Category Archives: Datenschutzbehörde

EuGH: Art. 5 Abs. 2 & Art. 24 DSGVO erlegen Verantwortlichen auch (neue) Compliance-Pflichten auf

Posted on by

In seinem kürzlich ergangen Urteil vom 27.10.2022 (C-129/21) befasst sich der EuGH u.a. mit der Frage, welche konkreten Pflichten aus den sehr allgemein gehaltenen Vorgaben nach Art. 5 Abs. 2 und Art. 24 DSGVO erwachsen können.

Im konkreten Fall (und ich denke, man muss die Besonderheiten des Falles bei der Begründung durchaus berücksichtigen) geht der EuGH sogar soweit, aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, der Pflicht nach Art. 24 DSGVO und unter Auslegung der Art. 12 Abs. 2 und Art. 17 DSGVO, eine eigenständige Informationspflicht für Verantwortliche zu kreieren, die in dieser Form eigentlich nicht ausdrücklich in der DSGVO vorgesehen ist.

Konkret ging es um die Frage, ob Art. 5 Abs. 2 und Art. 24 DSGVO dahin auszulegen sind, dass eine Datenschutzbehörde verlangen kann, dass ein Anbieter von Teilnehmerverzeichnissen als Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreift, um weitere Verantwortliche, nämlich den Telefondienstanbieter, der ihm die personenbezogenen Daten seines Teilnehmers übermittelt hat, sowie die anderen Anbieter von Teilnehmerverzeichnissen, denen er selbst solche Daten geliefert hat, über den Widerruf der Einwilligung dieses Teilnehmers zu informieren.

Die Auffassung des EuGH zu Art. 5 Abs. 2 und Art. 24 DSGVO:

erlegen Art. 5 Abs. 2 und Art. 24 DSGVO den für die Verarbeitung personenbezogener Daten Verantwortlichen eine allgemeine Rechenschaftspflicht sowie Compliance-Pflichten auf“.

Und:

Insbesondere verpflichten diese Bestimmungen die Verantwortlichen, zur Wahrung des Rechts auf Datenschutz geeignete Maßnahmen zu ergreifen, um etwaigen Verstößen gegen die Vorschriften der DSGVO vorzubeugen„.

Für die Praxis von Relevanz dürfte hier der Hinweis auf „vorzubeugen“ sein. Konkret muss der Verantwortliche also ein Compliance-System schaffen, um Verstöße gegen die DSGVO vorab zu verhindern. Diese Aussage mag aus der allgemeinen „Compliance-Sicht“ wenig überraschen, geht es doch dort gerade darum, Rechtsverletzungen zu verhindern. Für den Bereich der DSGVO ist die Aussage aber relevant, da insbesondere Art. 24 DSGVO sehr allgemein gehalten und z. B. ein Verstoß gegen diese Norm nicht bußgeldbewährt ist.

Der EuGH verweist hier auch auf die Begründung des Generalanwalts. Dieser ging ganz explizit davon aus, dass eine solche hier in Rede stehende Informationspflicht zumindest nicht aus Art. 17 oder 19 DSGVO direkt ableitbar ist.

Es trifft zu, dass Art. 17 Abs. 2 und Art. 19 DSGVO spezifische Informationspflichten festlegen, die „Verantwortliche“ (im Hinblick auf Daten, die öffentlich gemacht worden sind und deren Löschung beantragt worden ist) bzw. „Empfänger“ betreffen. Diese Bestimmungen erfassen jedoch nicht den in Rede stehenden Sachverhalt,…

Dennoch, so der EuGH, ergebe sich aus den allgemeinen Verpflichtungen nach Art. 5 Abs. 2 und Art. 24 DSGVO in Verbindung mit Art. 19 DSGVO, dass ein Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den an ihn gerichteten Widerruf der Einwilligung der betroffenen Person zu informieren.

Dies ergebe sich auch aus einer entsprechenden Auslegung des in Art. 12 Abs. 2 DSGVO vorgesehenen Erfordernisses, wonach der Verantwortliche verpflichtet ist, der betroffenen Person die Ausübung der Rechte zu erleichtern, die ihr u. a. durch Art. 17 DSGVO gewährt werden.

EuGH zu den Nachweispflichten bei der Löschung von Daten

Posted on by

In einem kürzlich ergangenen Urteil (Urt. v. 20.10.2022, C-77/21) befasste sich der EuGH mit der praxisrelevanten (wenn durchaus auch ungeliebten) Frage, welche Anforderungen bei der Löschung von Daten und insbesondere dem Nachweis der Erfüllung der Löschpflicht zu beachten sind.

