Ungültige DSGVO-Einwilligung – Wechsel auf andere Rechtsgrundlage möglich? Aussagen des EuGH, öst. BVwG und der öst. Aufsichtsbehörde

Ist es möglich, eine Verarbeitung, die ursprünglich auf eine Einwilligung gestützt war, auf einer anderen Rechtsgrundlage durchzuführen, wenn die Einwilligung wegfällt bzw. unwirksam ist?

Ansicht des EuGH

In seinem Urteil vom 4. Juli 2023 (C-252/21) hatte sich der EuGH unter anderem auch mit der Situation befasst, dass eine Einwilligung entweder nicht oder nicht wirksam eingeholt wurde. Die Frage war dann, ob die Datenverarbeitung eventuell dennoch auf Grundlage von Art. 6 Abs. 1 DSGVO gerechtfertigt sein kann.

Hierzu der EuGH (Rz. 92):

Liegt keine solche Einwilligung vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt, ist eine solche Verarbeitung gleichwohl gerechtfertigt, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt.“

Das Gericht adressiert klar zwei Situationen:

  • Eine Einwilligung wurde gar nicht eingeholt (also auch nicht versucht) („liegt keine solche Einwilligung vor“)
  • Eine Einwilligung wurde eingeholt, diese war aber unwirksam, da nicht alle Anforderungen der DSGVO eingehalten wurden („wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt“)

Für beide Fälle geht der EuGH davon aus, dass die bestreffende Verarbeitung gleichwohl gerechtfertigt sein kann, wenn ein anderer Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt ist.

Diese Ansicht des EuGH ist für mich eine wichtige Feststellung. Der „switch“ von einer Rechtsgrundlage zur anderen ist danach möglich. Als Verantwortlicher muss man also nicht von Anfang an und für ewig allein eine Rechtsgrundlage für die Verarbeitung nutzen. Aber: natürlich müssen die Anforderungen der jeweiligen Alternative des Art. 6 Abs. 1 DSGVO erfüllt sein.

Ansicht der österreichischen Datenschutzbehörde

Im neuesten Newsletter der österreichischen Datenschutzbehörde (DSB) bin ich auf eine genau entgegengesetzte Meinung der DSB aufmerksam geworden. Die DSB berichtet dort über eine Entscheidung des Bundesverwaltungsgerichts (BVwG, dazu gleich unten).

Ebenso ist es in derartigen Fällen nicht möglich, im Falle der Ungültigkeit einer Einwilligung zum Zwecke des Profiling nachträglich auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO zu wechseln, zumal sich die Unser Ö-Bonus Club GmbH diesbezüglich in sämtlichen vorgelegten Dokumenten und auch gegenüber den betroffenen Personen nur auf die Einwilligung gestützt hat.“

Die DSB verweist dazu dann auch auf das EuGH-Urteil. Diese Interpretation hat mich doch etwas verwundert, zumindest in der Pauschalität. Denn die Auslegung des EuGH (oben) geht meines Erachtens genau in eine andere Richtung.

Ich vermute, die DSB bezieht sich hier eher auf den konkreten Fall vor dem BVwG, in dem der Wechsel der Rechtsgrundlage am Ende nicht funktionierte. Aber nicht, weil dies grundsätzlich ausgeschlossen wäre, sondern auf Grund der nicht erfüllten Anforderungen des Art. 6 Abs. 1 f) DSGVO als Alternative. Aber: auch dort ging das Gericht davon aus, dass der Wechsel der Rechtsgrundlage möglich ist.

Ansicht des BVwG

In der Entscheidung des BVwG (GZ: W256 2227693-1/44E) brachte das betroffene Unternehmen vor, die gegenständliche Datenverarbeitung könne auch (hilfsweise) auf Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 4 DSGVO gestützt werden.

Dies sah die DSB anders. Das BVwG wiederum schloss sich der Ansicht der Aufsichtsbehörde nicht an und verwies hierzu auch auf das Urteil des EuGH.

Der Ansicht der belangten Behörde, eine ungültige Einwilligungserklärung bewirke in jedem Fall eine unrechtmäßige Datenverarbeitung und mache eine Überprüfung sonstiger Rechtsgrundlagen entbehrlich, kann – wie bereits im Erkenntnis vom 31. August 2021 näher erläutert wurde –  nicht gefolgt werden (siehe dazu zwischenzeitig auch EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537 Rz. 92).“

Eine ungültige Einwilligungserklärung führt nach Ansicht des BVwG damit gerade nicht zur unrechtmäßigen Verarbeitung, falls die Voraussetzungen einer anderen Rechtsgrundlage erfüllt sind. Im konkreten Fall prüft das BVwG dann den Tatbestand des Art. 6 Abs. 1 lit. f DSGVO. Das Problem hierbei war, dass nach Ansicht des Gerichts die vernünftigen Erwartungen der Betroffenen die Datenverarbeitung wohl nicht umfassten und die Betroffenen gerade nicht damit rechneten.

Das Unternehmen informierte Betroffene im Rahmen der Anmeldung, dass Daten u.a. zum Zweck der Durchführung von personalisierter Werbung verwendet werden. Jedoch stützte sich das Unternehmen in den Informationen (also AGB und Datenschutzhinweisen) ausschließlich auf Art. 6 Abs. 1 lit. a DSGVO und führte dazu u.a. in den AGB aus, dass eine solche Datenverarbeitung „nur sofern das Mitglied einwilligt“ durchgeführt werde. Das BVwG geht davon aus, dass damit aber den Betroffenen gegenüber zum Ausdruck gebracht werde, dass die betroffene Person die Durchführung einer solchen Datenverarbeitung selbst in der Hand habe. Dies führte am Ende zum Überwiegen der schutzwürdigen Interessen der Betroffenen.

Und beim Widerruf?

Art. 17 Abs. 1 lit. b DSGVO sieht gleichlaufend mit dieser Auslegung des EuGH und BVwG vor, dass eine Datenverarbeitung, die auf Grundlage einer nun widerrufenen Einwilligung erfolgt, dennoch fortgeführt werden kann – wenn die Anforderungen der jeweiligen Rechtsgrundlage beachtet werden.

Danach sind personenbezogene Daten zu löschen, wenn die betroffene Person ihre Einwilligung widerruft und es „an einer anderweitigen Rechtsgrundlage für die Verarbeitung“ fehlt.

Entwurf des rbb-Staatsvertrages: europarechtswidrige Regelungen zu den Aufgaben des Rundfunkdatenschutzbeauftragten und der Datenschutzbeauftragten des rbb?

Kürzlich hat der Senat von Berlin das Abgeordnetenhaus über den beabsichtigten Abschluss des neuen Staatsvertrages über den Rundfunk Berlin-Brandenburg (rbb-Staatsvertrag) unterrichtet und den Entwurf veröffentlicht (PDF, Stand: 30. Oktober 2023).

Interessant und aus meiner Sicht europarechtlich kritisch zu bewerten, sind die vorgeschlagenen Regelungen zu den Aufgaben einerseits des Rundfunkdatenschutzbeauftragten und andererseits des Datenschutzbeauftragten des rbb.

Rundfunkdatenschutzbeauftragte

Nach § 47 Abs. 1 ernennt der Rundfunkrat des rbb mit Zustimmung des Verwaltungsrates als zuständige Aufsichtsbehörde im Sinne des Art. 51 DSGVO für die Dauer von vier Jahren eine Person zur oder zum Rundfunkdatenschutzbeauftragten. Es wird hier also eine spezielle Aufsichtsbehörde nach Art. 51 DSGVO geschaffen, was für sich betrachtet erst einmal noch nicht ungewöhnlich ist.

