Klage gegen das EU US Privacy Shield gescheitert: Digital Rights Ireland verliert vor dem Europäischen Gerichtshof

Verschnaufpause für Datentransfers an Unternehmen in die USA. Digital Rights Ireland, eine Gesellschaft aus Irland, die sich mit der Förderung und dem Schutz der Bürger- und Menschenrechte, insbesondere in der Welt der modernen Kommunikationstechnologien, befasst, ist mit ihrer Nichtigkeitsklage (Art. 263 AEUV) vor dem Gerichtshof der Europäischen Union (hier das „Gericht“) in der Rechtssache T-670/16 gegen den Beschluss der EU Kommission zum EU US Privacy Shield gescheitert. Das Gericht entschied am 22.11.2017 per Beschluss, dass die Klage unzulässig ist, da es der Klägerin an der Klagebefugnis mangelt.

Bereits in meinem ersten Beitrag zu der Klage (hier im Blog), habe ich Zweifel an der Zulässigkeit der Klage geäußert.

Im Fall der hier eingelegten Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV ist im Rahmen der Zulässigkeit, konkret bei der Klagebefugnis, zu berücksichtigen, dass zwar natürliche oder juristische Person eine solche Klage erheben können. Jedoch nur dann, wenn es sich um an sie gerichteten oder sie unmittelbar und individuell betreffenden Handlungen sowie gegen Rechtsakte mit Verordnungscharakter, die sie unmittelbar betreffen und keine Durchführungsmaßnahmen nach sich ziehen, handelt. Die 1. Alternative schallt im Fall der Angemessenheitsentscheidung der Europäischen Kommission aus. Denn der Beschluss ist nicht an natürliche oder juristische Person in den Mitgliedstaaten gerichtet, sondern an die Mitgliedstaaten selbst (vgl. Art. 6 des Beschlusses). Digital Rights Ireland Ltd wird also vor allem darlegen müssen, dass sich bei dem Beschluss um eine sie „unmittelbar und individuell betreffende Handlung“ der Europäischen Kommission handelt.

Zum einen weist das Gericht hier nun darauf hin, dass die noch geltende Datenschutz-Richtlinie 95/46/EG nur die personenbezogenen Daten natürlicher Personen erfasst; nicht jedoch Daten von juristischen Personen, wie hier Digital Rights Ireland. Die Klägerin kann daher schon keine Rechtsverletzung geltend machen.

Zum anderen schränke der Beschluss der EU Kommission zum EU US Privacy Shield nicht die Rechte der Klägerin als juristische Person und datenschutzrechtlich verantwortliche Stelle ein. Das Privacy Shield verpflichtet vielmehr amerikanische Unternehmen, an die Daten übermittelt werden sollen. Europäische datenverarbeitende Stellen erhalten vielmehr die Befugnis, auf der Grundlage des EU US Privacy Shield Daten an diese Unternehmen zu versenden.

Soweit es die Rechte der Unterstützter der Klägerin betrifft, weist das Gericht darauf hin, dass Art. 263 AEUV und das EU Recht keine Möglichkeit für Klagen im Namen des öffentlichen Interesses vorsieht.

Zuletzt berief sich Digital Rights Ireland unverständlicherweise auf die erst ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung und den Art. 80 DSGVO. Dieser sieht die Möglichkeit für Mitgliedstaaten vor, eine Verbandsklagebefugnis zu schaffen. Das Gericht macht es hier kurz: die DSGVO ist noch nicht anwendbar.

Der Beschluss des Gerichts kommt nicht völlig überraschend. Zu beachten ist, dass eine ähnliche Klage im Verfahren T-738/16 anhängig ist. Auch dort klagen Vereinigungen und nicht einzelne Personen. Daher dürfte auch dort die Frage der Unzulässigkeit aufkommen.

Das EU US Privacy Shield wird also zunächst einmal weiter Bestand haben.