Ausgangsverfahren

Ein ungarisches Unternehmen richtete nach einer technischen Störung, die den Betrieb eines Servers beeinträchtigte, unter der Bezeichnung „test“ eine Testdatenbank ein. In diese kopierte das Unternehmen personenbezogene Daten von ungefähr einem Drittel der Kunden, die in einer anderen Datenbank gespeichert waren, die mit einer Website verlinkt werden konnte und die aktualisierten Daten der Newsletter-Abonnenten für Zwecke der Direktwerbung sowie die Zugangsdaten der Systemadministratoren zur Schnittstelle der Website enthielt. Die ungarische Datenschutzbehörde entschied, dass das Unternehmen gegen Art. 5 Abs. 1 lit. b und e DSGVO verstoßen habe, da es die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht sofort gelöscht habe. Hierdurch seien in der Testdatenbank eine große Menge Kundendaten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert worden seien, die die Identifizierung der betroffenen Personen ermöglicht habe.

Entscheidung des EuGH

In seinem Urteil befasst sich der EuGH ab Rz. 46 ff. mit dem Grundsatz der Speicherbegrenzung und damit auch der Frage der Lösch- und einer erforderlichen Nachweispflicht.

Zunächst stellt der EuGH (wie schon öfter in der Vergangenheit) klar, dass die Grundsätze des Art. 5 Abs. 1 DSGVO kumulativ einzuhalten sind. „Daher muss die Speicherung personenbezogener Daten nicht nur dem Grundsatz der „Zweckbindung“, sondern auch dem Grundsatz der „Speicherbegrenzung“ genügen“.

Bezogen auf den konkreten Fall bewertet der EuGH danach die Frage, ob Art. 5 Abs. 1 lit. e DSGVO dahin auszulegen ist, dass der in dieser Vorschrift vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.

Nachweis über Erforderlichkeit der Speicherung

Nach Ansicht des EuGH muss der Verantwortliche in der Lage sein, gemäß dem Grundsatz der Rechenschaftspflicht, „nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist“.

Praktisch dürfte dies für ein Löschkonzept bedeuten, dass für personenbezogene Daten die jeweilige festgelegte Aufbewahrungsdauer genau geprüft und gut begründbar sein muss. Im Grunde sieht der EuGH hier zwei Ziele der Nachweispflicht:

  • Dass die personenbezogenen Daten rein faktisch nur für den Zeitraum der Erforderlichkeit verarbeitet werden und danach nicht mehr (personenbeziehbar) vorhanden sind.
  • Dass die Erforderlichkeit der Verarbeitung zur Erreichung der definierten Zwecke dargelegt werden kann.

Der erste Aspekt ist aus meiner Sicht eher ein technisches bzw. organisatorisches Thema. Der zweite Aspekt betrifft eher die juristische Begründung der Verarbeitung.

Ein Datum kann mehreren Zwecken dienen – aber irgendwann ist Schluss

Der EuGH stellt im Hinblick auf die Erforderlichkeit zudem klar, dass es nicht zwingend nur einen Verarbeitungszweck geben muss, für den ein Datum verwendet wird. Vielmehr kann ein Datum im Laufe der Zeit mehreren Zwecken dienen. Jedoch ist die Verarbeitung eines Datums dann nicht mehr zulässig, wenn das Datum für die Erreichung der Zwecke nicht mehr erforderlich ist. In diesem Fall muss das Datum gelöscht werden, wenn diese Zwecke erreicht sind. Für den konkreten Fall geht der EuGH daher davon aus, dass der Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, „in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist“. Für die Praxis der Datenlöschung, etwa in Form eines Löschkonzepts, kommt dem Merkmal der „Erforderlichkeit“ und damit der Begründung, warum Daten noch verwendet werden müssen, entscheidende Bedeutung zu.

EDSA: Rechtgrundlage des Art. 6 Abs. 1 f) DSGVO als zusätzliche „Absicherung“ zu anderen Rechtsgrundlagen

Posted on by

Zuletzt hatte ich schon einmal aus dem Beschluss des EDSA in einem Verfahren der irischen Aufsichtsbehörde gegen Meta Platforms (bezüglich Instagram) berichtet. Nachfolgend möchte ich auf eine weitere relevante Ansicht des EDSA aus diesem Beschluss hinweisen.

Bekanntlich enthält Art. 6 Abs. 1 DSGVO verschiedene mögliche Rechtsgrundlagen für eine Datenverarbeitung. Oftmals stellt sich in der Praxis die Frage, ob ein Verantwortlicher einer Datenverarbeitung, die etwa auf Grundlage einer Einwilligung (Art. 6 Abs. 1 a) DSGVO), Art. 6 Abs. 1 b) DSGVO (Vertragsdurchführung) oder Art. 6 Abs. 1 c) DSGVO (Erfüllung rechtlicher Pflichten) erfolgt, zusätzlich dieselbe Verarbeitung auch auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO vornehmen kann. Dies insbesondere in solchen Fällen, in denen der Verantwortliche nicht ganz sicher ist, ob die eigentlich ausgewählte Rechtsgrundlage wirklich zu 100% erfüllt ist. Oder anders formuliert: darf ein Verantwortlicher, zur Absicherung einer Datenverarbeitung etwa auf Basis einer Einwilligung, diese Datenverarbeitung auch hilfsweise auf die Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO stützen?

Die Antwort hierauf gibt nun der EDSA in seinem Beschluss.

