Französische Datenschutzbehörde: Rechtliche Anforderungen beim Einsatz von Chatbots

Die französische Datenschutzbehörde (CNIL) hat auf ihrer Webseite Hinweise zum datenschutzkonformen Einsatz von Chatbots auf Webseiten oder in Apps veröffentlicht (Französisch).

Die Ansichten und Vorgaben der CNIL, finde ich erfreulich pragmatisch und gut umsetzbar. Nachfolgend eine kleine Zusammenfassung auf Grund einer inoffiziellen Übersetzung.

Einsatz von Cookies

Um einen Chatbot auf einer Webseite zu betreiben, werden häufig Cookies eingesetzt. Sei es, um den Chat seitenübergreifend anzeigen oder den Chatverlauf auch im Nachgang speichern zu können. Wie wir wissen, gelten bei dem Einsatz von Cookies per se die Vorgaben der RL 2002/58/EG, also Art. 5 Abs. 3. Soweit nachgelagert mit personenbezogenen Daten umgegangen wird, dürfte die DSGVO zu beachten sein.

Die CNIL verlangt für den Einsatz von Cookies bei dem Einsatz von Chatbots (meines Erachtens zurecht) nicht immer eine Einwilligung. Wenn Cookies vor Aktivierung durch den Besucher bzw. Nutzer gesetzt werden sollen, ist eine Einwilligung erforderlich.

Wenn aber das Cookie erst abgelegt wird, wenn der Benutzer den Chatbot aktiviert (z. B. durch Anklicken des zuvor angezeigten Konversationsfensters oder durch Anklicken einer Schaltfläche, die explizit das Öffnen des Chatbots auslöst), ist keine Einwilligung erforderlich. Denn dann greift die Ausnahme nach Art. 5 Abs. 3 S. 2 RL 2002/58/EG. Die Speicherung des Cookies ist dann „für die Bereitstellung eines Online-Kommunikationsdienstes auf ausdrücklichen Wunsch des Nutzers unbedingt erforderlich“ und bedarf nicht der Einwilligung.

Wie lange können die über den Chatbot gesammelten Daten aufbewahrt werden?

Im Grundsatz gilt, wie immer: die Daten müssen/dürfen so lange aufbewahrt werden, wie es für die Erreichung des festgelegten Zwecks der Verarbeitung erforderlich ist.

Die CNIL schlägt eine Differenzierung vor:

  • solche Fälle, in denen die Daten gelöscht werden sollten, sobald die Konversation beendet ist (wie im Fall eines Chatbots, der bei dem Abschluss eines Kaufvertrages unterstützt)
  • und Fälle, in denen der für die Datenverarbeitung Verantwortliche die Daten legitimerweise für einen längeren Zeitraum aufbewahren kann (z. B. für eine Reklamation über ein gekauftes Produkt, also z.B. für die Dauer der Gewährleistungsfristen).

Was tun bei der Erfassung sensibler Daten (z.B. Gesundheitsdaten)?

Sehr interessant ist die Ansicht der CNIL zu der Situation, wenn der Verantwortliche über den Chatbot besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) „aufgedrängt“ erhält, obwohl er diese gar nicht angefragt hat. Meines Erachtens kann die Auffassung der CNIL auch abstrahiert auf andere Fälle Anwendung finden (Bsp: Bewerbungsverfahren).

Sollten besondere Kategorien von Daten durch den Nutzer in dem Chatbot eingegeben werden, sind nach Ansicht der CNIL die Ausnahmevorschriften nach Art. 9 Abs. 2 DSGVO zu beachten. Wenn es um aktiv angefragte Daten geht (z. B. mit dem Chatbot eines Dienstes zur Unterstützung sexueller oder gesundheitsbezogener Minderheiten), kann etwa eine Einwilligung eingeholt werden oder die Verarbeitung darf auf Grundlage der Ausnahme nach Art. 9 Abs. 2 lit. g DSGVO erfolgen, wenn die Verarbeitung aus einem wichtigen Grund des öffentlichen Interesses erforderlich ist.

Sollte der Verantwortliche die sensiblen Daten jedoch nicht angefragt haben, so geht die CNIL davon aus, dass Verantwortliche nicht verpflichtet sind, die vorherige Einwilligung der Benutzer einzuholen. Eine aus meiner Sicht richtige Auffassung. Gleichzeitig verlangt die CNIL dann, dass der Verantwortliche aber intern Maßnahmen umsetzen muss, um die Risiken für die Rechte und Freiheiten des Einzelnen zu minimieren:

  • indem vor jeder Nutzung des Chatbots eine Warnung/Information angezeigt wird, die dazu auffordert, von der Kommunikation sensibler Daten abzusehen;
  • durch Einrichtung eines internen Systems zur sofortigen oder zumindest regelmäßigen Löschung, da die Aufbewahrung solcher sensiblen Daten nicht erforderlich ist.

Beide von der CNIL angedachten Maßnahmen halte ich für nachvollziehbar und praktisch auch gut umsetzbar.

Drittstaatentransfers: Deutsche Behörden planen Begutachtung der Rechtslage in den USA und Stichprobenprüfung bei Unternehmen

Kürzlich wurde das Protokoll der 100. Sitzung der DSK im Internet veröffentlicht (pdf).

Neben anderen praxisrelevanten Themen haben sich die deutschen Datenschutzbehörden in ihrer Sitzung Ende November 2020 auch mit Umsetzung der Vorgaben des EuGH aus dem Schrems —Urteil befasst (siehe Top 22).

So hat die Behörde aus Berlin vorgeschlagen, „hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen“. Wichtig ist der Behörde ein gemeinsames Vorgehen der Aufsichtsbehörden zur Umsetzung des Urteils. Laut dem Protokoll soll nun der DSK-Vorsitz ein Umlaufverfahren hinsichtlich der Beauftragung eines Gutachtens sowie dessen Finanzierung einzuleiten.

Die Initiative aus Berlin ist meines Erachtens durchaus praxisrelevant. Zum Teil wird ja sowohl dem EuGH als auch den Aufsichtsbehörden vorgehalten, sich nicht genauer mit der Rechtslage in den USA befasst zu haben. Dieses Argument kann auch bei der rechtlichen Beurteilung von Schutzmaßnahmen, die man ergänzend zu EU-Standarddatenschutzklauseln vereinbart, Bedeutung haben. Denn der Exporteur in der EU soll ja nach dem Urteil des EuGH (mit Unterstützung des Importeurs) beurteilen, wie sich die Rechtslage in dem jeweiligen Drittland in Bezug auf den Importeur und durch diesen verarbeitete Daten auswirkt.

Eventuell ist nun von Behördenseite angedacht, diese „Lücke“ zu schließen und, zumindest auf Behördenseite, eine Begutachtung der Rechtslage in den USA stets verfügbar zu haben. Für Unternehmen, die sich z.B. in einem Prüfverfahren mit der Behörde befinden, kann dies etwa auch dazu führen, dass sie sich gegen Aussagen aus dem Gutachten verteidigen bzw. diese entkräften müssen, wenn die Aufsichtsbehörde das Gutachten zur Grundlage ihrer Argumentation macht.

