Die Europäisierung des Datenschutzrechts – ein alternativer Kommentar zu dem Planet49-Urteil des EuGH

Nach dem EuGH-Urteil in der Sache Planet49 (C?673/17), haben viele Kolleginnen und Kollegen lesenswerte Besprechungen der Entscheidung veröffentlicht. Z.B. Simon Assion, Stephan Hansen-Oest, Thomas Schwenke oder Nina Diercks.

In diesem Beitrag möchte ich mich mit ein paar „Randthemen“ des Urteils befassen, die jedoch meiner Ansicht nach nicht minder relevant sind. Es soll hier also nicht um die konkreten Anforderungen einer Einwilligung gehen, sondern um Aussagen des EuGH, die das Gericht daneben getroffen hat, die für die Praxis im Datenschutzrecht aber meines Erachtens über den Themenkomplex „Cookies und Einwilligung“ Relevanz haben.

Findet bei dem Einsatz von Cookies immer auch eine Verarbeitung personenbezogener Daten statt?

Der EuGH geht in seiner Prüfung, aufgrund der durch den BGH vorgegebenen und auch durch Planet49 bestätigten Sachverhaltsangaben davon aus, dass in dem zu beurteilenden Fall personenbezogene Daten verarbeitet wurden (Rz. 45 und 67). Dieser Personenbezug wird über eine Zuordnung von Registrierungsdaten der Nutzer (Name und Adresse im Teilnahmeformular) zu der Nummer des Cookies hergestellt (Rz. 45).

Für die Frage der Anwendbarkeit des Art. 5 Abs. 3 RL 2002/58 ist die Unterscheidung, ob personenbezogene Daten verarbeitet werden oder nicht, irrelevant (vgl. Rz. 70).

Aus der reinen „Datenschutz-Brille“ betrachtet, sind die Erwägungen des EuGH aber durchaus interessant. Denn insbesondere die Begründung in Rz. 45, warum in den Cookies auch personenbezogene Daten verarbeitet werden, lässt argumentativen Spielraum für Konstellationen, in denen durch Cookies keine personenbezogenen Daten verarbeitet bzw. den Cookies keine personenbezogenen Daten zugeordnet werden. Man stelle sich eine Situation vor, in der „nur“ ein Cookie gesetzt wird und in diesem Cookie statistische Daten gespeichert werden (z.B. Browserversion, Herkunftsland, Bildschirmauflösung o.ä.). Ob auch in diesem Fall per se ein Personenbezug vorliegen würde, hat der EuGH nicht entschieden (da er es auch nicht entscheiden musste). Oder anders ausgedrückt: nicht jeder Einsatz von Cookies ist gleichbedeutend mit der Verarbeitung personenbezogener Daten.

Die Erwägungen des EuGH lassen sich meines Erachtens durchaus so verstehen, dass im Fall des Setzens eines Cookie auf dem Gerät eines Nutzers, dies noch nicht zwangsläufig bedeutet, dass damit auch personenbezogene Daten im Spiel sind und die DSGVO Anwendung findet.

Warum ist dies relevant? Meines Erachtens insbesondere mit Blick auf die vielen Folgepflichten, die sich aus der DSGVO ergeben würden. Man denke etwa an die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO oder die Pflicht, Verarbeitungen in ein Verzeichnis der Verarbeitungstätigkeiten aufzunehmen oder auch die Betroffenenrechte. Ist die DSGVO nicht anwendbar, würde auch kein Auskunftsanspruch nach Art. 15 DSGVO bestehen. Dies ist am Ende natürlich nur folgerichtig, denn wenn keine personenbezogenen Daten verarbeitet werden, kann ein Unternehmen auch keine Person identifizieren und dieser Person Auskunft zu ihren Daten erteilen.

Zur Auslegung und Anwendung europäischen (Datenschutz)Rechts

Bevor der EuGH in seinem Urteil in die Prüfung der einzelnen Merkmale einer Einwilligung einsteigt, legt er den Rahmen und die Methoden dar, innerhalb dessen und wie die europäischen Vorgaben auszulegen sind. Die Ausführungen des EuGH in den Rz. 47 und 48 haben daher ganz generelle Bedeutung für die Anwendung der RL 2002/58 und auch der DSGVO. Gerade in der deutschen Literatur und Diskussion findet man häufig sehr national geprägte Interpretation des europäischen Rechts.

Der EuGH macht zunächst deutlich, dass „Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen“. Das Gericht begründet dies mit den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes.

Dies bedeutet für die Datenschutzpraxis, dass Begriffe der DSGVO gerade nicht aus einem rein nationalen Blickwinkel betrachtet und ausgelegt werden dürfen. Diese müssen, nach dem EuGH, vielmehr in der gesamten Union eine autonome und einheitliche Auslegung erhalten.

Plastische Bespiele für solche Begriffe finden sich in der DSGVO an vielen Stellen. Hier ein paar Beispiele:

Art. 12 Abs. 1 DSGVO: „Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“. Was „schriftlich“ oder „elektronisch“ bedeutet, kann daher nicht allein mit Blick auf nationales Recht beantwortet werden. Ein Verweis, etwa auf Vorgaben des BGB, wäre mithin verfehlt.

Art. 32 Abs. 1 DSGVO: „Unter Berücksichtigung des Stands der Technik, …“. Man ist sicherlich geneigt, den „Stand der Technik“ in Deutschland im Sinne der Interpretation dieses Begriffs z.B. durch die deutsche Rechtsprechung zu verstehen. Auch hier ist jedoch Vorsicht geboten. Der „Stand der Technik“ im Sinne der DSGVO muss nicht gleichbedeutend mit dem Verständnis des BVerfG (BVerfG, Beschl. v. 08.08.1978 – 2 BvL 8/77, Kalkar I) sein. Nach den Vorgaben des EuGH in dem aktuellen Urteil, wäre dieser nationale Blick in jedem Fall zu eng.

Art. 33 Abs. 2 DSGVO: „Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich“. Die Frage, was „unverzüglich“ bedeutet (vgl. auch Art. 34 Abs. 1 DSGVO), kann daher ebenfalls nicht allein aus Sicht des deutschen Zivilrechts und der zu diesem Begriff ergangenen Rechtsprechung beantwortet werden.

Zudem verweist der EuGH in Rz. 48 darauf, welche verschiedenen Auslegungsmethoden bei der Anwendung europäischen Rechts zu berücksichtigen sind.

Bei der Auslegung einer Vorschrift des Unionsrechts sind:

  • der Wortlaut,
  • die mit ihr verfolgten Ziele,
  • ihr Kontext und
  • das gesamte Unionsrecht zu berücksichtigen.

Daneben kann auch die Entstehungsgeschichte einer Vorschrift relevante Anhaltspunkte für ihre Auslegung liefern. Oder um es anders zu formulieren: die Vorschriften der DSGVO und ihr Verständnis sind aus mehreren Blickwinkeln zu betrachten.

Keine Entscheidung zur Zulässigkeit der Kopplung einer Einwilligung

Zuletzt sei noch darauf hingewiesen, dass der EuGH in seinem Urteil alle Tatbestandsmerkmale der datenschutzrechtlichen Einwilligung auslegt. Bis auf eines: die Freiwilligkeit.

Art. 4 Nr. 11 DSGVO definiert die Einwilligung u.a. als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“. Der EuGH musste hierzu auch nichts sagen, da der BGH ihn nicht danach gefragt hatte. In Rz. 64 des Urteils stellt der EuGH ausdrücklich heraus, dass er sich nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO) erteilten Einwilligung vereinbar ist, „wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt“.

Die angesprochene Situation ist jene, die das sog. „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO avisiert. Auf die entsprechende Vorschrift verweist der EuGH sogar. Ob oder wann es jedoch europarechtlich unter der DSGVO (un)zulässig ist, die Teilnahme an einem Gewinnspiel davon abhängig zu machen, dass man in die werbliche Nutzung seiner Daten einwilligt, hat der EuGH nicht entschieden. Die Antwort auf diese Frage (nicht nur speziell in Bezug auf Gewinnspiele), dürfte also zunächst weiter national umstritten bleiben.

