Category Archives: Datenschutzbehörde

Datenschutzbehörde Liechtenstein: Betroffene haben keinen DSGVO-Anspruch auf Herausgabe der TOMs

Posted on by

In ihrem aktuellen Tätigkeitsbericht (PDF, S. 19) informiert die Datenschutzstelle Liechtenstein u.a. auch zu Beratungsanfragen zu dem Themenkomplex „Auskunft“ nach Art. 15 DSGVO.

Mehrere betroffene Personen als auch Verantwortliche stellten die Frage, ob im Rahmen der Auskunftserteilung nach Art. 15 DSGVO auch eine Information über technische und organisatorische Maßnahmen (TOM) erteilt werden muss. Dies ist ein Fall, der in der Praxis recht häufig vorkommt. Daneben verlangen Betroffene oft auch die Herausgabe des Verzeichnisses der Verarbeitungstätigkeiten.  

Die Antwort der Datenschutzbehörde ist hier (meines Erachtens zu Recht) eindeutig.

Weder Art. 13 oder 14 DSGVO noch Art. 15 DSGVO begründen einen Rechtsanspruch auf Informationen zu TOM.“

Die Aufsichtsbehörde geht in ihrer Einschätzung also auch auf die Informationspflichten nach Art. 13 und 14 DSGVO ein. Auch diese enthielten aber keine entsprechende Verpflichtung zur Zugänglichmachung der TOMs.

Zwar sehe Art. 30 DSGVO vor, dass im Verarbeitungsverzeichnis eine allgemeine Beschreibung der TOM zu erfolgen muss.

Dieses Verzeichnis muss allerdings nicht gegenüber betroffenen Personen offengelegt werden.“

Dies ist eine weitere praxisrelevante Feststellung der Aufsichtsbehörde.

Finnische Datenschutzbehörde: Regelmäßige Prüfung der Kontaktkanäle für Datenschutzanfragen erforderlich

Posted on by

Am 9.5.2022 hat die finnische Datenschutzbehörde gegen ein Unternehmen (einen finnischen Verlag) ein Bußgeld in Höhe von 85.000 EUR wegen mehrerer Verstöße gegen die DSGVO verhängt (Englisch). Die Entscheidung betrifft einige praxisrelevante Fragestellung der Umsetzung von Betroffenenrechten.

Einleitend informiert die Behörde darüber, dass sie insgesamt elf Beschwerden zu dem Unternehmen erhalten hatte. Unter anderem hatten die Betroffenen keine Antwort auf ihre Anträge oder Anfragen zu Datenschutzrechten erhalten.

Kontaktkanäle für betroffene Personen müssen regelmäßig getestet werden

Einige Datenschutzanfragen von Betroffenen wurden aufgrund eines technischen Problems bei der E-Mail-Weiterleitung nicht umgesetzt, als das Unternehmen seinen Dienstleister wechselte.

Dies führte dazu, dass E-Mails, die in dem für Datenschutzfragen reservierten E-Mail-Posteingang eingingen, nicht an die Mitarbeiter des Kundendienstes weitergeleitet wurden. Das Problem wurde erst durch das Auskunftsersuchen der Datenschutzbehörde entdeckt. Zu diesem Zeitpunkt hatte die Unterbrechung der E-Mail-Weiterleitung bereits sieben Monate gedauert.

Nach Ansicht der Aufsichtsbehörde wäre das Unternehmen verpflichtet gewesen, sich um die Prüfung des E-Mail-Postfachs zu kümmern, da dies der wichtigste elektronische Kontaktkanal der betroffenen Personen in Datenschutzangelegenheiten war.

Aus der offiziellen Pressemitteilung wird leider nicht klar, welche Norm der DSGVO die Behörde hierdurch als verletzt ansieht. Auf der Webseite des EDSA wird u.a. ein Verstoß gegen Art. 12 DSGVO angegeben. Dies scheint mir hier auch die passende gesetzliche Grundlage zu sein. Nach Art. 12 Abs. 2 S. 1 DSGVO muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtern. Wenn aber Anfragen von Betroffenen gar nicht bearbeitet werden (und sei es auch nur aufgrund eines technischen Fehlers), dürfte dies gerade keine Erleichterung, sondern eine Erschwerung darstellen. Praktisch bedeutet dies, dass Unternehmen in regelmäßigen Abständen ihre DSGVO-Kanäle für Betroffene von extern testen sollten.

Unnötige Informationen dürfen nicht zur Identifizierung angefordert werden

Daneben konnten Betroffene mit einem ausdruckbaren Formular auch Anfragen zu ihren eigenen Daten stellen. Hierbei ging es wohl um Auskunftsanfragen nach Art. 15 DSGVO. Das Formular verlangte zur Identifikation jedoch die Unterschrift der betroffenen Person.

Nach Ansicht der Aufsichtsbehörde verarbeitete das Unternehmen aber auf diese Weise eine übermäßige Menge an Informationen zur Identifizierung. Insbesondere konnte das Unternehmen nicht darlegen, dass es die Unterschrift etwa mit bei sich vorhandenen Unterschriften der Betroffenen abglich. Denn es wurden ansonsten keine Unterschriften der Betroffenen erhoben.