Wie beschrieben, soll aber nun erst einmal innerhalb der DSK abgefragt werden, ob die Behörden ein solches Gutachten in Auftrag geben möchten.  

In diesem Zusammenhang enthält das Protokoll einen weiteren wichtigen Hinweis: die Datenschutzbehörde aus Hamburg ergänzt in der Sitzung, „dass Stichproben mit Hilfe eines abgestimmten Fragebogens hinsichtlich der Umsetzung des Schrems II-Urteil bei Verantwortlichen durchgeführt werden sollen“. Die Aufsichtsbehörden solle einzeln über eine Teilnahme an dieser Abfrage entscheiden.

Nach meiner Kenntnis, liegt ein innerhalb der DSK abgestimmter Fragebogen zur Prüfung von Drittstaatentransfers aktuell noch nicht vor. Dies schließt freilich nicht aus, dass etwa die Behörde aus Hamburg, wie im Protokoll angekündigt, auch selbstständig entsprechende Prüfungen startet. Letzte Anmerkung dazu: die Prüfung soll bei „Verantwortlichen“ durchgeführt werden. Also wohl nicht bei Dienstleistern mit Sitz in der EU, die Daten in Drittländer übermitteln.  

Bundesregierung plant neue Dokumentationspflicht für Werbeeinwilligungen

In dem „Entwurf eines Gesetzes für faire Verbraucherverträge“ (BR Drs 18/21, PDF) vom 1.1.2021 schlägt die Bundesregierung in Artikel 3 die Schaffung eines neuen § 7a UWG vor. Es geht um die Einführung einer ausdrücklichen Aufbewahrungspflicht für Einwilligung im Bereich Telefonwerbung. In der Begründung wird u.a. auch mit den Vorgaben der DSGVO argumentiert.

Hier der Vorschlag:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Zuständige Behörde wäre hier die BNetzA.

Nach der Gesetzesbegründung (S. 8) sieht die Bundesregierung das Problem, dass in zivilrechtlichen Verfahren und auch nach Art. 7 Abs. 1 DSGVO der Werbende die Darlegungs- und Beweislast für das Vorliegen einer Einwilligung trage. Jedoch müsse im Ordnungswidrigkeitenverfahren zunächst die Behörde den Nachweis der Tatbestandsverwirklichung erbringen, zum Beispiel durch Zeugenbefragungen. Dies gestalte die Verfahren umfangreich und kompliziert.

Interessant ist auch der Hinweis auf die Argumente der werbenden Unternehmen. Diese

versuchen sich dabei zum Teil zu entlasten, indem sie behaupten, die Einwilligungserklärung habe aus Gründen des Datenschutzes nicht länger aufbewahrt werden dürfen und sei daher vernichtet worden“.

Diese Begründung würde ich aus datenschutzrechtlicher Sicht tatsächlich auch nicht verstehen. Denn als Verantwortlicher bin ich sowohl nach Art. 7 Abs. 1 DSGVO als auch allgemein nach Art. 5 Abs. 2 DSGVO zum Nachweis der Zulässigkeit der Datenverarbeitung verpflichtet. Selbst von Datenschutzbehörden ist akzeptiert, dass ich zum Nachweis einer einmal erteilten Einwilligung die erforderliche Dokumentation länger aufbewahren darf. Personenbezogene Daten (in der Einwilligung) dürfen auf der Grundlage von Artt. 6 Abs. 1 lit. c, 7 Abs. 1 DSGVO aufbewahrt werden, so etwa der BayLfD (28. TB, Ziff. 2.3):


Diese personenbezogenen Daten werden durch den Verantwortlichen freilich nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO“.

Zurück zum Gesetzesentwurf. Durch Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher soll die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden.

Fraglich ist jedoch, ob der neu vorgesehene § 7a UWG mit der DSGVO, konkret mit Art. 7 Abs.1 DSGVO, vereinbar ist. Denn das UWG kennt ja keinen eigenen Einwilligungsbegriff, sondern die relevante RL 2002/58/EG verweist auf die alte RL 95/46/EG, die nun durch die DSGVO ersetzt wurde. Nun sollen aber im UWG spezifische Anforderungen an die Dokumentation der Einwilligung aufgenommen werden, die so nicht in der unmittelbar anwendbaren DSGVO festgelegt sind (insbesondere etwa die Dauer von 5 Jahren).

Die Bundesregierung sieht in § 7a UWG-E kein Problem. In der Gesetzesbegründung (S. 13) geht sie davon aus, dass die neue Norm „Artikel 7 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vereinbar“ ist.

Nach Ansicht der Bundesregierung stellt die Regelung „eine spezielle Ausfüllung der Beweislastverteilung der in Artikel 7 Absatz 1 DSGVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar“. Hinsichtlich des § 7a Abs. 1 UWG-E, mag man dies noch verstehen. Denn es wird tatsächlich keine bestimmte Form für die Einwilligung selbst oder den Nachweis vorgegeben. Auch die DSGVO kennt keine Formanforderungen der Einwilligung. Fraglich könnte aber sein, ob die Pflicht zur Aufbewahrung für 5 Jahre nach Abs. 2 so von Art. 7 Abs. 1 DSGVO gedeckt ist. Die DSGVO sieht keine konkreten Zeiträume vor, wie lange Dokumente aufzubewahren sind, um der Rechenschaftspflicht zu genügen. Dies wird man dann sowohl als Pro- als auch als Contra-Argument nutzen können. Diskutabel ist der Punkt meines Erachtens aber schon.

Klar ist aber aus Unternehmenssicht auch, wenn § 7a UWG-E in dieser Form kommt, dass dann § 7a Abs. 2 UWG-E iVm Art. 6 Abs. 1 lit. c DSGVO eine Rechtsgrundlage für die Aufbewahrung der Einwilligungsdokumente und darin enthaltener personenbezogener Daten darstellt.

Berliner Senat: Datenschutzrechtliche Rechtsgrundlage für Einsatz von digitalen Lernplattformen und Videokonferenzdiensten in Schulen

Das Thema „Schulen und Datenschutz“ ist gerade in der aktuellen Situation ein vieldiskutiertes Thema. Schwerpunkt der öffentlichen Diskussion ist vor allem der Einsatz von Videokonferenzdiensten durch Schulen, mit denen der Unterricht außerhalb der Schulen durchgeführt werden soll.

Wohl auch aus diesem Grund hat im Abgeordnetenhaus von Berlin der Abgeordnete Freymark (CDU) eine schriftliche Anfrage mit dem Titel „Voraussetzungen des digitalen Schulunterrichts in Berlin“ gestellt, auf die nun die Senatsverwaltung für Bildung, Jugend und Familie geantwortet hat (Drs. 18/25974, PDF). U.a. geht es in den Fragen auch um den Datenschutz und die Zulässigkeit des Einsatzes von Videokonferenzdiensten durch Schulen, wenn hierbei personenbezogene Daten von Schülern verarbeitet werden (was rein faktisch zwangsläufig der Fall ist).