Die deutschen Aufsichtsbehörden vertraten die Auffassung, dass ein berechtigtes Interesse im Rahmen des Art. 6 Abs. 1 f) DSGVO nicht bestehen kann, wenn der für die Verarbeitung Verantwortliche es nur für den Fall geltend macht, dass Art. 6 Abs. 1 b) DSGVO auf der Grundlage des nationalen Rechts nicht auf Minderjährige anwendbar sei. Wenn also Art. 6 Abs. 1 b) DSGVO als Rechtsgrundlage nicht möglich wäre.

Der EDSA schließt sich dieser Interpretation nicht an; zumindest nicht pauschal (in Rz. 105 des Beschlusses).

Der EDSA verweist auf die Stellungnahme 6/2014 der damaligen Art. 29 Datenschutzgruppe zum Begriff des „berechtigten Interesses“ und folgenden Hinweis (S. 12):

Andererseits kann eine angemessene Bewertung der Abwägung nach Artikel 7 Buchstabe f, häufig verbunden mit der Möglichkeit, von der Verarbeitung abzusehen, in anderen Fällen eine vertretbare Alternative zu einem unangemessenen Berufen etwa auf die Voraussetzung der „Einwilligung“ oder der „Notwendigkeit für die Erfüllung eines Vertrags“ darstellen. So gesehen, bietet Artikel 7 Buchstabe f zusätzliche Sicherheiten – die geeignete Maßnahmen erfordern – im Vergleich zu den anderen, vordefinierten Voraussetzungen“.

Daher, so der EDSA, scheint es nicht unmöglich, dass ein Verantwortlicher sich auf Art. 6 Abs. 1 f) DSGVO beruft, wenn in Anbetracht der besonderen Umstände der Verarbeitung die Anforderungen der DSGVO erfüllt sind. Der EDSA erteilt hier meines Erachtens (noch) keinen Freifahrtschein dafür, stets pauschal auch Art. 6 Abs. 1 f) DSGVO mit anzuwenden. Jedoch insbesondere in solchen Fällen, in denen die eigentlich angedachte Rechtsgrundlage (aus welchen Gründen auch immer) ein gewisses rechtliches Risiko birgt. Hierzu wird man etwa im Fall des Art. 6 Abs. 1 lit. b) DSGVO auch den Umstand zählen können, dass ein Vertrag aufgrund spezieller nationaler Regelungen nicht wirksam wäre.  Der EDSA gesteht aber in jedem Fall ein mögliches berechtigtes Interesse auch dann zu, falls Art. 6 Abs. 1 f) DSGVO dann genutzt werden soll, wenn die Voraussetzungen der eigentlich angedachten Rechtsgrundlage eventuell nicht (mehr) vorliegen – also als „Absicherung“ der Datenverarbeitung.  

Wirkt ein Verstoß gegen Art. 24 DSGVO bußgelderhöhend? Deutsche Aufsichtsbehörden: ja. EDSA: nein.

Posted on by

Ich hatte nun ein wenig Zeit, über den interessanten Beschluss des EDSA nach Art. 65 DSGVO zu dem Entwurf des Bußgeldbescheides der irischen Datenschutzbehörde gegen Meta Platforms (bezüglich Instagram) zu schauen.

In solchen Beschlüssen finden sich immer viele praxisrelevante Ansichten und Aussagen der einzelnen europäischen Behörden, aber natürlich auch die jeweilige Position des EDSA hierzu.

Ein interessantes Beispiel ist hierbei die Frage, ob eine Verletzung der Vorgaben von Art. 24 DSGVO im Rahmen der Bußgeldbemessung erhöhend zu berücksichtigen ist. Hintergrund: ein Verstoß gegen Art. 24 DSGVO ist an sich eigentlich nicht selbst bußgeldbewährt. Weder in Art. 83 Abs. 4 noch Abs. 5 DSGVO wird Art. 24 genannt. Man könnte also wohl davon ausgehen, dass der Gesetzgeber dies bewusst so geregelt hat.

In dem bindenden Beschluss wird darauf hingewiesen, dass die irische Behörde von einem Verstoß gegen Art. 24 DSGVO ausging (Rz. 169: „Regarding the infringement of Article 24 GDPR, the IE SA stated that this infringement was considered separately…“). Jedoch wollte die irische Behörde diesen Verstoß nicht erhöhend im Rahmen der Bußgeldbemessung berücksichtigen.

Dieser Ansicht traten die deutschen Datenschutzbehörden offensichtlich entschieden entgegen.

Rz. 176: „As for aggravating factors, the DE SAs stated that the LSA should have considered the infringement of Article 24 GDPR as an aggravating factor in respect of the other infringements under Article 83(2)(k) GDPR.”

Nach Art. 83 Abs. 2 lit. k DSGVO sind „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ gebührend zu berücksichtigen.

