Landesarbeitsgericht: Betriebsrat muss eigene angemessene Schutzmaßnahmen vorsehen und nachweisen, wenn er vom Arbeitgeber Auskunft über sensible Daten verlangt

Das Landesarbeitsgericht Baden-Württemberg hat sich mit Beschluss vom 20.5.2022 (Az 12 TaBV 4/21) zu den datenschutzrechtlichen Voraussetzungen der Weitergabe besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) vom Arbeitgeber an den Betriebsrat geäußert. Im konkreten Fall ging es um ein Auskunftsbegehren des Betriebsrates nach § 80 Abs. 2 S. 1 BetrVG, in Bezug auf Anzahl und Namen von schwerbehinderten/gleichgestellten Menschen.

Rechtsgrundlage der Datenverarbeitung

Die Weitergabe der Daten an den Betriebsrat kann auf die Rechtsgrundlage des § 26 Abs. 3 BDSG (als Umsetzung von der Öffnungsklausel in Art. 9 Abs. 2 lit. b DSGVO) gestützt werden. Bei der Weitergabe solcher hier betroffener „sensibler“ Daten an den Betriebsrat, sind nach § 26 Abs. 3 S. 3 BDSG zudem die besonderen Anforderungen des § 22 Abs. 2 BDSG zu beachten. Es sind danach angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.

Aber: der Arbeitgeber habe rein faktisch die Beachtung des Gebots angemessener und spezifischer Schutzmaßnahmen nicht in der Hand.

Ihm sind hierauf bezogene Vorgaben an den Betriebsrat aufgrund dessen Unabhängigkeit als Strukturprinzip der Betriebsverfassung verwehrt“.

Hieraus folgert das LAG, dass es Aufgabe des Betriebsrates sei, bei der Geltendmachung eines auf sensitive Daten gerichteten Auskunftsbegehrens,

das Vorhalten von Maßnahmen darzulegen, welche die berechtigten Interessen der betroffenen Arbeitnehmer – vorliegend der ihre Schwerbehinderung mitteilenden Arbeitnehmer – wahren“.

Für die Praxis bedeutet dies, dass der Betriebsrat, bevor der Arbeitgeber die Daten weitergaben oder zB Zugriff gewähren kann, entsprechende Schutzmaßnahmen nachweisen muss. Der Nachweis dieser Schutzmaßnahmen ist nach Ansicht des LAG ein Teil der Rechtmäßigkeitsvoraussetzungen der Datenverarbeitung. Dies macht das LAG in seiner Begründung sehr deutlich:


Ein Fehlen solcher Schutzmaßnahmen oder ihre Unzulänglichkeit – was der Würdigung des Tatsachengerichts unterliegt – schließt den streitbefangenen Anspruch aus“.

Erforderliche Schutzmaßnahmen

Zunächst stellt des LAG klar, dass die in § 22 Abs. 2 BDSG genannten Maßnahmen allein eine beispielhafte Aufzählung bilden und nicht abschließend zu verstehen sind.

Ziel der Schutzmaßnahmen muss auf Seiten des Betriebsrates die Gewährleistung sein, dass er bei einer Verarbeitung sensitiver Daten das Vertraulichkeitsinteresse der Betroffenen strikt achtet und Vorkehrungen trifft, die bei wertender Betrachtung den in § 22 Abs. 2 S. 2 BDSG aufgelisteten Kriterien entsprechen.

Das LAG benennt in seiner Entscheidung einige Beispielmaßnahmen.

Hierzu können Maßnahmen zur Datensicherheit wie das zuverlässige Sicherstellen des Verschlusses der Daten, die Gewähr begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe gehören.“

Im konkreten Fall erachtete das LAG die vorhandenen Maßnahmen als ausreichend. So existierte etwa für eine elektronische Übermittlung eine spezielle Empfängeradresse mit Passwortschutz. Hiermit, so das LAG, wird der Betriebsrat zugleich seiner Pflicht zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO gerecht.

Eine Anonymisierung bzw. Pseudonymisierung (vgl. § 22 Abs. 2 Nr. 6 BDSG) kann hier nicht verlangt werden. Denn der Auskunftsanspruch des Betriebsrates zielt ja gerade auf Namen von Personen. Ohne diese Namen könnte der Betriebsrat also seine Aufgaben nicht wahrnehmen.  

Zudem nennt das LAG allgemein noch weitere möglich Maßnahmen, die der Betriebsrat ergreifen könnte: freiwillige Benennung eines Datenschutz-Sonderbeauftragten für das Gremium, eine verpflichtende Grundschulung im Datenschutz für sämtliche Betriebsratsmitglieder zu organisieren, ein eigenes Datenschutzkonzept zu entwickeln, die Rechte der betroffenen Beschäftigten sicherzustellen.

Diese Liste mit Maßnahmen kann in der Praxis als eine gute Grundlage für eigene Prüfung der Zulässigkeit einer Datenweitergabe an den Betriebsrat verwendet werden.

Datenschutzbeauftragter des Arbeitgebers darf auch den Betriebsrat überwachen

Zudem beantwortet das LAG noch eine, in der Praxis immer mal wieder diskutierte, Frage. Benötigt der Betriebsrat einen eigenen Datenschutzbeauftragten oder darf bzw. muss der Datenschutzbeauftragte des Arbeitgebers auch den Betriebsrat kontrollieren?

Nach Auffassung des LAG richtet sich die (u.a. auch in § 22 Abs. 2 Nr. 4 BDSG) vorgesehene Bestellung eines Datenschutzbeauftragten nicht an den Betriebsrat, sondern an den Arbeitgeber. Und weiter:

„Die Verarbeitung personenbezogener Daten durch den Betriebsrat unterliegt unter Geltung der DSGVO dabei ohnehin der Überwachung durch den betrieblichen Datenschutzbeauftragten“

Dies, so das LAG, werde zwar in der neuen Vorschrift des § 79a BetrVG nicht ausdrücklich geregelt, aber sowohl von § 79a S. 4 BetrVG als auch im Regierungsentwurf vorausgesetzt, BT-Drs. 19/2899, S. 22.

Bayerischer Verwaltungsgerichtshof: Datenschutz in der Lieferkette – Verantwortlicher muss DSGVO-Konformität von eingekauften Produkten sicherstellen

Der Bayerische Verwaltungsgerichtshof hat eine, wie ich finde, abstrakt relevante Ansicht zu den datenschutzrechtlichen Anforderungen an Produkte, über die personenbezogene Daten verarbeitet werden, geäußert (Beschluss v. 07.03.2022 – 4 CS 21.2254). Der VGH geht davon aus, dass eine datenverarbeitende Stelle als datenschutzrechtlich Verantwortlicher verpflichtet ist, sich bei Geräteherstellern zu vergewissern, dass die Produkte die DSGVO einhalten.  

Sachverhalt

In dem Verfahren ging es um die Frage, ob Eigentümer eines Hauses den Austausch analoger Wasserzähler durch elektronische Wasserzähler mit Funkmodul durch die öffentliche Wasserversorgungseinrichtung dulden müssen. Die Hauseigentümer wehrten sich hiergegen, u.a. mit Verweis auf das Datenschutzrecht. Ihrer Ansicht nach verfüge das einzusetzende Gerät über keine Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik und sei daher nicht sicher. Zudem sei die Erhebung von Wassertemperatur und Außentemperatur sowie das permanente Aufzeichnen zahlreicher weiterer Alarmcodes zum ordnungsgemäßen Betrieb der Wasserversorgung nicht erforderlich.