Auf die Frage, bis wann der Senat vorsieht, „eine verbindliche Rechtsgrundlage für den digitalen Schulunterricht, inklusive der dafür nötigen Einverständniserklärungen, zu schaffen“ antwortet die Senatsverwaltung wie folgt.

Es steht mit den datenschutzrechtlichen Regelungen des Schulgesetzes (§ 64 Absatz 1 SchulG) eine ausreichende Rechtsgrundlage für Schulen zur Verarbeitung von personenbezogenen Daten der Schülerinnen und Schüler beim Einsatz von Lernplattformen sowie zur Nutzung von Videokonferenzdiensten in der derzeitigen COVID-19 Pandemiesituation zur Verfügung“.

§ 64 Abs. 1 SchulG sieht vor: Die Schulen einschließlich der Einrichtungen des Zweiten Bildungswegs, die Schulbehörden und die Schulaufsichtsbehörde dürfen personenbezogene Daten von Schülerinnen und Schülern, ihren Erziehungsberechtigten, Lehrkräften und sonstigen schulischen Mitarbeiterinnen und Mitarbeitern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen schulbezogenen Aufgaben erforderlich ist.

Die Senatsverwaltung geht also offensichtlich davon aus, dass das Angebot und die Durchführung von Fernunterricht über Lernplattformen bzw. auch der Einsatz von Videokonferenzdiensten Teil der schulbezogenen Aufgaben ist. Daher ist eine hierfür erforderliche Datenverarbeitung von dem allgemeinen Erlaubnistatbestand des Abs. 1 gedeckt.

Kurz zu der Vorschrift des § 64 Abs. 1 SchulG. Dieser wurde im Rahmen des Entwurfs eines Schulgesetzes für das Land Berlin (Dr. 15/1842, PDF) im Jahre 2003 eingeführt. In der Begründung zu der Norm heißt es: „Absatz 1 benennt die Stellen, die im Hinblick auf ihre gesetzlichen Aufgabenzuweisungen im Schulwesen das Recht und die Pflicht zu der jeweils notwendigen Verarbeitung personenbezogener Daten haben. Die Verarbeitung ist zweckgebunden zur Erfüllung der den zuständigen Stellen zugewiesenen schulbezogenen Aufgaben“.

Die Rechtsgrundlage wurde auch nach Anpassung anderer Landesgesetze an die Vorgaben der DSGVO nicht verändert. Auch aus der Begründung zu dem damaligen Gesetz ergibt sich, dass die Datenverarbeitung aufgabenbezogen zu verstehen ist. In Kombination mit der Antwort der Senatsverwaltung wird deutlich, dass das Angebot und der Einsatz von Videokonferenzdiensten als Teil der gesetzlichen Aufgabenzuweisung zu verstehen ist. In diesem Zusammenhang dürfen Schulen daher auch personenbezogene Daten der Schüler/innen verarbeiten.

Interessant und gleichzeitig verwirrend ist dann aus meiner Sicht aber die weitere Antwort der Senatsverwaltung: „Als datenschutzrechtliche Rechtsgrundlage beim Einsatz von Lernplattformen kommt auch eine freiwillige Einwilligungserklärung der betroffenen Personen in Betracht“.

Man geht hier also davon aus, dass (wohl alternativ) auch eine datenschutzrechtliche Einwilligung als Rechtsgrundlage dienen kann. Positiv aus Sicht der Schulen ist hieran sicher die Aussage, dass auch in einem Verhältnis zwischen Schule – Schüler nicht per se ausgeschlossen ist, dass eine freiwillige Einwilligung erteilt werden kann. Wenn jedoch die Einwilligung wirklich eine Einwilligung nach der DSGVO sein soll, dann müsste sie auch widerrufbar sein (für die Zukunft). Diese Möglichkeit passt meines Erachtens nicht mit der Ansicht der Senatsverwaltung zusammen, dass es hier um die gesetzliche Aufgabenerfüllung der Schulen geht. Denn wie soll (im schlimmsten Fall) eine Schule ihre Aufgabe erfüllen, wenn Schüler ihre Einwilligungen widerrufen. Dann würde es an der datenschutzrechtlichen Rechtsgrundlage für die Verarbeitung fehlen. Besser wäre hier, auch im Sinne der Rechtssicherheit für Schulen, direkt und nur die gesetzliche Aufgabenerfüllung als Rechtsgrundlage zu nutzen.

Leider wird in der Anfrage und auch in der Antwort nicht auf das umstrittene Thema der Zulässigkeit von Datentransfers in Länder außerhalb der Europäischen Union bei dem Einsatz von Videokonferenzdiensten eingegangen. Dazu ein kleiner Gedanke von mir: wenn die Senatsverwaltung von der Möglichkeit der Einwilligung durch Schüler ausgeht, dürfte es eigentlich kein Problem sein, auch für Datentransfers in Drittstaaten eine Einwilligung einzuholen und so die Anforderungen der Ausnahmeregelung des Art. 49 Abs. 1 lit. a DSGVO zu erfüllen. Natürlich besteht dann aber auch die Möglichkeit des Widerrufs.

Kein Prozess zur regelmäßigen Prüfung von Sicherheitsmaßnahmen: 460.000 EUR Bußgeld

Die polnische Datenschutzbehörde (UODO) hat ein durchaus beachtliches Bußgeld gegen ein Unternehmen verhängt, welches nach Ansicht der UODO gegen den Datenschutzgrundsatz der Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verstoßen hatte.

Insgesamt wurde ein Bußgeld in Höhe von 460.000 EUR verhängt. Konkret beanstandet die Behörde, dass das Unternehmen keine ausreichenden technischen und vor allem organisatorische Maßnahmen zum Schutz personenbezogener Daten umgesetzt hatte. Bemängelt wurde insbesondere ein unzureichender Prozess der Prüfung und ggfs. Anpassung bereits vorhandener Schutzmaßnahmen.

Nach Art. 5 Abs. 1 lit. f DSGVO dürfen personenbezogene Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Die Einhaltung dieses Grundsatzes muss der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Zudem möchte ich auch noch auf die allgemein gültige Vorgabe des Art. 24 Abs. 1 DSGVO hinweisen (auch wenn ein Verstoß gegen Art. 24 DSGVO selbst nicht bußgeldbewährt ist), die in andere Vorschriften ausstrahlen. Danach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Und wichtig: „Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert“.

Genau dieser Aspekt wurde von der UODO moniert.

Nach den Schilderungen in der Mitteilung wurden von dem Unternehmen keine Tests durchgeführt, um die Sicherheitsmaßnahmen in Bezug auf die Übertragung von Daten zwischen Anwendungen, die mit der Betreuung von Käufern von Prepaid-Diensten zusammenhängen, zu überprüfen. Darüber hinaus wurde die mit dem Datenaustausch in diesen Systemen verbundene Schwachstelle von einer unbefugten Person genutzt, um Daten von einigen Kunden des Unternehmens abzuziehen.

Zudem führte das Unternehmen keine regelmäßigen und umfassenden Tests und Bewertungen der Effektivität der angewandten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der verarbeiteten Daten durch. Diesbezügliche Aktivitäten wurden nur bei Verdacht auf eine Schwachstelle oder im Zusammenhang mit organisatorischen Änderungen durchgeführt.

