DSGVO-Auskunftsanspruch gegenüber dem Auftragsverarbeiter? Dänische Datenschutzbehörde sagt „Nein, aber…“

Die dänische Aufsichtsbehörde hat am 20.5.2022 einen interessanten Fall (Entscheidung auf Englisch, PDF) zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden. Zudem geht sie in ihrer Entscheidung auf die Unterstützungspflichten des Auftragsverarbeiters bei Betroffenenanfragen ein.

Sachverhalt

Der Betroffene kaufte auf ebay einen Artikel bei dem Unternehmen Asus. Im Rahmen des Kaufs gab der Betroffene die E-Mail-Adresse ebay@levaria.de an. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com an die beim Kauf angegebene Adresse ebay@levaria.de, in der der Asus Online Shop als Absender angegeben war. Dort wurde der Betroffene gebeten, das Kauferlebnis bei Asus auf Trustpilot zu bewerten.

Daraufhin kontaktierte der Betroffene Trustpilot direkt, jedoch von einer anderen E-Mail-Adresse (service@levaria.de) und bat um Auskunft über die von Trustpilot möglicherweise verarbeiteten personenbezogenen Daten. Die Anfrage enthielt neben der E-Mail-Adresse auch den Namen und die Adresse. Trustpilot antwortete und teilte mit, dass Trustpilot keinen aktiven Nutzer für die E-Mail service@levaria.de ausfindig machen konnte und daher keine Daten über ihn verarbeitet.

Danach erhielt der Betroffene erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops an ebay@levaria.de, in der er erneut gebeten wurden, den Einkauf bei Asus zu bewerten. Hierauf beschwerte sich der Betroffene zunächst bei der bayerischen Behörde (BayLDA), die die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiterleitete.

Entscheidung

Die dänische Behörde ist die für Trustpilot zuständige Aufsichtsbehörde in der EU. Für die Behörde ging es um die Frage, ob Trustpilot nach Art. 15 DSGVO verpflichtet war, Auskunft zu erteilen und wenn ja, ob dies hier richtig erfolgte.

Trustpilot als Verantwortlicher?

Die dänische Behörde hebt in ihrer Begründung hervor, dass allein der Verantwortliche nach Art. 15 DSGVO verpflichtet ist, die Auskunft an Betroffene zu erteilen.

Es liegt daher in der Verantwortung des für die Verarbeitung Verantwortlichen, dass ein Antrag einer betroffenen Person auf Auskunft gemäß Artikel 15 der DSGVO bearbeitet wird“.

Im konkreten Fall gab Trustpilot an, in Bezug auf den Versand von Einladungs-E-Mails als Auftragsverarbeiter zu agieren. Dies beruhe u.a. darauf, dass Unternehmen, wie z.B. der Asus Online Shop, entscheiden, ob sie die Einladungssoftware von Trustpilot nutzen wollen oder nicht, ebenso wie die Unternehmen entscheiden, ob und wann Einladungen über die Einladungssoftware von Trustpilot verschickt werden.

Damit war aus Sicht der Aufsichtsbehörde die Frage beantwortet, ob Trustpilot verpflichtet war, im eigenen Namen die Auskunft zu erfüllen.

Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“

Identifikation des Betroffenen durch den Auftragsverarbeiter?

Zwar war Trustpilot also selbst nicht nach der DSGVO verpflichtet, die Auskunft zu erfüllen. Jedoch ist der Auftragsverarbeiter nach Art. 28 Abs. 3 e) DSGVO in dem AV-Vertrag darauf zu verpflichten, den Verantwortlichen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen.

Es stelle sich also noch die Frage, ob Trustpilot hier dieser Unterstützungspflicht ausreichend nachkam.

Nach Ansicht der dänischen Aufsichtsbehörde hat Trustpilot in dem Verfahren ausführlich dargelegt, dass es bei der ersten und zweiten Kontaktaufnahme des Betroffenen mit Trustpilot eine Suche über die E-Mail service@levaria.de durchgeführt hat und dass Trustpilot die betroffene Person auf dieser Grundlage nicht identifizieren konnte, da Trustpilot die E-Mail service@levaria.de nicht registriert hatte.

Denn Trustpilot verarbeitete nur die mit der E-Mail-Adresse ebay@levaria.de (jene, die bei dem Kauf verwendet wurde) verbundenen Informationen als Auftragsverarbeiter für den Asus Online Shop. Da diese E-Mail-Adresse aber im Zusammenhang mit der Auskunftsanfrage nicht verwendet wurde, konnte Trustpilot in seinen Systemen keine Daten finden.

ABER: der Betroffene hatte ja im Rahmen seiner Anfrage u.a. auch seinen Namen und die postalische Adresse angegeben.

Die dänische Datenschutzbehörde kritisiert vor diesem Hintergrund, dass Trustpilot keine einheitliche Praxis bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die die betroffene Person im Zusammenhang mit ihrer Anfrage übermittelt, umgesetzt hatte. Nach dem Namen und der Adresse konnte Trustpilot anscheinend nicht suchen und einen Abgleich durchführen.

So hätte Trustpilot die Möglichkeit der Identifizierung der betroffenen Person und könnte, in seiner Rolle als Auftragsverarbeiter, den für die Verarbeitung Verantwortlichen in dem vereinbarten Umfang unterstützen. Die dänische Behörde gab dies jedoch nur als Hinweis an Trustpilot und stellte das Verfahren ein.

