relevant sind, aber so eindeutig, dass das Urteil auch auf andere Konstellationen und andere Pflichten aus der DSGVO übertragbar ist.

In der Praxis dürften hier vor allem die Informationspflichten nach Art. 12-14 DSGVO eine Rolle spielen. Einige Datenschutzbehörden gehen ja davon aus, dass ein Verstoß gegen Art. 13 DSGVO zu einer Rechtswidrigkeit der Verarbeitung führt. Diese Argumentation ist mit dem Urteil des EuGH nun meines Erachtens nicht mehr haltbar. Deklinieren wir es mit den Argumenten des EuGH durch:

  • Art. 12-14 DSGVO sind nicht in Art. 6 Abs. 1 DSGVO enthalten
  • Art. 12-14 DSGVO sind nicht Teil des Kapitel II der DSGVO

Dasselbe dürfte meines Erachtens insbesondere auch für Art. 28 DSGVO, also fehlende Verträge zur Auftragsverarbeitung oder auch einen Verstoß gegen Art. 32-36 DSGVO gelten, wenn also zB keine saubere DSFA durchgeführt wurde. Aber: natürlich sind Verstöße gegen diese Artikel weiter bußgeldbewehrt und evtl. entstehen auch Schadenersatzansprüche für Betroffene.

Europäischer Datenschutzausschuss veröffentlicht Bericht zur Prüfung von Datentransfers in Drittländer

Posted on by

Die europäischen Datenschutzbehörden haben einen Bericht (PDF) über die Ergebnisse der Arbeit der Task Force veröffentlicht, die eingerichtet wurde, um 101 Beschwerden zu prüfen, die von der Nichtregierungsorganisation NOYB im Anschluss an das Schrems-II-Urteil des EuGH in verschiedenen Mitgliedstaaten eingereicht wurden.

Wichtig für die Praxis: der Bericht legt die gemeinsamen Standpunkte der Mitglieder der Task Force dar und enthält Informationen über die Ergebnisse der betroffenen Fälle.

Nachfolgend habe ich einige relevante Aspekte zusammengefasst (auch wenn die Positionen nicht völlig neu sind):

  • Wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, auch wenn es keine Probleme mit den Anforderungen von Kapitel V der DSGVO gibt.
  • Abschluss des EU-Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO mit rückwirkender Kraft ist nicht zulässig.
  • Die Verschlüsselung durch den Datenimporteur ist keine geeignete Maßnahme, wenn der Datenimporteur als Anbieter des Tools gesetzlich verpflichtet ist, die kryptografischen Schlüssel ggü. Behörden in dem Drittland zur Verfügung zu stellen.
  • Anonymisierungsfunktionen sind keine geeignete Maßnahme, wenn die Anonymisierung erfolgt, nachdem die Daten in das Drittland übermittelt wurden.
  • In Fällen, in denen ein Auftragsverarbeiter als Datenexporteur im Auftrag des für die Verarbeitung Verantwortlichen (des Website-Betreibers) handelt, ist der für die Verarbeitung Verantwortliche ebenfalls für den Datentransfer verantwortlich und könnte gemäß Kapitel V der DSGVO haftbar gemacht werden.
  • Wenn der für die Verarbeitung Verantwortliche nicht in der Lage ist, ausreichende Angaben zu machen, um nachzuweisen, wie Übermittlungen stattfinden, könnte dies zu einem Verstoß gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO (Rechenschaftspflicht) führen.  
  • Die Entscheidung eines Website-Betreibers, ein bestimmtes Tool für bestimmte Zwecke zu verwenden (z. B. zur Analyse des Verhaltens der Website-Besucher), wird als Bestimmung der „Zwecke und Mittel“ gemäß Art. 4 Abs. 7 DSGVO angesehen (womit der Website-Betreiber zum (Mit)Verantwortlichen wird).

EU-Kommission plant Anpassung der DSGVO – Überblick zur Initiative

Posted on by

Die Europäische Kommission hat eine Initiative für die Anpassung ausgewählter Bereich der DSGVO gestartet. Bis zum 24.3.23 können interessierte Gruppen hierzu Stellungnahmen abgeben.

Um was geht es?

Direkt vorab: die Kommission plant (zumindest nach ihrem Vorschlag) nicht, die DSGVO „komplett auf zu machen“. Vielmehr ist die Idee der Kommission, eine Verordnung zur Anpassung ganz spezifischer Vorschriften der DSGVO bzw. auch zum Erlass eigenständiger Regelungen zu entwerfen. Hier kann man sich dazu einen Überblick verschaffen und auch eine Stellungnahme abgeben.

Laut den Angaben der Kommission zielt die Initiative darauf ab, „die Zusammenarbeit zwischen den nationalen Datenschutzaufsichtsbehörden bei der Durchsetzung der Datenschutz-Grundverordnung (DSGVO) in grenzüberschreitenden Fällen zu optimieren“.