Die deutschen Behörden waren der Ansicht, dass der Verstoß gegen Art. 24 DSGVO schärfend im Rahmen des Art. 83 Abs. 2 lit. k DSGVO berücksichtigt werden müsse. Zwar sei der Verstoß gegen die Norm selbst nicht ausdrücklich in Art. 83 DSGVO bußgeldbewährt, jedoch müsse der Verstoß bei der Entscheidung der Behörde berücksichtigt werden. Art. 83 Abs. 2 lit. k DSGVO sei bewusst sehr offen formuliert und daher müsste auch der Verstoß hierunter als Faktor fallen.

Diese Ansicht teilt der EDSA jedoch nicht.

Rz 211: „At the same time, the EDPB agrees with the IE SA that the infringement of Article 24 GDPR cannot be considered an aggravating factor under Article 83(2)(k) GDPR”.

Der EDSA geht davon aus, dass der Gesetzgeber sehr bewusst Verstöße gegen Art. 24 DSGVO gerade nicht in die Aufzählungen in Art. 83 Abs. 4 und 5 DSGVO aufgenommen habe. Hierzu wird darauf verwiesen, dass in früheren Versionen der DSGVO Art. 24 DSGVO in dem Katalog des Art. 83 noch enthalten war. Wenn man aber nun, der Ansicht der deutschen Behörden folgend, eine Verletzung von Art. 24 DSGVO dennoch strafschärfend berücksichtigen würde, wäre ein solcher Verstoß zumindest indirekt doch mit Bußgeld belegt. Aus diesem Grund folgt der EDSA der Ansicht der deutschen Behörden nicht.

Jedoch, so der EDSA, ist das Prinzip der Rechenschaftspflicht und damit der Verantwortlichkeit, welches in Art. 24 DSGVO ebenso wie in Art. 5 Abs. 2 DSGVO zum Ausdruck kommt, generell als Faktor bei der Bußgeldbemessung zu berücksichtigen. Hierzu verweist der EDSA auf seine Leitlinien zu Bußgeldern.

Fazit

Zum einen zeigt dieses Beispiel erneut anschaulich, wie unterschiedlich die Interpretationen zur DSGVO, auch innerhalb der Aufsichtsbehörden, sind. Und wie wichtig hierbei eine bindende Instanz wie der EDSA ist. Inhaltlich kann man mitnehmen, dass der Verstoß gegen einen Artikel der DSGVO, der gerade nicht in dem Katalog des Art. 83 Abs. 4 und 5 DSGVO benannt ist, nicht per se bußgelderhöhend wirkt.

Datenschutzbehörde: Produktbewerbung „DS-GVO-konform“ schützt nicht vor Bußgeldern

Posted on by

Aus meiner Sicht eigentlich eine Selbstverständlichkeit, jedoch immer wieder auch in der Praxis ein Diskussionsthema. Wenn Unternehmen Produkte (etwa Cloud-Dienst, Software etc.) verwenden möchten, die im Rahmen der eigenen Bewerbung mit dem Zusatz „DS-GVO-konform“ versehen sind, schützt dies den datenschutzrechtlich Verantwortlichen natürlich nicht per se vor Sanktionen. Erforderlich ist stets, dass man als Kunde (und datenschutzrechtlich Verantwortlicher) selbst prüft, ob ein Umgang mit personenbezogenen Daten tatsächlich zulässig erfolgen kann.

Der Hessische Datenschutzbeauftragte informiert hierüber in seinem aktuellen Tätigkeitsbericht 2021 (PDF, S. 133). Dort geht es um datenschutzrechtliche Fragen der Mitarbeiterüberwachung, etwa bei der Arbeitszeiterfassung.

Erfolgt eine unzulässige Verarbeitung von Mitarbeiterdaten durch den Arbeitgeber, so drohen u.a. Bußgelder nach der DSGVO. Hierzu informiert die Datenschutzbehörde:  

wobei Arbeitgeber sich im Rahmen eines Bußgeldverfahrens nicht durch den Einwand exkulpieren können, dass das eingesetzte Produkt mit dem Zusatz „DS-GVO-konform“ beworben wird. Als Verantwortliche im Sinn des Art. 4 Nr. 7 DS-GVO sind Arbeitgeber nach Art. 5 Abs. 2 DS-GVO für die Einhaltung der Grundsätze der Verarbeitung verantwortlich und rechenschaftspflichtig.“

Wie gesagt, ist diese Feststellung meines Erachtens wenig überraschend. Rein datenschutzrechtlich muss man als Verantwortlicher stets selbst prüfen bzw. entsprechend vorbereitete Dokumente eines Dienstleisters prüfen, ob personenbezogene Daten zulässig verarbeitet werden können. Eine andere Frage ist, ob man als Kunde vertragsrechtliche Ansprüche gegen den Anbieter des Produkts geltend machen kann, wenn dieser etwa eine DSGVO-Konformität zusichert oder mit dieser für sein Produkt wirbt.

Internationale Datentransfers: muss in Datenschutzhinweisen das konkrete Drittland angegeben werden?