Bayerisches Landesamt für Datenschutzaufsicht zu Facebook Custom Audience: Einwilligung nicht zwingend erforderlich?

Das Bayerische Landesamt für Datenschutzaufsicht hat am 30.08.2019 eine Pressemitteilung (pdf) zur aktuellen Prüfung der Website des Blutspendedienstes des Bayerischen Roten Kreuzes. Anlass der Prüfung war der Einsatz von Tracking-Tools auf der Website des Blutspendedientes.

Dass diese Prüfung stattfindet, wurde bereits letzte Woche bekannt. Daher ist die Mitteilung meines Erachtens auch nicht überraschend.

Interessant sind jedoch meines Erachtens zwei Aussagen des BayLDA bzw. seines Präsidenten zum Einsatz von Tracking-Tools und den datenschutzrechtlichen Anforderungen.

Zum einen wird in der der Pressemitteilung zu den datenschutzrechtlichen Pflichten von Webseiten-Betreibern ausgeführt:

Der Website-Betreiber muss auch sicherstellen, dass er die Tracking-Tools rechtmäßig einbindet, d. h. dass eine Rechtsgrundlage die Einbindung erlaubt oder der Nutzer vorab seine Einwilligung erklärt hat.

Interessant hierbei ist, dass das BayLDA ausdrücklich alternativ neben der Einwilligung auch andere Rechtsgrundlagen (also etwa eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO) als möglichen Erlaubnistatbestand für eine Datenverarbeitung anspricht. Die Behörde geht anscheinend nicht davon aus, dass werbliche Tracking-Tools (wie in dieser Prüfung wohl Facebook Custom Audience) nur mit Einwilligung der Besucher genutzt werden können.

Diese Aussage bedeutet wohl nicht, dass der Einsatz werblicher Tracking-Tools per se auch auf der Grundlage einer Interessenabwägung zulässig wäre. Jedoch lassen die Ausführungen des BayLDA erkennen, dass man sich nicht vorab allein auf die Einwilligung der Betroffenen als einzig mögliche Rechtsgrundlage festlegen möchte. Zudem ist noch zu bemerken, dass das BayLDA ganz allgemein auf „eine Rechtsgrundlage“ verweist, also auch nicht allein nur auf die Interessenabwägung.

Zudem wird Herr Kranig, der Präsident des BayLDA wie folgt zitiert:

Was vielen nicht klar ist: nicht der Website-Betreiber, der ein Tracking-Tool auf der Website einbindet, übermittelt Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtsdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht.

Diese Aussage ist insbesondere vor dem Hintergrund des aktuellen EuGH-Urteils in Sachen Like-Button (FashionID, Urt. v. 29. Juli 2019, C-40/17) interessant. Dort hatte der EuGH ausgeführt, dass „der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten dieses Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden“ kann. Das BayLDA geht also wohl davon aus, dass der Webseiten-Betreiber selbst nicht die Übermittlung durchführt. Jedoch wird für die Verantwortlichkeit des Betreibers, anders als im Urteil des EuGH, auch gar nicht auf die Übermittlung (hier stellt sich die Frage, von wem? Dem Besucher selbst? Seinem Browser / dem Browser-Hersteller?) abgestellt, sondern allein auf die Ermöglichung der Erhebung von Daten der Besucher durch den Anbieter des Tools.

Zum Schluss fügt Herr Kranig einen, meines Erachtens zutreffenden und bei vielen Unternehmen immer noch nicht ausreichend gewürdigten Hinweis an:

Dieser Fall zeigt, dass nicht nur die Aufsichtsbehörden Websites prüfen, sondern im Prinzip jedermann mit wenig Aufwand über den Browser testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde melden, ist bei Websites besonders hoch.

Bayerischer Verwaltungsgerichtshof zum Beschäftigtendatenschutz unter der DSGVO

Wenn es um Datenschutz im Arbeitsverhältnis geht, erhalten wir Entscheidungen zumeist eigentlich von den Arbeitsgerichten. Nun hat aber der Bayerische Verwaltungsgerichtshof (VGH) eine sehr interessante Entscheidung zum Beschäftigtendatenschutz im Anwendungsbereich der DSGVO im öffentlichen Dienstverhältnis getroffen (Beschluss vom 21.05.201917 P 18.2581). Die Entscheidung ist vor allem deshalb relevant, weil sich der VGH u.a. auch mit dem Verhältnis von nationalem Datenschutzrecht im Arbeitsverhältnis zur DSGVO und einzelnen Rechtsgrundlagen zur Verarbeitung von Mitarbeiterdaten befasst.

Sachverhalt

Das Verfahren betrifft Datenschutzfragen zur Unterrichtung der Personalvertretung durch die Dienststelle bei der Mitbestimmung anlässlich der Versetzung von Arbeitnehmern (nicht Beamten) ohne Bestenauslese. Im Kern geht es um die Frage, ob der Personalvertretung auch hinsichtlich solcher Arbeitnehmer, die für Versetzungen zur Auswahl stehen, aber von der Dienststelle gerade nicht ausgewählt werden, Angaben unter Nennung des Namens zu übermitteln sind oder ob insoweit anonymisierte Daten ausreichen. Die Dienststelle benannte gegenüber dem Bezirkspersonalrat bislang nur den jeweils von der Dienststelle ausgewählten Bewerber namentlich, während sie auf Mitbewerber nur anonymisiert verweist. Daneben enthält die Mitteilung die Anzahl der weiteren Versetzungsbewerber, die Darstellung der jeweiligen sozialen Auswahlkriterien der Versetzungsbewerber sowie eine Begründung der getroffenen Auswahlermessensentscheidung.

Der Bezirkspersonalrat vertritt die Auffassung, nur mit Kenntnis der Namen und der Beschäftigungsbehörden der Mitbewerber sei eine wirksame Nichtzustimmung begründbar bzw. überhaupt zu erkennen, ob eine Nichtzustimmung angezeigt sei. Er beruft sich u.a. auf Art. 69 Abs. 2 S. 3 BayPVG. Er zieht einerseits eine Parallele zur Mitbestimmung bei der Einstellung von Arbeitnehmern und andererseits eine Parallele zur Informationsweitergabe an den Personalrat beim sog. betrieblichen Eingliederungsmanagement. Die Angabe anonymisierter Daten genüge nicht.

Entscheidung

Der VGH lehnt die Beschwerde des Bezirkspersonalrates (es ging konkret um einen Feststellungsantrag) ab.

Nach Ansicht des VGH ergibt sich der Anspruch nicht aus Art. 69 Abs. 2 S. 1 und 2 BayPVG. Danach ist der Personalrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Ihm sind die hierfür erforderlichen Unterlagen zur Verfügung zu stellen.

Nach Auffassung des VGH ist die vorliegend beantragte nicht anonymisierte Datenübermittlung unter Berücksichtigung des Gewichts der informationellen Selbstbestimmung der von der Datenübermittlung betroffenen Personen nicht nach Art. 69 Abs. 2 S. 1 und 2 BayPVG zu rechtfertigen.

Begriff der „Erforderlichkeit“

Der VGH befasst sich in seiner Begründung mit der Frage, wie der Begriff „erforderlich“ nach Art. 69 Abs. 2 S. 2 BayPVG zu verstehen ist. Zunächst stellt der VGH diesbezüglich fest, dass die in Art. 69 Abs. 2 S. 1 und 2 BayPVG vorgesehene Unterrichtungspflicht streng aufgabenbezogen zu interpretieren ist. Weiter führt der VGH aus:

Was in diesem Sinn „erforderlich“ ist, lässt sich nicht rein begrifflich klären, sondern setzt als Korrektiv eine wertende Betrachtung voraus, in die neben einer Bewertung des Aufgabenbezugs selbst auch grundrechtliche Wertungen im Hinblick auf die von Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmung … einzufließen haben, wobei personalvertretungsrechtliche Datenübermittlungen auch nicht gegen unionsrechtliche Datenschutzvorgaben verstoßen dürfen.