Fazit

Die Aufsichtsbehörde scheint also zu empfehlen, dass Trustpilot zusätzliche Daten als Auftragsverarbeiter erhält (Name und Adresse), die zwar für die eigene Leistung (Versand der E-Mail) nicht erforderlich sind, jedoch im Rahmen der Betroffenenanfragen relevant werden können. Diese Ansicht mag man im Hinblick auf die Erleichterung von Betroffenenanfragen unterstützen. Gleichzeitig ist der Verantwortliche (für den Trustpilot hier als Auftragsverarbeiter ja auch bei Betroffenenanfragen unterstützen muss) aber nach Art. 11 DSGVO gerade nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur für den Zweck, um Betroffenenrechte zu erfüllen.

Man wird hier wohl die Besonderheit beachten müssen, dass die erforderlichen Daten (Name und Adresse) aber natürlich schon bei dem Verantwortlichen vorhanden sind. Eventuell wäre es hier eine Option gewesen, dass Trustpilot die Anfrage des Betroffenen (auch mit der eigentlich unbekannten E-Mail-Adresse) direkt an Asus weiterleitet.

Informationen über Drittlandsübermittlungen nach Art. 13 DSGVO – strenge Auffassung der irischen Aufsichtsbehörde

Da die Anforderungen des Kapitels V der DSGVO, die sich auf Datenübermittlungen in Drittstaaten beziehen, weiterhin praktische Relevanz haben, stellt sich oft die Frage, wie die Informationspflichten in diesem Zusammenhang gemäß Art. 13 Abs. 1 lit. f) DSGVO zu erfüllen sind. 

Nach dieser Vorschrift hat der für die Verarbeitung Verantwortliche folgende Angaben zu machen: 

„gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.“

In seiner „WhatsApp-Entscheidung“ (pdf) vom August 2021 befasste sich die DPC Ireland auch mit der Frage der Einhaltung von Art. 13 Abs. 1 lit. f) DSGVO. 

Vorhandensein oder Nichtvorhandensein eines Angemessenheitsbeschlusses

Nach Ansicht der DPC geht diese Formulierung über die Anforderung an den für die Verarbeitung Verantwortlichen hinaus, festzustellen, „ob“ oder „ob“ ein Angemessenheitsbeschluss in Bezug auf das vorgeschlagene Übermittlungsland vorliegt. Stattdessen verlangt die Verpflichtung von einem für die Verarbeitung Verantwortlichen 

verbindliche Informationen bereitzustellen, so dass die betroffene Person entweder (i) darüber informiert wird, dass die Übermittlung Gegenstand eines Angemessenheitsbeschlusses ist, oder (ii) darüber, dass die Übermittlung nicht Gegenstand eines Angemessenheitsbeschlusses ist„.

Nach Ansicht der Datenschutzbehörde muss die Information auf jeden Fall erteilt werden, auch wenn sie nur negativ ausfällt (z. B.: „Für das Land XYZ liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor“). 

Hinweis auf die geeigneten oder angemessenen Garantien

Diese Information muss der betroffenen Person im Falle einer Übermittlung, die nicht Gegenstand eines Angemessenheitsbeschlusses ist, zur Verfügung gestellt werden. 

Nach Ansicht der DPC ist diese Informationspflicht sehr spezifisch. Der Grund dafür ist, dass die betroffene Person auf Wunsch Zugang zu detaillierten Informationen über die zum Schutz ihrer personenbezogenen Daten angewandten Garantien erhalten soll. Nach Ansicht der DPC reicht es daher nicht aus, auf eine Website zu verweisen, auf der allgemeine Informationen über die EU-Standardvertragsklauseln zu finden sind. 

Um es klar zu sagen: Es reicht nicht aus, einfach einen Link zu einer allgemeinen Webseite der Europäischen Kommission zu setzen. Die Transparenzleitlinien machen deutlich, dass die betroffene Person in der Lage sein sollte, auf das jeweilige Dokument, auf das sie sich beruft, zuzugreifen (oder Zugang zu erhalten, wenn der Zugang nicht direkt gewährt wird), d. h. in diesem Fall auf die spezifischen Standardvertragsklauseln oder die spezifische Angemessenheitsentscheidung.“

Nach Ansicht der DPC mussten die für die Verarbeitung Verantwortlichen (in der Vergangenheit) ausdrücklich über die verwendeten Klauseln informieren. Aus meiner Sicht sollte man davon ausgehen, dass dies im Rahmen der „neuen“ SCC bedeutet, dass der Verantwortliche über das verwendete spezifische Modul informieren muss. 

Aufbewahrungsfrist zur Erfüllung der DSGVO-Nachweispflichten – Datenschutzbehörde: 3 Jahre

Die DSGVO etabliert bekanntlich eine (je nach Auslegung sehr umfassende) Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 DSGVO. Daneben kennt die DSGVO auch noch weitere Nachweispflichten, z. B. in Art. 7 Abs. 1 DSGVO für die Einwilligung oder in Art. 12 Abs. 5 DSGVO für offenkundig unbegründete oder exzessive Anträge von Betroffenen. 