Aufgabe des Rundfunkdatenschutzbeauftragten ist nach § 48 Abs. 1 die Überwachung der Einhaltung der Datenschutzvorschriften des Staatsvertrages, des Medienstaatsvertrages, der DSGVO und anderer Vorschriften über den Datenschutz bei der gesamten Tätigkeit des Rundfunk Berlin-Brandenburg und seiner Hilfs- und Beteiligungsunternehmen.

Achtung: der Rundfunkdatenschutzbeauftragte soll also insgesamt für alle Fragen des Datenschutzes beim rbb zuständig werden. Dies ist eine Neuerung zum derzeitigen § 38 des rbb-Staatsvertrages. Nach § 38 Abs. 2 des aktuellen rbb-Staatsvertrages überwacht er die Einhaltung der Datenschutzvorschriften, soweit der rbb personenbezogene Daten zu eigenen journalistisch-redaktionellen oder literarischen Zwecken verarbeitet (vgl. auch die Zuständigkeitsübersicht auf der Webseite des Rundfunkdatenschutzbeauftragten). Aktuell ist also eigentlich für die Datenverarbeitung zu nicht-journalistischen Zwecken die Berliner Beauftragte für Datenschutz und Informationsfreiheit zuständig.

Da4 der Rundfunkdatenschutzbeauftragte eine Aufsichtsbehörde im Sinne der DSGVO (also natürlich nicht selbst Teil des rbb) ist, soll nach § 48 Abs. 7 jede Person das Recht haben, sich unmittelbar an den Rundfunkdatenschutzbeauftragten zu wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten durch den rbb in ihren schutzwürdigen Belangen verletzt zu sein.

Also praktisch: im Fall von Beschwerden können sich hiernach Mitarbeiter des rbb oder z.B. Webseitenbesucher an den Rundfunkdatenschutzbeauftragten werden.

Datenschutzbeauftragte des rbb

Daneben muss der rbb als Verantwortlicher aber natürlich auch noch eine eigene, betriebliche Datenschutzbeauftragte nach Art. 37 DSGVO haben. Nach § 48 Abs. 8 wird die Datenschutzbeauftragte des rbb gemäß Art. 37 DSGVO von der Intendantin oder dem Intendanten mit Zustimmung des Verwaltungsrates benannt.

Nach Art. 38 Abs. 4 DSGVO können daher alle (!) betroffene Personen die Datenschutzbeauftragte zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DSGVO im Zusammenhang stehenden Fragen zu Rate ziehen. Also sowohl Mitarbeiter des rbb, Kontaktpersonen bei Lieferanten oder auch Besucher der vom rbb betriebenen Webseite.

Wirklich?

Ja, so müsste es eigentlich sein.

Die Landesregierungen von Brandenburg und Berlin sehen das aber wohl etwas anders. Auch wenn man zugestehen muss, dass sich diese andere Sichtweise „nur“ aus der Begründung zum neuen rbb-Staatsvertrag ergibt.

Zu § 47 heißt es in der Begründung:

Während die oder der Rundfunkdatenschutzbeauftragte Kontaktperson für Dritte bezogen auf deren Datenschutzrechte gegenüber dem rbb ist, ist die oder der betriebliche Datenschutzbeauftragte Kontaktperson für Mitarbeitende bezogen auf deren Datenschutzrechte gegenüber dem rbb als Arbeitgeber“.

Bitte? Die interne Datenschutzbeauftragte soll, entgegen den Vorgaben des Art. 38 Abs. 4 DSGVO, nur für Mitarbeiteranfragen zuständig sein?

Ich habe erst gedacht, dass das ja wohl so nicht gemeint sein kann. Aber die Begründung geht weiter.

Zu § 48 Abs. 8 heißt es in der Begründung:

Die oder der betriebliche Datenschutzbeauftragte des rbb ist eine Aufsichtsbehörde im Sinne des Artikels 37 der Datenschutz-Grundverordnung und ist von der oder dem Rundfunkdatenschutzbeauftragten zu unterscheiden.“

Gut, dass das falsch ist, dürfte offensichtlich sein. Die betriebliche Datenschutzbeauftragte ist natürlich niemals Aufsichtsbehörde im Sinne der DSGVO. Denn dann würde der rbb-Staatsvertrag hier zwei Datenschutzaufsichtsbehörden schaffen.

Es geht weiter:

Während die oder der Rundfunkdatenschutzbeauftragte Kontaktperson für Dritte bezogen auf deren Datenschutzrechte gegenüber dem rbb ist, ist der oder die betriebliche Datenschutzbeauftragte Kontaktperson für Mitarbeitende bezogen auf deren Datenschutzrechte gegenüber dem rbb als Arbeitgeber.“

Tatsache. Hier wiederholt der Entwurf noch einmal genau die oben bereits dargestellte Zuständigkeitsverteilung. Der Rundfunkdatenschutzbeauftragte soll wohl Ansprechpartner für alle Betroffenen außerhalb des rbb sein. Die interne Datenschutzbeauftragte, entgegen den unmittelbar geltenden Vorgaben der DSGVO, aber nur für die Mitarbeiter des rbb.

Was würde das in der Praxis bedeuten?

  • Wenn ein Webseitenbsucher Fragen zu Cookies auf der Webseite des rbb hat, dürfte die Datenschutzbeauftragte des rbb hierzu gar nichts sagen. Denn sie soll ja dafür nicht zuständig sein. Die Aufsichtsbehörde (!) des rbb müsste dann, auch außerhalb einer förmlichen Beschwerde, Auskünfte und Informationen zur Datenverarbeitung des rbb durch Cookies geben. Wie soll das gehen?
  • Wenn ein Teilnehmer eines Gewinnspiels des rbb Fragen zur Aufbewahrung seiner Daten durch den rbb hat, dürfte die Datenschutzbeauftragte des rbb hierbei nicht unterstützen oder Auskunft geben.

Sollte diese Aufgabenzuweisung zwischen Rundfunkdatenschutzbeauftragten und der internen Datenschutzbeauftragten des rbb tatsächlich so im rbb-Staatsvertrag verbindlich vorgesehen werden, würde dies aus meiner Sicht klar einen Verstoß gegen Art. 38 Abs. 4 DSGVO darstellen. Die Stellung der Datenschutzbeauftragten würde massiv und entgegen der DSGVO beschränkt.

In dem Entwurf des rbb-Staatsvertrages finden sich auch keinerlei Hinweise darauf, ob man hier eventuell Öffnungsklauseln oder Ausnahmevorschriften der DSGVO nutzen möchte. Art. 23 Abs. 1 DSGVO greift hier meines Erachtens nicht, dass sich die Ausnahmen nicht auf Art. 37 oder 38 DSGVO erstrecken können.

Und auch Art. 85 Abs. 2 DSGVO ist meines Erachtens nicht einschlägig, da es ja laut der Begründung im rbb-Staatsvertrag eben nicht nur um Verarbeitungen zu journalistischen Zwecken geht, sondern schlicht um eine Abgrenzung zu ganzen Personengruppen.

Ich bin gespannt, wie diese Regelungen, sollten sie in dieser Form kommen, praktisch umgesetzt. Wie gesagt, verstößt diese Aufspaltung von Kompetenzen und Aufgaben aber gegen die DSGVO.

Österreichisches Bundesverwaltungsgericht: Anforderungen an die Vollmacht zur Ausübung von Betroffenenrechten

In seiner Entscheidung vom 5.10.2023 (Gz W292 2258172-1) hatte sich das österreichische Bundesverwaltungsgericht (BVwG) mit der Frage zu befassen, wie eine Vollmacht zur Ausübung von Betroffenenrechten konkret ausgestaltet sein muss und wann ein Verantwortlicher eine solche Anfrage zurückweisen darf.