Dies ist eine erste relevante Aussage des Gerichts, die auch im nicht-öffentlichen Bereich der Verarbeitung von Mitarbeiterdaten Relevanz entfalten kann. Was bedeutet „erforderlich“? (vgl. etwa auch in § 26 Abs. 1 S. 1 BDSG oder § 80 Abs. 2 BetrVG). Ausdrücklich verweist das Gericht hier darauf, dass sowohl grundrechtliche Erwägungen als auch Vorgaben des EU-Datenschutzrechts zu beachten sind. Meines Erachtens wird man die Begründung des VGH durchaus auch im privatwirtschaftlichen Bereich, wenn es um die Übergabe von Unterlagen und Daten an einen Betriebsrat geht, übertragen können.

Der VGH begründet seine Ablehnung der Übergabe umfassender Unterlagen an die Personalvertretung hier damit, dass die für die Personalvertretung bei der Versetzungsmitbestimmung maßgeblichen Kriterien auch auf der Basis bloß anonymisierter Daten weitgehend überprüft werden.

Eine darüber hinausgehende Datenübermittlung ist in der beantragten Tragweite nicht erforderlich.

Eine pauschale namentliche Datenübermittlung ist nicht erforderlich i.S.v. Art. 69 Abs. 2 S. 1 und 2 BayPVG, weil sie im Vergleich zu einer anonymisierten nicht wesentlich besser geeignet ist, um Art. 75 Abs. 2 BayPVG bei Versetzungen zu prüfen, gleichzeitig, so der VGH, aber im Vergleich zu anonymisierten Datenübermittlungen deutlich intensiver in die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG) eingreift.

DSGVO gilt auch für den Beschäftigtendatenschutz

Danach befasst sich der VGH mit der DSGVO und den europäischen Datenschutzvorgaben.

Nach Ansicht des VGH spricht auch das mit Anwendbarkeit der DSGVO unionsrechtlich geregelte Datenschutzrecht im Hinblick auf den mit der Datenübermittlung verbundenen Eingriff in das unionsrechtliche Grundrecht auf Schutz personenbezogener Daten (Art. 8 i.V.m. Art. Art. 51 Abs. 1 S. 1 GRCh) gegen die vorliegend von der Personalvertretung begehrte pauschale Übermittlung namentlicher Sozialauswahldaten.

Zunächst stellte sich die Frage, ob die DSGVO auf den vorliegenden Sachverhalt Anwendung findet, da die Datenweitergabe ja unstreitig im Arbeitsverhältnis stattfindet und dieser Bereich des Arbeitnehmerdatenschutzes evtl. aus der Regelungskompetenz der EU ausgenommen ist.

Das VGH sieht dies, meines Erachtens zu Recht, nicht so.

Die Datenschutz-Grundverordnung erfasst unmittelbar auch die vorliegend streitgegenständliche Datenübermittlung im Rahmen des Arbeitnehmerdatenschutzes.

Zwar mag Art. 69 Abs. 2 BayPVG als bereichsspezifische Gesamtregelung dem nationalen Bayerischen Datenschutzgesetz vorgehen. Jedoch, so der VGH,

erfasst die direkt anwendbare Datenschutz-Grundverordnung im Hinblick auf den Anwendungsvorrang des Unionsrechts unmittelbar auch den Beschäftigtendatenschutz.

Auch geht der VGH klar davon aus, dass die Datenübermittlung im Zusammenhang mit der Beteiligung einer Personalvertretung nicht aus dem Anwendungsbereich des Unionsrechts herausfällt. Die Begründung: es ist von einschlägigen Rechtsetzungskompetenzen der Europäischen Union auszugehen.

Die Rechtsetzungskompetenz der Europäischen Union kann durchaus auch den Bereich des Arbeitsrechts und der diesbezüglichen Mitarbeitervertretung (hier: Personalvertretung) betreffen, was etwa durch Art. 2 Buchst. f, Art. 4 Abs. 4, Art. 6 Abs. 1 Satz 1 oder Abs. 7 der Richtlinie 2002/14/EG belegt werde.

Zudem weist der VGH noch darauf hin, dass das bayerische Landesrecht – anders als etwa § 26 BDSG – für den Bereich des Beschäftigtendatenschutzes die Ausnahmemöglichkeit des Art. 88 DSGVO nicht ausgeschöpft hat.

Personalvertretung als eigener Verantwortlicher?

Natürlich handelt es sich bei der begehrten Weitergabe von Unterlagen und Daten an die Personalvertretung auch um eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 und Nr. 2 DSGVO. Interessant ist hier natürlich, welche Form der Verarbeitung der VGH in der Weitergabe von Daten des Arbeitgebers an die Personalvertretung erkennt. Stichwort: Betriebsrat (hier: Personalvertretung) als eigener Verantwortlicher.

Der VGH lässt diese Frage leider ausdrücklich unbeantwortet und geht davon aus, dass die begehrte Weitergabe der Daten zumindest in Form der Verwendung durch Zurverfügungstellung an die Personalvertretung eine Verarbeitung darstellt.

Für die Frage der „Datenverarbeitung“ unerheblich ist, ob „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO beim Umgang mit diesen Daten durch die Personalvertretung die Dienststelle ist (deren Teil die Personalvertretung ist) oder ob die Personalvertretung eine eigene Verantwortlichkeit hat.

Der VGH positioniert sich also leider nicht zu dem aktuellen Streit, ob die Personalvertretung als eigener Verantwortlicher anzusehen ist.

Öffnungsklausel des Art. 88 DSGVO

Sehr relevant für den privatwirtschaftlichen Bereich sind die nachfolgenden Aussagen des VGH zu Art. 88 DSGVO und die Diskussion, wie die „Öffnungsklauseln“ der DSGVO zu verstehen sind. Insbesondere, ob der nationale Gesetzgeber strengere Regelungen im Beschäftigtendatenschutz schaffen darf.

Nach Ansicht des VGH ergibt sich aus Art. 88 DSGVO keine Ausnahme vom Geltungsbereich der Datenschutz-Grundverordnung für den Beschäftigtendatenschutz an sich. Hiergegen spreche schon der Wortlaut des Art. 88 Abs. 1 DSGVO, wo von „spezifischeren Vorschriften“ die Rede ist.

Die Verwendung des Komparativs (spezifischerer) ist ein deutlicher Hinweis darauf, dass es sich insoweit nicht um eine vollständige Geltungsbereichsausnahme, sondern vielmehr um eine Öffnungsklausel handelt, die den Mitgliedstaaten die Möglichkeit gibt, die im Ausgangspunkt einschlägigen Regelungen der Datenschutz-Grundverordnung durch spezifischere nationale Vorschriften zu präzisieren.

Das bayerische Landesrecht sieht im Zusammenhang mit der Versetzungsmitbestimmung und der diesbezüglichen Datenübermittlung an die Personalvertretung aber gerade keine „spezifischere“ Regelung vor. Die hier relevanten nationalen Normen, Art. 69 Abs. 2 S. 1 und 2 BayPVG weisen nach Ansicht des VGH im Vergleich zu Art. 88 DSGVO und zu Art. 5, 6 und 9 DSGVO keine höhere Spezifizierung auf – insbesondere auch nicht hinsichtlich der in Art. 88 DSGVO betonten Grundrechte der jeweils betroffenen Personen. Zudem kenne das bayerische Landesrecht bislang auch keine dem § 26 Abs. 6 BDSG vergleichbare explizite Vorschrift.

Hieraus folgt der VGH, dass die DSGVO im konkreten Fall unmittelbar für den Umgang mit Beschäftigtendaten gilt.

Deshalb bleibt es derzeit im Bereich des bayerischen Personalvertretungsrechts bei der unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung, und damit insbesondere auch der dort (Art. 6 DSGVO) vorgesehenen Rechtmäßigkeitsvoraussetzungen für Datenverarbeitungen.