Auch dieses Vorgehen dürfte nach Ansicht der Behörde einen Verstoß gegen Art. 12 Abs. 1 DSGVO darstellen. Zudem wird in der Mitteilung auf der Webseite des EDSA auch ein Verstoß gegen Art. 5 Abs. 1 lit. c DSGVO erwähnt, also gegen den Grundsatz der Datenminimierung. Die (nicht erforderliche) Erhebung es Datums „Unterschrift“ dürfte auch gegen diese Norm verstoßen haben.

Bayerischer Landesbeauftragter: Datenlöschung kann grundsätzlich von Verjährungs- oder Klagefristen abhängig gemacht werden

Posted on by

Der Bayerische Landesbeauftragte (BayLfD) hat im Juli eine schöne Orientierungshilfe zu dem Recht auf Löschung nach der DSGVO veröffentlicht (PDF). Hierbei geht die Behörde auch auf die praxisrelevante Frage ein, ob und wenn ja, wann personenbezogene Daten zu löschen sind, wenn diese Daten gegebenenfalls noch im Rahmen von rechtlichen Auseinandersetzungen und zur Verteilung gegen Ansprüche erforderlich sind.

Nach Art. 17 Abs. 1 lit. a) DSGVO sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Nach dem BayLfD sind die Daten für den Verarbeitungszweck unter anderem nicht mehr notwendig, wenn dieser Zweck schon erreicht wurde, indem die ursprünglich angedachte Maßnahme durchgeführt wurde, und dazu nur die temporäre Datennutzung erforderlich war. Ebenso ist es aber auch möglich, dass die Zwecke nicht erreicht wurden und auch nicht mehr erreichbar sind.

Nach Art. 17 Abs. 3 lit. e) DSGVO gilt Absatz 1 jedoch nicht (es besteht also keine Löschpflicht), soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Zweck dieser Vorschrift ist es laut dem BayLfD u.a., einem Beweismittelverlust durch Löschung entgegenwirken. Zudem gelte die Ausnahme sowohl für gerichtliche wie außergerichtliche Verfahren. Diese Klarstellung ist sehr praxisrelevant, da natürlich nicht jede Streitigkeit zu Verträgen oder etwa Ansprüchen von Kunden direkt gerichtlich ausgefochten wird.

Wann darf man sich auf die Ausnahme berufen?

Eine strenge Ansicht vertritt der BayLfD jedoch bei der Frage, wann davon auszugehen ist, dass die Daten für die Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich sind. Nach Ansicht der Behörde wäre es nicht mehr erforderlich,

wenn Daten nur zu dem Zweck dauerhaft gesammelt würden, weil diese theoretisch irgendwann Gegenstand eines Rechtsstreits sein könnten. Vielmehr muss die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bereits stattfinden oder mit einer hinreichend hohen Wahrscheinlichkeit bevorstehen“.

Diese Ansicht vertreten auch andere deutsche Aufsichtsbehörden. Meines Erachtens benachteiligt eine solche Auffassung aber datenverarbeitende Stellen unangemessen, bei denen es bisher nie zu Problemen kam. Ein Beispiel: der Schönheitschirurg, der sich bisher nie Klagen von Patienten ausgesetzt sah, dürfte Behandlungsdokumentation nicht mit dem Argument speichern, dass eine solche Klage in Zukunft aber theoretisch möglich ist. Andererseits dürfte der Arzt, bei dem es regelmäßig zu Klagen von Patienten wegen schlechter Behandlung kommt, die personenbezogenen Daten speichern, um sich verteidigen zu können. Denn bei ihm bestünde eine „hinreichende Wahrscheinlichkeit“. Dieses Ergebnis ist aus meiner Sicht unangemessen und so auch nicht aus Art. 17 Abs. 3 lit. e) DSGVO ableitbar.

Orientierung an Verjährungs- und Klagefristen

Begrüßenswert ist die Auffassung des LfD, dass sich die zeitliche Dimension der Erforderlichkeit im Grundsatz klar bemessen lässt,

wenn die Möglichkeit der Rechtsdurchsetzung an Fristen (etwa Verjährungs- oder Klagefristen) gebunden ist.“

Die Behörde hält es also für zulässig, wenn sich Verantwortliche bei der Frage der Löschung an laufenden Verjährungsfristen und Klagefristen von Ansprüchen orientieren. Ich würde hier auch entsprechende Fristen zur Verfolgungsverjährung, etwa aus dem OwiG zählen (§ 31 OwiG). Jedoch schränkt der LfD seine Ansicht dahingehend ein, dass insbesondere bei langen Verjährungsfristen eine Abwägung zwischen den Interessen der betroffenen Person auf Löschung der Daten einerseits und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen andererseits vorzunehmen sei. Diesbezüglich stellt sich meines Erachtens erneut das oben angesprochene Problem, dass bei einer solchen Auslegung datenverarbeitende Stellen begünstigt wären (Daten also speichern dürften), wenn sie in der Vergangenheit mit Ansprüchen und Klagen konfrontiert waren; Unternehmen, bei denen es jedoch bislang nie solche Streitigkeiten gab, müssten aber wohl vor Ablauf einer „langen“ Verjährungsfrist löschen. Unklar ist hier, was der LfD unter einer „langen“ Frist versteht.