Posted on by

Das Thema „internationale Datentransfers“ ist ja im Grunde ein stetiger Dauerbrenner im Datenschutzrecht. Sei es die Umsetzung der Vorgaben des EuGH bzw. des EDSA oder der zwingende Abschluss der neuen SCC vor Dezember 2022, wenn die alten SCC ihre Gültigkeit verlieren.

Eine Datenübermittlung in ein Land außerhalb des EWR hat aber auch (oft übersehene) Konsequenzen auf der Ebene der Transparenzpflichten, konkret in Art. 13 und 14 DSGVO. Nach Art. 13 Abs. 1 lit. f DSGVO muss der Verantwortliche den Betroffenen, etwa in Datenschutzhinwiesen auf der Webseite oder ggü. den Mitarbeitern, die Absicht mitteilen, „die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind“.

Bereits die „Absicht“ von Datentransfers löst hier also eine Informationspflicht aus. Das ist im Grunde ein Vorfeldschutz, vor der eigentlichen Übermittlung. „Absicht“ dürfte aber zumindest so zu verstehen sein, dass der Verantwortliche die Übermittlung auch tatsächlich plant und will; es geht also nicht um zufällig, unbewusste Übermittlungen.

Praktisch stellt sich oft die Frage, ob denn ein Verantwortlicher das konkrete Drittland in den Hinweisen benennen muss, in welches personenbezogene Daten gehen. Je nach eingebundenen Dienstleistern oder etwa der Größe eines Konzerns, kann hier schnell eine größere Anzahl an Drittländern zusammen kommen. Davon zu trennen ist freilich die stets bestehende Möglichkeit, dass Verantwortliche die spezifischen Drittländer einfach immer benennen, unabhängig davon, ob sie nun verpflichtet sind oder nicht.

Der Wortlaut der Norm spricht eher gegen eine genaue Angabe des Drittlandes. Dort heißt es „ein Drittland“, nicht etwa „das betreffende Drittland“ oder ähnlich. Speziell ist die Situation eventuell im Fall eines Angemessenheitsbeschlusses. Wenn man auf den konkreten Beschluss verweisen würde, ist klar, um welches Land es geht.

Der EDSA führt in seinen Leitlinien zur Transparenz (WP 260 rev01, S. 48) aus: „Im Einklang mit dem Grundsatz von Treu und Glauben sollten die zu Datenübermittlungen in Drittländer bereitgestellten Informationen den betroffenen Personen so zweckdienlich wie möglich sein; normalerweise bedeutet dies, dass die Drittländer namentlich angegeben werden“. Auch der EDSA sieht die Benennung der konkreten Drittländer also wohl eher nicht als Pflicht an, sondern empfiehlt deren Angabe. Die Leitlinien sprechen zumindest nicht davon, dass die Information anzugeben ist oder stets angegeben werden muss. Man mag den EDSA hier evtl. aber auch strenger verstehen.

Der BayLfD ist bei dieser Frage sehr klar (Orientierungshilfe „Informationspflichten des Verantwortlichen“, S. 20). Art. 13 Abs. 1 lit. f DSGVO verlange nicht, dass das betreffende Drittland namentlich genannt wird. Gleichwohl empfiehlt der BayLfD (ebenfalls unter Verweis auf Transparenzgründe) diese Information bereitzustellen.

Ein deutliches Argument gegen eine Pflicht zur Angabe des spezifischen Drittlands nach Art. 13 Abs. 1 lit. f DSGVO ist ein systematischer Vergleich mit der Pflicht des Art. 30 Abs. 1 lit. e DSGVO. Danach muss der Verantwortliche in dem Verzeichnis der Verarbeitungstätigkeiten gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands (Hervorhebung durch mich) dokumentieren. Hier sieht der Gesetzgeber ganz klar eine Pflicht zur Benennung des „betreffenden Drittlands“ vor. Wenn es gewollt gewesen wäre, hätte der Gesetzgeber eben diese Pflicht auch in Art. 13 Abs. 1 lit. f DSGVO aufgenommen. Man muss also davon ausgehen, dass dies bewusst nicht erfolgte.

Keine Auskunft und Reaktion auf Betroffenenanfrage: 20.000 EUR Bußgeld gegen Deutsche Bank in Italien

Posted on by

Die italienische Datenschutzbehörde hat am 16. Juni 2022 ein Bußgeld in Höhe von 20.000 EUR gegen die Deutsche Bank in Italien verhängt (Mitteilung der Behörde, auf Italienisch). Die Entscheidung ist besonders praxisrelevant, da es um einen Verstoß gegen Art. 12 und 15 DSGVO, also das Auskunftsrecht nach der DSGVO ging, welches Unternehmen immer wieder beschäftigt. Vorliegen lag auch einer der klassischen, aber gleichzeitig vermeidbaren Fehler vor: das Auskunftsersuchen wurde nicht (rechtzeitig) bearbeitet.  

Die Entscheidung ist nur auf Italienisch abrufbar. Ich habe sie selbst übersetzt und kann daher nicht für absolute Richtigkeit garantieren.