Es soll die „Harmonisierung einiger Aspekte der Verwaltungsverfahren, die die Datenschutzaufsichtsbehörden in diesen Fällen anwenden, vorgeschlagen“ werden. Aus diesen Angaben lässt sich bereits der beschränkte Anwendungsbereich der Initiative erkennne. Es geht der Kommission um die Zusammenarbeit und die Vereinheitlichung von Verfahren bei „grenzüberschreitenden Fällen“; betroffen dürften daher Vorschriften in Kapitel VII (ab Art. 60 DSGVO) sein.

Was wird vorgeschlagen?

Auf der oben verlinkten Webseite ist im unteren Bereich ein Sondierungsdokument der Kommission mit weiteren Informationen verfügbar (PDF), aus dem sich ein guter erster Überblick zu dem Inhalt des Vorschlags ergibt.

Bei den nachfolgend genannten Themen sieht die Kommission Änderungsbedarf:

  • Bearbeitung von Beschwerden
  • Beschwerdeformular
  • Verfahrensdauer
  • Umfang des Anspruchs auf rechtliches Gehör und Zeitpunkt des Verfahrens, zu dem es gewährt wird
  • die Einbeziehung der Beschwerdeführer während des Verfahrens, einschließlich der Bereitstellung von Informationen über den Fortgang der Untersuchung

Es geht also vor allem um Aspekte auf Verfahrensebene, wenn Aufsichtsbehörden zusammenarbeiten und Betroffenenbeschwerden bearbeiten. Die Anpassungen bzw. Neuregelungen sollen in der Form einer EU-Vorordnung erlassen werden, also mit unmittelbarer Wirkung in den Mitgliedstaaten.

Vor allem geht es der Kommission auch darum, dass eine Untersuchung durch Datenschutzbehörden sowohl für die betroffenen Personen als auch für die von der Untersuchung betroffenen Parteien schneller abgeschlossen werden kann. Hierzu sollen im Rahmen der Initiative weitere Schritte für die Zusammenarbeit zur Konsensbildung zwischen den Aufsichtsbehörden festgelegt werden.

Wenn man sich dafür interessiert, was dies konkret bedeutet, lohnt sich ein Blick in ein Dokument (PDF) des EDSA, welches der Kommission im Oktober 2022 übersendet wurde. Die Kommission verweist in ihrer Initiative explizit auf diesen, wenn man so will, Vorschlagskatalog der Aufsichtsbehörden.

Was ist nicht von der Initiative umfasst?

Im Grunde alle anderen Vorschriften der DSGVO. Die Initiative zielt also etwa nicht darauf ab, Änderungen bei den Informationspflichten nach Art. 13 und 14 DSGVO oder bei dem Auskunftsanspruch nach Art. 15 DSGVO oder den Vorgaben zum Umgang mit besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) vorzuschlagen.

Zumindest ist dies derzeit nicht die Intention der Kommission. Man darf gespannt sein, ob es bei diesem sehr eng begrenzten Themenfeld der Initiative bleibt und ob die Kommission sich hier gegen Änderungsvorschläge- und wünsche für weitere Bereiche der DSGVO „wehren“ kann. Es würde mich nicht wundern und wäre verständlich, wenn die Initiative der Kommission von interessierten Gruppen auch dazu verwendet wird, den Umfang der geplanten Anpassungen zu erweitern. Nach dem Motto: „Wenn wir die DSGVO jetzt schon einmal auf machen, dann aber richtig.“

Finnische Datenschutzbehörde: Anweisung zur Löschung von Daten wegen unzulässiger Einbindung von Google Analytics

Posted on by

Über Bußgelder wegen Verstößen gegen die DSGVO wird ja immer wieder berichtet. Mögliche Geldbußen nach Art. 83 DSGVO sind auch der „Klassiker“ bei der Antwort auf die Frage, was bei Verstößen drohen könnte.

Meiner Ansicht nach dürfte eine weitere Befugnis der Datenschutzbehörden in der Praxis für Unternehmen, insbesondere solche, die auf die Analyse und Auswertung von Daten angewiesen sind, jedoch im Ergebnis oft viel größere Konsequenzen haben. Die Rede ist von den Befugnissen nach Art. 58 Abs. 2 lit. f und g DSGVO. Danach haben Aufsichtsbehörden die Befugnis, „eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen“ (lit. f; also die Verarbeitung zu untersagen) und die Löschung von personenbezogenen Daten anzuordnen (lit. g; also gespeicherte personenbezogene Daten, etwa von Websitebesuchern oder Kunden zu löschen).

In der Praxis klingt eine Untersagung oder Löschanordnung natürlich nicht so dramatisch wie eine in Euro bezifferte Geldbuße. Doch macht man sich einmal die potentiellen Konsequenzen einer Löschungsanordnung klar (nämlich, dass z. B. über mehrere Monate oder Jahre hinweg gesammelte Daten zu löschen sind und nicht mehr genutzt werden dürfen), habe ich es in der Praxis schon erlebt, dass gefragt wurde: „Wie war das nochmal mit dem Bußgeld?“

Dass dieses Risiko durchaus real ist, zeigt eine neuere Entscheidung der Datenschutzbehörde aus Finnland (Pressemitteilung auf Englisch).