Landesarbeitsgericht: Weitergabe von Entgeltlisten an den Betriebsrat auch unter der DSGVO zulässig

Das Landesarbeitsgericht (LAG) Hamm hat in einer Entscheidung (Beschl. v. 19.9.2017 – 7 TaBV 43/17) zum Einsichtsrecht des Betriebsrates in Bruttoentgeltlisten in einem Nebensatz auch Feststellungen zur Zulässigkeit der Weitergabe personenbezogener Daten vom Arbeitsgeber an den Betriebsrat gemacht.

In dem Fall stritt der Betriebsrat in einem Klinikum mit der Arbeitgeberin über den Umfang des Einsichtsrechts in Bruttoentgeltlisten. Die Arbeitgeberin stellte nur anonymisierte Listen zur Verfügung, da der Betriebsrat ihrer Ansicht nach für die Wahrnehmung seiner Aufgaben nicht die Angabe der Namen der Beschäftigten benötigte. Maßgeblich ging es um die Vorschrift des § 80 Abs. 2 S. 2 2. HS BetrVG. Dieser lautet:

Dem Betriebsrat sind auf Verlangen jederzeit die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen; in diesem Rahmen ist der Betriebsausschuss oder ein nach § 28 gebildeter Ausschuss berechtigt, in die Listen über die Bruttolöhne und -gehälter Einblick zu nehmen.

Das LAG stellte, nach Ausführungen zur Reichweite und dem Inhalt des § 80 Abs. 2 S. 2 2. HS BetrVG fest, dass dem Anspruch des Betriebsrates zur Einsichtnahme durch den Betriebsausschuss gemäß § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG auch datenschutzrechtliche Belange nicht entgegenstünden. Das LAG verwies dazu auf die Entscheidung des Bundesarbeitsgerichts vom 14.01.2014 (1 ABR 54/12),

wonach es sich bei dem Einsichtsrecht in die Bruttogehaltslisten um eine nach § 32 Abs. 1 BDSG zulässige Form der Datennutzung handelt.

Dort entscheid das BAG, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten nach § 32 Abs. 3 BDSG durch die nach § 32 Abs. 1 BDSG erlaubte Datennutzung nicht berührt werden. Das BAG bezieht sich hier auf die Datennutzung innerhalb einer verantwortlichen Stelle (dem Arbeitgeber). Nach der Respr. des BAG und der hM in der Literatur ist der Betriebsrat nämlich Teil der verantwortlichen Stelle und vor allem nicht Dritter. Das BAG:

Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar.

Sehrwohl stellt die Weitergabe aber eine Nutzung von personenbezogenen Daten dar. Ob diese Auffassung zur Einordnung des Betriebsrates auch unter Geltung der Datenschutz-Grundverordnung (DSGVO) ab dem 25.5.2018 so beibehalten werden kann, wird derzeit diskutiert. Zum Teil wird davon ausgegangen, dass der Betriebsrat als eigener Verantwortlicher anzusehen ist und daher auch selbst rechtlichen Pflichten der DSGVO nachkommen muss (Gola, in: Gola, DS-GVO, 2017, Art. 4 Rn. 55; Selk, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 88 Rn. 166 ff.). Im neuen § 26 Abs. 1 BDSG 2018 sieht der deutsche Gesetzgeber ausdrücklich vor, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Bislang fehlte eine ausdrückliche Regelung für die Frage der Zulässigkeit der Übermittlung von Daten an die Interessenvertretung der Beschäftigten. Der Verantwortliche darf in Zukunft auf der Grundlage von § 26 Abs. 1 S. 1 BDSG 2018 Daten an Betriebs- oder Personalräte weitergeben, soweit dies gesetzlich vorgesehen und erforderlich ist (Piltz, BDSG, 2018, § 26 Rn. 49 ff.). Meines Erachtens spricht diese Regelung klar dafür, dass der Gesetzgeber den Betriebsrat selbst als Verantwortlichen ansieht.