In der Praxis kommt oft die Frage auf, wie lange Verantwortliche denn eine entsprechende Dokumentation, dass man sich in bestimmten Situationen an die DSGVO gehalten hat, aufbewahren dürfen bzw. müssen. Ein Beispiel: der Verantwortliche erteilt eine Auskunft nach Art. 15 DSGVO. Nach 1,5 Jahren beschwert sich der Betroffene darüber, dass er keine Auskunft erhalten habe. Wenn der Verantwortliche nun die Auskunftserteilung schon gelöscht hat, wird es für ihn schwer, die ordentliche Erfüllung seiner rechtlichen Pflichten nachzuweisen. Gleichzeitig enthält diese Dokumentation, z. B. die versendete E-Mail und Dokumente, natürlich personenbezogene Daten. Man benötigt für eine Speicherung also eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Einen praxisrelevanten Fall zu diesem Themenkomplex hatte die Datenschutzbehörde aus Thüringen zu entscheiden und berichtet hierüber in ihrem Tätigkeitsbericht 2021, ab S. 167 (pdf).

Es ging dort um den Versand von E-Mails an eine Betroffene. Diese gab an, nie in den Erhalt der E-Mails eingewilligt zu haben. Gleichzeitig verlangt die Betroffene dann auch Auskunft nach Art. 15 DSGVO und die Löschung ihrer Daten von dem Verantwortlichen. Nachdem sie hierauf keine Antwort erhielt, beschwerte sie sich bei dem TLfDI. 

Nach Ansicht der Aufsichtsbehörde war das Unternehmen als Verantwortliche verpflichtet, den entsprechenden Nachweis darüber zu führen, dass eine Einwilligung vorlag (vgl. Art. 7 Abs. 1 DSGVO). Die DSGVO enthalte insoweit eine ausdrückliche Beweislastregel für das Vorliegen einer wirksamen Einwilligung. Den Verantwortlichen treffe nicht nur die Verantwortung für die Einhaltung der in Art. 5 Abs. 1 DSGVO geregelten Grundsätze für die Verarbeitung personenbezogener Daten, er müsse ihre Einhaltung auch nachweisen können. Diese Nachweispflicht könne er durch entsprechende Dokumentation oder ein Daten-Management-System erfüllen.

Vorliegend gelang dies dem Verantwortlichen jedoch. Dieser antwortete der Aufsichtsbehörde sogar, dass er alle Daten zu der Betroffenen aufgrund ihrer Anfrage gelöscht habe und daher keinen Nachweis mehr erbringen könne. 

Diese Ansicht teilte der TLfDI nicht. Die Nachweispflicht sei gerade nicht durch das Löschungsverlangen der Betroffenen entfallen. Denn gemäß Art. 17 Abs. 3 lit. b) DSGVO ist die Löschung personenbezogener Daten ausgeschlossen, soweit diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind, welche die Verarbeitung nach dem Recht der Union oder der Mitgliedsstaaten erfordert, dem der Verantwortliche unterliegt. 

Der TLfDI weiter: „Diese Sonderregelung entspricht der Rechtsgrundlage für die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung aus Art. 6 Abs. 1 Satz 1 Buchstabe c) DS-GVO. Zu diesen Rechtspflichten zählen insbesondere Speicher-, Dokumentations- und Aufbewahrungspflichten, zu denen auch die in Art. 5 Abs. 2 und Art. 7 Abs. 1 DS-GVO geregelten Nachweispflichten zählen“.

Wichtig: die Behörde geht also davon aus, dass Verantwortliche solche Daten (und diese enthaltene Dokumente) nicht löschen dürfen, die für die Erfüllung des Nachweises der Einhaltung der DSGVO erforderlich sind. Ganz ausdrücklich allgemein nach Art. 5 Abs. 2 DSGVO. Auch dann nicht, wenn die Betroffene dies verlangt. Diese Ansicht ist meines Erachtens richtig, jedoch in dieser Deutlichkeit bisher eher nicht von Behörden vertreten worden. 

Zuletzt ging es dann noch um die Frage, welche konkrete Aufbewahrungsfrist für den Nachweis der Einwilligung gelte. Denn die DSGVO sehe hierzu keine ausdrückliche Regelung vor.

Der TLfDI stellt hier auf eine Frist von drei Jahren ab, da nach Ablauf dieses Zeitraums ein Buß- geldverfahren in der Regel als verjährt anzusehen ist.“

Wichtig: die Behörde setzt hier also die Verjährungsfristen für Verstöße gegen die DSGVO an (vgl. § 31 Abs. 2 Nr. 1 OWiG). Meines Erachtens ist diese Argumentation und Ansicht der Behörde auch auf andere Nachweispflichten und durchaus auch allgemein auf Dokumentation (mit personenbezogenen Daten) übertragbar, die Verantwortliche vorhalten, um die Einhaltung der DSGVO nachweisen zu können. 

Norwegische Datenschutzbehörde: DSGVO-Auskunftsersuchen an den CEO musste nicht beantwortet werden

Mit Entscheidung (PDF) vom 10. Mai 2022 hat die norwegische Datenschutzbehörde („Datatilsynet“) entschieden, dass ein für die Verarbeitung Verantwortlicher (in diesem Fall die Zalaris ASA) nicht gegen Art. 12 Abs. 5 und 15 DSGVO verstoßen hat, weil ein per E-Mail an den Geschäftsführer gerichtetes Auskunftsersuchen unbeantwortet blieb.