In dem Fall wurden auf den Webseite von Bibliotheken Tracking-Technologien verwendet, die möglicherweise Daten über die von den Nutzern gesuchten Bücher an Dritte weitergegeben haben. Lau Ansicht der Behörde wurden personenbezogene Daten auch unrechtmäßig in die USA übermittelt. Die Bibliotheken verwendeten die Tools Google Analytics und den Dienst Google Tag Manager. Die Datenschutzbehörde verweist auf das Urteil „Schrems II“ (C-311/18) und, dass die für die Verarbeitung Verantwortlichen die Übermittlung personenbezogener Daten an Drittländer einstellen müssen, wenn sie keine ausreichenden zusätzlichen Garantien für den Schutz personenbezogener Daten umsetzen können.

Nach Auffassung der Datenschutzbehörde wurden die auf der Webseite der Bibliotheken erhobenen personenbezogenen Daten ohne ausreichende zusätzliche Garantien in die USA übermittelt. Zudem wurden die betroffenen Personen nicht in angemessener Weise über die Übermittlung personenbezogener Daten informiert.

Die Bibliotheken haben darauf hin erklärt, dass sie unverzüglich Maßnahmen ergreifen werden, um die Tracking-Technologien von der Webseite zu entfernen.

Die Datenschutzbehörde machte in diesem Fall von ihrer Befugnis Gebrauch, die Löschung von personenbezogenen Daten anzuordnen. Laut der Pressemitteilung wies die Aufsichtsbehörde die Bibliotheken an,

die mit den Tracking-Technologien erhobenen personenbezogenen Daten zu löschen, wenn die personenbezogenen Daten der betroffenen Person nach der Erhebung unrechtmäßig gespeichert oder verwendet wurden“.

Dänische Datenschutzbehörde: Auskunftsrecht bei Videospielen – Chats, Serverlogs und Anti-Cheat-Informationen

Posted on by

In ihrer Entscheidung vom 29. August 2022 (die im Rahmen des One Stop Shop Verfahrens gefasst wurde) befasst sich die dänische Datenschutzbehörde (Datatilsynet) mit dem Auskunftsrecht nach Art. 15 DSGVO im Zusammenhang mit Videospielen. Nach Prüfung des Falles beschloss die Datenschutzbehörde, das Unternehmen zu verwarnen, weil es keine Kopie der an den Beschwerdeführer gerichteten und von ihm gesendeten Chatnachrichten im Spiel gemäß Art. 15 Abs. 3 DSGVO bereitgestellt hatte.

Sachverhalt

Nachdem der Beschwerdeführer (Nutzer eines Videospiels des Unternehmens) Auskunft nach Art. 15 DSGVO beantragt hatte, verweigerte ihm das Unternehmen die Herausgabe von Daten über Spielwiederholungen (1), Anti-Cheat-Informationen (2), Serverprotokolle (3) und In-Game-Chat-Nachrichten (4), da diese Daten Geschäftsgeheimnisse des Unternehmens darstellen. Es ging hier also um vier verschiedene Arten von Daten, die der Betroffene verlangte, aber nicht erhielt.

Nachdem er sich erneut an das Unternehmen gewandt hatte, ohne zusätzliche Informationen zu erhalten, beschwerte sich die betroffene Person bei der Aufsichtsbehörde.

Die Entscheidung der Behörde

Die Datenschutzbehörde stellte fest, dass das Unternehmen gegen Art. 15 Abs. 3 DSGVO verstoßen hat, indem es keine Kopie der an den Beschwerdeführer gerichteten und von ihm gesendeten Chat-Nachrichten (4) im Spiel zur Verfügung gestellt hat.

Nach Auffassung der Behörde konnte sich das Unternehmen hinsichtlich dieser Daten auf keine Ausnahme nach Art. 15 Abs. 4 DSGV stützen. Zudem betont die Behörde, dass der Beschwerdeführer bereits Kenntnis vom Inhalt der Nachrichten hat.

Bei den anderen oben benannten Datenkategorien geht die Aufsichtsbehörde aber zum Teil durchaus von dem Eingreifen der Ausnahmeregelung aus.

Der Verantwortliche musste keine anderen Chatnachrichten (4) zur Verfügung stellen, da das Unternehmen durch die Bereitstellung dieser Nachrichten wahrscheinlich Informationen über andere Personen preisgeben würde (z. B. wenn sie von anderen Chatteilnehmern erwähnt werden). Die Behörde sah von Art. 15 Abs. 3 DSGVO also nur solche Chats / Nachrichten umfasst, die vom Betroffenen selbst kamen oder an ihn gerichtet waren.