Entscheidung

Der VGH wies die Beschwerde der Eigentümer (gegen eine Entscheidung der Vorinstanz) zurück.

Der VGH geht zunächst davon aus, dass die in einem elektronischen (Funk-)Wasserzähler erfassten Verbrauchsmengen, wenn und soweit sich daraus Rückschlüsse auf das individuelle Verbrauchsverhalten einzelner Personen ziehen lassen, personenbezogene Daten der Bewohner oder sonstigen Nutzer des betreffenden Anwesens darstellen.

Es reiche nach Art. 4 Nr. 1 DSGVO aus, dass eine bestimmte natürliche Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie etwa einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einem besonderen identitätsprägenden Merkmal identifiziert werden kann. Dies sei bei dem Betrieb eines Wasserzählers zumindest dann der Fall, wenn die aufgezeichneten Verbrauchsdaten eine Wohnung oder eine sonstige Gebäudeeinheit betreffen, die von einer einzelnen Person genutzt wird. Aber auch bei gemeinsamer Nutzung durch mehrere Personen lasse sich, wenn der Wasserverbrauch durch einen elektronischen Zähler kontinuierlich aufgezeichnet wird, unter Umständen mit nur geringem Zusatzwissen Rückschlüsse auf die Verbrauchsgewohnheiten Einzelner ziehen,

Die damit einhergehende Datenverarbeitung qualifiziert der VGH als zulässig. Diese ist nach Art. 6 Abs. 1 lit. e DSGVO nur rechtmäßig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist. Die dafür nach Art. 6 Abs. 3 lit. b DSGVO notwendige Rechtsgrundlage habe der Bayerische Gesetzgeber mit der in Art. 24 Abs. 4 Satz 1 GO enthaltenen Sonderregelung zum Einsatz und Betrieb derartiger Wasserzähler geschaffen.

Zudem lehnt der VGH einen Verstoß gegen Vorschriften der DSGVO bzgl. der Sicherheit der Datenverarbeitung (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO) durch den Einsatz der Wasserzähler ab.

Relevant und meines Erachtens zu einem gewissen Grad auch allgemein zu beachten, ist die Ansicht des VGH zu den Anforderungen des Einsatzes von Geräten, über die personenbezogene Daten verarbeitet werden sollen.

Zum einen geht der VGH davon aus, dass der Einsatz der Wasserzähler nicht bereits deshalb datenschutzwidrig sei, weil die Geräte keine Zertifizierung des BSI besäßen.

Der Einsatz elektronischer Verbrauchserfassungsgeräte ist ihnen nicht deshalb verwehrt, weil diese keiner Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik bedürfen“.

Diese Ansicht ist meines Erachtens begrüßenswert und richtig. So ist etwa Art. 32 DSGVO bewusst offen formuliert, um verschiedenste Faktoren bei der Prüfung der Sicherheit der Datenverarbeitung berücksichtigen zu können. Eine Zertifizierung, etwas durch das BSI, kann natürlich positiv berücksichtigt werden. Jedoch entscheidet ein solches Zertifikat nicht zwingend allein über die DSGVO-Konformität eines Produkts.

Danach führt der VGH aus:

Die Wasserversorger sind unabhängig davon für die Einhaltung der allgemeinen Sicherheitsanforderungen nach Art. 5 Abs. 1 Buchst. f, Art. 32 DSGVO verantwortlich. Sie müssen sich daher vor dem Einsatz elektronischer (Funk-) Wasserzähler bei dem Gerätehersteller vergewissern, dass die gespeicherten und übermittelten Daten durch geeignete technisch-organisatorische Maßnahmen ausreichend vor dem Zugriff unberechtigter Dritter geschützt sind (LT-Drs. 17/19804 S. 2).

Das Gericht leitet hier aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO wohl die Pflicht des Verantwortlichen ab, in seiner Liefer- bzw. Einkaufskette zu prüfen, ob die eingekauften Produkte, über die später personenbezogene Daten verarbeitet werden, den Anforderungen der DSGVO genügen. Der VGH ist zwar nicht absolut klar hinsichtlich des Umfangs und der Tiefe der erforderlichen Prüfung. Er spricht aber zumindest davon, dass sich der Verantwortliche als Ausfluss seiner Pflichten aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO davon „vergewissern“ muss, dass die Geräte die datenschutzrechtlichen Vorgaben einhalten.

Fazit

Der VGH spricht in seinem Beschluss eine praxisrelevante Schutzlücke der DSGVO an. Diese verpflichtet nur Verantwortliche und Auftragsverarbeiter. Gerätehersteller und Produzenten, die selbst keine Daten verarbeiten, sondern „nur“ das Werkzeug hierfür bereitstellen, unterfallen nicht der DSGVO, im Sinne einer „Vorfeldpflicht“. Daher hängt es derzeit vor allem an den Abnehmern der Produkte, den Verantwortlichen, die DSGVO-Konformität in die Lieferkette (nach vorne) zu tragen. Etwa durch vertragliche Verpflichtungen und Zusicherungen der Hersteller. ErwG 78 DSGVO umschreibt dieses Problem wie folgt: „… sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

Betriebsrat als datenschutzrechtlich Verantwortlicher – gesetzliche Klarstellung wirklich vom Tisch?

Ende 2020 hatte das Bundesministerium für Arbeit und Soziales (BMAS) bekanntlich den Referentenentwurf für ein Betriebsrätestärkungsgesetz veröffentlicht (PDF). In einem neuen § 79a BetrVG sollte gesetzlich klargestellt werden, dass datenschutzrechtlich der Arbeitgeber Verantwortlicher ist, wenn der Betriebsrat personenbezogene Daten verarbeitet (hierzu mein Blogbeitrag).

Der Entwurf wurde von der Bundesregierung aber (noch) nicht offiziell beschlossen und erst einmal zurückgezogen. War es das also, mit einer Regelung zur Frage der Verantwortlichkeit der Personalvertretung?

Vielleicht nicht. Parallel zu diesem Vorschlag für den privatwirtschaftlichen Bereich, hat nämlich das Bundesinnenministerium eine Schwesterregelung für den öffentlichen Bereich erarbeitet und das „Gesetzes zur Novellierung des Bundespersonalvertretungsgesetzes“ (PDF) wurde von der Bundesregierung verabschiedet und ist bereits im Gesetzgebungsverfahren im Bundestag. Angedacht ist in dem Gesetz auch eine Ergänzung des Bundespersonalvertretungsgesetzes (BPersVG) um einen neuen § 69 BPersVG („Datenschutz“).

Bei der Verarbeitung personenbezogener Daten hat der Personalrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Personalrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist die Dienststelle der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

Wem diese Regelung bekannt vorkommt, der darf gerne einen Blick in den ursprünglich geplanten § 79a BetrVG werfen. Im Grunde handelt es sich um eine inhaltsgleiche Kopie.