Sachverhalt
Der Betroffene wandte sich gegen einen Bescheid der österreichischen Datenschutzbehörde, die seine Beschwerde gegen eine datenverarbeitende Stelle wegen Verletzung in den Rechten auf Auskunft und Löschung als unbegründet abwies.


Nach Ansicht der Aufsichtsbehörde erfüllte die damals gegenüber dem Verantwortlichen (einer öffentlichen Stelle) von einem Vertreter vorgelegte Vollmacht zur Ausübung der Rechte auf Auskunft und Löschung nicht die (besonderen) Anforderungen an eine Vollmacht, zumal eine pauschale Formulierung der Vollmacht keineswegs erkennen ließ, dass diese tatsächlich auch konkret ein datenschutzrechtliches Auskunfts- beziehungsweise Löschbegehren oder die Geltendmachung datenschutzrechtlich höchstpersönlicher Rechte im Generellen mitumfasse.


In der damals vorgelegten „Vollmacht / Auftragserteilung“ war festgehalten, dass der Vertreter ermächtigt werde, den Betroffenen gegenüber Behörden zu vertreten, in seinem Namen Erklärungen, Bekenntnisse, Anträge, Berufungen und Beschwerden zu übermitteln, Bescheidbegründungen zu verlangen, Akteneinsicht zu nehmen, Rechtsmittelverzichte zu erklären und in seinem Namen verbindlich zu unterschreiben.


Dieser Inhalt reichte dem Verantwortlichen und auch der Datenschutzbehörde nicht aus, um Betroffenenrechte für eine andere Person geltend machen zu können. Zudem sei ein datenschutzrechtliches Auskunftsersuchen nicht mit einer Akteneinsicht gleichzusetzen.


Konkret ging es hier um Betroffenenrechte nach der RL 2016/680, welche in Österreich im Datenschutzgesetz (DSG) umgesetzt sind, die jedoch inhaltlich den Betroffenenrechten der DSGVO zum Großteil entsprechen. Daher sind die Ausführungen des BVwG aus meiner Sicht durchaus auch für die Anwendung der DSGVO von Interesse, zumal das BVwG auch auf Vorschriften der DSGVO (wie etwa Art. 15 DSGVO) verweist.


Entscheidung
Das BVwG teilt die Einschätzung der Datenschutzbehörde, dass die damals gegenüber dem Verantwortlichen verwendete Vollmacht nicht ausreichend war.


Träger des Auskunftsrechts Art. 15 Abs. 1 DSGVO ist ausschließlich die betroffene Person, deren personenbezogene Daten verarbeitet werden. Nur diese ist grundsätzlich berechtigt, aufgrund ihres Auskunftsbegehrens eine entsprechende Auskunft zu erhalten.


Zwar geht das BVwG davon aus, dass ein solcher Antrag auch von einem Vertreter gestellt werden kann. Jedoch sei zu beachten, dass es sich beim Recht auf Auskunft und Recht auf Löschung um höchstpersönliche Betroffenenrechte, nämlich um subjektive, verfassungsrechtlich gewährleistete Rechte, handelt.


Das BVwG verweist in seiner Begründung auch auf ältere Rechtsprechung zum Charakter der Betroffenenrechte als höchstpersönliche Rechte. Dort wurde etwa festgestellt, dass das Recht auf Auskunft im Falle einer gewillkürten Vertretung vom Betroffenen selbst dem Vertreter übertragen werden muss, dies auch nicht durch Dritte erfolgen kann sowie an den Nachweis des Vorliegens der Bevollmächtigung ein besonders strenger Maßstab anzulegen ist, weil das Auskunftsrecht ein höchstpersönliches Recht darstellt.


Hieraus leitet das BVwG folgende Anforderungen an eine Vollmacht zur Geltendmachung von Betroffenenrechten ab:


Daraus folgt nach Ansicht des erkennenden Senates auch für den Anwendungsbereich der Betroffenenrechte, dass an den Inhalt einer allenfalls zum Zweck der Geltendmachung von datenschutzrechtlichen Betroffenenrechten erteilten Vollmacht besondere Ansprüche zu stellen sind, wobei aus dem Gesamtzusammenhang erkennbar sein muss, dass die Stellung eines Auskunftsbegehrens auch von einer allgemein formulierten Vertretungsvollmacht tatsächlich und konkret mitumfasst sein soll.“
Vorliegend geht das BVwG davon aus, dass die damals verwendete Vollmacht nur pauschale Formulierung enthielt. Daraus war in keiner Weise erkennbar, dass diese tatsächlich auch konkret ein datenschutzrechtliches Auskunfts- beziehungsweise Löschbegehren bzw. die Geltendmachung höchstpersönlicher Datenschutzrechte mitumfasse
“.


In einer solchen Situation darf der Verantwortliche Zweifel an der Zulässigkeit der Vertretung haben und den Antrag auf Auskunft und Löschung zurückweisen. Das BVwG begründet dies vor allem auch mit dem erhöhten Maßstab an den Inhalt der Vollmacht, da es sich hier um höchstpersönliche Rechte handelt.
Im Zeitpunkt der Antragstellung war


kein Nachweis einer Vollmacht, die konkret die Geltendmachung des Rechts auf Auskunft und auf Löschung umfasste, vorhanden“.


Der Verweis auf die „Akteneinsicht“ in der Vollmacht, reicht dem BVwG ebenfalls nicht aus. Dieses Recht ist nicht mit dem Recht auf ein datenschutzrechtliches Auskunftsersuchen gleichzusetzen.


Fazit
Betroffenenrechte (hier im Bereich der RL 2016/680, meines Erachtens aber ebenso übertragbar auf jene der DSGVO) dürfen per Vollmacht durch Vertreter ausgeübt werden. Das BVwG gibt in seiner Entscheidung einige relevante Hinweise, was bei der textlichen Gestaltung derartiger Vollmachten zu beachten ist. Insbesondere scheint das BVwG eine explizite Bezugnahme auf Betroffenenrechte im Datenschutzrecht zu verlangen. Für Verantwortliche bietet die Entscheidung Argumente für eine Zurückweisung von Betroffenenanfragen (oder zumindest das Anfordern einer ausreichenden Vollmacht), wenn diese durch Vertreter gestellt werden und unklar ist, ob eine ausreichende Vollmacht besteht.

Land Berlin mit neuer, europarechtswidrigen Schuldatenverordnung (SchuldatenV)

Seit dem 19. August 2023 gilt in Berlin eine neue „Verordnung über die Verarbeitung personenbezogener Daten im Schulwesen (Schuldatenverordnung – SchuldatenV)“ (hier abrufbar).

Die Verordnung gilt für die Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern, ihren Erziehungsberechtigten, Lehrkräften und sonstigen schulischen Mitarbeiterinnen und Mitarbeitern, soweit nicht die Datenverarbeitung im Rahmen der Nutzung von digitalen Lehr- und Lernmitteln und sonstigen digitalen Instrumenten, die vorwiegend pädagogischen Zwecken dienen, betroffen ist. Für diese Fälle (vorwiegend pädagogische Zwecke) gilt die Digitale Lehr- und Lernmittel-Verordnung (DigLLV).

Nachfolgend möchte ich beispielhaft zwei (aus meiner Perspektive klar) europarechtswidrige Regelungen der SchuldatenV herausstellen. Diese stellen gute Beispiele dafür dar, warum der Datenschutz bzw. die DSGVO in der Praxis als „Verhinderer“ gesehen wird, obwohl dies eigentlich nicht der Fall sein muss. Wenn der nationale Landes- oder Bundesgesetzgeber aber Regelungen schafft, die den Anwendern zum Teil eu-rechtliche vorgesehene Möglichkeiten zum Einsatz von Technologien abschneiden und dies erschweren.