Sachverhalt

Der Betroffene legte am 26.10.2020 bei der Datenschutzbehörde eine Beschwerde über eine unrechtmäßige Verarbeitung personenbezogener Daten durch die Deutsche Bank S.p.A. ein und beschwerte sich zudem über die Nichtbeantwortung des an die Bank gerichteten Antrags auf Ausübung seiner Betroffenenrechte vom 15.07.2020. In diesem bat er um die nach Art. 13 DSGVO erforderlichen Informationen und wohl auch ganz generell um Auskunft zu seinen Daten (Art. 15 DSGVO). Innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen fristen ging jedoch keine Antwort der Bank ein.

Erst im Nachgang (im Jahr 2021), als die Datenschutzbehörde die Bank zur Auskunft aufforderte, wurde diese gegenüber dem Betroffenen erteilt

In einem Schreiben an die Aufsichtsbehörde räumte die Bank ein, dass sie dem Betroffenen keine Informationen und keine Auskunft erteilt hatte, und übermittelte dem Beschwerdeführer und der Behörde die angeforderten Unterlagen.

Entscheidung

Auf der Grundlage der von der Bank abgegebenen wurde ein Sanktionsverfahrens wegen Verstößen gegen Art. 12 Abs. 3 und Art. 15 DSGVO eingeleitet.

Die Datenschutzbehörde stellt fest, dass die Bank auf den vom Beschwerdeführer formulierten Antrag auf Ausübung seiner Rechte nicht innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen Frist geantwortet hat. Zudem informierte sie den Betroffenen auch nicht innerhalb der vorgegebenen Frist über die Gründe für die Nichterfüllung der Anforderungen und über die Möglichkeit, eine Beschwerde bei der Behörde einzureichen (Art. 12 Abs. 4 DSGVO).

Die Bank verteidigte sich wohl u.a. damit, dass der Antrag auf Ausübung von Rechten im Rahmen eines umfassenderen und detaillierteren Ersuchens des Kunden gestellt worden sei, was eine rechtzeitige Antwort verhindert hätte. Hierin sah die Datenschutzbehörde jedoch kein Argument dafür, die Betroffenenanfrage nicht fristgemäß zu beantworten.

Zur Begründung verweist die Aufsichtsbehörde auch auf Art. 12 Abs. 2 DSGVO, wonach „der für die Verarbeitung Verantwortliche die Ausübung der Rechte der betroffenen Person nach den Artikeln 15 bis 22 zu erleichtern hat“.

Zudem brachte die Bank als Argument vor, dass die Informationen gemäß Art. 13 DSGVO und die Daten, die Gegenstand des Antrags sind, der betroffenen Person bereits bekannt waren. Auch diesen Einwand lies die Datenschutzbehörde nicht gelten.

In Art. 15 DSGVO sei als erster Schritt das Rechts der betroffenen Person verankert, „von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht“ und, falls dies der Fall ist, das Recht, „Zugang zu den Daten“ und weitere Informationen zu erhalten. Dies geschehe auch, um die Richtigkeit und Vollständigkeit der verarbeiteten Daten zu überprüfen.

Basierend hierauf wurde die Beschwerde für begründet erklärt und basierend auf Art. 58 Abs. 2, 83 Abs. 3 DSGVO eine Geldbuße verhängt.

Die Behörde setzt die Geldbuße in Höhe von 20.000,00 EUR für den Verstoß gegen die Art. 12 und 15 DSGVO fest.

Fazit

Betroffenenrechte spielen, insbesondere im B2C-Bereich eine herausragende Rolle, wenn es um die DSGVO-Compliance geht. Insbesondere sollten datenverarbeitende Stellen intern Prozesse und Vorgaben etablieren, die eine rechtzeitige Bearbeitung von Betroffenenanfragen sicherstellen. Eine ausbleibende oder verspätete Antwort kann im schlimmsten Fall mit einem Bußgeld geahndet werden. Gerade der Fehler einer Nichtbearbeitung oder der Verspätung ist meiner Ansicht nach aber in der Praxis gut vermeidbar, wenn man intern entsprechende Vorgaben schafft und Mitarbeiter regelmäßig schult. 20.000 EUR für einen Fall mag im ersten Moment „vertretbar“ anmuten – jedoh sollte man aus Unternehmenssicht beachten, dass, bei fehlenden internen Leitlinien und Prozessen, über einen längeren Zeitraum evtl. nicht nur eine Anfrage, sondern eine viel größere Anzahl nicht richtig bearbeitet wird. Entsprechend dürfte dann auch das mögliche Bußgeld nach oben angepasst werden.

Datenschutzbehörde Liechtenstein: Betroffene haben keinen DSGVO-Anspruch auf Herausgabe der TOMs

Posted on by

In ihrem aktuellen Tätigkeitsbericht (PDF, S. 19) informiert die Datenschutzstelle Liechtenstein u.a. auch zu Beratungsanfragen zu dem Themenkomplex „Auskunft“ nach Art. 15 DSGVO.