Datenschutzbehörde Hessen: Auskunftsanspruch kann wegen Zeugen-/Informantenschutz beschränkt werden

Posted on by

In ihrem aktuellen Tätigkeitsbericht 2021 (PDF, ab S. 109 ff.) befasst sich die Hessische Datenschutzbehörde (HBDI) mit der Frage, unter welchen Voraussetzungen eine Einschränkung des Auskunftsanspruchs nach Art. 15 Abs. 4 DSGVO möglich ist. In der Praxis ist diese Frage oft sehr relevant. Gleichzeitig fehlen jedoch konkrete Beispiele und Anwendungsfälle, wann sich ein Verantwortlicher auf „Rechte anderer Personen“ berufen kann und welche Rechte hiervon umfasst sind.

ErwG 63 DSGVO verweist beispielhaft auf Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht.

Der HBDI geht davon aus, dass unter diese „Rechte“ auch berechtigte Interessen anderer Personen fallen. Klarstellend fügt die Behörde hinzu, dass dieses Interesse

nicht notwendig durch eine Geheimhaltungsvorschrift geschützt sein“ muss.

Dies ist eine begrüßenswerte und praxisrelevante Ansicht. Denn von den „Rechten“ sind dann nicht nur rechtliche Schutzpositionen umfasst, die sich aus Gesetzen ableiten, wie etwa das Urheberrecht.

Die Behörde erläutert ihre Position anhand eines Beispiels. Umfasst sei insbesondere der Fall, dass der Verantwortliche Informationen über die betroffene Person von einer oder einem Anderen – unter Umständen gegen eine Zusage vertraulicher Behandlung – erhalten hat, die oder der ein z.B. behördliches Einschreiten gegen einen Missstand erreichen möchte.

Die Ausnahme des Abs. 4 erfasst also nach Ansicht des HBDI nicht nur rechtlich verbürgte Schutzpositionen, sondern auch berechtigte Erwartungen auf Geheimhaltung und Vertraulicheit. Dies ist eine relevante Klarstellung, die in der Praxis vor allem den Bereich des Compliance-Managements und eines Hinweisgebersystems betreffen dürfte.

Der HBDI begründet seine Ansicht weiter:

Das Interesse der anderen Person an einer Geheimhaltung ihrer Identität als „Quelle“ überwiegt gegenüber dem Auskunftsinteresse jedenfalls solange, wie Anhaltspunkte dafürsprechen, dass die Offenbarung der Identität der Informantin oder des Informanten zu rechtlichen oder tatsächlichen Benachteiligungen der „Quelle“ führen könnten.“

Dies dürfte man so verstehen, dass eine Information über die meldende Person im Rahmen einer Auskunft nicht herauszugeben ist, solange etwa ein Ermittlungs- oder Gerichtsverfahren läuft und zu befürchten ist, dass etwa der Zeuge oder Informant Nachteile erleiden könnte, sollte die Tatsache seiner Meldung herauskommen. 

Interessenkonflikte bei Datenschutzbeauftragten – Hessische Datenschutzbehörde gibt Beispiele

Posted on by

In seinem 50. Tätigkeitsbericht (PDF) zum Datenschutz hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einige interessante Hinweise rund um das Thema „Interessenkonflikte bei Datenschutzbeauftragten“ (ab S. 140) veröffentlicht.


Grundsätzlich können nach Ansicht des HBDI Datenschutzbeauftragte natürlich auch andere als die mit ihrer Benennung verbundenen Aufgaben wahrnehmen, sofern diese anderen Tätigkeiten nicht zu einem Interessenkonflikt führen, vgl. Art. 39 Abs. 1 DSGVO. Interessenkonflikte bei Datenschutzbeauftragten ergeben sich i.d.R. aus ihrer Stellung innerhalb des Unternehmens bzw. der datenverarbeitenden Stelle. Wichtig: der HBDI geht davon aus, dass es sich bei der Voraussetzung der Unabhängigkeit bzw. des Fehlens von Interessenkonflikten sowohl um eine Benennungsvoraussetzung als auch – nach der Benennung – um eine Organisationspflicht des Verantwortlichen und des Auftragsverarbeiters handelt. Bei Verstoßen können auch Bußgeldern verhängt werden.


Grundsätzliche Vorgaben
Sowohl der für die Verarbeitung Verantwortliche als auch die Mitglieder der Geschäftsführung oder des Vorstands tragen die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung bei dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und können sich selbst nicht wirksam datenschutzrechtlich kontrollieren.


Interessenkonflikte lassen sich auch bei externen Datenschutzbeauftragten nicht vermeiden. Der Verantwortliche oder der Auftragsverarbeiter sollen daher mit dem externen Datenschutzbeauftragten vertraglich vereinbaren, dass dieser keine Tätigkeiten ausübt, die zu potenziellen Interessenkonflikten mit den Aufgaben des Datenschutzbeauftragten für den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter führen. Um mögliche Interessenkonflikte von vornherein zu vermeiden, können verschiedene Maßnahmen erwogen werden. Eine denkbare Maßnahme ist eine interne Richtlinie, die die konkreten Aufgaben und Kompetenzen des Datenschutzbeauftragten im Unternehmen klar definiert. Auf diese Weise können potenzielle Interessenkonflikte frühzeitig erkannt und nach Möglichkeit vermieden werden.