Unzulässige Wiederholung der DSGVO

§ 6 Abs. 5 Nr. 1 S. 1 gibt vor: „Erfolgt die Verarbeitung durch einen Auftragsverarbeiter, ist dieser sorgfältig gemäß Artikel 28 Absatz 1 der Datenschutz-Grundverordnung auszuwählen.“

Und jetzt legen wir einmal die europarechtliche, unmittelbar bindende Vorgabe des Art 28 Abs. 1 DSGVO daneben: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Klar, das ist keine eins zu eins Wiederholung. Muss es aber auch nicht sein, um dennoch gegen die Vorgaben des EuGH zu verstoßen. Dieser geht in ständiger Rechtsprechung davon aus, dass Mitgliedstaaten keine Maßnahmen ergreifen dürfen, die geeignet sind, die Zuständigkeit des Gerichtshofes zur Entscheidung über Fragen der Auslegung des Gemeinschaftsrechts oder der Gültigkeit der von den Organen der Gemeinschaft vorgenommenen Handlungen zu beschneiden. „Infolgedessen sind Praktiken unzulässig, durch die die Normadressaten über den Gemeinschaftscharakter einer Rechtsnorm im unklaren gelassen werden“ (Rechtssache C-34/73, Rz. 11).

Aus meiner Sicht hat § 6 Abs. 5 Nr. 1 S. 1 überhaupt keinen eigenen Regelungsgehalt. Im Grunde verweist er nur auf eine Pflicht nach der DSGVO, die aber ohnehin unmittelbar zu beachten ist. Was ist also der Sinn der Vorgabe in § 6 Abs. 5 Nr. 1 S. 1? Für mich hat die Regelung keinen materiellen Sonn und Zweck. Vielmehr macht es den Eindruck, dass der Landesgesetzgeber hier eigene Vorgaben macht und die betroffenen Stellen dann zusätzlich bindendes EU-Recht beachten sollen. Das wäre aus meiner Sicht dann aber genau der vom EuGH adressierten unzulässigen Praktik.

Wenn man argumentiert, dass die Regelung keine reine Wiederholung sei, sondern eigenen Regelungsinhalt habe (welchen?), dann greift aber das nächste Argument einer EU-Rechtswidrigkeit.

Denn dem Berliner Gesetzgeber fehlt die Kompetenz, Vorgaben zu Art. 28 Abs. 1 DSGVO aufzustellen. Die DSGVO enthält in Art. 28 Abs. 1 DSGVO keine Öffnungsklausel für Mitgliedstaaten, zur Ausgestaltung der Auswahl von Auftragsverarbeitern.

Auch Art. 23 DSGVO, der grundsätzlich Einschränkungen ermöglichen würde, greift für Art. 28 DSGVO nicht.

Selbst, wenn man (irgendwie) eine Öffnungsklausel herbeiargumentieren möchte, läge hier ein Verstoß vor. Der EuGH hat im März diesen Jahres, zu der ausdrücklich vorgesehenen Öffnungsklausel in Art. 88 Abs. 1 DSGVO entschieden, dass es sich bei einer nationalen Regelung als „spezifischere Vorschrift“ nicht lediglich um eine Wiederholung der DSGVO-Vorgaben handeln darf (Rechtssache C‑34/21, Rz. 71). Wenn diese Vorgaben schon bei ausdrücklich normierten Öffnungsklauseln für spezifischere nationale Regelungen gelten, dann erst recht im hiesigen Fall – in dem eine solche Möglichkeit fehlt.

Datenlokalisierungspflicht

§ 6 Abs. 5 Nr. 1 S. 2 verlangt: „Die Auftragsverarbeitung erfolgt ausschließlich und vollständig in dem Gebiet des Europäischen Wirtschaftsraumes.“

Die SchuldatenV verpflichtet betroffene Stellen mithin dazu, personenbezogene Daten nur in der EU/EWR zu verarbeiten. Rein faktisch wird dies bedeuten, dass Dienstleister, etwa von Softwareprodukten, die ihre Dienste aus Drittländern anbieten oder etwa für Service- oder Supportzwecke auf Daten in der EU/EWR zugreifen müssten, nicht in Anspruch genommen werden können.

Eine solche Datenlokalisierungspflicht sieht die DSGVO aber gerade nicht vor. Ansonsten bräuchte es das gesamte Kapitel V der DSGVO nicht, in dem es nur um Datentransfers in Drittländer geht.

Die DSGVO sieht zudem keine spezielle Öffnungsklausel für die Schaffung einer solchen Lokalisierungsvorgabe vor.

In der Begründung zur SchuldatenV wird auch mit keinem Wort auf die Nutzung einer Öffnungsklausel oder zumindest der Regelung des Art. 23 DSGVO, über den gewisse Rechte und Pflichten der DSGVO eingeschränkt werden können, eingegangen (wobei Art. 23 DSGVO eine Beschränkung der Rechte in Kapitel V DSGVO nicht zulassen würde). Ein Transfer personenbezogener Daten in Drittländer im Rahmen der Auftragsverarbeitung wird schlicht untersagt – entgegen den Vorgaben der DSGVO. Und übrigens: auch ohne jegliche Information zu den Motiven in der Begründung zu § 6 SchuldatenV.

Besonders skurril finde ich an der Regelung, dass die Lokalisierungspflicht dem Wortlaut nach nur für die Auftragsverarbeitung gilt. Das bedeutet, dass Schulen personenbezogene Daten sehrwohl nach den Vorgaben der DSGVO in Drittländer übermitteln könnten. Also an einen anderen Verantwortlichen. Tut mir leid, aber dass kann doch nicht der Zweck einer solchen Regelung sein?! Wenn man, was ich vermute, schulische Daten (gerade jene von Kindern) besonders schützen möchte, dann ist es doch ein völliger Fehlgriff, dies nicht umfassend zu tun. Sondern nur für Situationen der Auftragsverarbeitung.

Update – Bundesverwaltungsgericht Österreich: Gesellschaftsrechtliche Verschmelzung von Unternehmen stellt keine Datenübermittlung dar – Rechtsnachfolger übernimmt Recht zur Datenverwendung

In der Praxis stellen sich gerade in gesellschaftsrechtlichen Transaktionen oft auch datenschutzrechtliche Fragen. Wie können Mitarbeiter- und Kundendaten auf ein erwerbendes Unternehmen übergehen? Darf ein Unternehmen als Rechtsnachfolger eines eingebrachten Unternehmens die vorhandenen Daten einfach weiter verwenden?

Das Bundesverwaltungsgericht in Österreich (BVwG) hat sich jüngst in einer Entscheidung (Bescheid v. 22.8.2023 – W137 2251172-1) mit dem Vorgang einer gesellschaftsrechtlichen Verschmelzung (in Deutschland etwa im UmwG geregelt) aus datenschutzrechtlicher Sicht befasst und einige praxisrelevante Aussagen getroffen.

Sachverhalt

In dem Verfahren beschwerte sich eine betroffene Person darüber, nicht DSGVO-konform von einer Gesellschaft informiert worden zu sein. Das verantwortliche Unternehmen (GmbH) betreibt eine App. Die Programmierung der App erfolgte zunächst durch ein anderes Unternehmen im Auftrag und nach den Vorgaben dieses anderen Unternehmens. Dieses andere Unternehmen wurde nach einiger Zeit in die GmbH durch Verschmelzung eingebracht.

Nach Ansicht der Betroffenen habe das verantwortliche Unternehmen (Betreiber der App) insbesondere fälschlich informiert, dass personenbezogene Daten selbst erhoben wurden, obwohl es diese Daten in der Vergangenheit von dem in die GmbH eingebrachten Unternehmen übernommen habe.