Ein Erwägungsgrund hierbei ist, dass die Spielteilnehmer ein gewisses Maß an Privatsphäre in Bezug auf die im Eifer des Gefechts verschickten Nachrichten innerhalb des Spiels erwarten. 

In Bezug auf andere Informationen über Anti-Cheat-Maßnahmen (2) vertrat die Datenschutzbehörde die Auffassung, dass das Unternehmen nach speziellen Vorgaben im dänischen Datenschutzgesetz das Recht hat, diese Informationen nicht weiterzugeben. Dort ist geregelt, dass u.a. Art. 15 DSGVO nicht greift, wenn das Interesse der betroffenen Person an dieser Information von wesentlichen Erwägungen anderer privater Interessen überwogen werden. Die Behörde argumentiert, dass eine Offenlegung aufzeigen kann, wie Spieler im Spiel betrügen können, und die zugrunde liegende Logik offenbart, was möglicherweise nicht nur Auswirkungen auf das Unternehmen, sondern auch auf andere Spieler haben könnte.

Was die Spielwiederholungsdaten (1) und die Serverprotokolle (3) betrifft, so hat das Unternehmen erklärt, dass die Informationen nur für einen begrenzten Zeitraum gespeichert werden und bereits gelöscht wurden, bevor das Unternehmen den Antrag auf Auskunft erhalten hat. Die Datenschutzbehörde sah keinen Grund, diese Tatsache weiter zu untersuchen oder zu bestreiten.

EDSA: Anforderungen an die Ablehnungsmöglichkeit für Cookies – Ist ein Link im Fließtext ok?

Posted on by

Am 17.1.2023 hat der EDSA seinen Bericht zur Arbeit der „Cookie Banner Taskforce“ veröffentlicht (PDF). Der Bericht und die dort abgestimmten Positionen zur Anwendung der ePrivacy Richtlinie (bzw. nationaler Umsetzungen, also in Deutschland des TTDSG), ist vor allem deshalb relevant, weil es im Anwendungsbereich der ePrivacy Richtlinie keinen One Stop Shop Mechanismus gibt. Das bedeutet, dass es für die Aufsichtsbehörden keine Pflicht gibt, bei grenzüberschreitenden oder EU-weit relevanten Verarbeitungen eine Abstimmung innerhalb Europas vorzunehmen. Über die Festlegungen in dem Bericht erfolgt nun aber eine, aus Sicht der Praxis begrüßenswerte, abgestimmte Positionierung zu einigen Aspekten.

Verhältnis zwischen ePrivacy Richtlinie und DSGVO

Zur Abgrenzung zwischen der ePrivacy Richtlinie (TTDSG in Deutschland) und der DSGVO stellen die Aufsichtsbehörden fest, dass für die von einem Verantwortlichen „vorgenommenen Folgeverarbeitungen“, also Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen, die im Endgerät eines Nutzers gespeichert sind, erfolgen (z.B. das Setzen oder Lesen von Cookies), der anwendbare Rahmen die DSGVO ist.

Der Dauerbrenner: Ablehnungsmöglichkeit auf erster Ebene

Zudem setzt sich der Bericht auch mit der schon lange diskutierten Frage auseinander, wie eine Ablehnungsmöglichkeit in einem Cookies Banner oder einer CMP ausgestaltet sein muss, damit die Einwilligung wirksam eingeholt werden kann.

Die Mitglieder der Taskforce waren sich einig, dass die folgenden Beispiele nicht zu gültigen Einwilligungen führen:

  • Die einzige angebotene Handlungsalternative (außer der Erteilung der Einwilligung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, eingebettet in einen Textabschnitt im Cookie-Banner, ohne ausreichende visuelle Unterstützung, um die Aufmerksamkeit eines durchschnittlichen Nutzers auf diese alternative Handlung aufmerksam zu machen;
  • die einzige angebotene Handlungsalternative (außer der Erteilung der Einwilligung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, die außerhalb des Cookie-Banners platziert sind, ohne eine ausreichende visuelle Unterstützung um die Aufmerksamkeit der Nutzer auf diese alternative Aktion außerhalb des Rahmens zu lenken;

Der EDSA verlangt also eine Ablehnungsmöglichkeit (genauer müsste man sagen, eine Möglichkeit, die Einwilligung nicht zu erteilen), auf der ersten Ebene. Zudem muss auf diese Möglichkeit auch irgendwie deutlich hingewiesen werden.

Gleichzeitig verlangt der EDSA in dem Bericht aber nicht, dass etwa Schaltflächen eins zu eins gleich gestaltet sein müssen. Nicht ausreichend ist nach Ansicht des EDSA eine Ablehnungsmöglichkeit in einem Fließtext, wenn auf diese nicht hervorgehoben hingewiesen wird.

Hieraus lässt sich wohl ableiten, dass die Ablehnungsmöglichkeit durchaus zulässig in einem Fließtext eingebettet sein darf, wenn sie besonders hervorgehoben ist und sich vom restlichen Text abhebt (also nicht versteckt wird). Also etwa durch Fettdruck, Unterstreichung oder eine andere Farbe.