Prüfung der Erlaubnistatbestände nach Art. 6 DSGVO

Danach befasst sich der VGH mit den verschiedenen, in Betracht kommenden Erlaubnistatbeständen für die Datenverarbeitung.

Zunächst lehnt der VGH richtigerweise das Vorliegen einer Einwilligung ab.

Insbesondere kann in der bloßen Äußerung eines Versetzungswunsches – auch wenn sie sich auf behördenintern bekannt gegebene, zu besetzende Dienstposten bezieht – noch keine i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO hinreichende Einwilligung in eine Datenübermittlung der Dienststelle an die Personalvertretung gesehen werden.

Zudem verweist der VGH darauf, dass die bloße Äußerung eines Versetzungswunsches auch nicht ausreicht, um i.S.v. Art. 7 Abs. 1 DS-GVO „nachzuweisen“, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten in Form der Übermittlung ihrer sozialen Auswahldaten an die Personalvertretung eingewilligt hat.

Auch eine Rechtfertigung der Verarbeitung über Art. 6 Abs. 1 lit. c DSGVO lehnt der VGH ab. Hier knüpft er an seine Ausführungen zur „Erforderlichkeit“ der Übergabe der Unteralgen an.

Der VGH begründet dies damit, dass die Weitergabe der Daten bei einer Auslegung im Licht des Art. 8 GRCh für die Erfüllung der rechtlichen Pflichten der Dienststelle nicht „erforderlich“ ist. Die unionsrechtskonforme Auslegung unter Berücksichtigung des Rechts auf Schutz der personenbezogenen Daten (Art. 8 GRCh) komme als Korrektiv dort zum Zuge, wo sich die typisierende gesetzliche Abwägung des Art. 69 Abs. 2 S. 1 und 2 BayPVG im Einzelfall als unverhältnismäßig erweist. Der Unterscheidung zwischen namentlichen und anonymisierten Daten komme auch aus Sicht des unionsrechtlichen Datenschutzes große Bedeutung zu.

Nach Auffassung des VGH spreche die abstrakt gesehen mögliche Sensibilität der gewünschten namensbezogenen Datenübermittlung (angesichts der ohnehin auch bei anonymisierten Daten bestehenden Rückschlussmöglichkeiten) gegen die Erforderlichkeit der von der Personalvertretung abstrakt und generell begehrten namensbezogenen Übermittlung.

Zuletzt lehnt der VGH die Datenverarbeitung auch auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO ab. Der VGH lässt hier die Frage offen, ob eine Geltung dieser Vorschrift im Zusammenhang mit personalvertretungsrechtlicher Aufgabenerfüllung nicht schon gemäß Art. 6 Abs. 1 Unterabs. 2 DSGVO ausgeschlossen ist. Jedoch könne die in Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung im Hinblick auf den von Art. 8 GRCh vermittelten Grundrechtsschutz nicht anders ausfallen als die Erforderlichkeitsprüfung bei Art. 6 Abs. 1 lit. c DSGVO.

Fazit

Die Entscheidung des VGH ist ein Schatz an interessanten und für die Praxis relevanten Auslegungen und Interpretationen der DSGVO im Bereich des Beschäftigtendatenschutz. Besonders bedeutsam ist auch der Umstand, wie sehr der VGH hier (meines Erachtens absolut zu Recht) auf eine europarechtskonforme Auslegung der Vorschriften pocht und immer wieder auf die Charta der Grundrechte verweist. Man kann es nicht oft genug betonen: Datenschutz, auch der Beschäftigtendatenschutz, ist im Kern europäisches Recht und daher auch so zu behandeln.

Hessischer Datenschutzbeauftragter veröffentlicht FAQ zur DSGVO – Unter anderem: vorsorgliche Einwilligung ist möglich

Immer noch sind viele Fragen bei der Anwendung der DSGVO unbeantwortet und umstritten. Die hessische Datenschutzbehörde hat, aufgrund „einer Flut von Anfragen beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI)“, Antworten zu den am häufigsten gestellten Fragen auf ihrer Webseite veröffentlicht.

Natürlich findet man dort als Suchender sicherlich nicht die Antwort auf jede Frage zur DSGVO. Dennoch sind die Antworten des HBDI, insbesondere für Unternehmen mit Hauptsitz in Hessen, sicherlich eine lesenswerte Ressource.

Interessant ist etwas die Aussage der Behörde zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich der HBDI der bereits vom BayLDA veröffentlichten Ansicht anzunähern und den Anwendungsbereich der Auftragsverarbeitung recht eng zu ziehen, nämlich nur auf solche Fälle, in denen tatsächlich ein Dritter mit der Verarbeitung von Daten beauftragt wird.

Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“

Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes nicht sicher ist.

„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“

Der HBDI scheint also davon auszugehen, dass eine Verarbeitung aus Sicht des Verantwortlichen auf zwei Erlaubnistatbestände, wovon einer die Einwilligung ist, gestützt werden kann, wenn man unsicher ist, ob die eigentlich avisierte Rechtsgrundlage wirklich eingreift. Der Kollege Tim Wybitul hat genau zu diesem Thema heute in einem Beitrag auf LinkedIn darauf hingewiesen, dass aus dem neues Kurzpapier (PDF) der DSK zur Einwilligung wohl eine andere Ansicht ableitbar ist. Eventuell vertritt der HBDI hier also eine nicht ganz so strenge Auffassung.

Oberster Gerichtshof in Österreich zur Kopplung der Einwilligung nach der DSGVO – grundsätzlich unzulässig?

Mit Urteil vom 31.08.2018 (Az. 6Ob140/18h) hat der Oberste Gerichtshof in Österreich (OGH) eine interessante und auch für andere Mitgliedstaaten sicherlich relevante Entscheidung zur Einwilligung und dem „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO gefällt.

Sachverhalt

Gegenstand des Verfahrens war eine Verbandsklage wegen gesetzwidriger AGB-Bestimmungen und einer Geschäftspraktik, welche von der Beklagten, einem Unternehmen, welches den Empfang digitaler Fernsehprogramme ermöglicht, eingesetzt wurde.

Für die hiesige Besprechung sind jedoch allein die AGB-Klauseln relevant. Diese lauteten auszugsweise wie folgt:

2. Der Kunde stimmt zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, EMail-Adresse, Gerätenummer (Client ID) des TVEmpfangsgeräts, Internet ID) von s***** verwendet werden, um dem Kunden Informationen über das Produktportfolio von s*****TV (Aktionen, neue Angebote, neue Programme, Programmhighlights), s***** Internet, TV-Empfangsgeräte, terrestrische Empfangsmöglichkeiten, per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen sowie…Diese Zustimmung kann der Kunde jederzeit schriftlich mit Brief oder E-Mail an s***** widerrufen.

3. Der Kunde stimmt weiters zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse, Gerätenummer (Client ID) des TV-Empfangsgeräts, Internet ID) von s***** verwendet werden, um dem Kunden Informationen über Angebote (Produkte und Leistungen) der Kooperationspartner von s***** per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen. Kooperationspartner von s***** sind Unternehmen mit Sitz in Österreich, mit welchen s***** bei der Vermarktung der Angebote (Produkte und Leistungen) von s***** zusammenarbeitet und/oder welche ergänzende Leistungen zu den Angeboten von s***** anbietet. Kooperationspartner sind F***** GmbH, O***** GmbH & Co KG, Ö***** GmbH & Co KG, Ö***** Kundenservice GmbH & Co KG und G***** GmbH.Firmenbuchnummer *****. Diese Zustimmung kann der Kunde jederzeit schriftlich mit Brief oder E-Mail an s***** widerrufen.

Die Vorinstanzen verboten die Verwendung beider Klauseln, u.a. mit der Begründung, dass Klauseln 2 und 3 benachteiligend seien,

weil sie den Vertragsabschluss von der Zustimmung zu einer (für die Vertragserfüllung nicht erforderlichen) Datenverwendung (nämlich zu Werbezwecken) abhängig machen, womit es an einer Freiwilligkeit der Zustimmung nach § 4 Z 14 DSG 2000 („ohne Zwang“) mangle.