Entscheidung

Das BVwG musste also die Frage klären, ob der Betreiber der App richtig nach Art. 13 und 14 DSGVO informiert hat, wenn hinsichtlich der relevanten Daten angegeben wurde, dass diese selbst erhoben wurden, obwohl die Daten in der Vergangenheit rein faktisch von dem eingebrachten Unternehmen erhoben wurden. Eventuell lag auch eine Übermittlung von Daten zwischen den Unternehmen vor.

  • Das BVwG stellt zunächst fest, dass es sich hier um den Fall einer Gesamtrechtsnachfolge handelt (vgl. § 20 Abs. 1 Nr. 1 UmwG in Deutschland).
  • Aus datenschutzrechtlicher Sicht ist diese Art der Unternehmensnachfolge bzw. -übernahme unproblematisch, denn es findet keine Weitergabe personenbezogener Daten an Dritte statt.
  • Das eigentliche Unternehmen bleibt rechtlich unverändert und damit auch die Rechtgrundlage für die bestehenden Verarbeitungsvorgänge.
  • Es liegt demnach kein datenschutzrechtlich relevanter Vorgang vor.“
  • Der Rechtsnachfolger übernimmt auch das Recht zur Datenverwendung in jenem Umfang, wie es bereits dem Rechtsvorgänger zustand; es liegt somit keine Datenübermittlung an Dritte vor.
  • Die Erhebung der personenbezogenen Daten erfolgte aus rechtlicher Perspektive direkt bei dem verantwortlichen Unternehmen (Betreiber der App).

Fazit

Das BVwG stellt zwei praxisrelevante Aspekte fest. Erstens, es liegt keine Datenübermittlung zwischen den beiden Unternehmen vor. Dies liegt an dem Konstrukt der Gesamtrechtsnachfolge. Zweitens, kann sich der Rechtsnachfolger auf das Recht zur Datenverwendung in jenem Umfang berufen, wie dies für das eingebrachte Unternehmen der Fall war. Nach Ansicht des BVwG gehen quasi die Rechtsgrundlagen und Zwecke der Datenverarbeitung auf den Rechtsnachfolger über.  

Update vom 11.10.2023

Mich hat heute der Kollege Dr. Christian Wirthensohn aus Österreich kontaktiert, der in dem Verfahren die Beschwerdeführerin vertreten hat. Er hat darauf hingewiesen, dass faktisch keine Verschmelzung zugrunde lag, sondern ein (Einzel-)Unternehmen in eine nachträglich gegründete GmbH eingebracht wurde. Eine solche Einbringung stelle nach österreichischem Recht sowohl nach der Rechtsprechung des österreichischen VwGH als auch nach Ansicht in der gesellschaftsrechtlichen aber auch in der datenschutzrechtlichen Literatur einen Fall einer Einzelrechtsnachfolge dar. Das BVwG hat dies nach Ansicht des Kollegen verkannt und es ist u.a. deswegen Revision an den VwGH erhoben worden.

Was bedeutet das für die Interpretation der Begründung? Das BVwG scheint zu etwas entschieden zu haben, was faktisch nicht vorlag. Die datenschutzrechtliche Begründung des BVwG bezieht sich auf eine Gesamtrechtsnachfolge. Für diesen Fall geht das BVwG von den oben genannten Folgen aus. Interessant wird sein, ob der VwGH, wenn eine Einzelrechtsnachfolge vorliegt, hier einen datenschutzrechtlichen Unterschied erkennt. Wenn also ein Erwerb von einzelnen Vermögensgegenständen vorlag, z.B. durch Übereignung.

Landesarbeitsgericht: Frist zur Beantwortung von Auskunftsersuchen beträgt einen Monat – auch wenn der Betroffene (oder sein Anwalt) eine kürzere Frist setzen

In der Praxis werden Auskunftsansprüche nach Art. 15 DSGVO oft mit einer Fristsetzung durch Betroffene verbunden. So wird etwa gefordert, die Auskunft innerhalb von ein oder zwei Wochen zur Verfügung zu stellen.

Das Landesarbeitsgericht (LAG) Baden-Württemberg (Urteil vom 28.7.2023, 9 Sa 73/21) hatte sich in einer Entscheidung mit der Frage zu befassen, ob Betroffene einen Anspruch auf Erfüllung des Auskunftsrechts innerhalb der von ihnen (oder ihrem Rechtsanwalt) gesetzten Frist haben. Auch wenn diese von den gesetzlichen Vorgaben abweicht.

Sachverhalt

Der Kläger des Verfahrens stand bei der Beklagten in einem Ausbildungsverhältnis. Ihm wurde eine Abmahnung erteilt. Mit E-Mail vom 25.03.2020 wandte sich der Prozessbevollmächtigte des Klägers an die Beklagten und verlangte u.a. bis zum 03.04.2020 Auskunft über die personenbezogenen Daten des Klägers gem. Art. 15 DSGVO sowie Übermittlung der Personalakte des Klägers.

Entscheidung

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Das LAG musste prüfen, wie sich die kurze Fristsetzung (9 Tage) zu der gesetzlichen Vorgabe des Art. 12 Abs. 3 DSGVO verhält.

Das Gericht geht davon aus, dass die Setzung einer kürzeren Frist, als jener in Art. 12 Abs. 3 DSGVO, irrelevant ist.

Nach Ansicht des LAG sind die Fristen für die Auskunftserteilung gesetzlich geregelt.

„Setzt der Auskunftsberechtigte eine zu kurze Frist, kann das nichts daran ändern, dass die Frist nach Art. 12 Abs. 3 DSGVO gilt.“

Verantwortliche haben also grundsätzlich die gesetzlich vorgesehene Zeit, um die Auskunft zu erteilen. Natürlich darf in der Praxis aber nicht unbeachtet bleiben, dass due Auskunft grundsätzlich „unverzüglich“ zu erteilen ist. Die Auskunft kann also auch vor Ablauf der Monatsfrist erteilt werden, wenn dies möglich ist.

Das Gericht führt weiter aus:

„Vor Ablauf dieser Frist braucht der Verantwortliche, hier die Beklagten zu eins und zu zwei die Ansprüche nicht erfüllen.“

Verantwortliche müssen nach Ansicht des LAG also auf eine zu kurze Fristsetzung nicht reagieren, sondern sind an die gesetzlichen Vorgaben gebunden.

Zudem geht das LAG aber auch davon aus, dass eine zu kurz gesetzte Frist den Auskunftsanspruch nicht gegenstandlos macht. Dieser ist weiterhin zu erfüllen – nur eben innerhalb der gesetzlichen Frist.

Folgt man den Erwägungen des LAG, sollten sich Verantwortliche in der Praxis also bei Fristsetzungen durch Betroffene oder ihre Vertreter nicht unter Druck setzen. Es gelten die gesetzlichen Vorgaben. So hatte etwa in der Vergangenheit auch das BayLDA in seinem Tätigkeitsbericht 2019 (S. 26) festgestellt:

„„Unverzüglich“ bedeutet nicht, dass eine Reaktion auf die Anfrage sofort zu erfolgen hat, sondern dass die Anfrage „ohne schuldhaftes Zögern“ zu bearbeiten ist.“

Sollte etwa innerhalb der Monatsfrist eine Beschwerde bei der Aufsichtsbehörde eingereicht werden, geht das BayLDA davon aus, dass es nicht tätig werden kann – da die Monatsfrist noch nicht abgelaufen ist.

Schwedische Datenschutzbehörde: E-Mail-Kommunikation mit Informationen zur Optimierung oder Personalisierung eines kostenpflichtigen Online-Dienstes ist nicht „notwendig“ zur Vertragserfüllung (Art. 6 Abs. 1 b) DSGVO) – sondern Direktmarketing

In einer Entscheidung (PDF) vom 1. April 2022 musste sich die schwedische Datenschutzbehörde (IMY) mit der Beschwerde eines Kunden eines Online-Dienstes für den digitalen Vertrieb von Zeitungen und Zeitschriften befassen.