DSGVO-Auskunftsanspruch gegenüber dem Auftragsverarbeiter? Dänische Datenschutzbehörde sagt „Nein, aber…“

Posted on by

Die dänische Aufsichtsbehörde hat am 20.5.2022 einen interessanten Fall (Entscheidung auf Englisch, PDF) zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden. Zudem geht sie in ihrer Entscheidung auf die Unterstützungspflichten des Auftragsverarbeiters bei Betroffenenanfragen ein.

Sachverhalt

Der Betroffene kaufte auf ebay einen Artikel bei dem Unternehmen Asus. Im Rahmen des Kaufs gab der Betroffene die E-Mail-Adresse ebay@levaria.de an. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com an die beim Kauf angegebene Adresse ebay@levaria.de, in der der Asus Online Shop als Absender angegeben war. Dort wurde der Betroffene gebeten, das Kauferlebnis bei Asus auf Trustpilot zu bewerten.

Daraufhin kontaktierte der Betroffene Trustpilot direkt, jedoch von einer anderen E-Mail-Adresse (service@levaria.de) und bat um Auskunft über die von Trustpilot möglicherweise verarbeiteten personenbezogenen Daten. Die Anfrage enthielt neben der E-Mail-Adresse auch den Namen und die Adresse. Trustpilot antwortete und teilte mit, dass Trustpilot keinen aktiven Nutzer für die E-Mail service@levaria.de ausfindig machen konnte und daher keine Daten über ihn verarbeitet.

Danach erhielt der Betroffene erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops an ebay@levaria.de, in der er erneut gebeten wurden, den Einkauf bei Asus zu bewerten. Hierauf beschwerte sich der Betroffene zunächst bei der bayerischen Behörde (BayLDA), die die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiterleitete.

Entscheidung

Die dänische Behörde ist die für Trustpilot zuständige Aufsichtsbehörde in der EU. Für die Behörde ging es um die Frage, ob Trustpilot nach Art. 15 DSGVO verpflichtet war, Auskunft zu erteilen und wenn ja, ob dies hier richtig erfolgte.

Trustpilot als Verantwortlicher?

Die dänische Behörde hebt in ihrer Begründung hervor, dass allein der Verantwortliche nach Art. 15 DSGVO verpflichtet ist, die Auskunft an Betroffene zu erteilen.

Es liegt daher in der Verantwortung des für die Verarbeitung Verantwortlichen, dass ein Antrag einer betroffenen Person auf Auskunft gemäß Artikel 15 der DSGVO bearbeitet wird“.

Im konkreten Fall gab Trustpilot an, in Bezug auf den Versand von Einladungs-E-Mails als Auftragsverarbeiter zu agieren. Dies beruhe u.a. darauf, dass Unternehmen, wie z.B. der Asus Online Shop, entscheiden, ob sie die Einladungssoftware von Trustpilot nutzen wollen oder nicht, ebenso wie die Unternehmen entscheiden, ob und wann Einladungen über die Einladungssoftware von Trustpilot verschickt werden.

Damit war aus Sicht der Aufsichtsbehörde die Frage beantwortet, ob Trustpilot verpflichtet war, im eigenen Namen die Auskunft zu erfüllen.

Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“

Identifikation des Betroffenen durch den Auftragsverarbeiter?

Zwar war Trustpilot also selbst nicht nach der DSGVO verpflichtet, die Auskunft zu erfüllen. Jedoch ist der Auftragsverarbeiter nach Art. 28 Abs. 3 e) DSGVO in dem AV-Vertrag darauf zu verpflichten, den Verantwortlichen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen.

Es stelle sich also noch die Frage, ob Trustpilot hier dieser Unterstützungspflicht ausreichend nachkam.

Nach Ansicht der dänischen Aufsichtsbehörde hat Trustpilot in dem Verfahren ausführlich dargelegt, dass es bei der ersten und zweiten Kontaktaufnahme des Betroffenen mit Trustpilot eine Suche über die E-Mail service@levaria.de durchgeführt hat und dass Trustpilot die betroffene Person auf dieser Grundlage nicht identifizieren konnte, da Trustpilot die E-Mail service@levaria.de nicht registriert hatte.

Denn Trustpilot verarbeitete nur die mit der E-Mail-Adresse ebay@levaria.de (jene, die bei dem Kauf verwendet wurde) verbundenen Informationen als Auftragsverarbeiter für den Asus Online Shop. Da diese E-Mail-Adresse aber im Zusammenhang mit der Auskunftsanfrage nicht verwendet wurde, konnte Trustpilot in seinen Systemen keine Daten finden.

ABER: der Betroffene hatte ja im Rahmen seiner Anfrage u.a. auch seinen Namen und die postalische Adresse angegeben.