Benennung von beispielhaften Personengruppen, bei denen ein Interessenkonflikt vorliegen kann
Außerdem wird in dem Tätigkeitsbericht ausgeführt, welche Personen nicht die Funktion des Datenschutzbeauftragten ausüben sollten. Als Beispiele bzw. Fallgruppen für die Unzulässigkeit nennt die hessische Behörde:

Die Führungskräfte eines Unternehmens, insbesondere die Leitung der Personalabteilung, weil sie für Mitarbeiterdaten zuständig ist, die Leitung der IT-Abteilung, weil sie für technische und organisatorische Maßnahmen verantwortlich ist, und die Leitung der Marketing- oder Vertriebsabteilung, weil sie für die Verarbeitung von Kundendaten zuständig ist.

Ebenso ist es nach Ansicht des HBDI unzulässig, einen Datenschutzbeauftragten zu benennen, der ein besonderes wirtschaftliches Interesse am Erfolg des Unternehmens hat, z. B. wenn er Gesellschafter oder ein Familienmitglied der Geschäftsführung ist.

Als markantes Beispiel für das Vorliegen eines Interessenkonflikts führt die hessische Behörde die Position des IT-Sicherheitsbeauftragten an: Um mögliche Missbräuche aufzudecken und möglichst frühzeitig zu verhindern, hat die IT-Sicherheitsabteilung eines Unternehmens regelmäßig ein erhebliches Interesse an der umfassenden Erhebung personenbezogener Daten. Übernimmt der IT-Sicherheitsbeauftragte Umsetzungsaufgaben mit Budgetverantwortung, ist der Interessenkonflikt aus Sicht des HBDI noch offensichtlicher.

Ein Interessenkonflikt sei auch bei Compliance-Beauftragten und Rechtsabteilungsleitern anzunehmen, da diese regelmäßig stark in interne Prozesse einbezogen sind und damit nicht mehr die notwendige Unabhängigkeit bei der Beurteilung einzelner Datenverarbeitungen hätten.
• Interessant ist, dass der HBDI auch die Benennung eines Datenschutzbeauftragten, der gleichzeitig nur Mitglied (!) oder Vorsitzender des Betriebsrats ist, als kritisch beurteilt. Der HBDI verweist hierzu auf die bei dem EuGH anhängigen Fragen des BAG (BAG, Beschl v. 27.04.2021 – 9 AZR 383/19 (A)).

Insgesamt würde ich die Ansicht des HBDI eher als streng einordnen. Die Behörde weist aber auch darauf hin, dass aufgrund der strukturellen Unterschiede des jeweiligen Unternehmens oder der jeweiligen Branche stets eine Einzelfallbetrachtung vorzunehmen ist.

Baldiges EuGH-Urteil – Auskunft und Information allein über die Kategorien der Empfänger von Daten ausreichend?

Posted on by

Am 9. Juni 2022 hat Generalanwalt Pitruzzella zu einer nahenden Entscheidung des EuGH (Rechtssache C‑154/21) seine Schlussanträge vorgelegt.

In dem Verfahren aus Österreich geht es um die praxisrelevante Frage, ob Verantwortliche im Rahmen der Antwort auf Auskunftsanträge nach Art. 15 DSGVO den Betroffenen die konkreten Empfänger von Daten oder aber nur die Empfängerkategorien zur Verfügung stellen müssen (Art. 15 Abs. 1 lit. c DSGVO). Die Antwort auf diese Frage hat weitreichende Konsequenzen: müssten alle Datenempfänger konkret benannt werden, bedeutet dies, dass der zur Auskunft verpflichtete Verantwortliche jegliche (gemeinsam oder getrennt) Verantwortliche und (!) Auftragsverarbeiter aufführen muss, die Daten von ihm erhalten. Denn „Empfänger“ sind auch die Auftragsverarbeiter.

In der Praxis bedeutet dies natürlich, dass man im Grunde auch alle Stellen kennen muss, die Daten erhalten. Das kann in der heutigen Zeit durchaus herausfordernd sein. Stellen Sie sich hierzu einmal eine Webseite / App vor, auf der verschiedenste Dienstleister eingebunden sind.

Konkret geht es in dem Verfahren um die Auslegung von Art. 15 Abs. 1 lit. c DSGVO, in dem es heißt: „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“.

Der Generalanwalt legt die Norm nach verschiedenen Kriterien, u.a. Wortlaut und Sinn und Zweck aus. Hierbei kommt er zu einem klaren Ergebnis: Art. 15 Abs. 1 lit. c DSGVO ist dahin auszulegen, dass das dort vorgesehene Auskunftsrecht der betroffenen Person auf deren Antrag notwendigerweise auf die Angabe der konkreten Empfänger der Offenlegungen ihrer personenbezogenen Daten zu erstrecken ist.