Meine in dem oben verlinkten Beitrag geäußerte Kritik zu § 79a BetrVG würde ich genauso auf den geplanten § 69 BPersVG übertragen. Nur ein Beispiel. In der Begründung des Gesetzentwurfes heißt es (S. 111): „Schließlich hat der Personalrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Artikel 24 und 32 der Datenschutz-Grundverordnung sicherzustellen“. Warum soll der Personalrat „eigenverantwortlich“ die Umsetzung von Sicherheitsmaßnahmen sicherstellen, wenn er doch für die Umsetzung der Art. 24 und 32 DSGVO nach der Idee des Entwurfs gar nicht Verantwortlicher ist? Oder anders gefragt: wenn die Dienststelle datenschutzrechtlich Verantwortlicher ist, obliegt ihr die Einhaltung der Pflichten der DSGVO, auch innerhalb der organisationsinternen Einrichtung „Personalrat“. Nach dem Entwurf soll der Personalrat aber „eigenverantwortlich“ agieren. Wie passt das zusammen?

Spannend ist nun die Frage, was passiert, wenn das Gesetz in dieser Form in Kraft tritt (bzw., wie sich dann Interpretationen entwickeln).

Erste Möglichkeit: Regelung zur Verantwortlichkeit gilt wirklich nur für den Personalrat, also den öffentlichen Bereich; keine Auswirkung auf den privatwirtschaftlichen Bereich und Betriebsrat. Argument: Vorschlag des BMAS in dem Bereich ist ja gescheitert, obwohl man es regeln wollte.

Zweite Möglichkeit: Regelung der Verantwortlichkeit muss man so auch im privatwirtschaftlichen Bereich annehmen; es würde ja keinen Sinn machen, das unterschiedlich zu behandeln, zumal die Gesetzesbegrünung fast identisch ist.

Ich bin gespannt, wie sich das Thema entwickelt.

Gesetzgeber erlaubt Sitzungen des Betriebsrats per Videokonferenz – Darstellung der Voraussetzungen

Am 23.4.2020 hat der Bundestag die Beschlussempfehlung und den Bericht des Ausschusses für Arbeit und Soziales (BT Drs 19/18753, pdf) zu dem Entwurf für ein Gesetz zur Förderung der beruflichen Weiterbildung im Strukturwandel und zur Weiterentwicklung der Ausbildungsförderung (BT Drs. 19/17740) angenommen, mit dem auch ein neuer § 129 in das Betriebsverfassungsgesetz (BetrVG) aufgenommen wird.

Dadurch wird es dem Betriebsrat, dem Gesamt- und Konzernbetriebsrat sowie der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und Auszubildendenvertretung und der Konzern-Jugend- und Auszubildendenvertretung sowie den Ausschüssen dieser Gremien ermöglicht, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen durchzuführen.

Die Regelung tritt rückwirkend zum 1. März 2020 in Kraft und gilt zeitlich beschränkt bis zum 31. Dezember 2020.

Nachfolgend möchte ich kurz die in der Norm aufgestellten Anforderungen und deren datenschutzrechtliche Implikationen belechten.

Der neue § 129 Abs. 1 BetrVG lautet:

§ 129

Sonderregelungen aus Anlass der Covid-19-Pandemie

(1) Die Teilnahme an Sitzungen des Betriebsrats, Gesamtbetriebsrats, Konzernbetriebsrats, der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und Auszubildendenvertretung und der Konzern- Jugend- und Auszubildendenvertretung sowie die Beschlussfassung können mittels Video- und Telefonkonferenz erfolgen, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Eine Aufzeichnung ist unzulässig. § 34 Absatz 1 Satz 3 gilt mit der Maßgabe, dass die Teilnehmer ihre Anwesenheit gegenüber dem Vorsitzenden in Textform bestätigen. Gleiches gilt für die von den in Satz 1 genannten Gremien gebildeten Ausschüsse.

 

Die Regelung trägt nach der Begründung der Situation um die Covid-19-Pandemie und den damit verbundenen Schwierigkeiten einer Präsenzsitzung Rechnung. Die neue Regelung soll Rechtssicherheit für diese Ausnahmesituation schaffen und ermögliche es dem

Betriebsrat für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie WebEx Meetings oder Skype durchzuführen.

Besonders interessant an dieser Begründung ist natürlich, dass der Ausschuss hier zwei ganz spezifische Anbieter bzw. deren Produkte in der Begründung des Gesetzesentwurfs nennt. Aus praktischer Sicht stellt sich Frage, ob hiermit gleichzeitig deren datenschutzrechtliche Konformität und Geeignetheit zur Erfüllung der aufgestellten Anforderungen (qua Gesetz) festgestellt wird? Ich persönlich vermute, dass die Mitglieder des Ausschusses eine solche Konformitätserklärung nicht intendiert hatten. Dies wird mE auch durch die beispielhafte Aufzählung der Dienste deutlich („wie“). Es wird also sicher auch andere Anbieter geben, die die Anforderungen des neuen § 129 BetrVG erfüllen.

Zudem werden die bei dem Einsatz solcher Anwendungen zu beachtenden Anforderungen auch nachfolgend in der Norm, also ganz allgemein und anbieterunabhängig, genannt.

Damit stellt sich die Frage, was diese Anforderungen sind.

Die Begründung führt hierzu aus:

Es soll sichergestellt sein, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Dies umfasst technische Maßnahmen wie zum Beispiel eine Verschlüsselung der Verbindung und organisatorische Maßnahmen wie die Nutzung eines nichtöffentlichen Raumes während der Dauer der Sitzung.

Auch aus dieser Begründung ergibt sich, dass die beispielhaft benannten Dienste diese Voraussetzung auch erfüllen müssen. Ob sie dies nach Ansicht des Ausschusses tun, ergibt sich aus der Begründung leider nicht.

Aus datenschutzrechtlicher Perspektive ist diese Anforderung des neuen § 129 BetrVG (in Zusammenschau mit der Begründung) wohl die relevanteste. Daher im Einzelnen:

Dritte

Ist hiermit der „Dritte“ im Sinne des Art. 4 Nr. 10 DSGVO gemeint? Ich meine, wohl nicht, denn in der ganzen Begründung wird kein einziges Mal auf die DSGVO verwiesen. Und damit auch nicht auf ihre Definitionen. Andererseits ist es damit aber natürlich nicht ausgeschlossen, dass man von dem Terminus „Dritte“ eventuell eingesetzte Auftragsverarbeiter iSd DSGVO gerade nicht umfasst sieht. Dies würde in der Konsequenz bedeuten, dass ein Anbieter von Videokonferenzsystemen, wenn er als Auftragsverarbeiter agiert, nicht als „Dritter“ anzusehen wäre. Wie gesagt, ist die Begründung und auch der Wortlaut der Norm hier aber nicht klar.

Inhalt der Sitzung

Diese Dritten dürfen spezifisch den Inhalt der Sitzung nicht zur Kenntnis nehmen. Damit ist aber nicht ausgeschlossen, dass Dritte angrenzende Informationen zu der Sitzung, insbesondere Angaben zum Datum, zur Uhrzeit oder auch zu den Teilnehmern erhalten dürfen. Man könnte hiervon etwa (Tool)Anbieter umfasst sehen, wenn dort Daten zur Planung einer Videokonferenz erfasst und verarbeitet werden. Diese Informationen dürften, auch vom Schutzzweck der Norm her, daher nicht zum „Inhalt“ der Sitzung zählen. Denn es dürfte darum gehen, dass Dritte (im Sinne Unbefugter) nicht Kenntnis von den Themen und Beschlüssen der Sitzung nehmen. Dies würde auch mit der Verschwiegenheitspflicht der Mitglieder korrespondieren (vgl. etwa § 79Abs. 1 BetrVG).