Die dänische Datenschutzbehörde kritisiert vor diesem Hintergrund, dass Trustpilot keine einheitliche Praxis bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die die betroffene Person im Zusammenhang mit ihrer Anfrage übermittelt, umgesetzt hatte. Nach dem Namen und der Adresse konnte Trustpilot anscheinend nicht suchen und einen Abgleich durchführen.

So hätte Trustpilot die Möglichkeit der Identifizierung der betroffenen Person und könnte, in seiner Rolle als Auftragsverarbeiter, den für die Verarbeitung Verantwortlichen in dem vereinbarten Umfang unterstützen. Die dänische Behörde gab dies jedoch nur als Hinweis an Trustpilot und stellte das Verfahren ein.

Fazit

Die Aufsichtsbehörde scheint also zu empfehlen, dass Trustpilot zusätzliche Daten als Auftragsverarbeiter erhält (Name und Adresse), die zwar für die eigene Leistung (Versand der E-Mail) nicht erforderlich sind, jedoch im Rahmen der Betroffenenanfragen relevant werden können. Diese Ansicht mag man im Hinblick auf die Erleichterung von Betroffenenanfragen unterstützen. Gleichzeitig ist der Verantwortliche (für den Trustpilot hier als Auftragsverarbeiter ja auch bei Betroffenenanfragen unterstützen muss) aber nach Art. 11 DSGVO gerade nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur für den Zweck, um Betroffenenrechte zu erfüllen.

Man wird hier wohl die Besonderheit beachten müssen, dass die erforderlichen Daten (Name und Adresse) aber natürlich schon bei dem Verantwortlichen vorhanden sind. Eventuell wäre es hier eine Option gewesen, dass Trustpilot die Anfrage des Betroffenen (auch mit der eigentlich unbekannten E-Mail-Adresse) direkt an Asus weiterleitet.

Informationen über Drittlandsübermittlungen nach Art. 13 DSGVO – strenge Auffassung der irischen Aufsichtsbehörde

Posted on by

Da die Anforderungen des Kapitels V der DSGVO, die sich auf Datenübermittlungen in Drittstaaten beziehen, weiterhin praktische Relevanz haben, stellt sich oft die Frage, wie die Informationspflichten in diesem Zusammenhang gemäß Art. 13 Abs. 1 lit. f) DSGVO zu erfüllen sind. 

Nach dieser Vorschrift hat der für die Verarbeitung Verantwortliche folgende Angaben zu machen: 

„gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.“

In seiner „WhatsApp-Entscheidung“ (pdf) vom August 2021 befasste sich die DPC Ireland auch mit der Frage der Einhaltung von Art. 13 Abs. 1 lit. f) DSGVO. 

Vorhandensein oder Nichtvorhandensein eines Angemessenheitsbeschlusses

Nach Ansicht der DPC geht diese Formulierung über die Anforderung an den für die Verarbeitung Verantwortlichen hinaus, festzustellen, „ob“ oder „ob“ ein Angemessenheitsbeschluss in Bezug auf das vorgeschlagene Übermittlungsland vorliegt. Stattdessen verlangt die Verpflichtung von einem für die Verarbeitung Verantwortlichen 

verbindliche Informationen bereitzustellen, so dass die betroffene Person entweder (i) darüber informiert wird, dass die Übermittlung Gegenstand eines Angemessenheitsbeschlusses ist, oder (ii) darüber, dass die Übermittlung nicht Gegenstand eines Angemessenheitsbeschlusses ist„.

Nach Ansicht der Datenschutzbehörde muss die Information auf jeden Fall erteilt werden, auch wenn sie nur negativ ausfällt (z. B.: „Für das Land XYZ liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor“). 

Hinweis auf die geeigneten oder angemessenen Garantien

Diese Information muss der betroffenen Person im Falle einer Übermittlung, die nicht Gegenstand eines Angemessenheitsbeschlusses ist, zur Verfügung gestellt werden. 

Nach Ansicht der DPC ist diese Informationspflicht sehr spezifisch. Der Grund dafür ist, dass die betroffene Person auf Wunsch Zugang zu detaillierten Informationen über die zum Schutz ihrer personenbezogenen Daten angewandten Garantien erhalten soll. Nach Ansicht der DPC reicht es daher nicht aus, auf eine Website zu verweisen, auf der allgemeine Informationen über die EU-Standardvertragsklauseln zu finden sind. 

Um es klar zu sagen: Es reicht nicht aus, einfach einen Link zu einer allgemeinen Webseite der Europäischen Kommission zu setzen. Die Transparenzleitlinien machen deutlich, dass die betroffene Person in der Lage sein sollte, auf das jeweilige Dokument, auf das sie sich beruft, zuzugreifen (oder Zugang zu erhalten, wenn der Zugang nicht direkt gewährt wird), d. h. in diesem Fall auf die spezifischen Standardvertragsklauseln oder die spezifische Angemessenheitsentscheidung.“

Nach Ansicht der DPC mussten die für die Verarbeitung Verantwortlichen (in der Vergangenheit) ausdrücklich über die verwendeten Klauseln informieren. Aus meiner Sicht sollte man davon ausgehen, dass dies im Rahmen der „neuen“ SCC bedeutet, dass der Verantwortliche über das verwendete spezifische Modul informieren muss. 