Diese organisatorische Ausgestaltung des Prüfprozesses der Sicherheitsmaßnahmen bewertete die Behörde als ungenügend. Der Vorwurf der Behörde richtet sich hier also vor allem auf eine ungenügende organisatorische Ausgestaltung des Datenschutzmanagement.

Für Unternehmen ergeben sich aus den oben genannten Vorschriften also nicht nur einmalige Pflichten zur Umsetzung von Sicherheitsmaßnahmen. Erforderlich ist auch die Einführung und Umsetzung eines Prozesses zur regelmäßigen Validierung der Maßnahmen. Dieser Prozess darf zudem nicht nur dann in Gang gesetzt werden, wenn „etwas passiert“, sondern muss regelmäßig erfolgen.

Referentenwurf zum TTDSG – Cookies, Einwilligungsmanagement und Registrierungspflicht im Internet?

Heute das das BMWi einen neuen Referentenentwurf für ein Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien veröffentlicht (pdf). Bis zum 22.1.2021 können Stellungnahmen an das BMWi abgegeben werden.

Ziel des Entwurfs ist es, ein abgeschlossenes Spezialgesetz zum Datenschutz und zum Schutz der Privatsphäre im Bereich der Telekommunikation und den Telemedien (also zB Apps und Webseiten) zu schaffen. Man möchte vor allem auch Rechtssicherheit für Unternehmen schaffen, die aktuell mit verschiedensten Datenschutzvorgaben aus mehreren Gesetzen (DSGVO, TMG und TKG) umgehen müssen. Europarechtlich spielen hierbei vor allem die RL 2002/58/EG (inkl. der Änderungen durch die RL 2009/136/EG) sowie die RL 2018/1972/EG eine wichtige Rolle.

Nachfolgend möchte ich keine allgemeine Stellungnahme abgeben, sondern nur auf ein paar interessante Aspekte des Entwurfs eingehen, die zum Teil aber noch gar nicht im Entwurf selbst enthalten sind.

Vorgaben für den Einsatz von Cookies

Mit § 22 TTDSG möchte das BMWi die Vorgaben des Art. 5 Abs. 3 RL 2002/58/EG umsetzen. Dieser verlangt von den Mitgliedstaaten, sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Endnutzer seine Einwilligung gegeben hat. Diese Regelung begegnet uns in der Praxis immer im Zusammenhang mit dem Einsatz von Cookies und anderen Trackingtechnologien. Kürzlich haben sich zur deutschen Rechtslage auch der EuGH (C-673/17) und der BGH (I ZR 7/16) geäußert.

Der Entwurf sieht vor, dass der aktuell geltende § 15 TMG komplett aufgehoben wird. Hierfür soll der neue § 22 TTDSG geschaffen werden, der sich sehr stark an der europäischen Vorgabe orientiert:

Abs. 1: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer klar und umfassend unter anderem über die Zwecke der Verarbeitung informiert wurde und er seine Einwilligung erteilt hat“.

Wie auch Art. 5 Abs. 3 RL 2002/58/EG sieht § 22 in Abs. 2 und 3 Ausnahmen vom Einwilligungserfordernis vor. Die Begründung hierzu: § 22 TTDSG stellt klar, dass der Endnutzer davor geschützt ist, dass Dritte unbefugt auf seiner Endeinrichtung Informationen speichern oder auslesen und dadurch seine Privatsphäre verletzen (S. 32).

Besonders relevant für den Einsatz von Trackingtechnologien ist § 22 Abs. 3 TTDSG:

Absatz 1 gilt nicht, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können“.

Für uns würde dies bedeuten, dass mit § 22 Abs. 1 TTDSG generell eine Einwilligungspflicht vorgeschrieben wird, die in den in Abs. 2 und 3 benannten Ausnahmefällen nicht greift. Dann dürfen zB Cookies auch ohne Einwilligung gesetzt werden.

In der Praxis wird die Diskussion sich dann vor allem um die Frage drehen, wann ein Zugriff auf Daten in einem Endgerät unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können. Bespiele hierfür sind der klassische Warenkorb-Cookie oder auch Authentifzierung-Cookies. Es gibt aber noch einige andere relevante Fallgruppe, die u.a. auch von europäischen Datenschutzbehörden als solche anerkannt sind (kleiner Spoiler: in einem der nächsten Hefte der Zeitschrift ZD wird es hierzu einen Aufsatz von Jasmin Kühner und mir geben).

Einwilligungsmanagement

Neu und daher besonders spannend ist die Idee des BMWi, Vorschriften zum Einsatz sog. Personal Information Management Services – PIMS zu schaffen. Im aktuellen Entwurf ist hierzu noch keine Regelung enthalten. Daher ist die Begründung auf S. 23 des Entwurfs leider nicht korrekt: „Es wird eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) geschaffen.“

Auf der Webseite des BMWi zu Anhörung findet sich jedoch die Aufforderung, genau zu diesem Thema Stellungnahmen abzugeben.

Das BMWi überlegt, evtl. doch noch eine Regelung zu „Regelungen zu Datenmanagementsystemen und „Personal Information Management-Services“ (PIMS)“ aufzunehmen. Die Idee ist nicht komplett neu, wie sich etwa aus ErwG 21 des Entwurfs der Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz) der EU-Kommission ergibt: „Solche Strukturen können die Dateninhaber beim Einwilligungsmanagement unterstützen, wenn beispielsweise für bestimmte Bereiche der wissenschaftlichen Forschung die Einwilligung unter der Voraussetzung gegeben wird, dass anerkannte Standards der Ethik für die wissenschaftliche Forschung eingehalten werden.“

Meiner Ansicht nach ist die Aufnahme einer Regelung hierzu im TTDSG deswegen aber nicht per se ausgeschlossen. Denn das Daten-Governance-Gesetz zielt vor allem auf Daten im öffentlichen Sektor. Daneben werden zwar auch Regelungen für den C2B Kontext geschaffen (also, wenn Nutzer ihre Daten an Unternehmen weitergeben wollen). Relevant ist hier die Tätigkeit sog. „Vermittlungsdienste“ nach Art. 9 Abs. 1 lit. b und die Bedingungen für die Erbringung solcher Vermittlungsdienste in Art. 11.

Ob und wie dieser Entwurf am Ende aber verabschiedet wird, ist derzeit aber nicht klar. Da wäre man auch nationaler Ebene sicher schneller. Natürlich käme es am Ende auf die konkreten Vorgaben im TTDSG an. Aber ein Novum wären solche Vorgaben für die Tätigkeit von Diensten zur Verwaltung persönlicher Informationen schon.

Registrierungspflicht im Internet?

Ein „heißes Eisen“ fasst das BMWi auf seiner Webseite ebenfalls an. Nach aktueller Gesetzeslage (§ 13 Abs. 6 TMG) müssen Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonymen ermöglichen, soweit dies technisch möglich und zumutbar ist. Diese Regelung würde man im Grundsatz übernehmen.