Urteil des OGH

Der OGH verweist zunächst, neben allgemeinen Ausführungen zum Datenschutzrecht, darauf, dass die Frage des „Koppelungsverbotes“, also ob der Vertragsabschluss von einer Zustimmung zu einer (dafür nicht erforderlichen) Datenverarbeitung abhängig gemacht werden kann, in der österreichischen höchstgerichtlichen Judikatur noch nicht behandelt wurde. Anders als in Deutschland (§ 28 Abs 3b BDSG aF) bestand in Österreich nach altem Datenschutzrecht auch keine diesbezügliche ausdrückliche Bestimmung.

Der OGH prüft den Fall jedoch nicht nur nach der alten Rechtslage, sondern auch unter Anwendbarkeit der DSGVO. Und hier wird es natürlich interessant.

Das Gericht erläutert, dass die materiell rechtlichen Voraussetzungen einer Einwilligung im Wesentlichen unverändert blieben. Jedoch enthalte die DSGVO nunmehr zusätzliche Regelungen zur Freiwilligkeit der Einwilligung in Art. 7 Abs 4 DSGVO:

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Der OGH nutzt zur Auslegung des Art. 7 Abs. 4 DSGVO auch den korrespondierenden Erwägungsgrund, ErwG 43 DSGVO. In diesem heißt es:

Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Danach spricht das Gericht richtigerweise einen sehr relevanten Punkt bei der Auslegung und Anwendung dieser Normen an. Nach dem Verordnungstext (Art. 7 Abs. 4 DSGVO) muss dem Umstand der Koppelung bei der Beurteilung der Freiwilligkeit größtmöglich Rechnung getragen werden. Der Artikel verbietet eine Kopplung mithin nicht per se, sondern verlangt, dass im Rahmend es Tatbestandsmerkmals der „Freiwilligkeit“ den Umständen des Einzelfalls Rechnung zu tragen ist.

ErwG 43 DSGVO hingegen formuliert das Verbot einer Kopplung finaler. Nach Ansicht des OGH

spricht der Erwägungsgrund eindeutig für ein unbedingtes Verbot der Koppelung.

Dem folgend verweist der OGH kurz auf den Meinungsstand in der Literatur. Die Stellungnahmen, ob nun ein unbedingtes Kopplungsverbot bestehe, seien nicht eindeutig.

Danach entscheidet sich der OGH, ohne größere Begründung (konkret in einem Absatz), für eine restriktive Auslegung der Vorschriften.

Das Spannungsverhältnis zwischen dem Text der Verordnung und dem Erwägungsgrund 43 ist offensichtlich dahin aufzulösen, dass an die Beurteilung der „Freiwilligkeit“ der Einwilligung strenge Anforderungen zu stellen sind. Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.

Leider führt der OGH für diese Sichtweise keine nähere Begründung an. Meines Erachtens kann man diese Auslegungskonflikt zwischen Artikel und Erwägungsgrund aber auch genau entgegengesetzt lösen. Denn die Bestimmungen in den Erwägungsgründen sind jener Teil des Rechtsakts, der die Begründung enthält und zwischen den Bezugsvermerken und dem verfügenden Teil des Rechtsakts steht. ErwG 43 DSGVO ist gerade nicht Inhalt des verfügenden Teils der DSGVO. Wenn man so will, kann man aus Sicht der verpflichtet Verantwortlichen auch davon ausgehen, dass zwingend bindend nur die Artikel sind, wohingegen die ErwG die Begründung des verbindlichen Teils darstellen.

Dieses Verhältnis zwischen ErwG und Artikel ergibt sich auch eindeutig aus dem „Gemeinsamen Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken“ (Stand, 2015):

Die Erwägungsgründe werden im Gegensatz zum verfügenden Teil so formuliert, dass ihre Unverbindlichkeit deutlich wird.

Zumindest lässt sich der Entscheidung des OGH entnehmen, dass das Gericht nicht von einem absoluten Kopplungsverbot auszugehen scheint („grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt“). Für die Ausnahmefälle, in denen eine Freiwilligkeit gegeben ist, verengt der OGH aber meines Erachtens den Spielraum massiv. Es müssten „besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen“. Nach Ansicht des OGH ist die fehlende Freiwilligkeit (und damit die Unzulässigkeit der Kopplung) also wohl die Regel.

Selbst wenn man der Ansicht des OGH folgen möchte, verwundert es doch, dass das Gericht eine Vorlage an den EuGH zu dieser Frage ablehnt, „weil sich das vorstehende Ergebnis bereits aus dem Wortlaut der DSGVO und dem zitierten Erwägungsgrund ergibt“. Im Grunde hat der OGH in seinem Urteil, ein paar Randziffern zuvor, bei dem Verweis auf die umstrittene und unklare Meinungslage in der Literatur, selbst schon deutlich gemacht, dass die Rechtslage in dieser Frage nicht eindeutig ist und die Klärung durch den EuGH wünschenswert wäre. Leider hält er dies hier aber nicht für geboten.

Relevant ist die Entscheidung meines Erachtens in jedem Fall, da es sich hier um eine höchstrichterliche Befassung mit den Vorgaben des Art. 7 Abs. 4 DSGVO handelt. Inhaltlich halte ich die Interpretation der DSGVO durch den OGH auf jeden Fall für angreifbar. Eventuell müssen wir uns aber noch ein wenig gedulden, bis der EuGH zu dieser Vorschrift entscheiden kann. Auch in Italien wurde in diesem Jahr bereits zu Art. 7 Abs. 4 DSGVO entschieden (Corte Suprema Di Cassazione, 2.7.2018, 17278/2018, S. 9 ff.).

Deutsche Datenschutzbehörden veröffentlichen neue Orientierungshilfe zur Datenverarbeitung für Werbezwecke unter der DSGVO

Vom 6. bis 8.11.2018 trafen sich die deutschen Aufsichtsbehörden zu der 96. Konferenz der Datenschutzkonferenz (DSK). Auf dieser Konferenz haben die Behörden auch die für die Praxis sehr relevante Orientierungshilfe zur Datenverarbeitung für Werbezwecke (pdf) überarbeitet und beschlossen.

Die Orientierungshilfe ist recht umfangreich (14 Seiten), daher möchte ich hier nur ein paar Punkte daraus ansprechen.

Die DSK weist darauf hin, dass Grundlage für die Beurteilung der Zulässigkeit einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung nach der DSGVO

abgesehen von einer Einwilligung der betroffenen Person, eine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO

ist. Die Darstellung der DSK mutet leider so an, als ob sie davon ausgeht, dass tatsächlich nur diese beiden Erlaubnistatbestände bei der Verarbeitung für Werbezwecke einschlägig wären. Dies würde aber einer Sperrung der anderen Erlaubnistatbestände (z.B. Vertrag nach Art. 6 Abs. 1 lit. b) DSGVO) mit sich bringen, die so in der DSGVO nicht angelegt ist und auch durch den EuGH zur vormaligen Datenschutz-Richtlinie im Rahmen der Auslegung des TMG als europarechtswidrig angesehen wurde.

Hinsichtlich der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO geht die DSK davon aus, dass sowohl

  • die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen sind (siehe ErwG 47 DSGVO), als auch
  • zu fragen ist, was objektiv vernünftigerweise erwarten werden kann und darf. Entscheidend sei daher auch, ob die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung in bestimmten Bereichen der Sozialsphäre typischerweise akzeptiert oder abgelehnt wird.

Hinsichtlich der Erwartungen der betroffenen Person geht die DSK davon aus, dass diese auch durch die Informationen nach Art. 13 und 14 DSGVO geformt werden.

Informiert der Verantwortliche transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung, geht die Erwartung der betroffenen Personen in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden.

Diese Klarstellung ist meines Erachtens als positiv anzusehen, denn sie zeigt, dass die DSK davon ausgeht, dass Unternehmen die Erwartungen der Betroffenen durchaus selbst gestalten können. Zumindest zu einem gewissen Teil. Denn die DSK fügt direkt hinzu, dass die

Erwartungen an dem objektiven Maßstab der Vernunft gemessen werden müssen.