Zur Begründung führt der Generalanwalt unter anderem folgende Argumente an:

  • Die Begriffe „Empfänger“ und „Kategorien von Empfängern“ sind neutral nebeneinander aufgeführt, ohne dass daraus geschlossen werden kann, dass zwischen diesen Begriffen ein Vorrangverhältnis besteht.
  • Die Struktur der Norm spreche dafür, einer Auslegung den Vorzug zu geben, wonach es der betroffenen Person obliegt, die Wahl zwischen den beiden dort vorgesehenen Alternativen zu treffen.
  • Die Ausübung des Auskunftsrechts muss es der betroffenen Person insbesondere ermöglichen, sich nicht nur zu vergewissern, dass ihre personenbezogenen Daten fehlerfrei verarbeitet werden, sondern auch, dass diese an Empfänger gerichtet sind, die zu ihrer Verarbeitung befugt sind. Das setzt grundsätzlich voraus, dass die Mitteilung von Informationen so präzise wie möglich erfolgt.
  • Würde man die Nennung von Kategorien ausreichen lassen, würde der betroffenen Person die Möglichkeit genommen, in vollem Umfang die Rechtmäßigkeit der vom Verantwortlichen vorgenommenen Verarbeitung und insbesondere die Rechtmäßigkeit der bereits erfolgten Offenlegungen von Daten überprüfen zu können.

Gleichzeitig macht der Generalanwalt zwei Ausnahmen:

  • In einem Fall, in dem aus tatsächlichen Gründen die Erteilung einer Auskunft über konkrete Empfänger nicht möglich ist, z. B. wenn diese tatsächlich noch nicht identifiziert wurden.
  • Zudem sei die Ausübung des Auskunftsrechts der betroffenen Person und die Erfüllung der entsprechenden Verpflichtung des Aufraggebers anhand der Grundsätze der Rechtmäßigkeit und der Verhältnismäßigkeit zu beurteilen. Diese Ausnahme ist spannend, denn hier verweist der Generalanwalt auch auf den möglichen Einwand nach Art. 12 Abs. 5 DSGVO, bei offenkundig unbegründeten oder exzessiven Anträgen.

Es handelt sich „nur“ um die Schlussanträge. Doch wenn man die Rechtsprechung des EuGH im Bereich Datenschutz anschaut, würde ich vermuten, dass er dem Ergebnis des Generalanwalts folgt.

Was bedeutet dies?

  • Sollte der EuGH entsprechend entscheiden, müssen bei der Beantwortung von Auskunftsanträgen jeweils immer die spezifischen Empfänger der Daten angegeben werden. Das setzt voraus, dass datenverarbeitendes Stelle alle Empfänmger auch kennen. Bedeutet: man muss wissen, wo welche Daten hingehen. Das ist in der Praxis eine Herausforderung. Ein gut geführter Verzeichnis nach Art. 30 DSGVO kann in solchen Fällen ein echter Segen sein.
  • Auch Art. 13 Abs. 1 und 14 Abs. 1 DSGVO enthalten eine entsprechende Vorgabe, wie Art. 15 Abs. 1 lit. c DSGVO; ich würde vermuten, dass insbesondere Aufsichtsbehörden die Begründung in diesem Verfahren daher auch auf Datenschutzerklärungen anwenden. Das bedeutet, diese müssten angepasst und um Empfängerlisten ergänzt werden.

Datenschutzbehörde Brandenburg: „Einstellungen oder ablehnen“-Button im Cookie-Banner ist nicht ausreichend

Posted on by

Die korrekte (bzw. rechtskonforme) Ausgestaltung von Consent Management Plattformen (und auch von Cookie-Bannern) zur Einholung von Einwilligungen für den Einsatz von Cookies und anderen Tracking-Technologien ist bereits seit einiger Zeit in der Diskussion.

In ihrem jüngsten Tätigkeitsbericht 2021 (PDF) äußert sich die Landesdatenschutzbehörde Brandenburg (LDA) unter anderem auch zu diesem Thema. Das LDA informiert dort (Ziffer 4) über die Prüfung eines brandenburgischen Medienunternehmens im Rahmen der koordinierten Prüfung von Webseiten verschiedener Medienunternehmen in Deutschland.

Eine Anforderung des LDA für eine wirksame Einwilligung nach Art. 7 DSGVO ist, dass diese freiwillig abgegeben wird. Hierfür verlangt das LDA:

Hiervon kann im Kontext der Ausgestaltung des Cookie-Banners nur ausgegangen werden, wenn eine wirkliche Wahl besteht, der Datenverarbeitung zuzustimmen oder diese abzulehnen.“

Dieses Merkmal wird nach Ansicht des LDA jedoch unter gewissen Umständen nicht erfüllt. Insbesondere dann nicht, wenn keine wirkliche Wahlmöglichkeit für Betroffene besteht. Dies ist nach Ansicht des LDA der Fall, wenn eine „eindeutige Ablehnungsmöglichkeit“ auf der ersten Ebene des Cookie-Banners fehlt. Dann