Der Beschwerdeführer (eine betroffene Person mit Wohnsitz in Deutschland, die früher bei der deutschen Tochtergesellschaft des für die Verarbeitung Verantwortlichen beschäftigt war) schrieb an den Geschäftsführer des Unternehmens, um sein Auskunftsrecht nach Art. 15 DSGVO geltend zu machen. Er erhielt keine Antwort, reichte bei Datatilsynet eine Beschwerde gegen Zalaris ein und versuchte es bei einer anderen „DSGVO“-Adresse. Aber auch diese Anfrage blieb unbeantwortet.

Ich möchte mich auf die Argumentation von Datatilsynet in Bezug auf die erste, an den CEO gerichtete E-Mail konzentrieren.

Der für die Verarbeitung Verantwortliche räumte ein, dass er auf die Auskunftsersuchen des Beschwerdeführers nicht reagiert hat. Zalaris machte jedoch geltend, dass dies darauf zurückzuführen sei, dass die erste Anfrage direkt an den CEO des Unternehmens gerichtet war (die zweite landete im Spam-Ordner des E-Mail-Posteingangs des Unternehmens).

Datatilsynet argumentiert, dass der erste Antrag auf Zugang nicht beantwortet werden musste.

… unserer Ansicht nach kann Zalaris nicht viel vorgeworfen werden. Wie der Europäische Datenschutzausschuss (EDPB) festgestellt hat: Der für die Verarbeitung Verantwortliche ist […] nicht verpflichtet, einer Anfrage nachzukommen, die an die E-Mail-Adresse eines Mitarbeiters des für die Verarbeitung Verantwortlichen gerichtet ist, der nicht mit der Bearbeitung von Anfragen zu den Rechten der betroffenen Personen befasst sein darf […]. Solche Anträge gelten nicht als wirksam, wenn der für die Verarbeitung Verantwortliche der betroffenen Person eindeutig einen geeigneten Kommunikationskanal zur Verfügung gestellt hat.

Darüber hinaus enthielt die auf der Website von Zalaris verfügbare Datenschutzerklärung eine spezielle E-Mail-Adresse, die für Datenschutzanfragen zu verwenden war. In diesem Fall war es legitim, von den betroffenen Personen (einschließlich dem Beschwerdeführer) zu erwarten, dass sie Auskunftsersuchen über einen solchen Kommunikationskanal und nicht direkt an den CEO richten.

Vom CEO eines Unternehmens von der Größe von Zalaris kann nicht erwartet werden, dass er direkt an der Bearbeitung von Anfragen zu den Rechten der betroffenen Personen beteiligt ist. Daher hat Zalaris unseres Erachtens nicht gegen Artikel 12 Absatz 2 und Artikel 15 DSGVO verstoßen, indem es nicht auf die E-Mail geantwortet hat, die der Beschwerdeführer direkt geschickt hatte…„.

Die Behörde fügt noch eine weitere Ansicht hinzu: Es sei darauf hingewiesen, dass – im Gegensatz zu den Argumenten des Beschwerdeführers – in Fällen, in denen personenbezogene Daten von einem Unternehmen verarbeitet werden (das über die Mittel und Zwecke der Verarbeitung entscheidet), das Unternehmen als solches als „für die Verarbeitung Verantwortlicher“ gilt, und nicht sein Geschäftsführer.

Diese Auslegung (die aus meiner Sicht absolut korrekt ist) ist relevant, weil wir in Deutschland ja durchaus auch andere Ansichten hierzu kennen.

EuGH: Art. 5 Abs. 2 & Art. 24 DSGVO erlegen Verantwortlichen auch (neue) Compliance-Pflichten auf

In seinem kürzlich ergangen Urteil vom 27.10.2022 (C-129/21) befasst sich der EuGH u.a. mit der Frage, welche konkreten Pflichten aus den sehr allgemein gehaltenen Vorgaben nach Art. 5 Abs. 2 und Art. 24 DSGVO erwachsen können.

Im konkreten Fall (und ich denke, man muss die Besonderheiten des Falles bei der Begründung durchaus berücksichtigen) geht der EuGH sogar soweit, aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, der Pflicht nach Art. 24 DSGVO und unter Auslegung der Art. 12 Abs. 2 und Art. 17 DSGVO, eine eigenständige Informationspflicht für Verantwortliche zu kreieren, die in dieser Form eigentlich nicht ausdrücklich in der DSGVO vorgesehen ist.

Konkret ging es um die Frage, ob Art. 5 Abs. 2 und Art. 24 DSGVO dahin auszulegen sind, dass eine Datenschutzbehörde verlangen kann, dass ein Anbieter von Teilnehmerverzeichnissen als Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreift, um weitere Verantwortliche, nämlich den Telefondienstanbieter, der ihm die personenbezogenen Daten seines Teilnehmers übermittelt hat, sowie die anderen Anbieter von Teilnehmerverzeichnissen, denen er selbst solche Daten geliefert hat, über den Widerruf der Einwilligung dieses Teilnehmers zu informieren.

Die Auffassung des EuGH zu Art. 5 Abs. 2 und Art. 24 DSGVO:

erlegen Art. 5 Abs. 2 und Art. 24 DSGVO den für die Verarbeitung personenbezogener Daten Verantwortlichen eine allgemeine Rechenschaftspflicht sowie Compliance-Pflichten auf“.

Und:

Insbesondere verpflichten diese Bestimmungen die Verantwortlichen, zur Wahrung des Rechts auf Datenschutz geeignete Maßnahmen zu ergreifen, um etwaigen Verstößen gegen die Vorschriften der DSGVO vorzubeugen„.