Sachverhalt

Der Beschwerdeführer meldete sich als Kunde an und lehnte am selben Tag über sein Benutzerkonto ab, in Zukunft E-Mails von dem Unternehmen zu erhalten. Dennoch erhielt er mehrere E-Mails von dem Unternehmen. Nachdem sich der Beschwerdeführer an den Kundendienst des Unternehmens gewandt hatte, wurde der Versand von E-Mails eingestellt.

Das Unternehmen gibt an, dass es zwischen Mailings, die auf einem Vertrag beruhen, und Mailings zu Marketingzwecken, die auf einem berechtigten Interesse beruhen, einen Unterschied macht. Die E-Mails, die der Beschwerdeführer erhielt, dienten der Kommunikation mit dem Nutzer über den Dienst und haben den Vertrag als Rechtsgrundlage. Die E-Mails waren Teil der Begrüßungsroutine für neu registrierte Nutzer. Der Zweck bestehe darin, dem Nutzer zu erklären, wie der Dienst funktioniert und welche Funktionen er enthält. Das Unternehmen ist der Ansicht, dass die personenbezogenen Daten nicht zu Marketingzwecken verarbeitet wurden und dass die Verarbeitung auf Grundlage des Vertrages mit dem Beschwerdeführer und, hilfsweise, auf berechtigten Interessen beruht.

Entscheidung

IMY hatte zu beurteilen, ob die Verarbeitung auf Art. 6 Abs. 1 b) DSGVO gestützt werden kann. Notwendig ist dafür, dass die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.

IMY stellt fest, dass mehrere der E-Mails Informationen darüber enthielten, wie der Beschwerdeführer den Dienst entsprechend seinen persönlichen Interessen weiter optimieren und personalisierte Empfehlungen auf der Grundlage seines Leseverhaltens erhalten kann.

Das Unternehmen teilte Kunden auch mit, dass es personalisierte Inhalte anbietet. Nach Ansicht von IMY kann jedoch nicht davon ausgegangen werden, dass ein durchschnittlicher Nutzer dies als notwendigen Bestandteil des Dienstes versteht oder wahrnimmt.

Ein weiteres Argument von IMY gegen den Vertrag als Rechtsgrundlage:

Die Tatsache, dass das Unternehmen auch die Möglichkeit bietet, sich von solchen E-Mails abzumelden, deutet darauf hin, dass die Verarbeitung personenbezogener Daten nicht für die Erfüllung des Vertrags erforderlich war.“

Die Aufsichtsbehörde argumentiert hier also mit der faktischen Umsetzung durch das Unternehmen. Ein Widersprich gegen eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 b) DSGVO wäre ja nicht möglich. Wenn das Unternehmen dies aber ggü. Kunden dennoch anbietet und umsetzt, spricht dies nach Ansicht der Aufsichtsbehörde dafür, dass eine andere Rechtsgrundlage einschlägig ist.

IMY verlangt (wie in der Vergangenheit insb. auch der EDSA), dass der für die Verarbeitung Verantwortliche nachweist, dass der Hauptzweck des konkreten Vertrags in der Praxis nicht erreicht werden kann, wenn die fragliche Verarbeitung nicht durchgeführt wird. Die Aufsichtsbehörde folgt hier also einer sehr strengen Auslegung des Erforderlichkeitsmerkmals in Art. 6 Abs. 1 b) DSGVO.

Nach Auffassung der IMY bestand die durch Geld erworbene Dienstleistung hier aber nur darin, Zeitungen und Zeitschriften digital zu lesen, was der Hauptzweck des Vertrags sei.

Daher begründete IMY:

„… die E-Mails, die der Beschwerdeführer mit individuell zugeschnittenem Inhalt erhalten hat, sind nicht objektiv notwendig, um den Hauptzweck des Vertrags zu erfüllen, d. h. die Bereitstellung eines digitalen Zeitungs- und Zeitschriftenabonnements. IMY ist der Ansicht, dass diese E-Mails nicht auf Artikel 6 Absatz 1 Buchstabe b DSGVO gestützt werden können.“

Nach Ansicht von IMY dienen die E-Mails in erster Linie dazu, den Zugang zu und die Erfahrung mit dem Dienst zu verbessern. Jedoch eben gerade nicht dem Hauptzweck des Vertrages. Die Verwendung der Daten zur Information über individuell angepasste Inhalte stelle daher Direktmarketing dar.

Fazit

Eine solche Argumentation kann (meiner Meinung nach) Auswirkungen auf andere ähnliche Geschäftsmodelle haben, wenn weitere Datenschutzbehörden ebenfalls eine so strenge Auffassung vertreten. Die strenge Interpretation liegt, dass muss man zugestehen, auf der bisherigen Linie des EDSA und jüngst wohl auch des EuGH.

Sollten Unternehmen Funktionen wie eine Personalisierung anbieten und die damit zusammenhängende Verarbeitung auf Grundlage von Art. 6 Abs. 1 b) DSGVO begründen wollen, wäre als Folge aus dieser Entscheidung in jedem Fall ein konsistentes Vorgehen und entsprechende Begründung hinsichtlich der Betroffenenrechte wichtig. Wenn die Rechtsgrundlage der Art. 6 Abs. 1 b) DSGVO ist, gibt es keine Widerspruchsmöglichkeit nach Art. 21 DSGVO. Ob man dennoch eine Widerspruchsmöglichkeit einräumt, bleibt natürlich Unternehmen überlassen. In diesem Fall ist eine solche Umsetzung dann auf der juristischen Ebene quasi „zum Boomerang“ geworden.

Geplante Gesetzesänderung: BfDI als alleinige Datenschutzaufsichtsbehörde für alle Kranken- und Pflegekassen (und mehr)

Etwas unter dem Rader des „Team Datenschutz“ (zumindest habe ich dazu bisher wenig gelesen), schlägt das Bundesgesundheitsministerium (BMG) eine Zentralisierung der Datenschutzaufsicht u.a. im Bereich der Kranken- und Pflegekassen vor.

In dem Referentenentwurf (PDF) eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) schlägt das BMG eine Anpassung des § 9 BDSG vor.

Es wird ein neuer Absatz 3 angefügt:

(3) „Der oder dem Bundesbeauftragten obliegt die ausschließliche Zuständigkeit für die Aufsicht über Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten, sowie über

1. die Kranken- und Pflegekassen,

2. den Spitzenverband Bund der Krankenkassen,

3. die Kassenärztlichen Vereinigungen sowie…

Laut der Begründung (S. 42) werde eine einheitliche Datenschutzpraxis oft durch unterschiedliche Auslegung verschiedener Aufsichtsbehörden verhindert. Daher werde dem BfDI mit § 9 Absatz 3 BDSG eine breitere Zuständigkeit eingeräumt.

Ganz ausdrücklich wird hier noch einmal klargestellt:


So wird er alleine die Aufsicht über Stellen übernehmen, soweit sie Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten, die unter die Definition der Gesundheitsdaten gemäß Artikel 4 Nummer 15 der Verordnung (EU) 2016/679 fallen. Darüber hinaus wird er die Aufsicht über Kranken- und Pflegekassen, den Spitzenverband Bund der Krankenkassen, die Kassenärztlichen Vereinigungen sowie den Kassenärztlichen Bundesvereinigung, das Zentralinstitut für die kassenärztliche Versorgung und die Kassenzahnärztlichen Vereinigungen sowie die Kassenzahnärztliche Bundesvereinigung erhalten.“

Die vorgeschlagene Änderung wäre schon ein ziemlicher Paradigmenwechsel in der aufsichtsbehördlichen Zuständigkeit im Bereich Datenschutz. Bisher ist der BfDI für sog. bundesunmittelbare Krankenkassen zuständig. Das sind größere Kassen, die in mehreren Bundesländern aktiv sind.