Mehrere betroffene Personen als auch Verantwortliche stellten die Frage, ob im Rahmen der Auskunftserteilung nach Art. 15 DSGVO auch eine Information über technische und organisatorische Maßnahmen (TOM) erteilt werden muss. Dies ist ein Fall, der in der Praxis recht häufig vorkommt. Daneben verlangen Betroffene oft auch die Herausgabe des Verzeichnisses der Verarbeitungstätigkeiten.  

Die Antwort der Datenschutzbehörde ist hier (meines Erachtens zu Recht) eindeutig.

Weder Art. 13 oder 14 DSGVO noch Art. 15 DSGVO begründen einen Rechtsanspruch auf Informationen zu TOM.“

Die Aufsichtsbehörde geht in ihrer Einschätzung also auch auf die Informationspflichten nach Art. 13 und 14 DSGVO ein. Auch diese enthielten aber keine entsprechende Verpflichtung zur Zugänglichmachung der TOMs.

Zwar sehe Art. 30 DSGVO vor, dass im Verarbeitungsverzeichnis eine allgemeine Beschreibung der TOM zu erfolgen muss.

Dieses Verzeichnis muss allerdings nicht gegenüber betroffenen Personen offengelegt werden.“

Dies ist eine weitere praxisrelevante Feststellung der Aufsichtsbehörde.

Finnische Datenschutzbehörde: Regelmäßige Prüfung der Kontaktkanäle für Datenschutzanfragen erforderlich

Posted on by

Am 9.5.2022 hat die finnische Datenschutzbehörde gegen ein Unternehmen (einen finnischen Verlag) ein Bußgeld in Höhe von 85.000 EUR wegen mehrerer Verstöße gegen die DSGVO verhängt (Englisch). Die Entscheidung betrifft einige praxisrelevante Fragestellung der Umsetzung von Betroffenenrechten.

Einleitend informiert die Behörde darüber, dass sie insgesamt elf Beschwerden zu dem Unternehmen erhalten hatte. Unter anderem hatten die Betroffenen keine Antwort auf ihre Anträge oder Anfragen zu Datenschutzrechten erhalten.

Kontaktkanäle für betroffene Personen müssen regelmäßig getestet werden

Einige Datenschutzanfragen von Betroffenen wurden aufgrund eines technischen Problems bei der E-Mail-Weiterleitung nicht umgesetzt, als das Unternehmen seinen Dienstleister wechselte.

Dies führte dazu, dass E-Mails, die in dem für Datenschutzfragen reservierten E-Mail-Posteingang eingingen, nicht an die Mitarbeiter des Kundendienstes weitergeleitet wurden. Das Problem wurde erst durch das Auskunftsersuchen der Datenschutzbehörde entdeckt. Zu diesem Zeitpunkt hatte die Unterbrechung der E-Mail-Weiterleitung bereits sieben Monate gedauert.

Nach Ansicht der Aufsichtsbehörde wäre das Unternehmen verpflichtet gewesen, sich um die Prüfung des E-Mail-Postfachs zu kümmern, da dies der wichtigste elektronische Kontaktkanal der betroffenen Personen in Datenschutzangelegenheiten war.

Aus der offiziellen Pressemitteilung wird leider nicht klar, welche Norm der DSGVO die Behörde hierdurch als verletzt ansieht. Auf der Webseite des EDSA wird u.a. ein Verstoß gegen Art. 12 DSGVO angegeben. Dies scheint mir hier auch die passende gesetzliche Grundlage zu sein. Nach Art. 12 Abs. 2 S. 1 DSGVO muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtern. Wenn aber Anfragen von Betroffenen gar nicht bearbeitet werden (und sei es auch nur aufgrund eines technischen Fehlers), dürfte dies gerade keine Erleichterung, sondern eine Erschwerung darstellen. Praktisch bedeutet dies, dass Unternehmen in regelmäßigen Abständen ihre DSGVO-Kanäle für Betroffene von extern testen sollten.

Unnötige Informationen dürfen nicht zur Identifizierung angefordert werden

Daneben konnten Betroffene mit einem ausdruckbaren Formular auch Anfragen zu ihren eigenen Daten stellen. Hierbei ging es wohl um Auskunftsanfragen nach Art. 15 DSGVO. Das Formular verlangte zur Identifikation jedoch die Unterschrift der betroffenen Person.

Nach Ansicht der Aufsichtsbehörde verarbeitete das Unternehmen aber auf diese Weise eine übermäßige Menge an Informationen zur Identifizierung. Insbesondere konnte das Unternehmen nicht darlegen, dass es die Unterschrift etwa mit bei sich vorhandenen Unterschriften der Betroffenen abglich. Denn es wurden ansonsten keine Unterschriften der Betroffenen erhoben.

Auch dieses Vorgehen dürfte nach Ansicht der Behörde einen Verstoß gegen Art. 12 Abs. 1 DSGVO darstellen. Zudem wird in der Mitteilung auf der Webseite des EDSA auch ein Verstoß gegen Art. 5 Abs. 1 lit. c DSGVO erwähnt, also gegen den Grundsatz der Datenminimierung. Die (nicht erforderliche) Erhebung es Datums „Unterschrift“ dürfte auch gegen diese Norm verstoßen haben.