Aufbewahrungsfrist zur Erfüllung der DSGVO-Nachweispflichten – Datenschutzbehörde: 3 Jahre

Posted on by

Die DSGVO etabliert bekanntlich eine (je nach Auslegung sehr umfassende) Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 DSGVO. Daneben kennt die DSGVO auch noch weitere Nachweispflichten, z. B. in Art. 7 Abs. 1 DSGVO für die Einwilligung oder in Art. 12 Abs. 5 DSGVO für offenkundig unbegründete oder exzessive Anträge von Betroffenen. 

In der Praxis kommt oft die Frage auf, wie lange Verantwortliche denn eine entsprechende Dokumentation, dass man sich in bestimmten Situationen an die DSGVO gehalten hat, aufbewahren dürfen bzw. müssen. Ein Beispiel: der Verantwortliche erteilt eine Auskunft nach Art. 15 DSGVO. Nach 1,5 Jahren beschwert sich der Betroffene darüber, dass er keine Auskunft erhalten habe. Wenn der Verantwortliche nun die Auskunftserteilung schon gelöscht hat, wird es für ihn schwer, die ordentliche Erfüllung seiner rechtlichen Pflichten nachzuweisen. Gleichzeitig enthält diese Dokumentation, z. B. die versendete E-Mail und Dokumente, natürlich personenbezogene Daten. Man benötigt für eine Speicherung also eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Einen praxisrelevanten Fall zu diesem Themenkomplex hatte die Datenschutzbehörde aus Thüringen zu entscheiden und berichtet hierüber in ihrem Tätigkeitsbericht 2021, ab S. 167 (pdf).

Es ging dort um den Versand von E-Mails an eine Betroffene. Diese gab an, nie in den Erhalt der E-Mails eingewilligt zu haben. Gleichzeitig verlangt die Betroffene dann auch Auskunft nach Art. 15 DSGVO und die Löschung ihrer Daten von dem Verantwortlichen. Nachdem sie hierauf keine Antwort erhielt, beschwerte sie sich bei dem TLfDI. 

Nach Ansicht der Aufsichtsbehörde war das Unternehmen als Verantwortliche verpflichtet, den entsprechenden Nachweis darüber zu führen, dass eine Einwilligung vorlag (vgl. Art. 7 Abs. 1 DSGVO). Die DSGVO enthalte insoweit eine ausdrückliche Beweislastregel für das Vorliegen einer wirksamen Einwilligung. Den Verantwortlichen treffe nicht nur die Verantwortung für die Einhaltung der in Art. 5 Abs. 1 DSGVO geregelten Grundsätze für die Verarbeitung personenbezogener Daten, er müsse ihre Einhaltung auch nachweisen können. Diese Nachweispflicht könne er durch entsprechende Dokumentation oder ein Daten-Management-System erfüllen.

Vorliegend gelang dies dem Verantwortlichen jedoch. Dieser antwortete der Aufsichtsbehörde sogar, dass er alle Daten zu der Betroffenen aufgrund ihrer Anfrage gelöscht habe und daher keinen Nachweis mehr erbringen könne. 

Diese Ansicht teilte der TLfDI nicht. Die Nachweispflicht sei gerade nicht durch das Löschungsverlangen der Betroffenen entfallen. Denn gemäß Art. 17 Abs. 3 lit. b) DSGVO ist die Löschung personenbezogener Daten ausgeschlossen, soweit diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind, welche die Verarbeitung nach dem Recht der Union oder der Mitgliedsstaaten erfordert, dem der Verantwortliche unterliegt. 

Der TLfDI weiter: „Diese Sonderregelung entspricht der Rechtsgrundlage für die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung aus Art. 6 Abs. 1 Satz 1 Buchstabe c) DS-GVO. Zu diesen Rechtspflichten zählen insbesondere Speicher-, Dokumentations- und Aufbewahrungspflichten, zu denen auch die in Art. 5 Abs. 2 und Art. 7 Abs. 1 DS-GVO geregelten Nachweispflichten zählen“.

Wichtig: die Behörde geht also davon aus, dass Verantwortliche solche Daten (und diese enthaltene Dokumente) nicht löschen dürfen, die für die Erfüllung des Nachweises der Einhaltung der DSGVO erforderlich sind. Ganz ausdrücklich allgemein nach Art. 5 Abs. 2 DSGVO. Auch dann nicht, wenn die Betroffene dies verlangt. Diese Ansicht ist meines Erachtens richtig, jedoch in dieser Deutlichkeit bisher eher nicht von Behörden vertreten worden. 