Für die Praxis von Relevanz dürfte hier der Hinweis auf „vorzubeugen“ sein. Konkret muss der Verantwortliche also ein Compliance-System schaffen, um Verstöße gegen die DSGVO vorab zu verhindern. Diese Aussage mag aus der allgemeinen „Compliance-Sicht“ wenig überraschen, geht es doch dort gerade darum, Rechtsverletzungen zu verhindern. Für den Bereich der DSGVO ist die Aussage aber relevant, da insbesondere Art. 24 DSGVO sehr allgemein gehalten und z. B. ein Verstoß gegen diese Norm nicht bußgeldbewährt ist.

Der EuGH verweist hier auch auf die Begründung des Generalanwalts. Dieser ging ganz explizit davon aus, dass eine solche hier in Rede stehende Informationspflicht zumindest nicht aus Art. 17 oder 19 DSGVO direkt ableitbar ist.

Es trifft zu, dass Art. 17 Abs. 2 und Art. 19 DSGVO spezifische Informationspflichten festlegen, die „Verantwortliche“ (im Hinblick auf Daten, die öffentlich gemacht worden sind und deren Löschung beantragt worden ist) bzw. „Empfänger“ betreffen. Diese Bestimmungen erfassen jedoch nicht den in Rede stehenden Sachverhalt,…

Dennoch, so der EuGH, ergebe sich aus den allgemeinen Verpflichtungen nach Art. 5 Abs. 2 und Art. 24 DSGVO in Verbindung mit Art. 19 DSGVO, dass ein Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den an ihn gerichteten Widerruf der Einwilligung der betroffenen Person zu informieren.

Dies ergebe sich auch aus einer entsprechenden Auslegung des in Art. 12 Abs. 2 DSGVO vorgesehenen Erfordernisses, wonach der Verantwortliche verpflichtet ist, der betroffenen Person die Ausübung der Rechte zu erleichtern, die ihr u. a. durch Art. 17 DSGVO gewährt werden.

EuGH zu den Nachweispflichten bei der Löschung von Daten

In einem kürzlich ergangenen Urteil (Urt. v. 20.10.2022, C-77/21) befasste sich der EuGH mit der praxisrelevanten (wenn durchaus auch ungeliebten) Frage, welche Anforderungen bei der Löschung von Daten und insbesondere dem Nachweis der Erfüllung der Löschpflicht zu beachten sind.

Ausgangsverfahren

Ein ungarisches Unternehmen richtete nach einer technischen Störung, die den Betrieb eines Servers beeinträchtigte, unter der Bezeichnung „test“ eine Testdatenbank ein. In diese kopierte das Unternehmen personenbezogene Daten von ungefähr einem Drittel der Kunden, die in einer anderen Datenbank gespeichert waren, die mit einer Website verlinkt werden konnte und die aktualisierten Daten der Newsletter-Abonnenten für Zwecke der Direktwerbung sowie die Zugangsdaten der Systemadministratoren zur Schnittstelle der Website enthielt. Die ungarische Datenschutzbehörde entschied, dass das Unternehmen gegen Art. 5 Abs. 1 lit. b und e DSGVO verstoßen habe, da es die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht sofort gelöscht habe. Hierdurch seien in der Testdatenbank eine große Menge Kundendaten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert worden seien, die die Identifizierung der betroffenen Personen ermöglicht habe.

Entscheidung des EuGH

In seinem Urteil befasst sich der EuGH ab Rz. 46 ff. mit dem Grundsatz der Speicherbegrenzung und damit auch der Frage der Lösch- und einer erforderlichen Nachweispflicht.

Zunächst stellt der EuGH (wie schon öfter in der Vergangenheit) klar, dass die Grundsätze des Art. 5 Abs. 1 DSGVO kumulativ einzuhalten sind. „Daher muss die Speicherung personenbezogener Daten nicht nur dem Grundsatz der „Zweckbindung“, sondern auch dem Grundsatz der „Speicherbegrenzung“ genügen“.

Bezogen auf den konkreten Fall bewertet der EuGH danach die Frage, ob Art. 5 Abs. 1 lit. e DSGVO dahin auszulegen ist, dass der in dieser Vorschrift vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.

Nachweis über Erforderlichkeit der Speicherung

Nach Ansicht des EuGH muss der Verantwortliche in der Lage sein, gemäß dem Grundsatz der Rechenschaftspflicht, „nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist“.

Praktisch dürfte dies für ein Löschkonzept bedeuten, dass für personenbezogene Daten die jeweilige festgelegte Aufbewahrungsdauer genau geprüft und gut begründbar sein muss. Im Grunde sieht der EuGH hier zwei Ziele der Nachweispflicht:

  • Dass die personenbezogenen Daten rein faktisch nur für den Zeitraum der Erforderlichkeit verarbeitet werden und danach nicht mehr (personenbeziehbar) vorhanden sind.
  • Dass die Erforderlichkeit der Verarbeitung zur Erreichung der definierten Zwecke dargelegt werden kann.

Der erste Aspekt ist aus meiner Sicht eher ein technisches bzw. organisatorisches Thema. Der zweite Aspekt betrifft eher die juristische Begründung der Verarbeitung.