Keine Kenntnis nehmen können

Es soll sichergestellt sein, dass die Dritten keine Kenntnis nehmen „können“. Ausreichend ist nach dem Wortlaut daher nicht, dass sie keine Kenntnis nehmen „dürfen“, etwa durch vertragliche Regelungen. Der Gesetzgeber scheint hier tatsächlich stark auf die technisch-organisatorisch Ebene zu schielen. Es soll also durch entsprechend umzusetzende Maßnahmen die Gewähr dafür geboten werden, dass die Kenntnisnahme nicht möglich ist. Interessant ist auch, dass der Gesetzgeber kein Verhältnismäßigkeitskriterium bei der Maßnahmenumsetzung einzieht. Etwa: nach dem „Stand der Technik“ oder der Kosten der Umsetzung.

Technische Maßnahmen, wie z.B. eine Verschlüsselung

Die Begründung zu § 129 Abs. 1 BetrVG trennt, wie etwa auch die DSGVO, zwischen technischen und organisatorischen Maßnahmen. Meines Erachtens kann man sicher daher, bei der konkreten Umsetzung, durchaus an bekannten Kriterien und Praxisbeispielen aus Art. 32 DSGVO orientieren.

Das Gesetz nennt ausdrücklich die Verschlüsselung. Jedoch nur beispielhaft, als eine mögliche Maßnahme („wie zum Beispiel“). Daher ist der Einsatz eines Anbieters, der nicht verschlüsselt oder nur zum Teil verschlüsselt, nicht ausgeschlossen. Es müssen dann eben alternativ adäquate Maßnahmen gefunden werden.

Interessant ist auch, dass die Begründung nicht näher erläutert, welche Art von Verschlüsselung gemeint ist. Es ist also nicht vorgegeben, ob etwa eine Transportverschlüsselung mindestens umzusetzen wäre. Jedoch gilt es hierbei zu beachten, dass bei einer Verarbeitung von personenbezogenen Daten daneben natürlich die Vorgaben der DSGVO zu beachten sind. Eine Transportverschlüsselung der Daten darf man nach Art. 32 DSGVO wohl als den Stand der Technik erwarten.

Organisatorische Maßnahmen

Daneben erwähnt die Gesetzesbegründung auch organisatorische Maßnahmen. Hierfür wird als Beispiel die Nutzung eines nichtöffentlichen Raumes während der Dauer der Sitzung genannt. Als weiteres Beispiel wird die Abgabe der Zusicherung aller Teilnehmer erwähnt, dass nur teilnahmeberechtigte Personen in dem von ihnen genutzten Raum anwesend sind.

Nach der Begründung sollen sowohl technische als auch organisatorische Maßnahmen umgesetzt werden („Dies umfasst technische Maßnahmen … und organisatorische Maßnahmen …“). Die Aufzählung erfolgt nicht alternativ („oder“). Daher darf man davon ausgehen, dass auf beiden Ebenen entsprechende Maßnahmen umzusetzen sind, um die Anforderung des § 129 Abs. 1 BetrVG zu erfüllen.

Keine Aufzeichnung

Zuletzt ist, im Geiste des Privacy by Default, zu beachten, dass nach § 129 Abs. 1 BetrVG eine Aufzeichnung der Sitzung unzulässig ist. Dies soll nach der Begründung Persönlichkeitsschutz der Teilnehmer und der Wahrung der Nichtöffentlichkeit der Betriebsratssitzung dienen.

Rein praktisch ist also bei dem Einsatz eines entsprechenden Anbieters darauf zu achten, dass die Videokonferenz nicht aufgezeichnet wird (bzw. werden kann). Gelichzeitig ist aber mE nicht ausgeschlossen, einen Dienst zu nutzen, der per se die Aufzeichnung ermöglicht. Es muss aber sichergestellt sind, dass eine solche nicht erfolgt.

Daneben: DSGVO

Natürlich müssen neben den speziellen neuen Anforderungen in § 129 BetrVG auch weiterhin die Vorgaben des Datenschutzrecht beachtet werden. Denn im Rahmen der Sitzungen werden personenbezogene Daten der Teilnehmer verarbeitet. Zu beachten ist hierbei insbesondere:

  • Informationen der Betroffenen zur Datenverarbeitung (Art. 12, 13 DSGVO)
  • Aufnahme des Tools als Verfahren in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Abschluss erforderlicher Verträge mit dem Anbieter (Art. 28 DSGVO)
  • Bei einer Übermittlung in Länder außerhalb der EU: Erfüllen der Vorgaben der Art. 44 ff. DSGVO (z.B. EU-Standardvertragsklauseln).

Zudem bietet diese Neuerung auch wieder Potential für eine Diskussion darüber, wer im Rahmen der Durchführung von Videokonferenzen bei Betriebsratssitzungen eigentlich der datenschutzrechtlich Verantwortliche ist: der Arbeitgeber oder der Betriebsrat? (siehe etwa hier).

Fazit

Die in § 129 Abs. 1 BetrVG neu geschaffenen Anforderungen zum Einsatz von Anwendungen für Video- und Telefonkonferenz dürften aus datenschutzrechtlicher Brille betrachtet nicht wirklich überraschen. In der Norm selbst sind die erforderlichen Maßnahmen jedoch nur vage geregelt. Praktisch empfiehlt es sich, die Erfüllung der Anforderungen intern sowohl über entsprechende Vorgaben bzw. Leitlinien sicherzustellen, in denen der korrekte und DSGVO- als auch BetrVG-konforme Umgang mit der jeweiligen Software erläutert und vorgegeben wird. Auf technischer Ebene ist für eine Validierung der Sicherheit der Verbindung zu sorgen.

AG Mannheim: Gemeinsame Verantwortlichkeit von Wohnungseigentümern und Verwalter – Anforderungen an die Art. 26-Vereinbarung

Auf europäischer Ebene nimmt die Figur der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) durch die Rechtsprechung des Europäischen Gerichtshofs aktuell eine wichtige Rolle ein. Nationale Gerichtsentscheidungen hierzu sind jedoch noch Mangelware. Umso interessanter ist daher ein neues Urteil des Amtsgerichts Mannheim (Urt. v. 11.09.2019 – 5 C 1733/19 WEG).

Das AG geht in seinem recht ausführlichen Urteil sowohl auf die Einordnung von an einer Datenverarbeitung beteiligten Parteien ein, als auch auf die Inhalte der Vereinbarung nach Art. 26 DGSVO.

Sachverhalt

Dem Klageverfahren lag ein Streit zwischen Wohnungseigentümern über Beschlüsse der Wohnungseigentümergemeinschaft (WEG) zugrunde, die sich inhaltlich mit der Umsetzung der DSGVO in der WEG befassten. Die Parteien streiten um die Gültigkeit verschiedener Beschlüsse zur Umsetzung der DSGVO aus einer Eigentümerversammlung.

Die WEG wird von einer Immobilienverwaltung (Beigeladene in dem Verfahren) verwaltet. In einer Eigentümerversammlung haben die Eigentümer verschiedene Beschlüsse zur Umsetzung der DGSVO gefasst. U.a. heißt es im Vorwort eines Beschlusses: „Verantwortlicher für alle datenschutzrechtlichen Belange der WEG im Sinne der Datenschutzgrundverordnung ist die Wohnungseigentümergemeinschaft“. Und in einem anderen: „Die Weitergabe von personenbezogenen Informationen durch die Wohnungseigentümergemeinschaft an Dritte (Verwalter, Abrechnungsunternehmen, Handwerker usw.) zum Zwecke der auftragsgemäßen Verarbeitung darf nach Art. 28 DSGVO nur auf der Grundlage Auftragsverarbeitungsvertrages erfolgen.