Sehr relevant sind dann die von der DSK aufgestellten Praxisfälle zur Interessenabwägung:

  • Schutzwürdige Interessen dürften in der Regel nicht überwiegen, wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weitere Produkte des Verantwortlichen zugesendet wird.
  • Auch bei der Nutzung eines Selektionskriteriums zur Einteilung in Werbegruppen und wen sich kein zusätzlicher Erkenntnisgewinn aus der Selektion ergibt, wird die Interessenabwägung in der Regel ebenfalls zugunsten des Verantwortlichen ausfallen.
  • Im Fall von eingriffsintensiveren Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, überwiege jedoch nach Ansicht der DSK ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung.

Den letztgenannten Fall sieht die DSK als „Profiling“ an, das nicht mehr auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden könne und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht.

Interessant ist auch die Auslegung der Vorschriften der DSGVO im Hinblick auf die Wechselwirkung mit dem UWG. Nach Auffassung der DSK sind

auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mit zu berücksichtigen.

Hinsichtlich der Bestandskundenwerbung (§ 7 Abs. 3 UWG) bestätigt die DSK, dass die damit verbundene Datenverarbeitung auf der Grundlage einer Interessenabwägung zulässig ist. Überwiegende schutzwürdige Interessen

sind insbesondere dann nicht gegeben, wenn die in § 7 Abs. 3 UWG enthaltenen Vorgaben für elektronische Werbung eingehalten werden.

Hinsichtlich der Telefonwerbung, für Anrufe bei Verbrauchern, weist die DSK darauf hin, dass das UWG (§ 7 Abs. 2 Nr. 2) keine Ausnahme vom Einwilligungserfordernis vorsieht. Hieraus leitet die DSK ab, dass

ein solches Nutzen von Telefonnummern ohne vorherige Einwilligung wegen der besonderen Auswirkungen dieser Werbeform (stärkere Belästigung/Störung) datenschutzrechtlich an den überwiegenden schutzwürdigen Interessen der betroffenen Personen gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO scheitert.

Es wird also deutlich, dass die DSK die wettbewerbsrechtlichen Anforderungen des UWG in die Interessenabwägung nach der DSGVO mit hineinliest. Diese Ansicht mag man nicht unbedingt teilen, etwa mit dem Argument, dass es sich um zwei verschiedene Gesetze und auch zugrundeliegende europäischen Gesetze handelt (einmal die RL 2002/58/EG und zum anderen DSGVO), die nebeneinander und voneinander getrennt anzuwenden und zu prüfen sind.

Daneben geht die DSK auch auf die nach Art. 13 und 14 DSGVO zu erteilenden Informationen ein. Hier weisen die Aufsichtsbehörden darauf hin, dass zwar grundsätzlich zum Zeitpunkt der Datenerhebung über alle Themen nach Art. 13 Abs. 1 und 2 DSGVO zu informieren ist. Allerdings bestehe nicht immer die Möglichkeit, der betroffenen Person alle Informationen auf einmal vollständig zu erteilen. In diesem Fall spricht sich die DSK für die Umsetzung eines zweistufigen Informationsmodells aus.

Hinsichtlich der Nachweisbarkeit einer Einwilligung empfehlen die Behörden, das Double-Opt-In-Verfahren zu nutzen. Wie der Nachweis inhaltlich gestaltet sein soll, geben die Behörden nicht vor. Jedoch weisen sie darauf hin, dass die Anforderungen des Art. 5 Abs. 2 DSGVO und des BGH (Urteil vom 10. Februar 2011, I ZR 164/09) bei der Protokollierung zu berücksichtigen sind.

Das bloße Abspeichern der IP-Adressen von Anschlussinhabern und die Behauptung, dass von diesen eine Einwilligung vorliege, genügen dem BGH nicht. Der Nachweis der Einwilligung erfordert mehr, z. B. die Protokollierung des gesamten Opt-In-Verfahrens und des Inhalts der Einwilligung.

Zuletzt möchte ich noch darauf hinwiesen, dass die Behörden auf den „Verfall“ von Einwilligungen eingehen. Die Aufsichtsbehörden weisen darauf hin, dass die Zivilgerichte

bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit“ sehen. Dazu wird auf das LG München I (Urteil vom 8. April 2010, Az. 17 HK O 138/10) verweisen).

Leider weisen die Aufsichtsbehörden in diesem Zusammenhang nicht auf ein aktuelleres Urteil des BGH (Urteil vom 1.2.2018 – III ZR 196/17) hin. In diesem Urteil entschied der BGH zu § 7 UWG:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Verwaltungsgericht: Facebook Custom Audience mit Kundenliste ist ohne Einwilligung unzulässig

Dass der Einsatz von Facebook Custom Audience aus datenschutzrechtlicher Sicht nicht unkritisch ist, dürfte seit einiger Zeit bekannt sein. Zuletzt hatte die bayerische Aufsichtsbehörde für Unternehmen, das BayLDA, im Oktober 2017 in einer Pressemitteilung darauf hingewiesen, dass Unternehmen in Bayern diesbezüglich überprüft wurden. Zudem stellte das BayLDA seine Sichtweise zur Zulässigkeit der verschiedenen Varianten des Werbe-Tools dar.

Die Variante „Facebook Custom Audience über die Kundenliste“ sieht das BayLDA nur als datenschutzrechtlich zulässig an, wenn Betroffene, deren Daten, u.a. auch die E-Mail-Adresse, gehasht an Facebook zum Abgleich mit Facebook-Nutzern weitergegeben wird, zuvor in die Verwendung der Daten für den werblichen Zweck eingewilligt haben.

Nachdem ein bayerisches Unternehmen, welches diese Variante von Facebook Custom Audience nutzte, vom BayLDA geprüft wurde und der Ansicht der Behörde nicht folgte, dass in diesem Fall die Einwilligung er Betroffenen erforderlich sei (diese lag nicht vor), erließ das BayLDA gegen das Unternehmen einen Bescheid, mit dem das Unternehmen verpflichtet wurde, binnen zwei Wochen nach Zustellung des Bescheides die erstellten Custom Audiences (Kundenlisten) zu löschen.

Gegen diesen Bescheid ging das Unternehmen, zunächst im Wege des vorläufigen Rechtsschutzes, vor dem Verwaltungsgericht (VG) Bayreuth gerichtlich vor. Das Verwaltungsgericht entschied nun mit Beschluss v. 08.05.2018 – B 1 S 18.105, dass der Antrag des Unternehmens abgelehnt wird, da Sache die in der Hauptsache erhobene Klage Unternehmens voraussichtlich ohne Erfolg bleiben wird.

Oder kurz: das Gericht folgt der Auffassung des BayLDA („folgt das Gericht den Gründen der angegriffenen Anordnung vom 16.01.2018“), dass der Einsatz der Variante von Facebook Custom Audience über das Hochladen von Kundenlisten in den eigenen Facebook Account des Unternehmens der vorherigen Einwilligung der Betroffenen bedarf.

Der Beschluss des VG ist sehr ausführlich und durchaus lesenswert. Insbesondere die Darstellung der verschiedenen Rechtspositionen und Begründungen der Parteien ist interessant.

Zudem noch ein Hinweis: der Beschluss erging auf Grundlage der alten Rechtslage vor dem 25.5.2018. Das heißt nicht, dass alle in dem Beschluss benannten Gründe und Erwägungen nun hinfällig wären. Denn wie wir wissen, unterscheidet sich die DSGVO gar nicht so sehr von dem alten BDSG. An der ein oder anderen Stelle, können sich meines Erachtens aber auch Unterschiede ergeben (Beispiel: die DSGVO kennt kein Listenprivileg für Werbezwecke, sondern benennt die Verarbeitung für Zwecke der Direktwerbung als ein mögliches berechtigtes Interesse; das alte BDSG definierte die Anonymisierung von Daten, die DSGVO jedoch nicht).