Nun verweist das BMWi aber auf die Forderungen des BMI und auch der Innenministerkonferenz. Diese sprechen sich für gesetzliche Vorgaben zur Identifizierung zur Verifikation des Nutzers aus (Beschlussniederschrift der Frühjahrskonferenz, Juni 2020, zu Tagesordnungspunkt 24, PDF). Dort wurde beschlossen, dass das BMI sich innerhalb der Bundesregierung für eine Gesetzesinitiative mit dem Ziel der eindeutigen Identifizierbarkeit strafrechtlich Verantwortlicher im Bereich der (Hass-)Kriminalität im Internet einzusetzen“ soll. Es wird zudem auf eine Initiative der Ländern Niedersachsen und Mecklenburg-Vorpommern im Bundesrat verwiesen (BR Drs. 70/20, PDF). Dieser Antrag wurde jedoch nicht weiterverfolgt.

Nun stellt das BMWi folgende Möglichkeit auf regulatorischer Ebene in den Raum:

Möglich wäre die Einführung einer entsprechenden Verpflichtung von Anbietern von Telemedien zur Erhebung und Verifizierung von Name, Adresse und Geburtsdatum nach dem Vorbild der bereits für Telekommunikationsdiensteanbieter geregelten entsprechenden Pflicht bei Prepaid-Mobilfunkdiensten (§ 111 Absatz 1 Satz 3, § 171 Absatz 2 TKG-Entwurf). Dabei würde jeder Nutzer weiterhin selbst entscheiden können, ob er unter einem Pseudonym oder unter seinem Namen im Internet auftritt“.

Meines Erachtens muss man den Vorschlag scheibchenweise analysieren.

Zum einen denkt das BMWi an eine Verpflichtung für „Telemedienanbieter“. Das bedeutet gleichzeitig auch, dass der Zugang zum Internet an sich nicht betroffen wäre, aber natürlich die dortigen Angebote.

Zum anderen ist die hier angedachte Pflicht aber sogar umfassender als damals der Vorschlag im Bundesrat. Dort ging es um „Anbieter sozialer Netzwerke und Anbieter von Spieleplattformen“.

Zuletzt sieht das BMWi aber vor, dass die Kommunikation nach außen, also das Auftreten im virtuellen Raum, weiterhin pseudonym erfolgen könnte. Die Identifizierung soll also „nur“ gegenüber dem Diensteanbieter erfolgen, der diese Daten dann quasi intern vorhält. Ein Nutzerprofil oder einen Account, sollen Nutzer aber weiterhin unter Pseudonym führen können. Eventuell könnte man die angedachte Identifizierungspflicht daher auch als „Identifizierung light“ bezeichnen. So wie ich den Diskussionsvorschlag des BMWi verstehe, geht es um eine Identifizierung durch das Unternehmen (und dann wohl sicher auch um eine mögliche Weitergabe der Daten für Strafverfolgungszwecke).

DSGVO-Bußgeld ohne Sachverhaltsermittlung?

Heute hat die Niedersächsische Datenschutzbehörde bekannt gegeben, dass sie ein Bußgeld in Höhe von über 10 Mio Euro gegen die notebooksbilliger.de AG verhängt hat. Inhaltlich soll es um eine länger andauernde Videoüberwachung von Mitarbeitern gehen, die nach Ansicht der Behörde unzulässig erfolgte.

Das Unternehmen hat sich ebenfalls öffentlich zu dem Bußgeld geäußert und wird gegen den Bescheid vorgehen.

Ich möchte mich hier zu diesem konkreten Verfahren gar nicht äußern. Wir werden (sollte die LfD den Bescheid nicht aufheben) wohl sicher noch eine gerichtliche Entscheidung in dieser Sache erleben.

Auf welchen praxisrelevanten Aspekt ich hinweisen möchte, ist der Vorwurf von notebooksbilliger.de an die LfD, dass die Behörde nicht selbst vor Ort war und die Kamerasysteme in Augenschein genommen hat. Auf der Webseite des Unternehmens heißt es:

Zu keinem Zeitpunkt war das Videosystem darauf ausgerichtet, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Das von der Datenschutzbeauftragten suggerierte Klima der Furcht ist eine haltlose Unterstellung und gefährdet unseren Ruf.

Außerdem hat trotz mehrmaliger Einladung durch NBB kein Mitarbeiter der Behörde in den Lagern oder Versandzentren des Unternehmens mit Mitarbeitern gesprochen. Es wurde sich also weder ein Bild von den Kameras gemacht noch über Arbeitsprozesse und die Unternehmenskultur informiert“.

Untersuchungsgrundsatz nach VwVfG

Im Kern steht hier also der Vorwurf im Raum, dass die Aufsichtsbehörde ihre Pflicht zu Ermittlung des entscheidungserheblichen Sachverhalts (Untersuchungsgrundsatz, § 24 VwVfG) verletzt hat. Diese verwaltungsrechtliche Anforderung entstammt nicht dem Datenschutzrecht, aber ist selbstverständlich von den Datenschutzbehörden zu beachten. Daher ist dieser Aspekt (des möglicherweise anstehenden gerichtlichen Verfahrens) auch generell für Unternehmen von Bedeutung, wenn sie sich einer Untersuchung durch Datenschutzbehörden ausgesetzt sehen.

Es wird davon ausgegangen, dass die Ermittlung des entscheidungserheblichen Sachverhalts eine originäre Pflicht der zuständigen Behörde ist. Hierzu kann sie sich auch der Hilfe Dritter bedienen.

Speziell datenschutzrechtlich sieht die DSGVO eine Befugnis der Datenschutzbehörden vor, die mit der Pflicht zur Sachverhaltsermittlung korreliert. Nach Art. 58 Abs. 1 lit. f DSGVO ist die Datenschutzbehörde etwa befugt, nach dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. Diese Befugnis dient gerade dazu, eine Prüfung der Einhaltung der DSGVO vornehmen zu können.

Folge bei unterbliebener Ermittlung

Der Vorwurf des Unternehmens lautet hier, dass die Behörde nicht vor Ort war, um die Kameraanlage zu prüfen. Nun könnte man evtl. argumentieren, dass eine Inaugenscheinnahme nicht zwingend erforderlich ist, wenn man stattdessen Kamerapläne und weitere Beschreibungen oder Fotos erhält. Gerade bei dem Einsatz von Kameras erscheint meines Erachtens aber der persönliche Eindruck vor Ort durchaus von Relevanz zu sein. Nicht umsonst gibt es ja viele Urteile, die allein die Wirkung von Kameraattrappen ausreichen lassen, um eine Verletzung von Persönlichkeitsrechten anzunehmen.

Geht man davon aus, dass die Behörde den Untersuchungsgrundsatz aus § 24 VwVfG verletzt hat, muss man auf der Rechtsfolgenseite trennen.

Per se ist die mangelhafte Sachverhaltsermittlung nicht selbstständig anfechtbar, sondern nur bei einem Vorgehen gegen die Sachentscheidung (§ 44a VwGO).

Bei fehlender oder mangelhafter Aufklärung des Sachverhalts liegt ein Verfahrensfehler in Bezug auf den jeweiligen Verwaltungsakt vor, der aber „nur“ zu einer formellen Rechtswidrigkeit führt. Eine Aufhebung kommt dann nur unter den gesteigerten Voraussetzungen des § 46 VwVfG in Betracht.