Die Kläger ordnen die datenschutzrechtlichen Verantwortlichkeiten anders als in den Beschlüssen dargestellt ein. Nur der beauftragte Verwalter erhebe und verwalte im Rahmen seines Verwaltervertrages personenbezogene Daten und sei daher für die Datenverarbeitung innerhalb seines Geschäftsbetriebes (Allein-)Verantwortlicher.

Die Beklagten sind der Ansicht, dass der Verwalter für die Verarbeitung von Daten der Wohnungseigentümergemeinschaft Auftragsverarbeiter, bzw. allenfalls nur gemeinsam mit der Wohnungseigentümergemeinschaft verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO sei, je nach Einordnung der datenschutzrechtlichen Stellung eines Wohnungseigentumsverwalters.

Im Grunde geht es vorliegend also um die Einordnung der datenschutzrechtlichen Verantwortlichkeiten.

Entscheidung

Das AG wies die Klage als unbegründet ab.

Nach Ansicht des Gerichts richtet sich die datenschutzrechtliche Vereinbarung wie streitgegenständlich, nach Maßgabe der DSGVO nach Art. 26 DSGVO,

denn zur Überzeugung des Gerichts ist der Verwalter Mitverantwortlicher im Sinne des Art. 26 DSGVO“.

Das AG leitet seine Begründung zunächst aus den Definitionen der DSGVO und der Rechtsprechung des EuGH her.

Gemeinsame Verantwortlichkeit

Zurecht weist das AG darauf hin, dass es für die Bestimmung der Verantwortlichkeit allein maßgeblich ist, wer die Entscheidungskompetenz innehat, über den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu entscheiden.

Leider wird das AG danach in seiner Begründung, wo genau die gemeinsame Verantwortlichkeit liegt, meines Erachtens etwas ungenau. Zuletzt hatte ja der EuGH in FashionID (C-40/17) deutlich gemacht, dass eine gemeinsame Verantwortlichkeit anhand einzelner Verarbeitungsphasen zu bestimmen ist (dort: Erhebung und Übermittlung). Eine gemeinsame Verantwortlichkeit für einen Geschäftsvorgang oö, kann es sicher geben. Jedoch wäre auch dies anhand der innerhalb dieses Vorgangs stattfindenden Verarbeitungsphasen zu bestimmen.

Das AG setzt sich vorliegend jedoch nicht mit einzelnen Verarbeitungsphasen und den Einflussmöglichkeiten der Beteiligten hierauf auseinander.

Nach Ansicht des AG entscheidet die WEG mit der Bestellung eines Verwalters über das „Wie“ und „Warum“ der Datenverarbeitung. Der Verwalter bestimme dann in der Folge über das „Wie“ und das „Warum“ der Erhebung und Verarbeitung. Im Rahmen der WEG-Verwaltung erhebe und verarbeite er sodann Daten der WEG, wie etwa Namen und Anschriften der Eigentümer, im Rahmen der Verbrauchserfassung und Abrechnung eventuell auch Daten von Mieter und Nutzer von Wohnraum, Daten von Dienstleistern der WEG wie beispielsweise Handwerker.

Für die Verwaltung des gemeinschaftlichen Eigentums sind, wenn ein Verwalter bestellt ist, die Wohnungseigentümer sowie die Verwaltung oder ein Verwaltungsbeirat verantwortlich, sodass zumindest eine Alleinverantwortlichkeit des Verwalters, auch im Lichter europäischen Rechtsprechung … nicht besteht“.

Dass nach Außen nur der Verwalter agiert, ändert an der Einschätzung des AG zur gemeinsamen Verantwortlichkeit nichts. Das AG verweist hierzu ebenfalls auf die Rechtsprechung des EuGH und den Schutz der Betroffenenrechte:

Die Betroffenen sollen im Außenverhältnis gegenüber allen einen Anspruch haben, die für Datenerhebung und Verarbeitung personenbezogener Daten verantwortlich sind, wenn ihr Handeln über das eines Auftragsverarbeiters, also ihr Handeln über eine bloße Hilfsfunktion bei der Erhebung und Verarbeitung personenbezogener Daten hinausgeht“.

Nach Ansicht des AG geht die Tätigkeit des Verwalters über diese Hilfsfunktionen hinaus, wenn im Rahmen der laufenden Verwaltung für die WEG personenbezogene Daten der WEG verwaltet werden. Da die Wohnungseigentümergemeinschaft die Datenerhebung veranlasst habe, durch Bestellung des WEG-Verwalters, sei deshalb – zum Schutze der Betroffenen – auch nach der weiten Auslegung des EuGH – von einer Mitverantwortlichkeit des Verwalters i.S.d. Art. 26 DSGVO auszugehen.

Abgrenzung zur Auftragsverarbeitung

Danach geht das AG kurz auf die Abgrenzung zur Auftragsverarbeitung ein. Es sei sachfremd und in der Praxis kaum vorstellbar, dass der Verwalter im Rahmen seiner Pflichten gem. § 27 WEG sowie den vertraglich festgelegten Pflichten des Verwalters für jede Maßnahme die Weisung seines Auftragsgebers einholt. Nach Ansicht des AG darf es sich bei der Auftragsverarbeitung nur um eine datenverarbeitende Hilfsfunktion handeln. Das bedeute, dass keine Leistungen erbracht werden dürfen, die über die bloße Datenverarbeitung hinausgehen.

Das AG fokussiert sich bei der Definition des Begriff der Auftragsverarbeitung also sehr stark auf den Inhalt der beauftragten Leistung. Eine ähnliche Sichtweise nimmt auch das BayLDA in seiner Auslegungshilfe zur Auftragsverarbeitung ein (pdf).

Die Leistungen, welche der Verwalter im Rahmen seiner Verwalterbestellung erbringe, gehen nach Ansicht des AG regelmäßig hinaus über die bloße Datenverarbeitung im Rahmen einer datenverarbeitenden Hilfsfunktion.

Rechtfolge der gemeinsamen Verantwortlichkeit

Nach der Feststellung des Vorliegens einer gemeinsamen Verantwortlichkeit, befasst sich das AG mit der abzuschließenden Vereinbarung.

Begrüßenswert ist, dass das AG damit seine Sichtweise deutlich macht, dass die Vereinbarung nicht Voraussetzung der gemeinsamen Verantwortlichkeit ist, sondern die Folge ihres Vorliegens.

Beide Verantwortliche müssen in einer transparenten Vereinbarung festlegen, wer von ihnen in welchem Maß den Pflichtenkreis der DSGVO zum Schutz der Betroffenen abdeckt. Dabei geht das AG zurecht davon aus, dass für die Vereinbarung keine bestimmte Form vorgesehen ist.

Jedoch verdeutlicht das AG, dass entsprechend Art. 5 Abs. 2 DSGVO der Nachweis bzgl. des Vorliegens einer der Vereinbarung sowie der vereinbarten Inhalte geführt werden können muss.

Inhalt der Vereinbarung

Nach Auffassung des AG macht eine Mitverantwortlichkeit des Verwalters ein Regelwerk zwischen der WEG und dem Verwalter nach den gesetzlichen Bestimmungen der DSGVO erforderlich.

Dabei muss Regelungsinhalt sein, wer von beiden welche Verpflichtungen gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt“.