Nachfolgend möchte ich ganz kurz die Gründe des VG für seine Entscheidung aufführen:

  • Uber die verwendeten E-Mail-Adressen ist ein Personenbezug herstellbar. Durch den Vorgang des „Hashens“ werden die Daten nicht (i.S.v. § 3 Abs. 6 BDSG) anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen.
  • Bei der Übermittlung der gehashten E-Mail-Adressen der Kunden des Unternehmens an Facebook handelt es sich nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung, sondern um eine Übermittlung an Dritte und in der Folge eine Datenverarbeitung.
  • In der vorliegenden Sachverhaltsgestaltung ist nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Die Übermittlung der (gehashten) E-Mail-Adressen ist integraler Bestandteil der Werbemaßnahme. Eine eigenständige Bedeutung der bloßen Durchführung eines Datenabgleichs, der dann als Teil einer Auftragsdatenverarbeitung angesehen werden könnte, ist nicht zu erkennen.
  • Das Unternehmen kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ (§ 28 Abs. 3 Satz 2 BDSG (alt)) stützen. Bei E-Mail-Adressen handelt es sich nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind.
  • Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG (alt), da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält. Darüber hinaus wäre jedoch zusätzlich eine zugunsten des Unternehmens ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG (alt)), die jedoch hier zum Nachteil des Unternehmens ausgeht.
  • Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) (Interessenabwägung) kann die Übermittlung der (gehashten) E-Mail-Adressen nicht gerechtfertigt werden. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind die im § 28 Abs. 3 BDSG (alt) getroffenen Wertungen des Gesetzgebers zu berücksichtigen. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den Regelungen in § 28 Abs. 3 BDSG (alt) selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte.
  • Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Zu berücksichtigen ist daher auch, dass das Unternehmen die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten einzuholen.

Wie gesagt, sind einzelne Begründung aufgrund der neuen Rechtslage nicht per se übertragbar. Es zeigt sich aber insgesamt, dass das VG hier in allen entscheidenden Punkten der Argumentation des BayLDA folgt.

Besonders spannend ist für mich, aus juristischer Sicht, die Frage nach der Auftragsverarbeitung durch Facebook. Das VG verweist hier deutlich darauf, dass es nicht unbedingt auf den zwischen Facebook und dem Unternehmen abgeschlossenen Vertrag ankommt, sondern die faktischen Gegebenheiten entscheiden. Das bedeutet aber auch, dass es wohl faktische Gegebenheiten geben kann, in denen man Facebook durchaus als Auftragsverarbeiter des Unternehmens ansehen könnte.

Zu beachten zudem, dass sich diese Entscheidung nur auf eine Alternative des Werbe-Tools von Facebook bezieht. Daneben gibt es auch noch die Möglichkeit, ein Pixel des Netzwerkes in die eigene Webseite einzubinden (also keine Listen mit Kundendaten hochzuladen).

OLG Frankfurt a.M.: Kaufvertrag über Daten wegen fehlender Einwilligung nach dem BDSG unwirksam

Das OLG Frankfurt hat ein recht interessantes Urteil zu der Frage gefällt, wie sich ein Verstoß gegen datenschutzrechtliche Bestimmungen des Gesetzes auf der vertraglichen Ebene im Rahmen eines Kaufvertrages über Daten auswirkt.

Mir Urteil vom 24.1.2018, Az. 13 U 165/16 (bisher liegt nur die Pressemitteilung vor) entschied das OLG, dass der Kaufvertrag über Adressdaten

insgesamt nichtig

sei,

da die Adressinhaber in den Verkauf ihrer Daten nicht wirksam eingewilligt hätten. Der Vertrag verstoße gegen die Vorgaben des BDSG.

Es lag zwar eine Einwilligung der Betroffenen vor. Diese erfüllte jedoch nicht die gesetzlichen Vorgaben. In der Einwilligungserklärung waren weder die betroffenen Daten noch Kategorien etwaiger Datenempfänger oder der Nutzungszweck – Adresshandel – konkret genug bezeichnet worden.

Zur vollständigen Einordnung es Urteiles wird man sicherlich die Urteilsgründe abwarten müssen. Dennoch lässt sich aus der Pressemitteilung ableiten, dass das OLG bei einem Verstoß gegen Vorgaben des BDSG nicht etwa nur von einem Mangel der Kaufsache (Daten) ausgeht, sondern den gesamten Vertrag als unwirksam erachtet. Eventuell geht das OLG hier von einem Verstoß gegen ein gesetzliches Verbot aus (§ 134 BGB).

Zu beachten ist, dass die vorliegende Konstellation durchaus eine spezielle war. So ging es in dem Kaufvertrag tatsächlich um nichts anderes als den Kauf der Daten, die dann für werbliche Zwecke genutzt werden sollten. Dies scheint mir ein wichtiger Aspekt zu sein. Die Übergabe der Daten war also die einzige und alleine Hauptpflicht des Verkäufers.

Zudem begründet das OLG sein Urteil auf einem weiteren Argument:

Der Vertrag verpflichte die Parteien darüber hinaus „systematisch“ zu einem unlauteren wettbewerbswidrigen Verhalten, so dass auch deshalb von einer Gesamtnichtigkeit auszugehen sei.

Hier bezieht sich das OLG auf die Vorgaben des § 7 Abs. 2 Nr. 3 UWG für eine Zusendung von Werbe-E-Mails. Die dafür erforderliche Einwilligung lag nicht vor.

Aufgrund dieser Begründung kann man z.B. darüber nachdenken, ob allein ein Verstoß gegen das BDSG auch zu demselben Ergebnis geführt hätte.

Zuletzt verweigert das OLG den Vertragsparteien dann auch Rückabwicklung bzw. die Rückzahlung des Kaufpreises. Zwar sei der Verkäufer durch den Kaufpreis bereichert. Es bestehe aber kein Rückzahlungsanspruch, da beide Vertragsparteien vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.

Zumindest für Unternehmen, die ebenfalls mit Adressdaten agieren oder diese generieren und veräußern, ist dieses Urteil von hoher Relevanz. Denn wenn der Käufer Pech hat, bleibt er auf nicht nutzbaren Daten sitzen und erhält den gezahlten Preis nicht zurück. Welche konkreten Folgen jedoch im Ergebnis aus dem Urteil auch auf andere Fälle, neben jenen des Adresshandels, übertragbar erscheint, ist, dass Verstöße gegen gesetzliche Datenschutzvorgaben das Risiko einer Unwirksamkeit des Vertrages über Daten bergen. Es lässt sich durchaus darüber nachdenken, diese Auffassung auch auf andere Vertragskonstellationen, bei denen es gerade nicht allein um den Kauf von Adressdaten geht, zu übertragen. So kann man etwa an Verträge über den Kauf von Daten für interne Analysezwecke oder zur Effektivierung eigener Produkte oder Dienstleistungen denken.

ePrivacy Verordnung: Mitgliedstaaten sollen über opt-in oder opt-out für den Einsatz von Cookies für Werbezwecke entscheiden

Im Rat der Europäischen Union wird zwischen den Mitgliedstaaten weiter über den Entwurf der ePrivacy Verordnung diskutiert (mein älterer Beitrag hierzu). Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacyVO soll die geltende ePrivacy-Richtlinie ersetzt werden.

Nun hat die Ratspräsidentschaft ein aktuelles Sachstandspapier (pdf) vom 11.1.2018 zu noch offen diskutierten Themen veröffentlicht, in dem sie die Mitgliedstaaten dazu auffordert, Stellungnahmen zu verschiedenen Lösungsvorschlägen abzugeben. Betroffene Themen sind u.a. ganz allgemein das Verhältnis der ePrivacyVO zur EU Datenschutz-Grundverordnung, die Regulierung der Maschine-Maschine-Kommunikation, die Anforderungen an Software (Browser, Apps) aber natürlich auch die zukünftigen rechtlichen Anforderungen zum Zugriff auf Informationen oder das Ablegen von Informationen in Endgeräten der Nutzer. Also insbesondere der Einsatz von Cookies und anderen Trackingtechnologien für werbliche Zwecke.