Ein Datum kann mehreren Zwecken dienen – aber irgendwann ist Schluss

Der EuGH stellt im Hinblick auf die Erforderlichkeit zudem klar, dass es nicht zwingend nur einen Verarbeitungszweck geben muss, für den ein Datum verwendet wird. Vielmehr kann ein Datum im Laufe der Zeit mehreren Zwecken dienen. Jedoch ist die Verarbeitung eines Datums dann nicht mehr zulässig, wenn das Datum für die Erreichung der Zwecke nicht mehr erforderlich ist. In diesem Fall muss das Datum gelöscht werden, wenn diese Zwecke erreicht sind. Für den konkreten Fall geht der EuGH daher davon aus, dass der Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, „in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist“. Für die Praxis der Datenlöschung, etwa in Form eines Löschkonzepts, kommt dem Merkmal der „Erforderlichkeit“ und damit der Begründung, warum Daten noch verwendet werden müssen, entscheidende Bedeutung zu.

EDSA: Rechtgrundlage des Art. 6 Abs. 1 f) DSGVO als zusätzliche „Absicherung“ zu anderen Rechtsgrundlagen

Zuletzt hatte ich schon einmal aus dem Beschluss des EDSA in einem Verfahren der irischen Aufsichtsbehörde gegen Meta Platforms (bezüglich Instagram) berichtet. Nachfolgend möchte ich auf eine weitere relevante Ansicht des EDSA aus diesem Beschluss hinweisen.

Bekanntlich enthält Art. 6 Abs. 1 DSGVO verschiedene mögliche Rechtsgrundlagen für eine Datenverarbeitung. Oftmals stellt sich in der Praxis die Frage, ob ein Verantwortlicher einer Datenverarbeitung, die etwa auf Grundlage einer Einwilligung (Art. 6 Abs. 1 a) DSGVO), Art. 6 Abs. 1 b) DSGVO (Vertragsdurchführung) oder Art. 6 Abs. 1 c) DSGVO (Erfüllung rechtlicher Pflichten) erfolgt, zusätzlich dieselbe Verarbeitung auch auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO vornehmen kann. Dies insbesondere in solchen Fällen, in denen der Verantwortliche nicht ganz sicher ist, ob die eigentlich ausgewählte Rechtsgrundlage wirklich zu 100% erfüllt ist. Oder anders formuliert: darf ein Verantwortlicher, zur Absicherung einer Datenverarbeitung etwa auf Basis einer Einwilligung, diese Datenverarbeitung auch hilfsweise auf die Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO stützen?

Die Antwort hierauf gibt nun der EDSA in seinem Beschluss.

Die deutschen Aufsichtsbehörden vertraten die Auffassung, dass ein berechtigtes Interesse im Rahmen des Art. 6 Abs. 1 f) DSGVO nicht bestehen kann, wenn der für die Verarbeitung Verantwortliche es nur für den Fall geltend macht, dass Art. 6 Abs. 1 b) DSGVO auf der Grundlage des nationalen Rechts nicht auf Minderjährige anwendbar sei. Wenn also Art. 6 Abs. 1 b) DSGVO als Rechtsgrundlage nicht möglich wäre.

Der EDSA schließt sich dieser Interpretation nicht an; zumindest nicht pauschal (in Rz. 105 des Beschlusses).

Der EDSA verweist auf die Stellungnahme 6/2014 der damaligen Art. 29 Datenschutzgruppe zum Begriff des „berechtigten Interesses“ und folgenden Hinweis (S. 12):

Andererseits kann eine angemessene Bewertung der Abwägung nach Artikel 7 Buchstabe f, häufig verbunden mit der Möglichkeit, von der Verarbeitung abzusehen, in anderen Fällen eine vertretbare Alternative zu einem unangemessenen Berufen etwa auf die Voraussetzung der „Einwilligung“ oder der „Notwendigkeit für die Erfüllung eines Vertrags“ darstellen. So gesehen, bietet Artikel 7 Buchstabe f zusätzliche Sicherheiten – die geeignete Maßnahmen erfordern – im Vergleich zu den anderen, vordefinierten Voraussetzungen“.

Daher, so der EDSA, scheint es nicht unmöglich, dass ein Verantwortlicher sich auf Art. 6 Abs. 1 f) DSGVO beruft, wenn in Anbetracht der besonderen Umstände der Verarbeitung die Anforderungen der DSGVO erfüllt sind. Der EDSA erteilt hier meines Erachtens (noch) keinen Freifahrtschein dafür, stets pauschal auch Art. 6 Abs. 1 f) DSGVO mit anzuwenden. Jedoch insbesondere in solchen Fällen, in denen die eigentlich angedachte Rechtsgrundlage (aus welchen Gründen auch immer) ein gewisses rechtliches Risiko birgt. Hierzu wird man etwa im Fall des Art. 6 Abs. 1 lit. b) DSGVO auch den Umstand zählen können, dass ein Vertrag aufgrund spezieller nationaler Regelungen nicht wirksam wäre.  Der EDSA gesteht aber in jedem Fall ein mögliches berechtigtes Interesse auch dann zu, falls Art. 6 Abs. 1 f) DSGVO dann genutzt werden soll, wenn die Voraussetzungen der eigentlich angedachten Rechtsgrundlage eventuell nicht (mehr) vorliegen – also als „Absicherung“ der Datenverarbeitung.  

Wirkt ein Verstoß gegen Art. 24 DSGVO bußgelderhöhend? Deutsche Aufsichtsbehörden: ja. EDSA: nein.

Ich hatte nun ein wenig Zeit, über den interessanten Beschluss des EDSA nach Art. 65 DSGVO zu dem Entwurf des Bußgeldbescheides der irischen Datenschutzbehörde gegen Meta Platforms (bezüglich Instagram) zu schauen.