Zuletzt ging es dann noch um die Frage, welche konkrete Aufbewahrungsfrist für den Nachweis der Einwilligung gelte. Denn die DSGVO sehe hierzu keine ausdrückliche Regelung vor.

Der TLfDI stellt hier auf eine Frist von drei Jahren ab, da nach Ablauf dieses Zeitraums ein Buß- geldverfahren in der Regel als verjährt anzusehen ist.“

Wichtig: die Behörde setzt hier also die Verjährungsfristen für Verstöße gegen die DSGVO an (vgl. § 31 Abs. 2 Nr. 1 OWiG). Meines Erachtens ist diese Argumentation und Ansicht der Behörde auch auf andere Nachweispflichten und durchaus auch allgemein auf Dokumentation (mit personenbezogenen Daten) übertragbar, die Verantwortliche vorhalten, um die Einhaltung der DSGVO nachweisen zu können. 

Norwegische Datenschutzbehörde: DSGVO-Auskunftsersuchen an den CEO musste nicht beantwortet werden

Posted on by

Mit Entscheidung (PDF) vom 10. Mai 2022 hat die norwegische Datenschutzbehörde („Datatilsynet“) entschieden, dass ein für die Verarbeitung Verantwortlicher (in diesem Fall die Zalaris ASA) nicht gegen Art. 12 Abs. 5 und 15 DSGVO verstoßen hat, weil ein per E-Mail an den Geschäftsführer gerichtetes Auskunftsersuchen unbeantwortet blieb.

Der Beschwerdeführer (eine betroffene Person mit Wohnsitz in Deutschland, die früher bei der deutschen Tochtergesellschaft des für die Verarbeitung Verantwortlichen beschäftigt war) schrieb an den Geschäftsführer des Unternehmens, um sein Auskunftsrecht nach Art. 15 DSGVO geltend zu machen. Er erhielt keine Antwort, reichte bei Datatilsynet eine Beschwerde gegen Zalaris ein und versuchte es bei einer anderen „DSGVO“-Adresse. Aber auch diese Anfrage blieb unbeantwortet.

Ich möchte mich auf die Argumentation von Datatilsynet in Bezug auf die erste, an den CEO gerichtete E-Mail konzentrieren.

Der für die Verarbeitung Verantwortliche räumte ein, dass er auf die Auskunftsersuchen des Beschwerdeführers nicht reagiert hat. Zalaris machte jedoch geltend, dass dies darauf zurückzuführen sei, dass die erste Anfrage direkt an den CEO des Unternehmens gerichtet war (die zweite landete im Spam-Ordner des E-Mail-Posteingangs des Unternehmens).

Datatilsynet argumentiert, dass der erste Antrag auf Zugang nicht beantwortet werden musste.

… unserer Ansicht nach kann Zalaris nicht viel vorgeworfen werden. Wie der Europäische Datenschutzausschuss (EDPB) festgestellt hat: Der für die Verarbeitung Verantwortliche ist […] nicht verpflichtet, einer Anfrage nachzukommen, die an die E-Mail-Adresse eines Mitarbeiters des für die Verarbeitung Verantwortlichen gerichtet ist, der nicht mit der Bearbeitung von Anfragen zu den Rechten der betroffenen Personen befasst sein darf […]. Solche Anträge gelten nicht als wirksam, wenn der für die Verarbeitung Verantwortliche der betroffenen Person eindeutig einen geeigneten Kommunikationskanal zur Verfügung gestellt hat.

Darüber hinaus enthielt die auf der Website von Zalaris verfügbare Datenschutzerklärung eine spezielle E-Mail-Adresse, die für Datenschutzanfragen zu verwenden war. In diesem Fall war es legitim, von den betroffenen Personen (einschließlich dem Beschwerdeführer) zu erwarten, dass sie Auskunftsersuchen über einen solchen Kommunikationskanal und nicht direkt an den CEO richten.

Vom CEO eines Unternehmens von der Größe von Zalaris kann nicht erwartet werden, dass er direkt an der Bearbeitung von Anfragen zu den Rechten der betroffenen Personen beteiligt ist. Daher hat Zalaris unseres Erachtens nicht gegen Artikel 12 Absatz 2 und Artikel 15 DSGVO verstoßen, indem es nicht auf die E-Mail geantwortet hat, die der Beschwerdeführer direkt geschickt hatte…„.

Die Behörde fügt noch eine weitere Ansicht hinzu: Es sei darauf hingewiesen, dass – im Gegensatz zu den Argumenten des Beschwerdeführers – in Fällen, in denen personenbezogene Daten von einem Unternehmen verarbeitet werden (das über die Mittel und Zwecke der Verarbeitung entscheidet), das Unternehmen als solches als „für die Verarbeitung Verantwortlicher“ gilt, und nicht sein Geschäftsführer.

Diese Auslegung (die aus meiner Sicht absolut korrekt ist) ist relevant, weil wir in Deutschland ja durchaus auch andere Ansichten hierzu kennen.