Im vorliegenden Beschluss bezog sich das LAG auch noch direkt auf die DSGVO. Das LAG geht davon aus, dass sich bei der Frage der Zulässigkeit der Weitergabe der Daten an den Betriebsrat

auch aus den Erwägungen und dem Wortlaut zur Datenschutzgrundverordnung…keine abweichende Beurteilung ergeben kann, da Art. 6 DSGVO insofern beschreibt, dass eine Datenverarbeitung rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Datenverarbeitung Verantwortliche unterliegt. Dies ist der Fall, wie oben ausgeführt.

Zu beachten, dass das LAG hier leider etwas vage bleibt, welche Verarbeitungsphase denn konkret gemeint ist. Da es sich jedoch auf eine rechtliche Pflicht (und damit Art. 6 Abs. 1 lit. c) DSGVO) bezieht, dürfte es die Phase der Bereitstellung und Weitergabe der Arbeitgeberin avisiert haben. Denn diese ist nach § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG rechtlich verpflichtet. Der Betriebsrat selbst hat ein Recht auf Einsicht. Auf den Umgang mit den Daten durch den Betriebsrat selbst scheint sich das LAG hier nicht zu beziehen.

Ist die Datenschutz-Grundverordnung doch schon anwendbar? Zwei Gerichte sagen: ja.

Liest man sich den Art. 99 Abs. 2 DSGVO durch, ist eigentlich dem ersten Anschein nach klar, dass der Gesetzgeber den datenverarbeitenden Stellen (mögen diese nun öffentliche oder nichtöffentliche Stellen sein) und auch den nationalen Gesetzgebern eine Frist von 2 Jahren einräumen wollte, um den Anforderungen der DSGVO gerecht zu werden.

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Sie gilt ab dem 25. Mai 2018.

Die DSGVO und ihre Vorgaben sind also erst ab dem 25.5.2018 anwendbar. Im Sommer diesen Jahres hob genau aus diesem Grund das Verwaltungsgericht Karlsruhe eine Verfügung der Datenschutzbehörde in Baden-Württemberg auf (hierzu mein Blogbeitrag). Das Verwaltungsgericht (VG) Karlsruhe entschied (Urt. v. 6.7.2017 – 10 K 7698/16), dass die DSGVO

erst ab 25.5.2018 Gültigkeit beanspruchen wird.

Doch zwei weitere Entscheidungen von deutschen Gerichten machen nun stutzig. Sowohl das VG Wiesbaden (Beschluss v. 21.9.2017 – 6 L 3805/17.WI.A) als auch das Finanzgericht (FG) Düsseldorf (Beschluss v. 9.8.2017 – 4 K 1404/17) gehen davon aus, dass die DSGVO bereits jetzt durch deutsche Behörden anzuwenden und zu beachten ist. In beiden Fällen gehen die Gerichte ausdrücklich von Datenschutzverstößen von Behörden gegen die Vorgaben der DSGVO aus.

Das VG Wiesbaden entschied, dass das Bundesamt für Migration und Flüchtlinge (BAMF) unzulässigerweise eine Markierung zu einer Person zum Zwecke eines Asylbescheides nutzte. Die Datenmarkierung ist ein technischer Vorgang zur Sicherung der Datenqualität. Die Markierung ist aber kein Datum, welches zu speichern und zu übermitteln ist. Das VG stellt hier auf einen Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO ab. Die Nutzung der Markierung durch das BAMF bedürfte gemäß Art. 6 Abs. 3 lit. a) DSGVO einer Rechtsgrundlage, die die Zwecke, für die die personenbezogenen Daten verarbeitet werden dürfen, festlegt. Eine solche existiere nicht.

Doch wie kommt das VG hier überhaupt dazu, die DSGVO als anwendbar anzusehen und Verstöße des BAMF gegen die Artikel der DSGVO festzustellen?

Das VG verweist hierfür auf eine Entscheidung des FG Düsseldorf und damit auch auf eine dort ebenfalls zitierte Entscheidung des EuGH (Urteil v. 18.12.1997, C-129/96).