„gilt die Einwilligung als nicht freiwillig erteilt und ist damit unwirksam.“

Das LDA stellt hierbei insbesondere darauf ab, ob die Ablehnung einen Mehraufwand (im Vergleich zur Erteilung der Einwilligung) erfordert. Was nach Ansicht des LDA ein solcher Mehraufwand ist, wird ebenfalls erläutert:

„Der Mehraufwand besteht dabei nicht nur darin, dass die betroffene Person, die eine Ablehnung äußern möchte, einmal mehr klicken muss als für die Zustimmung. Vielmehr müssen die weiteren Informationen und Einstellungsmöglichkeiten, mit denen sie auf einer zweiten Ebene des Einwilligungsdialoges konfrontiert wird, lesen, nachvollziehen und dann unter den weiteren Optionen die richtige auswählen.“

Ein solcher Mehraufwand stelle einen spürbaren Nachteil für die Betroffenen dar und die Einwilligung wäre in diesem Fall nicht wirksam erteilt.

Konkret schildert das LDA dann die Erfahrungen aus der Prüfung eines Unternehmens in Brandenburg.

Das Unternehmen fragte, ob eine Abwandlung des Cookie-Banners – nämlich die Änderung der Bezeichnung der Schaltfläche „Optionen“ in „Einstellungen oder ablehnen“ – eine datenschutzgerechte Verarbeitung ermöglichen würde.

Die Ansicht des LDA:

Auch hier wiesen wir den Verantwortlichen darauf hin, dass diese Form des Einwilligungsdialoges ebenso zu einem spürbaren Nachteil und Mehraufwand für die betroffenen Personen führt und dazu dient, in treuwidriger Art und Weise Einfluss auf sie zu nehmen.“

Das LDA verlangt, dass eine Schaltfläche auf erster Ebene des Cookie-Banners eingerichtet wird, mit der Nutzer den Einsatz von einwilligungsbedürftigen Cookies und Tracking-Maßnahmen sowie die Einbindung von Drittdiensten ablehnen können.

Wie genau diese Schaltfläche grafisch ausgestaltet werden muss, wird nicht beschrieben. Hier dürften in der Praxis also weiterhin verschiedenste Gestaltungsoptionen für Unternehmen in Betracht kommen.

Generalanwalt: Zulässigkeit der (zweckändernden) Verarbeitung von Kundendaten für Zwecke der Datensicherheit

Posted on by

In seinen Schlussanträgen in der Rs. C-77/21 vom 31.03.2022 des Generalanwalts Pikamäe, äußert sich dieser zu zwei interessanten Fragen, wenn es um eine Verarbeitung von Kundendaten nicht nur für die Vertragsdurchführung, sondern auch für Zwecke der Datensicherheit (insbesondere der Verfügbarkeit der Daten) geht.

  • Zum einen, ob die Verarbeitung, die auf die Einhaltung der Pflichten aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO gerichtet ist, eine Zweckänderung darstellt
  • Zum anderen, ob, bei Vorliegen eines anderen Zwecks, die Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO zulässig ist

Sachverhalt

In dem Verfahren aus Ungarn ging es um eine Klage eines Anbieters von Internet- und Fernsehdiensten (Digi) gegen eine Entscheidung der ungarischen Datenschutzbehörde.

Im April 2018 richtete Digi, nach einer technischen Serverstörung unter der Bezeichnung „test“ eine Datenbank ein, in die es personenbezogene Daten von ungefähr einem Drittel der Privatkunden kopierte. Am 23.09.2019 erfuhr Digi, dass ein „ethischer Hacker“ auf die personenbezogenen Daten von rund 322.000 Personen zugegriffen hatte. Der Hacker setzte das Unternehmen schriftlich davon in Kenntnis. Digi behob den Fehler, schloss mit dem Hacker eine Vertraulichkeitsvereinbarung und zahlte ihm eine Belohnung.

Digi meldete danach am 25.09.2019 die Verletzung des Schutzes personenbezogener Daten der Datenschutzbehörde, die daraufhin ein Untersuchungsverfahren einleitete. Die Behörde stellte nachfolgend Verstöße gegen Art. 5 Abs. 1 lit. b und e DSGVO fest. U.a. mit dem Argument, dass Digi die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht gelöscht und dadurch in dieser Testdatenbank eine große Menge personenbezogener Daten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert habe, die die Identifizierung der betroffenen Personen ermöglicht habe.

Einschätzung des Generalanwalts

In seinen Schlussanträgen befasst sich der Generalanwalt u.a. mit den beiden oben beschriebenen Fragen.

Liegt eine Zweckänderung vor?

Fraglich war zunächst, ob das Kopieren und Speichern der Daten in der „test“ Datenbank eine Zweckänderung im Vergleich zu dem Zweck der Erhebung der Kundendaten darstellt.

Interessant ist hier, dass die Europäische Kommission nicht von einer zweckändernden Verarbeitung ausgeht. Die Verarbeitung der Daten für den Zweck der Sicherheit der Daten also von dem ursprünglichen Erhebungszweck (Durchführung der Kundenverträge) umfasst sieht. Eine solche Verarbeitung,

die auf die Einhaltung der dem für die Verarbeitung Verantwortlichen durch Art. 5 Abs. 1 Buchst. f der DSGVO auferlegten und in deren Art. 32 näher erläuterten Sicherheitspflicht abziele, könne nicht als Verfolgung eines neuen oder anderen Zwecks angesehen werden“.