Neu wäre jetzt, dass der BfDI für jegliche Krankenkasse zuständig ist. Also auch für allein in einem Bundesland tätige Kassen oder auch die Betriebskrankenkassen von Unternehmen. Bedeutet in der Konsequenz natürlich auch eine Zersplitterung der Aufsicht innerhalb eines Konzerns bzw. einer Unternehmensgruppe.

Eine Übersicht aller gesetzlichen Krankenkassen findet man beim GKV. Für all diese Kassen wäre also der BfDI allein zuständig. Ganz besonders brisant ist meines Erachtens nicht nur diese geplante Änderung, sondern auch der Vorschlag zur alleinigen Zuständigkeit für „Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten“. Die Landesdatenschutzbehörden weisen in ihrer Stellungnahme (PDF) darauf hin, dass hier etwa Jobcenter, Rentenversicherungen, Unfallversicherungen oder auch Jugendämter in Betracht kommen.

Update vom 1.9.23:

In der Kabinettsvorlage des Gesetzesentwurfs (PDF) zum GDNG ist der Vorschlag für einen neuen § 9 Abs. 3 BDSG nicht mehr enthalten.

Geplante Änderung des BDSG – Neue Zuständigkeitsregelung für gemeinsam Verantwortliche

Derzeit befindet sich der Referentenentwurf zur Änderung des BDSG in der Verbändeanhörung. Der Referentenentwurf wurde über eine Anfrage bei FragDenStaat öffentlich gemacht.

Nachfolgend möchte ich einige Anmerkungen zu einem neuen § 40a (Artikel 1 Nr. 13 des Entwurfs) machen. 

Der Vorschlag für § 40a BDSG, der sich mit der Zuständigkeit im Fall der gemeinsamen Verantwortlichkeit befasst, ist wie folgt:

§ 40a Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen

Sind Unternehmen gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679 und mehrere Aufsichtsbehörden für sie zuständig, können die Unternehmen gemeinsam anzeigen, dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. Die gemeinsame Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind, und muss die das umsatzstärkste Unternehmen nachweisenden Unterlagen enthalten. Ab dem Zeitpunkt, zu dem die Anzeige im Sinne der Sätze 1 und 2 bei der für das umsatzstärkste Unternehmen zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde. § 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.

In der Begründung (S. 17) wird betont, dass die gemeinsame Verantwortlichkeit ein Rechtsinstitut mit großen praktischen Auswirkungen ist. Zudem sei (nach der Rechtsprechung des Europäischen Gerichtshofs) der Anwendungsbereich der gemeinsamen Verantwortlichkeit sehr weit gefasst. 

„Als Anwendungsfälle gemeinsamer Verantwortlichkeit kommen zum Beispiel in Betracht: Datenplattformen, Unternehmenspräsenz in sozialen Medien (wie Facebook, Twitter, Instagram, XING), Stammdatenverwaltung im Unternehmensverbund, konzernweites Customer-Relationship-Management oder Nutzung eigener Datenbestände für Werbezwecke Dritter.“

Zweck des vorgeschlagenen § 40a BDSG ist laut der Begründung (S. 11), Unternehmen, die Möglichkeit zu geben, ihre gemeinsame Verantwortlichkeit anzuzeigen und „als Rechtsfolge der Anzeige per Gesetz die alleinige Zuständigkeit nur einer einzigen Aufsichtsbehörde herbeizuführen“. 

Die Rechtsänderung soll für die betroffenen Unternehmen auch eine entlastende Wirkung haben, da mögliche behördliche Vorgaben im Zusammenhang mit der Befolgung von Vorschriften der DSGVO nur noch zentral durch eine Stelle erfolgen. 

Anmerkungen

1.

Ganz interessant finde ich, dass der Entwurf mehrere Beispiele benennt, wann aus Sicht des Ministeriums eine gemeinsame Verantwortlichkeit vorliegen kann. Die Annahme, dass Art. 26 DSGVO große Praxisrelevanz hat, ist meiner Erachtens zutreffend. 

Kritisch bzw. mit dem BDSG inkonsistent sehe ich die Verwendung des Begriffs „Unternehmen“. Dieser wird im BDSG ansonsten nicht in dieser Weise genutzt, sondern vielmehr „nichtöffentliche Stellen“ (vgl. § 1 Abs. 4 BDSG). Hier stellt sich die Frage, ob mit „Unternehmen“ etwas anderes gemeint ist, als eine „nichtöffentliche Stelle“? In der Begründung wird auf Art. 4 Nr. 18 DSGVO verwiesen. Soll hier also auf den Begriff „Unternehmen“ nach der DSGVO abgestellt werden? Gibt es einen Unterschied zur „nichtöffentlichen Stelle“ iSd BDSG?

2.

Mir stellt sich auch die Frage, was mit „zuständig“ gemeint ist. Denn nach der DSGVO gibt es ja eine, wenn man so will, einfache Zuständigkeit und bei grenzüberschreitenden Verarbeitungen auch eine federführende Zuständigkeit. Welche ist hier mit „zuständig“ adressiert? Genügt es also für § 40a, wenn für gemeinsam Verantwortliche schlicht Aufsichtsbehörden zuständig sind, etwa allein aufgrund des Sitzes eines Unternehmens? Oder soll § 40a im Fall von eigentlich mehreren federführend zuständigen Aufsichtsbehörden eine Möglichkeit bieten, eine dieser Aufsichtsbehörden auszuwählen? Wenn dies nicht gemeint ist, könnte man ggfs. auch dazu kommen, dass eine „einfach“ zuständige Behörde auf einmal als Aufsichtsbehörde für die gemeinsame Verantwortlichkeit ausgewählt (bzw. „angezeigt“) wird. 

3.

Laut der Begründung soll die Anzeige tatsächlich eine Rechtsfolge auslösen, nämlich die Zuständigkeit festzulegen. Daher hielte ich es für sehr relevant, das Anzeigeverfahren klar und transparent zu regeln. In welcher Form kann die Anzeige zB erfolgen? Per Fax, E-Mail, elektronischem Behördenpostfach? Diesen Punkt halt ich besonders auch deshalb für wichtig, da nach § 40a ja Unterlagen mit gesendet werden soll. In der Praxis haben wir aber das Problem, dass Aufsichtsbehörden zum Teil E-Mail mit Anhängen nicht annehmen oder Anhänge zu groß sind. 

4.

Rechtsfolge der Anzeige ist laut Begründung „per Gesetz die alleinige Zuständigkeit nur einer einzigen Aufsichtsbehörde herbeizuführen“. Dies verstehe ich so, dass die Aufsichtsbehörde an diese Anzeige ebenfalls gebunden sein sollen. Zumindest wird keine Unterscheidung der Rechtsfolge für Verantwortliche und/oder Aufsichtsbehörden vorgenommen. 

Was geschieht aber, wenn eine beteiligte Aufsichtsbehörde nicht einverstanden ist bzw. die Angaben aus der Anzeige anzweifelt? Gibt es hier rechtliche Möglichkeiten der anderen Aufsichtsbehörden, gegen den Akt der Anzeige und/oder seine Rechtswirkung vorzugehen? 

Dasselbe Problem ergibt sich meines Erachtens auch für den Kreis der Verantwortlichen? Wenn ein Unternehmen mit anderen Partnern gemeinsamer Verantwortlicher ist, und dann ein Verantwortlicher voreilig die Anzeige versendet, bindet dies alle gemeinsam Verantwortlichen mit Eingang der Anzeige? Wenn ja, gibt es hiergegen eine Rechtsschutzmöglichkeit für andere Verantwortliche?