Aber, und dies ist für die materielle Rechtmäßigkeit der Entscheidung relevant: wenn der Sachverhalt mangelhaft ermittelt ist, kann sich dies bei einer Ermessensentscheidung auf die materielle Rechtmäßigkeit des Verwaltungsaktes auswirken. Aber: ein Ermessensfehler liegt grunsätzlich erst dann vor, wenn die Behörde tatsächlich vorhandene entscheidungserhebliche Gesichtspunkte außer acht gelassen oder falsch gewichtet hat.

Eine Entscheidung aus dem Datenschutzrecht (wenn auch noch zum BDSF aF) gibt es zu diesem Thema etwa vom VG Gelsenkirchen (Beschl. v. 14.10.2013 – 17 L 304/13). Dort wurde (im Eilverfahren) gegen einen Bescheid der Datenschutzbehörde NRW vorgegangen. Aus der Begründung des Gerichts:

Es ist anerkannt, dass die rechtsfehlerfreie Ermessensausübung als Grundlage einer Entscheidung die zutreffende und vollständige Sachverhaltsermittlung voraussetzt. Denn die Verwaltung kann ihren Entscheidungsfreiraum nur sachgerecht nutzen, wenn sie den wesentlichen Sachverhalt kennt“.

Und weiter:
Ermessensfehlerhaft sind daher Entscheidungen, wenn die Behörde von unzutreffenden tatsächlichen Voraussetzungen oder einer unvollständigen Sachverhaltsvorstellung ausgeht“.

In diesem Verfahren gab das Gericht dem Antragsteller recht und erkannte den Bescheid der Datenschutzbehörde bei summarischer Prüfung als materiell rechtswidrig an. Wegen Verstoßes gegen § 24 VwVfG und dessen Auswirkung auf die Ermessenentscheidung der Behörde.

Gemessen hieran begründen bereits die vorstehend angeführten Unklarheiten hinsichtlich des rechtlich relevanten Sachverhalts die Ermessensfehlerhaftigkeit des angefochtenen Bescheides“.

Auch die Verhängung eines Bußgeldes nach Art. 59 Abs. 2 lit. i, 83 DSGVO steht im Ermessen der Datenschutzbehörde (vgl. etwa VG Ansbach, Urt. v. 16.3.2020 – AN 14 K 19.00464).

Fazit

Sollte sich in einem gerichtlichen Verfahren wirklich herausstellen, dass hier der Untersuchungsgrundsatz nicht beachtet wurde, bestehen also durchaus Chancen dafür, dass der Bescheid der Behörde wegen Ermessensfehlerhaftigkeit aufgehoben wird. Unternehmen sollten diesen, zunächst evtl. rein förmlich anmutenden Aspekt, daher stets im Rahmen von behördlichen Verfahren beachten.  

Generalanwalt am EuGH: Rechtsgrundlage für die Erlangung von IP-Adressen zur Rechteverfolgung im Internet

Am 17.12.2020 hat der Generalanwalt am EuGH (GA) Maciej Szpunar in der Rechtssache C‑597/19 seine Schlussanträge vorgelegt.

In dem Verfahren geht es um die Klage einer Lizenzinhaberin aus Zypern (Mircom), die erotische Filme öffentlich wiedergeben darf. Gleichzeitig ist Mircom auch mit der Verfolgung unzulässiger öffentlicher Wiedergaben in Peer-to-Peer-Netz beauftragt.

Mircom erhob in Antwerpen Klage, mit der sie u. a. beantragte, den Internetzugangsanbieter Telenet aufzugeben, die Daten zur Identifizierung ihrer Kunden vorzulegen, deren Internetanschlüsse dazu genutzt worden seien, in einem Peer-to-Peer-Netz mittels des BitTorrent-Protokolls Filme aus dem Repertoire von Mircom zu teilen. Die IP-Adressen dieser Verbindungen wurden für Mircom von der Media Protector GmbH mittels einer speziellen Software erhoben.

Zunächst befasst sich der GA kurz mit der Frage, ob eine IP-Adresse ein personenbezogenes Datum darstellt. Mit Verweis auf das EuGH-Urteil in der Sache Breyer (C‑582/14) bejaht dies der GA, wenn Verantwortliche über ein gesetzliches Mittel zur Identifizierung der Inhaber von Internetanschlüssen verfügen.

Sodann geht es in den Schlussanträgen um die Frage der Zulässigkeit des Umgangs mit den IP-Adressen und die Rechtsgrundlage hierfür. Das vorlegende Gericht möchte wissen, ob Art. 6 Abs. 1 lit. f DSGVO dahin auszulegen ist, dass die Speicherung der IP-Adressen der Personen, deren Internetanschlüsse für das Teilen geschützter Werke in Peer-to-Peer-Netzen verwendet wurden, wie die von Media Protector für Mircom vorgenommene, eine rechtmäßige Verarbeitung personenbezogener Daten darstellt. Es geht also um die Erhebung und Verwendung der IP-Adressen zur Verfolgung von Rechtsverletzungen.

Der Erlaubnistatbestand erfordert kumulativ:

(1) Vorliegen eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden

(2) Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses

(3) kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person

Zu (1):

Nach Ansicht des GA hängt das berechtigte Interesse im konkreten Fall auch davon ab, ob der Verantwortliche hier befugt ist, einen Antrag auf Offenlegung der IP-Adresse nach der Richtlinie 2004/48 zu stellen. Sollte dies nicht der Fall sein, bestünde auch kein berechtigtes Interesse. Oder allgemeiner: kein berechtigtes Interesse für eine Datenverarbeitung, die gegen gesetzliche Vorgaben verstößt.

Etwas allgemeiner formuliert der GA zudem, dass die ordnungsgemäße Beitreibung von Forderungen durch einen Zessionar dieser Forderungen ein berechtigtes Interesse darstellen kann, das die Verarbeitung personenbezogener Daten rechtfertigt. Damit eine solche Verarbeitung gerechtfertigt ist, muss der Zessionar jedoch anschließend diese Daten nutzen können, um die Schuldner der erworbenen Forderungen zu ermitteln. Hier kommt im konkreten Fall dann wieder die Frage ins Spiel, ob der Antrag auf Auskunft über die Namen der Inhaber der Internetanschlüsse, die durch die fraglichen IP-Adressen identifiziert wurden, zulässig ist.

Zu (2):

Bei dem Merkmal der „Erforderlichkeit“ hat der GA kein Bedenken. Die Verwendung der IP-Adresse ist seiner Ansicht nach erforderlich, um das berechtigte Interesse zu verwirklichen. Denn die Kommunikation in einem Netz von Rechnern erfolgt zwangsläufig über IP-Adressen, die verschiedenen Routern zugeordnet sind.