Bayerischer Landesbeauftragter: Datenlöschung kann grundsätzlich von Verjährungs- oder Klagefristen abhängig gemacht werden

Posted on by

Der Bayerische Landesbeauftragte (BayLfD) hat im Juli eine schöne Orientierungshilfe zu dem Recht auf Löschung nach der DSGVO veröffentlicht (PDF). Hierbei geht die Behörde auch auf die praxisrelevante Frage ein, ob und wenn ja, wann personenbezogene Daten zu löschen sind, wenn diese Daten gegebenenfalls noch im Rahmen von rechtlichen Auseinandersetzungen und zur Verteilung gegen Ansprüche erforderlich sind.

Nach Art. 17 Abs. 1 lit. a) DSGVO sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Nach dem BayLfD sind die Daten für den Verarbeitungszweck unter anderem nicht mehr notwendig, wenn dieser Zweck schon erreicht wurde, indem die ursprünglich angedachte Maßnahme durchgeführt wurde, und dazu nur die temporäre Datennutzung erforderlich war. Ebenso ist es aber auch möglich, dass die Zwecke nicht erreicht wurden und auch nicht mehr erreichbar sind.

Nach Art. 17 Abs. 3 lit. e) DSGVO gilt Absatz 1 jedoch nicht (es besteht also keine Löschpflicht), soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Zweck dieser Vorschrift ist es laut dem BayLfD u.a., einem Beweismittelverlust durch Löschung entgegenwirken. Zudem gelte die Ausnahme sowohl für gerichtliche wie außergerichtliche Verfahren. Diese Klarstellung ist sehr praxisrelevant, da natürlich nicht jede Streitigkeit zu Verträgen oder etwa Ansprüchen von Kunden direkt gerichtlich ausgefochten wird.

Wann darf man sich auf die Ausnahme berufen?

Eine strenge Ansicht vertritt der BayLfD jedoch bei der Frage, wann davon auszugehen ist, dass die Daten für die Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich sind. Nach Ansicht der Behörde wäre es nicht mehr erforderlich,

wenn Daten nur zu dem Zweck dauerhaft gesammelt würden, weil diese theoretisch irgendwann Gegenstand eines Rechtsstreits sein könnten. Vielmehr muss die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bereits stattfinden oder mit einer hinreichend hohen Wahrscheinlichkeit bevorstehen“.

Diese Ansicht vertreten auch andere deutsche Aufsichtsbehörden. Meines Erachtens benachteiligt eine solche Auffassung aber datenverarbeitende Stellen unangemessen, bei denen es bisher nie zu Problemen kam. Ein Beispiel: der Schönheitschirurg, der sich bisher nie Klagen von Patienten ausgesetzt sah, dürfte Behandlungsdokumentation nicht mit dem Argument speichern, dass eine solche Klage in Zukunft aber theoretisch möglich ist. Andererseits dürfte der Arzt, bei dem es regelmäßig zu Klagen von Patienten wegen schlechter Behandlung kommt, die personenbezogenen Daten speichern, um sich verteidigen zu können. Denn bei ihm bestünde eine „hinreichende Wahrscheinlichkeit“. Dieses Ergebnis ist aus meiner Sicht unangemessen und so auch nicht aus Art. 17 Abs. 3 lit. e) DSGVO ableitbar.

Orientierung an Verjährungs- und Klagefristen

Begrüßenswert ist die Auffassung des LfD, dass sich die zeitliche Dimension der Erforderlichkeit im Grundsatz klar bemessen lässt,

wenn die Möglichkeit der Rechtsdurchsetzung an Fristen (etwa Verjährungs- oder Klagefristen) gebunden ist.“

Die Behörde hält es also für zulässig, wenn sich Verantwortliche bei der Frage der Löschung an laufenden Verjährungsfristen und Klagefristen von Ansprüchen orientieren. Ich würde hier auch entsprechende Fristen zur Verfolgungsverjährung, etwa aus dem OwiG zählen (§ 31 OwiG). Jedoch schränkt der LfD seine Ansicht dahingehend ein, dass insbesondere bei langen Verjährungsfristen eine Abwägung zwischen den Interessen der betroffenen Person auf Löschung der Daten einerseits und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen andererseits vorzunehmen sei. Diesbezüglich stellt sich meines Erachtens erneut das oben angesprochene Problem, dass bei einer solchen Auslegung datenverarbeitende Stellen begünstigt wären (Daten also speichern dürften), wenn sie in der Vergangenheit mit Ansprüchen und Klagen konfrontiert waren; Unternehmen, bei denen es jedoch bislang nie solche Streitigkeiten gab, müssten aber wohl vor Ablauf einer „langen“ Verjährungsfrist löschen. Unklar ist hier, was der LfD unter einer „langen“ Frist versteht.