In solchen Beschlüssen finden sich immer viele praxisrelevante Ansichten und Aussagen der einzelnen europäischen Behörden, aber natürlich auch die jeweilige Position des EDSA hierzu.

Ein interessantes Beispiel ist hierbei die Frage, ob eine Verletzung der Vorgaben von Art. 24 DSGVO im Rahmen der Bußgeldbemessung erhöhend zu berücksichtigen ist. Hintergrund: ein Verstoß gegen Art. 24 DSGVO ist an sich eigentlich nicht selbst bußgeldbewährt. Weder in Art. 83 Abs. 4 noch Abs. 5 DSGVO wird Art. 24 genannt. Man könnte also wohl davon ausgehen, dass der Gesetzgeber dies bewusst so geregelt hat.

In dem bindenden Beschluss wird darauf hingewiesen, dass die irische Behörde von einem Verstoß gegen Art. 24 DSGVO ausging (Rz. 169: „Regarding the infringement of Article 24 GDPR, the IE SA stated that this infringement was considered separately…“). Jedoch wollte die irische Behörde diesen Verstoß nicht erhöhend im Rahmen der Bußgeldbemessung berücksichtigen.

Dieser Ansicht traten die deutschen Datenschutzbehörden offensichtlich entschieden entgegen.

Rz. 176: „As for aggravating factors, the DE SAs stated that the LSA should have considered the infringement of Article 24 GDPR as an aggravating factor in respect of the other infringements under Article 83(2)(k) GDPR.”

Nach Art. 83 Abs. 2 lit. k DSGVO sind „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ gebührend zu berücksichtigen.

Die deutschen Behörden waren der Ansicht, dass der Verstoß gegen Art. 24 DSGVO schärfend im Rahmen des Art. 83 Abs. 2 lit. k DSGVO berücksichtigt werden müsse. Zwar sei der Verstoß gegen die Norm selbst nicht ausdrücklich in Art. 83 DSGVO bußgeldbewährt, jedoch müsse der Verstoß bei der Entscheidung der Behörde berücksichtigt werden. Art. 83 Abs. 2 lit. k DSGVO sei bewusst sehr offen formuliert und daher müsste auch der Verstoß hierunter als Faktor fallen.

Diese Ansicht teilt der EDSA jedoch nicht.

Rz 211: „At the same time, the EDPB agrees with the IE SA that the infringement of Article 24 GDPR cannot be considered an aggravating factor under Article 83(2)(k) GDPR”.

Der EDSA geht davon aus, dass der Gesetzgeber sehr bewusst Verstöße gegen Art. 24 DSGVO gerade nicht in die Aufzählungen in Art. 83 Abs. 4 und 5 DSGVO aufgenommen habe. Hierzu wird darauf verwiesen, dass in früheren Versionen der DSGVO Art. 24 DSGVO in dem Katalog des Art. 83 noch enthalten war. Wenn man aber nun, der Ansicht der deutschen Behörden folgend, eine Verletzung von Art. 24 DSGVO dennoch strafschärfend berücksichtigen würde, wäre ein solcher Verstoß zumindest indirekt doch mit Bußgeld belegt. Aus diesem Grund folgt der EDSA der Ansicht der deutschen Behörden nicht.

Jedoch, so der EDSA, ist das Prinzip der Rechenschaftspflicht und damit der Verantwortlichkeit, welches in Art. 24 DSGVO ebenso wie in Art. 5 Abs. 2 DSGVO zum Ausdruck kommt, generell als Faktor bei der Bußgeldbemessung zu berücksichtigen. Hierzu verweist der EDSA auf seine Leitlinien zu Bußgeldern.

Fazit

Zum einen zeigt dieses Beispiel erneut anschaulich, wie unterschiedlich die Interpretationen zur DSGVO, auch innerhalb der Aufsichtsbehörden, sind. Und wie wichtig hierbei eine bindende Instanz wie der EDSA ist. Inhaltlich kann man mitnehmen, dass der Verstoß gegen einen Artikel der DSGVO, der gerade nicht in dem Katalog des Art. 83 Abs. 4 und 5 DSGVO benannt ist, nicht per se bußgelderhöhend wirkt.

Datenschutzbehörde: Produktbewerbung „DS-GVO-konform“ schützt nicht vor Bußgeldern

Aus meiner Sicht eigentlich eine Selbstverständlichkeit, jedoch immer wieder auch in der Praxis ein Diskussionsthema. Wenn Unternehmen Produkte (etwa Cloud-Dienst, Software etc.) verwenden möchten, die im Rahmen der eigenen Bewerbung mit dem Zusatz „DS-GVO-konform“ versehen sind, schützt dies den datenschutzrechtlich Verantwortlichen natürlich nicht per se vor Sanktionen. Erforderlich ist stets, dass man als Kunde (und datenschutzrechtlich Verantwortlicher) selbst prüft, ob ein Umgang mit personenbezogenen Daten tatsächlich zulässig erfolgen kann.

Der Hessische Datenschutzbeauftragte informiert hierüber in seinem aktuellen Tätigkeitsbericht 2021 (PDF, S. 133). Dort geht es um datenschutzrechtliche Fragen der Mitarbeiterüberwachung, etwa bei der Arbeitszeiterfassung.