Dies würde in der Konsequenz auch bedeuten, dass keine Vereinbarkeitsprüfung der Zweck nach Art. 6 Abs. 4 DSGVO erfolgen müsste.

Der Generalanwalt lehnt diese Auffassung jedoch ab. Dieser, seiner Ansicht nach, abstrakte und systematische Ansatz stehe im Widerspruch zu dem Erfordernis, die Rechtmäßigkeit jedes einzelnen Verarbeitungsvorgangs unter Berücksichtigung aller relevanten Umstände des Einzelfalls zu beurteilen.

Vereinbarkeit der Zwecke oder gesetzliche Grundlage (Art. 6 Abs. 4 DSGVO)

Daher ist der Generalanwalt gezwungen, in die Prüfung nach Art. 6 Abs. 4 DSGVO einzusteigen.

Er verweist zusätzlich auf die Vorgaben in ErwG 50 DSGVO. Beide Vorschriften bringen seiner Ansicht nach eine Verbindung zwischen dem Grundsatz der Zweckbindung und der Rechtsgrundlage der betreffenden Verarbeitung zum Ausdruck.

Eine Vereinbarkeitsprüfung der Zwecke ist nach Art. 6 Abs. 4 DSGVO nicht erforderlich, wenn die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht. Dann müssen die Zwecke also gerade nicht miteinander vereinbar sein.

Wenn ja, ist der für die Verarbeitung Verantwortliche gemäß Abs. 2 des 50. Erwägungsgrundes der DSGVO berechtigt, personenbezogene Daten unabhängig von der Vereinbarkeit der Zwecke weiterzuverarbeiten“.

Ich bin ja ein Verfechter der Ansicht, dass personenbezogene Daten für Zwecke der Datensicherheit, also der Erfüllung gesetzlicher Pflichten nach Art. 32 DSGVO, auf der Grundlage von Art. 6 Abs. 1 lit. c) (Erfüllung rechtlicher Pflichten) verarbeitet werden dürfen.

Der Generalanwalt scheint diese Ansicht jedoch abzulehnen, wie sich aus seinen Anmerkungen in Fußnote 28 ergibt. Dort begründet er, dass

dass die auf Art. 6 Abs. 1 Buchst. c der DSGVO gestützten Verarbeitungen, die für die Erfüllung einer rechtlichen Verpflichtung erforderlich sind, der der für die Verarbeitung Verantwortliche unterliegt, und insbesondere die in Art. 5 Abs. 1 Buchst. f dieser Verordnung vorgesehene Verpflichtung zur Gewährleistung einer angemessenen Datensicherheit, nicht zu den vom Erfordernis der Vereinbarkeit befreiten Verarbeitungen gehören“.

Diese „befreite“ Verarbeitung wäre eine solche, die auf Grundlage der Einwilligung oder auf einer Rechtsvorschrift der Union beruht, also etwa Art. 32, Art. 6 Abs. 1 lit. c DSGVO. Der Generalanwalt, lehnt dies jedoch ab. Ich vermute, er würde die Datenverarbeitung dann auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO stützen.

Danach erfolgt logischerweise der Vereinbarkeitstest der beiden Zwecke nach den Vorgaben des Art. 6 Abs. 4 DSGVO.

Der Generalanwalt geht davon aus, dass

unbestreitbar eine Verbindung zwischen dem Zweck der ursprünglichen Datenerhebung, nämlich der Erfüllung des Vertrags über ein Internet- und Fernsehabonnement, und einer Verarbeitung zur Sicherung dieser Daten in einer zusätzlichen internen Datenbank und zur sicheren Durchführung von Tests zur Behebung einer technischen Störung, die für die Erbringung der vertraglich vereinbarten Dienstleistung potenziell schädlich sein könnte

besteht.

Zwar überschneiden sich die Zwecke nicht. Sie stünden aber dennoch logisch miteinander in Verbindung. Zudem geht der Generalanwalt davon aus, dass eine zusätzliche Speicherung von Daten auf einem internen Datenträger, die durch die Notwendigkeit begründet ist, eine technische Störung zu beheben, die den Zugang zu den Daten in der ursprünglichen Datenbank beeinträchtigt,

nicht als überraschend oder unwahrscheinlich angesehen werden

kann. Diese Feststellung ist sowohl für Art. 6 Abs. 4 DSGVO, aber auch für Art. 6 Abs. 1 lit. f DSGVO, nämlich die berechtigten Erwartungen der Betroffenen, relevant.

Zudem, so der Generalanwalt, werden die betreffenden Daten weiterhin von demselben Verantwortlichen verarbeitet. Insgesamt scheint er davon auszugehen, dass die Verarbeitung für Zwecke der Sicherheit der Daten also recht unproblematisch den Vereinbarkeitstest nach Art. 6 Abs. 4 DSGVO bestehen würde.