Interessant ist zudem der Hinweis des AG, dass die Vereinbarung auch Vorgaben zur Haftung zwischen den Beteiligten im Innenverhältnis enthalten sollte. Dies begründet das AG mit Verweis auf die Bußgeldandrohungen nach Art. 83 DSGVO.

Im Interesse des Verwalters und der WEG müssen daher auch haftungsrechtliche Fragen im Innenverhältnis zwischen WEG und dem Verwalter geklärt werden, denn im Außenverhältnis haften alle Mitverantwortlichen den betroffenen Personen zu gleichen Teilen nach Art. 26 DSGVO“.

Leider lässt das AG den letzten Punkt, die Haftung nach außen zu gleichen Teilen, ohne nähere Begründung. Hier wäre interessant gewesen, woraus da Gericht diese ableitet und warum die Haftung immer zu gleichen Teilen erfolgen soll.

Idee: in einem Vertrag zur Auftragsverarbeitung

Zudem geht das AG noch auf ein interessantes Thema ein.

Nach Ansicht des Gerichts ist es

unschädlich und den gemeinsamen Verantwortlichen auch nicht verwehrt, eine solche Vereinbarung, wie sie Art. 26 DSGVO verlangt, auch im Rahmen eines „Auftragsverarbeitungsvertrags“, der darüber hinaus auch die Anfordernisse des Art. 28 DSGVO erfüllt, auszugestalten“.

Das AG geht also davon aus, dass die Vereinbarung nach Art. 26 DSGVO gleichzeitig auch einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO enthalten kann.

Inhalt einer Vereinbarung nach Art. 26 DSGVO kann es jedenfalls durchaus sein, eine Vereinbarung mit identischem Inhalt wie in Art. 28 DSGVO für den Auftragsbearbeitungsvertrag vorgesehen, zu treffen“.

Dies verwundert insofern, als das AG weiter oben eigentlich von einer gemeinsamen Verantwortlichkeit ausgeht und ein Auftragsverarbeitungsverhältnis gerade ablehnt.

Sondervergütung für DSGVO-relevante Tätigkeiten des Verwalters

Zuletzt befasst sich das AG noch mit der Frage, ob der Verwalter für die (neuen) Pflichten als gemeinsam Verantwortlicher zusätzlich eine Vergütung verlangen darf. Das AG sieht hierein keine Probleme.

„…verlangt die Datenschutzgrundverordnung, in Ansehung dessen, dass der Verwalter als Mitverantwortlicher i.S.v. Art. 26 DSGVO anzusehen ist, von den Immobilienverwaltungen zusätzlichen Aufwand, der mit dem Grundhonorar so wie im Verwaltervertrag festgelegt, nicht abgedeckt ist“.

Die Höhe der Vergütung sieht das AG als angemessen an. Sie wurde hier als Pauschale beschlossen. Der Verwalter verlangt einen Betrag in Höhe von 214 EUR bzw. 178,50 EUR brutto jährlich, d.h. pro Einheit einen Betrag in Höhe von 16,22 EUR jährlich. Nach Einschätzung des AG ist dies angemessen.

Es ist mitunter auch gerichtsbekannt, dass allein datenschutzrechtliche Beratung auf der Basis eines Stundensatzes von bis zu 500,00 € netto von ausgewiesenen Fachleuten erfolgt“.

Fazit

Das Urteil des AG ist deshalb so interessant, weil es (so scheint es) das erste Urteil in Deutschland ist, welches sich detailliert mit den Vorgaben nach Art. 26 DSGVO und deren Umsetzung auseinandersetzt. Meines Erachtens ist die Begründung des AG nicht an jeder Stelle voll überzeugend. Dennoch liegt hiermit zumindest einmal Rechtsprechung in diesem gerichtlich noch kaum „beackerten“ Bereich vor.

Recht auf Vergessen – wie geht es weiter?

Nach dem Google-Urteil des EuGH vom 13.5.2014 (Az. C-131/12) und der anschließenden, in der Öffentlichkeit teilweise kritisierten Umsetzung durch Google, stellte sich für europäische Datenschutzbehörden die Frage, wie man mit der Entscheidung und Beschwerden von Betroffenen umgeht, die dieses Recht ausüben möchten. Doch auch der Rat der Europäischen Union hat sich, vor dem Hintergrund der möglichen Auswirkungen des Urteils auf die andauernden Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO), mit dem Thema befasst.

Treffen mit den Datenschutzbehörden
Am gestrigen Donnerstag trafen sich Vertreter von verschiedenen europäischen Datenschutzbehörden mit Anbietern von Internetsuchmaschinen in Brüssel. Wie die Artikel 29 Datenschutzgruppe (der Zusammenschluss der europäischen Aufsichtsbehörden) zuvor in einer Pressemitteilung bekannt gab (PDF), war dieses Treffen ein Teil der Initiative der Datenschützer, bis zum Herbst diesen Jahres gemeinsame Richtlinien für Datenschutzbehörden zu entwerfen, wie diese mit Beschwerden umgehen sollen, die im Anschluss an einen abgelehnten Löschantrag bei ihnen eingehen. Eine offizielle Mitteilung zu den Ergebnissen des Treffens liegt noch nicht vor. Jedoch berichtet Reuters, unter Berufung auf einen nicht genannten Teilnehmer, einige Details:

  • So haben die Datenschützer Google insbesondere dazu befragt, warum Einträge in Ergebnislisten nur auf den europäischen Angeboten gelöscht (bzw. gesperrt) werden, jedoch nicht unter der .com-Adresse. Aus Sicht der Datenschützer greife diese Umsetzung des Urteils zu kurz.
  • Bis zum Ende des Monats sollen die Suchmaschinenbetreiber weitere Informationen zur Umsetzung des Urteils bereitstellen. Diese würden in den Prozess der Entwicklung von Richtlinien für Datenschutzbehörden einfließen. Ein erster Entwurf solcher Richtlinien für Aufsichtsbehörden könnte bis Mitte September fertig gestellt sein.

Auch Bloomberg berichtet zu dem Treffen und einigen statistischen Informationen. Danach habe Google bisher mehr als 91.000 Löschanfragen erhalten, die sich auf 328.000 Internetadressen beziehen. Unter Berufung auf einen ebenfalls nicht genannten Teilnehmer des Treffens wird weiter berichtet, dass Google 30% der Anträge zurückweise und in 15% der Fälle zusätzliche Informationen zu dem Sachverhalt anfordere.

Auswirkungen auf die Datenschutz-Grundverordnung
Doch nicht nur die Datenschützer treibt die Umsetzung des Google-Urteils um. Auch in der Arbeitsgruppe Dapix des Rates der Europäischen Union, in der die DS-GVO verhandelt wird, hat man sich die Entscheidung des EuGH näher angesehen. In einem nun veröffentlichten Dokument (PDF) der Präsidentschaft an die Delegationen wird das Urteil näher erläutert und seine möglichen Folgen für die Verhandlungen analysiert. Nachfolgend einige der in dem Papier angesprochenen Themen:

Der EuGH hatte festgestellt, dass der Löschanspruch dann geltend gemacht werden kann, wenn die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich ist. Dies insbesondere dann, wenn die verarbeiteten Daten den ursprünglichen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Die Präsidentschaft ist sich jedoch nicht sicher, ob der derzeitige Wortlaut (es geht dabei um Art. 17 DS-GVO in der Fassung des Textes im Rat nach der griechischen Ratspräsidentschaft, abrufbar hier, PDF) deutlich genug zum Ausdruck bringt, dass bei der Frage, ob die Daten den ursprünglichen Zwecken nicht mehr entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, nicht auf den Betreiber der Originalwebseite, sondern auf den Betreiber der Suchmaschine abzustellen ist. Dies betrifft insbesondere auch die Frage des berechtigten Interessen bei einer vorzunehmenden Abwägung im Rahmen der Prüfung eines Erlaubnistatbestandes für die Verarbeitung.