Erfolgt eine unzulässige Verarbeitung von Mitarbeiterdaten durch den Arbeitgeber, so drohen u.a. Bußgelder nach der DSGVO. Hierzu informiert die Datenschutzbehörde:  

wobei Arbeitgeber sich im Rahmen eines Bußgeldverfahrens nicht durch den Einwand exkulpieren können, dass das eingesetzte Produkt mit dem Zusatz „DS-GVO-konform“ beworben wird. Als Verantwortliche im Sinn des Art. 4 Nr. 7 DS-GVO sind Arbeitgeber nach Art. 5 Abs. 2 DS-GVO für die Einhaltung der Grundsätze der Verarbeitung verantwortlich und rechenschaftspflichtig.“

Wie gesagt, ist diese Feststellung meines Erachtens wenig überraschend. Rein datenschutzrechtlich muss man als Verantwortlicher stets selbst prüfen bzw. entsprechend vorbereitete Dokumente eines Dienstleisters prüfen, ob personenbezogene Daten zulässig verarbeitet werden können. Eine andere Frage ist, ob man als Kunde vertragsrechtliche Ansprüche gegen den Anbieter des Produkts geltend machen kann, wenn dieser etwa eine DSGVO-Konformität zusichert oder mit dieser für sein Produkt wirbt.

Internationale Datentransfers: muss in Datenschutzhinweisen das konkrete Drittland angegeben werden?

Das Thema „internationale Datentransfers“ ist ja im Grunde ein stetiger Dauerbrenner im Datenschutzrecht. Sei es die Umsetzung der Vorgaben des EuGH bzw. des EDSA oder der zwingende Abschluss der neuen SCC vor Dezember 2022, wenn die alten SCC ihre Gültigkeit verlieren.

Eine Datenübermittlung in ein Land außerhalb des EWR hat aber auch (oft übersehene) Konsequenzen auf der Ebene der Transparenzpflichten, konkret in Art. 13 und 14 DSGVO. Nach Art. 13 Abs. 1 lit. f DSGVO muss der Verantwortliche den Betroffenen, etwa in Datenschutzhinwiesen auf der Webseite oder ggü. den Mitarbeitern, die Absicht mitteilen, „die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind“.

Bereits die „Absicht“ von Datentransfers löst hier also eine Informationspflicht aus. Das ist im Grunde ein Vorfeldschutz, vor der eigentlichen Übermittlung. „Absicht“ dürfte aber zumindest so zu verstehen sein, dass der Verantwortliche die Übermittlung auch tatsächlich plant und will; es geht also nicht um zufällig, unbewusste Übermittlungen.

Praktisch stellt sich oft die Frage, ob denn ein Verantwortlicher das konkrete Drittland in den Hinweisen benennen muss, in welches personenbezogene Daten gehen. Je nach eingebundenen Dienstleistern oder etwa der Größe eines Konzerns, kann hier schnell eine größere Anzahl an Drittländern zusammen kommen. Davon zu trennen ist freilich die stets bestehende Möglichkeit, dass Verantwortliche die spezifischen Drittländer einfach immer benennen, unabhängig davon, ob sie nun verpflichtet sind oder nicht.

Der Wortlaut der Norm spricht eher gegen eine genaue Angabe des Drittlandes. Dort heißt es „ein Drittland“, nicht etwa „das betreffende Drittland“ oder ähnlich. Speziell ist die Situation eventuell im Fall eines Angemessenheitsbeschlusses. Wenn man auf den konkreten Beschluss verweisen würde, ist klar, um welches Land es geht.

Der EDSA führt in seinen Leitlinien zur Transparenz (WP 260 rev01, S. 48) aus: „Im Einklang mit dem Grundsatz von Treu und Glauben sollten die zu Datenübermittlungen in Drittländer bereitgestellten Informationen den betroffenen Personen so zweckdienlich wie möglich sein; normalerweise bedeutet dies, dass die Drittländer namentlich angegeben werden“. Auch der EDSA sieht die Benennung der konkreten Drittländer also wohl eher nicht als Pflicht an, sondern empfiehlt deren Angabe. Die Leitlinien sprechen zumindest nicht davon, dass die Information anzugeben ist oder stets angegeben werden muss. Man mag den EDSA hier evtl. aber auch strenger verstehen.

Der BayLfD ist bei dieser Frage sehr klar (Orientierungshilfe „Informationspflichten des Verantwortlichen“, S. 20). Art. 13 Abs. 1 lit. f DSGVO verlange nicht, dass das betreffende Drittland namentlich genannt wird. Gleichwohl empfiehlt der BayLfD (ebenfalls unter Verweis auf Transparenzgründe) diese Information bereitzustellen.

Ein deutliches Argument gegen eine Pflicht zur Angabe des spezifischen Drittlands nach Art. 13 Abs. 1 lit. f DSGVO ist ein systematischer Vergleich mit der Pflicht des Art. 30 Abs. 1 lit. e DSGVO. Danach muss der Verantwortliche in dem Verzeichnis der Verarbeitungstätigkeiten gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands (Hervorhebung durch mich) dokumentieren. Hier sieht der Gesetzgeber ganz klar eine Pflicht zur Benennung des „betreffenden Drittlands“ vor. Wenn es gewollt gewesen wäre, hätte der Gesetzgeber eben diese Pflicht auch in Art. 13 Abs. 1 lit. f DSGVO aufgenommen. Man muss also davon ausgehen, dass dies bewusst nicht erfolgte.