Die DSGVO ist am 25.05.2016 in Kraft getreten und gilt ab dem 25.05.2018 (Art. 99 Abs. 2 DSGVO. Die Verordnung ist daher auf das vorliegende Verfahren anzuwenden. Denn der Gesetzgebungsakt entfaltet vom Zeitpunkt seiner Bekanntgabe an Rechtswirkungen (EuGH, Urteil v. 18.12.1997, Az. C-129/96 – zur Richtlinienumsetzung, was im Falle einer Verordnung jedoch erst recht gelten muss; so FG Düsseldorf, Beschluss vom 09.08.2017, Az. 4 K 1404/17.Z – nach Juris).

Da die für das BMAF maßgebliche EURODAC-VO (VO (EU) 603/2013) auf die noch gültige RL 95/46/EG verweist, die DSGVO in Art. 94 Abs. 2 wiederum aber vorschreibt, dass Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, so dass die EURODAC-VO im Einklang mit den Vorgaben der DSGVO stehen muss.

Dies mit der Folge, dass die Datenschutzgrundverordnung insoweit immer ergänzend heranzuziehen ist.

Im Ergebnis dieselbe Argumentation verfolgt das FG Düsseldorf in seiner Entscheidung. Das FG Düsseldorf verweist auch auf das obige Urteil des EuGH. Die referenzierte Randnummer 41 lautet:

Sodann werden nach Artikel 191 Absatz 2 EWG-Vertrag, der auf den im Ausgangsverfahren maßgebenden Zeitraum Anwendung findet, die “Richtlinien und Entscheidungen … denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam”. Aus dieser Vorschrift ergibt sich, daß eine Richtlinie gegenüber dem Mitgliedstaat, an den sie gerichtet ist, schon vom Zeitpunkt ihrer Bekanntgabe an Rechtswirkungen entfaltet.

Meines Erachtens sind beide Entscheidungen des VG Wiesbaden und des FG Düsseldorf nicht richtig.

Beide Gerichte referenzieren auf ein Urteil des EuGH vom 18.12.1997. Ebenfalls begründen beide deutschen Gerichte ihre Entscheidung damit, dass zwar der EuGH zu einer Richtlinie entschied, aber dies müsse ja erst recht für eine Verordnung wie die DSGVO gelten.

Beide Gerichte verkennen jedoch, dass der EuGH sich hier auf eine Vorschrift stützt (Art. 191 EWG-Vertrag), die so nicht mehr existiert. Dort hieß es:

Die Richtlinien und Entscheidungen werden denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam.

Die Nachfolgevorschrift ist Art. 297 AEUV. Diese ist inhaltlich viel detaillierter und anders aufgebaut. Art. 297 AEUV regelt die Unterzeichnung, Veröffentlichung, Bekanntgabe und das Inkrafttreten der Gesetzgebungsakte sowie der Rechtsakte ohne Gesetzescharakter. Die Vorschrift geht zwar u.a. auf Art. 191 EWG-Vertrag zurück, der jedoch erheblich ausgedehnt wurden. Die ursprüngliche Fassung des Art. 191 EWG-Vertrag sah lediglich eine Veröffentlichungspflicht für Verordnungen und eine Bekanntgabepflicht für Richtlinien und Entscheidungen vor (GHN/Krajewski/Rösslein AEUV Art. 297 Rn. 1).

Art. 297 AEUV unterscheidet aber nun zwischen Rechtsakten mit und ohne Gesetzescharakter. Diese Unterscheidung traf Art. 191 EWG-Vertrag nicht. Für die DSGVO, als Verordnung und damit Gesetzgebungsakt, sieht Art. 297 Abs. 1 AEUV keine Bekanntgabepflicht vor. Für die DSGVO hat die Frage der Bekanntgabe also gar keine Relevanz. Der Verweis der deutschen Gerichte geht hier fehl.  Die DSGVO entfaltet also gerade noch keine unmittelbare Rechtswirkung, auf die sich Betroffene, Unternehmen oder auch wie hier Behörden stützten könnten. Mit Inkrafttreten wird die DSGVO zwar Bestandteil des Unionsrechts. Nach Art. 92 Abs. 2 DSGVO darf die Europäische Kommission ab dem Inkrafttreten etwa auch ihre Befugnis zum Erlass delegierter Rechtsakte ausüben. Die DSGVO ist aber eben noch nicht unmittelbar im Mitgliedstaat anwendbar.