Jede Feststellung einer Handlung, mit der eine Datei über ein solches Netz geteilt wird, und damit einer Verletzung von Urheberrechten und verwandten Schutzrechten, wenn die Datei ein geschütztes Werk enthält und das Teilen ohne Zustimmung der Inhaber dieser Rechte geschieht, erfolgt zwangsläufig über die Identifizierung und Speicherung der IP-Adresse, von der aus diese Handlung vorgenommen wurde“.

Interessant an der Begründung des GA ist, dass es für die „Erforderlichkeit“ ausreicht, dass der Inhaber des Anschlusses nicht unbedingt auch der Verletzter sein muss (der die Handlung begangen hat). Doch ist dieser nach Ansicht des GA in der Lage, Auskunft über die verantwortliche Person zu erteilen, oder kann für die über seinen Internetanschluss begangenen Handlungen selbst haftbar gemacht werden. Auch dies reicht also für eine datenschutzrechtliche Erforderlichkeit aus.

Zu (3):

Hinsichtlich der Abwägung des Interesses mit den Grundrechten und ‑freiheiten der betroffenen Personen, verweist der GA darauf, dass es sich um das Vorliegen etwaiger besonderer Umstände des Einzelfalls handelt. Es ist Sache des zuständigen Gerichts, zu prüfen, ob solche besonderen Umstände vorliegen.

Sächsische Datenschutzbehörde: keine Möglichkeit der Rechtsdurchsetzung gegenüber allein in Drittländern ansässigen Unternehmen

Am 22.12.2020 hat der Landesdatenschutzbeauftragte für Sachsen seinen neuesten Tätigkeitsbericht veröffentlicht (Berichtsjahr bis 31.12.2019, PDF). In einem kurzen Absatz erwähnt die Datenschutzbehörde dort auch ein praxisrelevantes und für die Durchsetzung der DSGVO seit Beginn der Arbeiten an dem Gesetz bekanntes Problem: die Durchsetzung der DSGVO gegenüber Unternehmen in Drittländern (S. 109).

Bekanntlich unterliegen sowohl Verantwortliche als auch Auftragsverarbeiter mit Sitz in Drittländern und ohne (!) Niederlassung in der EU unter gewissen Voraussetzungen der DSGVO. Meiner Meinung nach ist vielen Unternehmen, die aus Drittländern Dienstleistungen in der EU anbieten, überhaupt nicht bewusst, dass auch für sie die Regelungen der DSGVO gelten.

Die sächsische Behörde berichtet, dass bei ihr zahlreiche Beschwerden gegen Unternehmen mit Sitz außerhalb der Europäischen Union eingingen. Zwar sieht die DSGVO in einem solchen Fall, wenn also keine Niederlassung in der EU besteht, die Pflicht nach Art. 27 DSGVO vor, einen Vertreter in der EU zu benennen. Doch, ketzerisch gefragt, was passiert, wenn auch diese Pflicht nicht eingehalten wird? Wohl nichts, wie nun die Angaben der Behörde aus Sachsen zeigen.

Genau diese Miesere schildert die Behörde nämlich. Im Grunde gibt es in einer solchen Situation keine wirksame Durchsetzungsmöglichkeit europäischen Datenschutzrechts.

Soweit die Verantwortlichen kein Vertreter nach Artikel 27 DSGVO benannt haben, stellt sich die Einwirkung auf den Verantwortlichen in seiner Umsetzung als praktisch schwierig dar.“

Zwar merkt die Behörde an, dass soweit Maßnahmen gegenüber diesen Verantwortlichen ergriffen werden sollen, zwar eventuell ein Amtshilfeverfahren und ein Procedere auf dem diplomatischen Weg über die Außenvertretungen der Bundesrepublik Deutschland einzuleiten wäre.

Jedoch scheint dieser Weg für die Behörde praktisch nicht gangbar zu sein. Daher fasst die Datenschutzbehörde ihr derzeitiges Vorgehen wie folgt zusammen:

Aktuell teile ich den Beschwerdeführern mit, dass ich – in Ermangelung zwischenstaatlicher Vereinbarungen – keine Möglichkeiten sehe, meine Rechtspositionen bzw. Anordnungen durchzusetzen“.

Dieses Ergebnis ist meines Erachtens durchaus ernüchternd. Offenbart hier eine Behörde doch ungeschönt, dass sie keine Möglichkeit sieht, das europäische Recht (obwohl anwendbar) durchzusetzen. Meines Erachtens darf man in diesen Situationen aber nicht den Aufsichtsbehörden einen Vorwurf machen. Dieser Fehler einer effektiven Durchsetzung war von Angang an systematisch in der DSGVO angelegt und hängt natürlich eng mit dem (intendierten) sehr weiten räumlichen Anwendungsbereich der Verordnung zusammen.

Referentenentwurf des Bundesarbeitsministeriums: Betriebsrat nicht datenschutzrechtlich verantwortlich, aber irgendwie doch…

In dem aktuellen Referentenentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) für ein Gesetz zur Förderung der Betriebsratswahlen und zur Stärkung der Betriebsräte (Betriebsrätestärkungsgesetz) (Stand: 21.12.2020) schlägt das BMAS auch eine gesetzliche Regelung zur datenschutzrechtlichen Verantwortlichkeitsverteilung zwischen Arbeitgeber und Betriebsrat vor. Der Betriebsrat soll nicht datenschutzrechtlich verantwortlich sein. Jedoch ist der Entwurf meines Erachtens jedoch noch nicht zufriedenstellend und bringt in der Praxis sogar ggfs. noch mehr Probleme mit sich. Nachfolgend eine kurze Einordnung zu dem Vorschlag.

Zweck

Mit einem neuen § 79a BetrVG soll die datenschutzrechtliche Verantwortlichkeit nach der Datenschutz-Grundverordnung bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich klargestellt werden (S. 2).

Die Regelung soll die bislang bestehende, seit dem Inkrafttreten der DSGVO jedoch umstrittene Rechtslage fortführen und „dient der Schaffung von Rechtsklarheit“ (S. 16). Ich stelle dieses letzte Ziel bewusst heraus, da der Entwurf dieses Ziel meines Erachtens (noch) verfehlt.

Neuer § 79a BetrVG

Der vorgeschlagene § 79a BetrVG soll wie folgt lauten:

§ 79a

Datenschutz

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Begründung im Entwurf

Nach Ansicht des BMAS agieren die Betriebsräte bei der Verarbeitung personenbezogener Daten als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für die Verarbeitung personenbezogener Daten durch den Betriebsrat sei sachgerecht, weil der Betriebsrat lediglich organisationsintern, jedoch keine nach außen rechtlich verselbständigte Institution ist (S. 16).

Das BMAS stützt sich bei der Regelung auf die in Art. 4 Nr. 7 DSGVO eröffnete Möglichkeit, den für die Datenverarbeitung Verantwortlichen im mitgliedstaatlichen Recht zu bestimmen (S. 24). Die Regelung soll die seit dem Inkrafttreten der Datenschutz-Grundverordnung umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat festlegen und „weist diese dem Arbeitgeber zu (Satz 1)“ (S. 24).

Dies ist nach Ansicht des BMAS sachgerecht, da der Betriebsrat keine nach außen rechtlich verselbständigte Institution ist. Bei der Verarbeitung personenbezogener Daten agiere der Betriebsrat daher als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers (S. 24).