Zudem stellt sich mir die Frage, wie man die Rechtsfolge einer Anzeige zurücknehmen kann? Oder ist dies gar nicht vorgesehen. 

5.

Und noch zu dem entscheidenden Zuständigkeitskriterium des § 40a. Die Norm gibt vor, dass allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. Das Anknüpfungskriterium des Umsatzes ist meines Erachtens für behördliche Zuständigkeitsfragen ungeeignet. Zum einen kann dies im Ergebnis bedeuten, dass eine Aufsichtsbehörde an dem Sitz eines Unternehmens allein (!) zuständig wird, an dem es keine Leitungspersonen gibt. Hierauf stellt die DSGVO aber gerade bei Fragen der Zuständigkeit, insbesondere bei der Hauptniederlassung, ab. Will man, was sich wohl auf der Begründung ableiten lässt, wegen möglicher Bußgelder die alleinige Zuständigkeit am Ort des höchsten Umsatzes begründen, bricht dies daher aus meiner Sicht mit der Systematik der DSGVO. 

6.

Zudem stellt sich mir die Frage, was es bedeutet, wenn eine Aufsichtsbehörde „allein … zuständig sein soll“? Gelten dann nicht mehr die Vorgaben der DSGVO (bzw. auch des BDSG) zur Zuständigkeit von allen betroffenen Behörden? Will § 40a BDSG also im Grunde das System der federführenden Behörde im Bereich der gemeinsamen Verantwortlichkeit nicht fortführen. Dafür könnte man vorbringen, dass nach Ansicht des EDSA die DSGVO für den Fall des Art. 26 DSGVO gerade keine Zuständigkeitsvorgaben enthält. 

Andererseits durchzieht die DSGVO ja gerade der Gedanke der Abstimmung zwischen zuständigen Aufsichtsbehörden, was gerade der einheitlichen Anwendung der DSGVO dienen soll. Mit dem Vorschlag in § 40a BDSG, wirklich eine komplett singuläre Zuständigkeit einzuführen, die auch nicht einmal mehr im Rahmen von Abstimmungen vor Entscheidungen unter den Aufsichtsbehörden „aufgemacht“ wird, schafft man im Grunde eine zuständige „Superbehörde“, auf deren Entscheidungen andere Aufsichtsbehörden nicht einmal mehr Einfluss nehmen könnten. 

Datenschutzbehörde Österreich: Unzulässige Datenabfragen durch Mitarbeiter können Meldepflichten (Art. 33 und 34 DSGVO) an die Datenschutzbehörde und Betroffene auslösen

Mit Bescheid vom 1.  Januar 2023 entschied die österreichische Datenschutzbehörde, dass ein Verantwortlicher, nachdem eine Art. 33-Meldung durchgeführt wurde, auch die betroffene Person nach Art. 34 DSGVO benachrichtigen muss.

Ein interessanter Aspekt in dem Verfahren war die Frage, ob ein Verantwortlicher (als Arbeitgeber) den Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO unterliegt, wenn intern ein Mitarbeiter unberechtigt auf personenbezogene Daten zugreift und diese verwendet. Im konkreten Fall brachte der Verantwortliche vor, dass er für diesen Zugriff gerade nicht datenschutzrechtlich verantwortlich sei, sondern die Mitarbeiterin und daher auch keine Meldepflicht bestünde. Die DSB sah dies anders.

Sachverhalt

Es ging in dem Verfahren um eine Veröffentlichung von Gesundheitsdaten der betroffenen Person im Rahmen eines Social-Media-Beitrags einer Mitarbeiterin der Verantwortlichen. Eine zur Verantwortlichen in einem Ausbildungsverhältnis stehende und bei einer Klinik tätige Mitarbeiterin (Praktikantin) hat im Rahmen ihrer Tätigkeit elektronisch vorhandene Daten einer Patientin (betroffene Person) der Verantwortlichen abgefragt und in weiterer Folge ein Lichtbild des elektronisch dokumentierten Krankheitsverlaufes derselben im Rahmen ihres Social-Media Profils auf einer Plattform veröffentlicht.

Die Verantwortliche macht nur vorsorglich eine Meldung nach Art. 33 DSGVO, da sie u.a. Zweifel an ihrer Verantwortlichkeit und damit der rechtlichen Verpflichtung zur Meldung an die DSB hatte.

Entscheidung

Die DSB geht in ihrem Bescheid davon aus, dass die Verantwortlich sehrwohl einer Meldepflicht nach Art. 33 DSGVO unterliegt, auch wenn eine unzulässige Datenverarbeitung durch eine unbefugt handelnde Mitarbeiterin erfolgt. Im Grunde trennt die DSB klar zwischen zwei Verantwortlichkeitsbereichen:

  • Arbeitgeberin (Verantwortliche): Umsetzung geeigneter technischer rund organisatorischer Maßnahmen, um unbefugte Datenverarbeitungen zu unterbinden.
  • Mitarbeiterin (als eigene Verantwortliche): unbefugter Zugriff auf Patientendaten und Veröffentlichung dieser Daten.

Zunächst stellt die DSB klar, dass Art. 33 Abs. 1 DSGVO ausdrücklich zu entnehmen ist, dass sich die darin normierte Meldeverpflichtung ausschließlich an den jeweiligen Verantwortlichen richtet.

Zwar geht auch die DSB davon aus, dass

aus (zweckwidrigen und unternehmensfremden) Datenabfragen uÄ durch Mitarbeiterinnen und Mitarbeiter – insbesondere zu rein privaten Zwecken – im Einzelfall eine eigenständige (uU ausschließliche) datenschutzrechtliche Verantwortlichkeit der natürlichen Person abgeleitet werden kann“.

Jedoch weist die DSB darauf hin, dass Gegenstand des vorliegenden Verfahrens nicht die Verantwortlichkeit dieser Mitarbeiterin ist, sondern

vielmehr die – gewissermaßen vorgelagerte – Melde- und Benachrichtigungsverpflichtungen der (möglicherweise bloß ursprünglichen) Verantwortlichen“.

Die DSB stützt sich für ihre Ansicht auch auf die Leitlinien 07/2020 des EDSA zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“, wonach selbst, wenn ein Beschäftigter seine Befugnis im Zusammenhang mit der Verarbeitung von Daten (unzulässigerweise) überschreitet, die Organisation als Verantwortlicher angemessene technische und organisatorische Maßnahmen umsetzen muss, um die Einhaltung der DSGVO sicherzustellen.

Zudem verweist die DSB auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts vom 20. Januar 2022. Dort ging das BVwG im Falle der eigenmächtigen Datenverwendung durch einen Bediensteten davon aus, dass die dahinterstehende Organisation (konkret: Behörde) weiterhin für die Art und Weise der Verarbeitung bzw. Verwendung durch deren Bedienstete verantwortlich sei, auch soweit es sich um eine sorgfaltswidrige Verwendung oder überschießende Akteneinsicht handle.

In diesem Zusammenhang wurde darauf hingewiesen, dass rechtlich zwischen dem datenschutzrechtlich relevanten Verhalten der Behörde (als ursprüngliche Verantwortliche) und dem datenschutzrechtlich relevanten Verhalten eines/einer allfälligen Dritten zu unterscheiden sei.“

Daher kommt die DSB zu dem Ergebnis, dass ein ursprünglich datenschutzrechtlicher Verantwortlicher – selbst bei Verlust der Verfügungsmacht über oder bei unberechtigtem Zugriff Dritter auf dessen Datenbestand – Verpflichteter iSd Art. 33 und 34 DSGVO ist bzw. bleibt und sich das diesbezügliche Vorbringen der Verantwortlichen im Verfahren als unbeachtlich erwies.