Sowohl der Entwurf der Kommission als auch die Entschließung des Europäischen Parlaments zur ePrivacyVO sahen in Art. 8 Abs. 1 dem Grunde nach keine Möglichkeit vor, Informationen auf Endgeräten abzulegen oder auf Informationen in Endgeräten von Nutzern für rein werbliche Zwecke (z.B. Onlinewerbung) zuzugreifen, ohne dass die Einwilligung des Nutzers vorliegt.

Die Ratspräsidentschaft bittet in dem aktuellen Diskussionspapier nun um Stellungnahmen der Delegationen zu der Frage, ob Art. 8 Abs. 1 in der Hinsicht angepasst werden sollte, dass ein Erlaubnistatbestand aufgenommen wird, der, auf der Grundlage berechtigter Interessen und dem Recht des Betroffenen auf Widerspruch, Unternehmen die Möglichkeit eröffnet, Cookies und andere Technologien für werbliche Zwecke einzusetzen. Es geht hier also um die Frage, ob eine Interessenabwägung auch im Bereich des Zugriffs auf Informationen in oder das Ablegen von Informationen (wie Cookies) auf Endgeräte als Erlaubnistatbestand Einzug in die ePrivacyVO halten soll. Sollte dieser Vorschlag Zuspruch finden, dürfte diese Änderung sicherlich noch für Diskussionen im (wohl für Herbst bzw. Ende 2018 geplanten) Trilog zwischen Kommission, Parlament und Rat sorgen.

Bayerische Aufsichtsbehörde veröffentlicht Hinweise und Anforderungen an den Einsatz von Facebook Custom Audience

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in der Vergangenheit bayernweiten 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird. Gestern veröffentlichte die Behörde nun das Ergebnis ihrer Prüfung und gleichzeitig auch allgemeine Hinweise und Anforderungen, die aus Sicht des BayLDA beim Einsatz von Custom Audience zu beachten sind (Pressemitteilung und Hinweise, pdf).

Wenn man sich die Informationen und Äußerungen des BayLDA zu Custom Audience aus der Vergangenheit vor Augen führt (hier mein Blogbeitrag zum Tätigkeitsbericht 2013/2014 und hier mein Blogbeitrag zum Tätigkeitsbericht 2015/2016), sind die Aussagen der Behörde zu den datenschutzrechtlichen Voraussetzungen beim Einsatz von Custom Audience wenig überraschend. Dennoch möchte ich bereits hier anfügen, dass die Auffassung des BayLDA zumindest zum Teil sicher auch streitbar ist.

Das BayLDA trennt in seinen Hinweisen klar strukturiert zwischen der Funktion „Facebook Custom Audience über die Kundenliste“ und „Facebook Custom Audience über das Pixel-Verfahren“, wobei in letzterer Variante noch die Funktion „Erweiterter Abgleich“ eine Rolle spielt.

Facebook Custom Audience über die Kundenliste

Die Funktion „Facebook Custom Audience über die Kundenliste“, in der ein Unternehmen eine Liste erstellt, die Name, Wohnort, E-Mail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält und diese Liste dann im Facebook-Konto des Unternehmens hochlädt, damit Facebook feststellen kann, welcher Kunde Facebook-Nutzer ist, ist nach Auffassung des BayLDA nur aufgrund einer informierten Einwilligung der Kunden zulässig. Zudem weist das BayLDA darauf hin, dass das Übermitteln dieser Liste an Facebook auch auf der Basis der ab 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) seiner Ansicht nach nicht ohne Einwilligung zulässig sein wird.

Facebook Custom Audience über das Pixel-Verfahren

Die Funktion „Facebook Custom Audience über das Pixel-Verfahren“ existiert in einer einfachen Variante und in der Variante des erweiterten Abgleichs. Auf der Webseite eines Unternehmens wird ein Facebook-Pixel eingebunden. Über dieses Pixel kann Facebook (nicht der Einbindende) das Online-Verhalten des Nutzers nachvollziehen. Das BayLDA nennt beispielhaft ein typisches Szenario: „Ein Nutzer besucht einen Webshop und interessiert sich für das neueste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet. Der Betreiber des Webshops möchte natürlich den Kunden zurückgewinnen und kann ihn über Facebook mittels Werbung des zuvor angesehenen Smartphones locken und zur Rückkehr auf die Webshop-Seite verleiten“.

Nach Auffassung des BayLDA ist der Webseiten-Betreiber, der den Facebook-Pixel auf seiner Webseite einbindet,

im datenschutz-rechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst.

Diese Auffassung des BayLDA ist sicherlich vertretbar. Jedoch existiert genau zu dieser Frage, inwieweit ein Webseitenbetreiber datenschutzrechtlich verantwortlich ist, wenn er Code einbindet, über den Dritte dann Daten der Besucher verarbeiten können, schon länger Streit. Die Frage der Verantwortlichkeit liegt derzeit dem Europäischen Gerichtshof (EuGH) im Fall der Einbindung des Facebook -Like-Buttons vor (C-40/17, Fashion ID). Das OLG Düsseldorf hat dem EuGH mit Beschluss vom 19.1.2017 (I-20 U 40/16) zur Haftung und Verantwortlichkeit übermittelt. Dies zeigt, dass die Frage der Verantwortlichkeit des Webseitenbetreibers in diesen Fällen zumindest derzeit nicht so klar zu beantworten ist, wie dies in den Hinweisen dargestellt wird. Man wird freilich davon ausgehen dürfen, dass die deutschen Aufsichtsbehörden in dieser Frage einer Meinung sein werden.

Was die Anforderungen an den Einsatz der Funktion „Facebook Custom Audience über das Pixel-Verfahren“ betrifft, so geht das BayLDA in seinen Hinweisen nur auf den „Erweiterten Abgleich“ ein. Die, wenn man so will, aus Datenschutzsicht „schlimmere“ Variante. Hierdurch ist es, über das Facebook-Pixel möglich, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. Nach Auffassung des BayLDA dürfen Webseiten-Betreiber die erweiterte Funktion nur einsetzen,

wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

Zusätzlich müssen Hinweispflichten erfüllt werden. Der Nutzer muss also wissen, welche Daten erhoben werden, für welche Zwecke usw. Außerdem muss der Webseiten-Betreiber ein geeignetes Opt-Out-Verfahren implementieren. Und Achtung, auch an dieses stellt das BayLDA gewisse Anforderungen. So sei ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) für ein Opt-Out nicht ausreichend. Auch ein Verweis auf die URL www.facebook.com/settings stelle kein geeignetes Opt-Out-Verfahren.

Keine Anforderungen stellt das BayLDA in seinen Hinweisen jedoch an die einfache Variante des Pixel-Verfahrens auf. Wenn also nicht noch zusätzliche Daten übermittelt werden. Das bedeutet sicherlich nicht, dass der Einsatz völlig voraussetzungslos möglich ist. Jedoch kann man meines Erachtens aus dem Schwiegen des BayLDA in seinen Hinweisen schließen, dass der Einsatz des einfachen Pixel-Verfahrens ohne Einwilligung der Webseiten-Besucher zulässig ist. Jedoch muss der Webseiten-Betreiber die Nutzer über die Funktionsweise des Pixels einwandfrei in der Datenschutzerklärung informieren und eine Opt-Out-Lösung anbieten. Wie gesagt, dass BayLDA äußert sich zu den Anforderungen an das einfache Verfahren jedoch nicht ausdrücklich.

Das BayLDA informiert in seiner Pressemitteilung nicht allein zum Ausgang der Prüfung, sondern gibt Unternehmen erfreulicherweise auch direkt Handlungsempfehlungen mit auf den Weg. Für die Antwort auf Frage der Verantwortlichkeit des Webseiten-Betreibers dürfte die Entscheidung des EuGH in dem dort anhängigen Verfahren aus Deutschland von besonderer Relevanz sein.