Zudem stelle sich die Frage nach dem Verhältnis von Meinungsfreiheit und dem Recht auf Schutz personenbezogener Daten. Der EuGH hatte entschieden, dass sich allein der Betreiber der Originalwebseite auf die (sowohl in der derzeit geltenden Datenschutz-Richtlinie als auch in der DS-GVO vorgesehene) Ausnahme für die Verarbeitung von Daten zu ausschließlich journalistischen Zwecken berufen könne. Die Präsidentschaft stellt hierzu die Frage in den Raum, ob dies nicht auch für die nachfolgenden Datenverarbeiter (wie z.B. den Suchmaschinenbetreiber) gelten solle. Zu beachten ist hierbei, dass Fragen des Rechts auf freie Meinungsäußerung (aus kompetenzrechtlichen Gründen) nicht detailliert innerhalb der DS-GVO geregelt werden können.

Eine weiterer offener Punkt sei, ob es bei der Ausübung des Löschanspruchs eine gesetzlich festgelegte Reihenfolge geben soll, die der Betroffene zu beachten habe. Dass er sich also zunächst immer an den Betreiber der Originalwebseite wenden müsse und nur dann an den nachfolgenden Verarbeiter herantreten könne, wenn der Betreiber der Originalwebseite nicht mehr existiere oder nicht dem EU-Recht unterfalle. Dieser Vorschlag sei in der Vergangenheit von einigen Delegationen im Rat vorgebracht worden. Jedoch gibt die Präsidentschaft zu bedenken, dass ein solches System vom EuGH als nicht ausreichend erachtet wurde, um den Rechten des Betroffenen ausreichend Geltung zu verschaffen.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für App-Entwickler und App-Anbieter

Die deutschen Datenschutzbehörden für den nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben eine „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“ (PDF) im Internet veröffentlicht. Damit möchten die Aufsichtsbehörden auf datenschutzrechtliche und technische Anforderungen bei der Entwicklung und dem Einsatz von mobilen Applikationen hinweisen und den Verantwortlichen auch gleichzeitig einen Leitfaden an die Hand geben. Das immerhin 33 Seiten starke Dokument dürfte sich als durchaus nützliches Nachschlagewerk darstellen, vor allem vor dem Hintergrund, dass man so eine ungefähre Vorstellung davon erhält, welche Ansichten die Aufsichtsbehörden in Bezug auf bestimmte rechtliche Probleme vertreten. Nachfolgend möchte ich auf ein paar Einzelheiten des Dokuments eingehen.

Allgemein
Die Orientierungshilfe bezieht sich allein auf (Online-) Apps fu?r Smartphones und Tablets und nicht etwa auf offline nutzbare Apps oder solche, die Teil des Betriebssystems eines Mobiltelefons sind. Die Datenschützer trennen in ihrer Analyse grundsätzlich zwischen zwei Zielgruppen: App-Entwicklern und App-Anbietern. Jedoch können diese Eigenschaften auch zusammenfallen.

Rechtlicher Anwendungsbereich (räumlich und sachlich)
Hinsichtlich der Bestimmung des anwendbaren Datenschutzrechts ist der Sitz der verantwortlichen Stelle bzw. der für die jeweilige Datenverarbeitung „relevanten Niederlassung“ entscheidend. Befindet sich diese in Deutschland, so gilt deutsches Recht. Sitzt ein App-Anbieter außerhalb des EWR und unterhält er auch keine entsprechend Niederlassung innerhalb des EWR, so gilt deutsches Datenschutzrecht, wenn über die App personenbezogene Daten in Deutschland erhoben und verwendet werden.
In Bezug auf den sachlichen Anwendungsbereich stellen die Aufsichtsbehörden klar, dass sowohl IP-Adressen, als auch Geräte- und Kartenkennungen (z. B. IMEI, IMSI oder MAC-Adresse), Standortdaten und auch Audio- und Fotodaten ihrer Ansicht nach grundsätzlich personenbezogene Daten darstellen und damit den gesetzlichen Regelungen zum Datenschutz unterfallen.

Verantwortlichkeiten

Datenschutzrechtlich verantwortlich ist grundsätzlich der App-Anbieter. Dies gilt gerade auch dann, wenn er die App „nur“ anbietet und nicht selbst entwickelt hat. Der App-Anbieter ist daher auch für Nutzer die erste Anlaufstelle (etwa in Bezug auf Ansprüche zur Löschung von Daten oder der Auskunft. Die Verantwortlichkeit bleibt auch bestehen, wenn der Anbieter die Durchführung der Datenverarbeitung an Dienstleister vergibt. Hier liegt dann eine Auftragsdatenverarbeitung vor. Der Anbieter hat dann auf die Erfüllung der Pflichten aus § 11 BDSG zu achten. Als Beispiel führen die Aufsichtsbehörden etwa an, wenn die Reichweitenmessung und Auswertung durch einen Dienstleister. Wenn sich der Dienstleister in einem Drittstaat (also außerhalb des EWR) befindet, dann bestehen zusätzliche Pflichten, da dann nach dem deutschen Datenschutzrecht eine Übermittlung von Daten vorliegt. Jedoch kann sich die Verantwortlichkeit auch verändern, etwa wenn der App-Entwickler über Weisungen des Anbieters hinausgeht. Dann ist der Entwickler verantwortlich. Als Beispiel führt die Orientierungshilfe die Funktion einer automatisierten Fehlermeldung an, bei der personenbezogene Daten direkt an den Entwickler übersendet werden. Auch der Anbieter eines App-Stores kann datenschutzrechtlich verantwortlich sein, wenn er zusätzliche personenbezogene Daten, z. B. bei der Anmeldung, verarbeitet.

Erlaubnistatbestände
Damit eine Datenverarbeitung rechtmäßig erfolgt, muss sie aufgrund einer Einwilligung oder einer gesetzlichen Vorschrift erlaubt sein. Nach der Orientierungshilfe geht dabei das TMG als bereichsspezifisches Gesetz (vor allem wenn es um Diensteebene geht, also für Bereitstellung des Dienstes) den allgemeinen Bestimmungen des BDSG vor. Im TMG wird zwischen Bestandsdaten (§ 14 TMG) und Nutzungsdaten (§ 15 TMG) unterschieden. § 14 TMG legitimiert eine Verarbeitung, wenn diese zur Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich ist. Die Datenschützer stellen klar, dass es für die Frage, welche personenbezogenen Daten konkret für diese Zwecke erforderlich sind, durch den jeweiligen Nutzungsvertrag bestimmt wird, der zwischen dem Diensteanbieter und dem Nutzer abgeschlossen wird. Nach § 15 TMG ist eine Datenverarbeitung erlaubt, wenn diese erforderlich ist, um die Inanspruchnahme des Dienstes zu ermöglichen. Hierunter fallen nach der Orientierungshilfe personenbezogene Daten, welche notwendigerweise zur Nutzung der App durch den Diensteanbieter erhoben und verwendet werden müssen, wie z.B. die IP-Adresse oder eindeutige Kennnummern oder der Standort. Die Datenverarbeitung von Inhaltsdaten erfolgt jedoch nach dem BDSG.