Dies ergibt sich auch aus der Systematik der DSGVO selbst. Nach Art. 94 Abs. 1 DSGVO wird die Richtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Würde die DSGVO jetzt für datenverarbeitende Stellen schon Vorgaben machen, hätte diese Regelung keinen Sinn. Denn dann würden derzeit dem Grunde nach zwei europäische Regelungssysteme parallel und im Anwendungsbereich überlappend den Schutz personenbezogener Daten regeln. Im Ergebnis würde auch die in Art. 99 DSGVO etablierte Übergangsfrist von zwei Jahren keinen Sinn machen, wenn man davon ausgeht, dass die DSGVO bereits jetzt unmittelbar anwendbar wäre.

Die Entscheidungen des VG Wiesbaden und des FG Düsseldorf sind kritisch zu sehen und abzulehnen.

Datenschutzbehörde in Niedersachsen veröffentlicht Fragenkatalog zur Datenschutz-Grundverordnung

In etwas mehr als 6 Monaten ist die EU Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Für datenverarbeitende Stellen, agieren sie nun als Verantwortlicher oder Auftragsverarbeiter, bleibt daher nicht mehr viel Zeit, um die eigenen Verarbeitungsprozesse auf ihre Konformität mit der DSGVO zu prüfen und entsprechend anzupassen.

Ähnlich wie bereits zuvor das BayLDA, veröffentlicht nun die Aufsichtsbehörde in Niedersachsen einen an Unternehmen gerichteten Fragenkatalog zur Umsetzung verschiedenster Anforderungen der DSGVO (Fragenkatalog des BayLDA, pdf; Fragenkatalog der LfDI Niedersachsen, pdf). Der ergänzenden Information nach soll der Fragenkatalog zwar nur “kleinen oder mittelständischen Unternehmen Hilfestellung” geben. Meines Erachtens sind die gestellten Fragen aber genauso für große Konzerne oder etwa auch privatwirtschaftliche Vereine relevant.

Die LfDI Niedersachsen weist erläuternd darauf hin, dass die Fragen zugleich Anhaltspunkte geben,

worauf wir bei zukünftigen Prüfungen besonderen Wert legen werden.

Vor allem Unternehmen mit Sitz in Niedersachsen sollten daher den Fragenkatalog der LfDI abarbeiten und prüfen, in welchen Bereichen evtl. noch Handlungsbedarf besteht.

Sowohl in der beratenden Praxis als auch auf Veranstaltungen wird häufig die Frage aufgeworfen, welche Themenschwerpunkte der DSGVO bei der Umsetzung ihrer Anforderungen aus Sicht der Aufsichtsbehörden denn insbesondere adressiert werden sollten bzw. welche möglichen Prüfungsinhalte in Zukunft auf Unternehmen zukommen könnten. Beide Fragebögen bieten meines Erachtens einen guten Überblick und ersten Anhaltspunkt zur Beantwortung dieser Fragen. Daher ist die Veröffentlichung der Fragebogen sicher zu grüßen. Natürlich sollte man im Hinterkopf behalten, dass die Fragebögen nicht jegliche Eventualität und Besonderheiten eines Einzelfalles berücksichtigen.

 

Keine starren Löschfristen unter der EU Datenschutz-Grundverordnung

Anders als derzeit in § 35 Abs. 2 S. 2 Nr. 4 BDSG vorgeschrieben, wird es im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) zumindest dem Grunde nach keine starren Löschfristen mehr für personenbezogene Daten geben. Auch das neue, ab dem 25.5.2018 anwendbare, BDSG sieht keine fixen Löschfristen vor.