Fazit

Das Ergebnis teile ich. Wie beschrieben, würde ich aber einen anderen Weg wählen und von einer Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Anforderungen des Art. 32 DSGVO ausgehen. Eventuell äußert sich ja auch noch der EuGH zu der Frage der Rechtsgrundlage. Für die Praxis könnte man natürlich überlegen, ob man bereits bei Erhebung darüber informiert, dass die Daten gerade auch für Zwecke der Datensicherheit (insb. Verfpgbarkeit) verarbeitet werden. Dies könnte gegen eine Zweckänderung sprechen, da man die Daten schon von Beginn an für diesen Zweck verwendet.

Europäischer Datenschutzbeauftragter: Internationaler Datentransfer auf Basis eines im Interesse der betroffenen Person geschlossenen Vertrags

Posted on by

In seinem neuesten Newsletter berichtet der EDPS über die Beratungsanfrage einer Bibliothek. Es ging dort unter anderem auch um die Frage, auf welcher Rechtsgrundlage die Daten von Abonnenten an Verlage in Drittländern außerhalb der EU übermittelt werden dürfen. Die Verlage hatten, für den Zugang zu ihren Werken, Verträge mit der Bibliothek abgeschlossen.

Bislang verlangte die Bibliothek für die Datenübermittlung an die Verlage in Drittländern eine Einwilligung der Betroffenen. Der EDPS vertrat jedoch eine andere Auffassung. Nach seiner Ansicht kann sich die Bibliothek, als Verantwortlicher, in diesem Fall auf die Ausnahmeregelung des Art. 50 Abs. 1 lit. c der Verordnung 2018/1725 berufen. Die Begründung des EDPS:

„…weil die Übermittlung von Abonnentendaten an Verlage außerhalb des EWR für den Zugang zu Veröffentlichungen mit Sitz außerhalb der EU/des EWR erforderlich ist.“

Zwar gilt die Verordnung 2018/1725 nur für die öffentliche Stellen der EU. Die entscheidende Vorschrift findet sich aber ebenso auch in der DSGVO, in Art. 49 Abs. 1 lit. c DSGVO: „die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich“.

Die Aufsichtsbehörde geht also davon aus, dass in diesem Fall die Datenübermittlung auf den Vertrag zwischen der Bibliothek und dem Verlag im Drittland gestützt werden darf. Dieser Fall ist eines der sehr seltenen Beispiele, wann eine Aufsichtsbehörde tatsächlich einmal diese Ausnahmevorschrift für anwendbar hält. Die Erwägungen der Behörde lassen sich sicher auch auf den Anwendungsbereich der DSGVO, also insbesondere privatwirtschaftliche Bibliotheken und Verlage übertragen.

Einhaltung des Grundsatzes der Rechenschaftspflicht nach der DSGVO – weitere Hinweise des Europäischen Datenschutzausschusses

Posted on by

In der Praxis führt der Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO häufig zu der Frage, wie Unternehmen die Anforderungen erfüllen können. Denn die rechtliche Anforderung ist sehr weit gefasst und vage: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Wie der Nachweis konkret erfolgen soll bzw. kann, wird nicht spezifiziert.

Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien zu „Dark Patterns“ (Leitlinien 3/2022, PDF) einige Präzisierungen zur Frage der Umsetzung dieser Verpflichtung vorgenommen (Rz. 11). Der EDSA stellt fest (inoffizielle Übersetzung):

  • Die Benutzeroberfläche und die User Journey können als Dokumentationsinstrument verwendet werden, um nachzuweisen, dass die Nutzer bei ihren Handlungen auf der Social-Media-Plattform die Datenschutzinformationen gelesen und berücksichtigt haben, dass sie ihre Einwilligung frei gegeben haben, dass sie ihre Rechte problemlos wahrgenommen haben, usw.
  • Qualitative und quantitative Nutzerforschungsmethoden wie A/B-Tests, Eye-Tracking oder Nutzerinterviews, ihre Ergebnisse und ihre Analyse können ebenfalls zum Nachweis der Einhaltung der Vorschriften verwendet werden.
  • Wenn die Nutzer beispielsweise ein Kästchen ankreuzen oder eine von mehreren Datenschutzoptionen anklicken müssen, können Screenshots der Schnittstellen dazu dienen, den Weg der Nutzer durch die Datenschutzinformationen zu zeigen und zu erklären, wie die Nutzer eine informierte Entscheidung treffen.

Die Hinweise des EDSA zeigen, dass man bei der Erfüllung der Rechenschaftspflicht durchaus kreativ sein kann und auch Prozesse bzw. Dokumentation relevant ist, die ohnehin, etwa im Rahmen der Produktentwicklung, genutzt werden. Spannend ist sicherlich, ob der EDSA mit diesen Hinweisen gleichzeitig auch ein Tracking als zulässig ansehen würde, welches das Verhalten der Nutzer in Bezug auf die Interaktion mit Datenschutzhinweisen oder z.B. Datenschutzeinstellungen erfasst und auswertet. In diesem Fall kann man sicher argumentieren, dass hierfür keine Einwilligung nach § 25 Abs. 1 TTDSG erforderlich ist, sondern eine Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG. Zur Erfüllung rechtlicher Pflichten aus der DSGVO.