Profilbildung
Nutzungsprofile dürfen auch bei dem Betrieb von Apps erstellt werden. Die Regelung des § 15 Abs. 3 TMG berechtigt jedoch nur den Diensteanbieter selbst oder seine Auftragnehmer zur Erstellung pseudonymisierter Nutzerprofile zu Werbezwecken. Die Datenschützer stellen klar, dass Dritte hiervon nicht erfasst werden. Zudem müssen Nutzer auf die Möglichkeit zu widersprechen hingewiesen werden. Dies muss nach Ansicht der Aufsichtsbehörden zumindest im Rahmen der Datenschutzerklärung geschehen. Jedoch weisen die Datenschützer auch daraufhin, dass etwa eindeutige Geräte- und Kartenkennungen wie die IMEI-Nummer oder auch die IP-Adresse kein Pseudonym darstellen. Diese Daten dürfen daher auch nicht in das Nutzungsprofil einfließen. Für die Ausübung des Widerspruchrechts sollte eine direkte Opt-Out Möglichkeit (Link, Möglichkeit des Auskreuzens) für den Nutzer vorgehalten werden, welche nach Ansicht der Datenschützer mit möglichst einem Klick aktiviert werden kann. Hierbei genügt es jedoch nicht, die Möglichkeit bereitzuhalten per E-Mail oder postalisch einer Nutzungsprofilerstellung gem. § 15 Abs. 3 TMG zu widersprechen. Interessant ist die Ansicht der Datenschützer, dass wenn ein Nutzer durch besondere Einstellungen auf seinem Endgerät signalisiert, dass er eine Verarbeitung seiner Nutzungsdaten für Werbezwecke nicht wünscht, auch diese Erklärung als Widerspruch zu werten und durch den Diensteanbieter zu beachten ist.

Einwilligung

Zur Einwilligung führt die Orientierungshilfe aus, dass nach § 4a BDSG neben der Freiwilligkeit und Informiertheit der Einwilligung grundsätzlich auch die Schriftform erforderlich sei. Zwar sehe§ 4a Abs. 1 S. 3 BDSG eine Ausnahme vom Schriftformerfordernis vor, wenn wegen besonderer Umstände eine andere Form angemessen ist. Solche besonderen Umstände liegen nach Ansicht der Aufsichtsbehörden jedoch nicht generell dann vor, wenn eine Einwilligung (außerhalb des TMG, denn hier ist eine elektronische Abgabe möglich) bei der Nutzung einer App eingeholt werden soll. Die Datenschützer verneinen die Möglichkeit einer entsprechenden Anwendung des § 13 Abs. 2, 3 TMG auf Einwilligungen außerhalb des TMG. Es bedürfe daher entweder der Schriftform, der elektronischen Form gem. § 126a BGB oder besonderer Umstände, welche zur Angemessenheit einer anderen Form als der Schriftform fuhren.

Weitere Themen
Die Orientierungshilfe geht noch auf viele weitere wichtige Themen im Bereich des Datenschutzrechts ein. So werden etwa Datenschutzgrundsätze wie die Direkterhebung (hier vor allem in Bezug auf die Verarbeitung von Daten Dritter über ein Adressbuch), die Datenvermeidung, die Möglichkeit der anonymen oder pseudonymen Nutzung nach 13 Abs. 6 TMG, die Zweckbindung oder die Erforderlichkeit der Datenverarbeitung (so muss sich etwa die Speicherdauer eines jeden personenbezogenen Datums am Grundsatz der Erforderlichkeit messen lassen) angesprochen. Zudem weisen die Datenschützer daraufhin, dass bereits in der Entwicklungsphase einer App den Prinzipien des „Privacy by Design“ und „Privacy by Default“ Rechnung getragen werden sollte.
Auch das Thema „Impressum“ wird angesprochen, ebenso natürlich wie die Notwendigkeit einer Datenschutzerklärung. Diese muss nach Ansicht der Aufsichtsbehörden App-spezifisch ausgestaltet sein, also genügt eine einfache Verknüpfung mit den Datenschutzhinweisen eines ähnlichen oder alternativen Webangebotes des gleichen Anbieters nicht den Ansprüchen an eine Unterrichtung nach den Vorschriften des TMG.

Auch geht die Orientierungshilfe noch auf die möglichen Konsequenzen aus einer rechtswidrigen Datenverarbeitung ein (Ordnungswidrigkeiten oder sogar Straftaten).

Zuletzt werden noch ein paar Besonderheiten von speziellen Formen von Apps und mobilen Diensten angesprochen, so etwa bei Zahlungen über Apps, der Nutzung der Applikationen durch Kinder und Jugendliche oder auch Apps von öffentlichen Stellen.

Fazit
Die Orientierungshilfe bietet einen guten ersten Überblick über rechtliche Probleme, die bei der Entwicklung und dem Angebot von Apps zu beachten sind. Der Leitfaden kann freilich nicht eine genau Analyse und Anpassung, insbesondere ist hier an die Datenschutzerklärung zu denken, ersetzen. Es ist zu begrüßen, dass die Aufsichtsbehörden hier proaktiv tätig werden und ihre Ansichten zu verschiedenen rechtlichen Fragen auf dem Gebiet der Apps darlegen.

Facebook will Datenschutzrichtlinie und Nutzungsbedingungen ändern

In einem offiziellen Beitrag vom 29. August 2013 auf Facebook stellt Erin Egan, die Leiterin der Datenschutzrechtsabteilung bei dem sozialen Netzwerk, mehrere geplante Änderungen des Unternehmens sowohl in Bezug auf seine Datenverwendungsrichtlinie, als auch die Nutzungsbedingungen (sog. Erklärung der Rechte und Pflichten) vor.

Änderung der Nutzungsbedingungen
Die wohl wichtigste Änderung im Rahmen der neuen Nutzungsbedingungen dürfte der Umfang der Verwendung von Nutzerinformationen für Werbeanzeigen darstellen.
Continue reading

Datenschutz-Grundverordnung: Privatpersonen als Verantwortliche?

Die „household exemption“

Am 27.02.2013 veröffentlichte die Art. 29 Datenschutzgruppe eine (weitere) Stellungnahme zu den derzeitigen Diskussionen um die geplante Datenschutz-Grundverordnung (KOM(2012) 11 endg.). In Anhang 2 zu dieser Stellungnahme geht es um die Frage, wie in Zukunft Privatpersonen zu behandeln sind, die personenbezogene Daten verarbeiten? Die Lektüre lohnt sich.

Das Datenschutzgremium stellt richtigerweise fest, dass die derzeit geltende privilegierende Ausnahme zur Verarbeitung personenbezogener Daten durch natürliche Personen für private und familiäre Zwecke (Art. 3 Abs. 2 RL 95/46/EG) nicht mehr zeitgemäß und zu ungenau sei. Jedem Nutzer ist es heutzutage möglich im großen Umfang personenbezogene Daten, etwa in einem Blog, zu veröffentlichen und zum Abruf bereit zu halten. Doch wie ist zu verfahren, wenn er diesen Blog für private Zwecke und als Hobby betreibt? Soll dann trotzdem keine Handhabe für die Datenschutzbehörden bestehen, da für ihn die sog. „household exemption“ gilt?
Continue reading