Einschätzung

Und hier möchte ich dann in die Kommentierung des Entwurfs übergehen. Denn meines Erachtens erfolgt ab hier in der Gesetzesbegründung ein Bruch der Argumentation. Noch einmal zusammengefasst: das BMAS möchte den Arbeitgeber als gesetzlich Verantwortlichen nach DSGVO und BDSG festlegen. Das ist möglich, auch wenn manche sich evtl. eine andere Festlegung gewünscht hätten.

Wenn man aber den Arbeitgeber (das Unternehmen) als „Verantwortlichen“ nach der DSGVO festlegt, dann muss dies meines Erachtens auch konsequent für alle datenschutzrechtlichen Rechte und Pflichten gelten. Es gibt keinen „Verantwortlichen“ nach der DSGVO, der nur selektiv einer Pflichtenerfüllung unterliegt.

Die Begründung im Referentenentwurf führt aus: „Bei der Verarbeitung personenbezogener, teils sensibler, Beschäftigtendaten hat auch der Betriebsrat die datenschutzrechtlichen Vorschriften einzuhalten. Diese ergeben sich insbesondere aus der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und dem Bundesdatenschutzgesetz“ (S. 24).

Die Ansicht des BMAS ist hier meines Erachtens mindestes missverständlich. Denn zur Einhaltung der Pflichten nach DSGVO ist nicht ein Teil eines Verantwortlichen oder Auftragsverarbeiters verpflichtet, sondern der Verantwortliche an sich. Natürlich bedeutet dies, dass ein Unternehmen dafür sorgen muss, dass innerorganisatorisch gesetzliche Regelungen beachtet werden (also zB Mitarbeiter den Datenschutz einhalten). Gesetzlich verpflichtet ist aber nicht der einzelne Mitarbeiter oder eine Abteilung oder ein Fachbereich, sondern das Unternehmen an sich (als „Verantwortlicher“; in der Sondersituation des Exzesses mag dies anders sein). Die Begründung des BMAS eröffnet hier bereits Raum für Unsicherheiten, ob nicht der Betriebsrat doch noch irgendwie selbst verantwortlich bzw. verpflichtet ist. Allein die Möglichkeit dieser Interpretation der Begründung steht aber dem begrüßenswerten Ziel der Rechtsklarheit der Regelung entgegen.

§ 79a sieht auch beiderseitige Unterstützungspflicht von Arbeitgeber und Betriebsrat bei der Einhaltung der datenschutzrechtlichen Vorschriften vor (Satz 2). Nach der Begründung beruht dies auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits (S. 24).

Daher, so die Begründung, „sind Arbeitgeber und Betriebsrat bei der Erfüllung der datenschutzrechtlichen Pflichten in vielfacher Weise auf gegenseitige Unterstützung angewiesen: So hat der Betriebsrat z.B. keine Pflicht, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 der Datenschutz-Grundverordnung) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten“ (S. 24).

Der Entwurf nennt als weiteres Beispiel den datenschutzrechtlichen Auskunftsanspruch. Bei des Erfüllung ist der Arbeitgeber, wenn der Auskunftsanspruch sich auf die durch den Betriebsrat verarbeiteten Daten bezieht, auf die Unterstützung durch den Betriebsrat angewiesen (S. 24).

Die Begründung des BMAS verdeutlicht meines Erachtens die künstliche, einseitige Bestimmung der Verantwortlichkeit, die rein faktisch aber selbst nach Ansicht des BMAS gar nicht besteht bzw. durch den Arbeitgeber voll ausgeübt werden kann, ohne dass er durch den Betriebsrat unterstützt wird. Es schießen sich bei dieser Regelung in Satz 2 ganz entscheidende Praxisfragen an: was geschieht, wenn der Betriebsrat nicht unterstützt? Wie weit muss der Betriebsrat unterstützen? Gelten Antwortfristen nach der DSGVO an Betroffene auch für den Betriebsrat? Was geschieht, wenn aufgrund unterbliebener oder ungenügender Unterstützung ein Bußgeld gegen den Arbeitgeber verhängt wird?

Offensichtlich möchte das BMAS dem Betriebsrat eine Sonderstellung zukommen lassen, die natürlich arbeits- und betriebsverfassungsrechtlich besteht, jedoch datenschutzrechtlich für erheblich Unsicherheit in der Praxis führen kann.

Der worst case wäre hier sicher ein datenschutzrechtlich verantwortlicher Arbeitgeber (qua Gesetz), der aber zum Teil seine DSGVO-Pflichten nicht erfüllen kann. Bereits dieses mögliche Ergebnis (welches auch das BMAS sieht und daher die Unterstützungspflicht aufnimmt) macht meines Erachtens deutlich, dass die Festlegung der Verantwortlichkeit hier kein einfaches Unterfangen ist. Nicht zuletzt aufgrund der Schnittmenge zwischen europäischem Datenschutzrechts und nationalem Arbeits/Betriebsverfassungsrecht. Wenn jedoch eine Verantwortlichkeit festgelegt wird, dann kann und muss dies meines Erachtens umfassend erfolgen. Dies sehe ich in dem Entwurf noch nicht.

Dieses (problematische) Ergebnis wird in der Entwurfsbegründung in dem nächsten Absatz besonders deutlich.

Schließlich hat der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Artikel 24 und 32 der Datenschutz-Grundverordnung sicherzustellen.“

Hier bricht dann das datenschutzrechtlich angedachte Konzept der Verantwortlichkeit des Arbeitgebers vollends. Denn der Betriebsrat soll selbst und „eigenverantwortlich“ Pflichten der Datensicherheit umsetzen. Die dort benannten Pflichten, etwa Art. 32 DSGVO, treffen aber entweder den Verantwortlichen und/oder den Auftragsverarbeiter. Es ist nicht vorgesehen, dass national gesetzliche Pflichten auf innerbetriebliche Einheiten delegiert werden. Meines Erachtens schafft diese Regelung und ihre Begründung daher Unsicherheit darüber, wie andere relevanten Datenschutzpflichten in der Praxis zu erfüllen sind.

Zuletzt noch ein Hinweis auf die Vorgaben des Art. 4 Nr. 7 DSGVO selbst. Der Verantwortliche kann nach nationalem Recht bestimmt werden, wenn (!) die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind. Zu dieser Anforderung der DSGVO verhakte sich die Begründung überhaupt nicht. Man fragt sich also, welche Zwecke und Mittel das BMAS als auschlaggebend erachtet, um dem Arbeitgeber die Verantwortlichkeit aufzuerlegen.

Fazit

Das Ziel der Rechtssicherheit erfüllt der Vorschlag leider noch nicht. Meines Erachtens sollte im Rahmen der Verbändeanhörung und einer möglichen Anpassung des Entwurfs darüber nachgedacht werden, ob die Festlegung der Verantwortlichkeit in dieser Form wirklich rechtssicher umzusetzen ist. Auf jeden Fall sollte diese Festlegung, wenn sie erfolgt, konsequent gelten und nicht vereinzelt Ausnahmen vorsehen.