Nach § 35 Abs. 2 S. 2 Nr. 4 BDSG sind personenbezogene Daten zu löschen, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. Diese Vorgaben betreffen vor allem Auskunfteien.

Bereits im Juli dieses Jahres entschied das VG Karlsruhe (Urt. v. 6.7.2017 – 10 K 7698/16) in einem Verfahren zwischen der Aufsichtsbehörde in Baden-Württemberg und einer Auskunftei, dass sich die künftige Prüf- und Löschpraxis der Auskunfteien am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e DSGVO messen lassen muss, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet (hierzu mein Beitrag). Innerhalb des vorhandenen Spielraums sei eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig.

Auch das Bayerische Staatsministerium des Inneren geht in einer nun veröffentlichen Antwort auf eine schriftliche Anfrage im Landtag davon aus, dass unter der DSGVO die Frage der Löschung von Daten nicht mit starren Fristen, sondern vom Ergebnis einer Interessenabwägung und Erforderlichkeitsbewertung abhängt (LT Drs. 17/17777, pdf).

Das Staatsministerium geht davon aus, dass mit Geltung der DSGVO keine unmittelbar aus dem Gesetz bzw. der Verordnung ableitbare starre Frist mehr gilt.

Die zulässige Speicherdauer ist damit künftig im Rahmen einer Interessenabwägung nach Art. 6 Abs.1 Buchst. f DSGVO zu bestimmen.

Diese Ansicht stützt die Regierung zudem auf eine Einschätzung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Das BayLDA teilte auf Nachfrage mit, dass es die geltende dreijährige Löschfrist auch unter Geltung der DSGVO für sachgerecht halte und allenfalls anstrebe, ihren Ablauf künftig taggenau berechnen zu lassen.

Hinzuweisen ist darauf, dass Löschfristen in Zukunft aber vor allem noch im öffentlichen Sektor eine Rolle spielen können; insbesondere wenn die Löschung in bereichsspezifischen Datenschutzregelungen und auf der Grundlage der Öffnungsklauseln der DSGVO vorgesehen ist. Solche Neuregelungen in spezifischen Bereichen hat der Bundestag bereits im Sommer 2017, relativ unbemerkt von der Öffentlichkeit, beschlossen (hierzu mein Blogbeitrag). So wird etwa in § 29c Abs. 1 AO vorgesehen, dass Daten nach Beendigung einer bestimmten Maßnahme innerhalb eines Jahres gelöscht werden müssen. Diese Änderung tritt am 25.5.2018 in Kraft.

DSGVO: Zerschießt die „gemeinsame Verantwortlichkeit“ das Konzept der „federführenden Behörde“?

Nach den Schlussanträgen des Generalanwalts am EuGH in der Sache C-210/16 zur datenschutzrechtlichen Verantwortlichkeit bei der Datenverarbeitung von Besuchern von Webseiten (hier mein Beitrag dazu) ist der Begriff der „gemeinsamen Verantwortlichkeit“ (siehe Art 26 DSGVO) wieder etwas mehr ins Bewusstsein der Datenschutzpraxis gerückt. Die Rechtsfigur ist, europarechtlich betrachtet, nicht komplett neu, für uns BDSGler aber doch eine Umstellung und in Art 26 DSGVO umfassender ausgeformt als derzeit in der Europäischen Datenschutzrichtlinie.

Wie bekannt, stellen nach Ansicht des Generalanwalts am EuGH sowohl die in Schleswig-Holstein ansässige Wirtschaftsakademie und die Facebook Inc. aus den USA und die Facebook Ltd. aus Irland zumindest für die Erhebung von Nutzerdaten über die Facebook-Seite (Fanpage) der Wirtschaftsakademie gemeinsam Verantwortliche dar. Bereits diese Feststellung, sollte sie auch vom EuGH getroffen werden, bringt Fragen in der praktischen Umsetzung der DSGVO-Pflichten mit sich.

Mir ist in diesem Zusammenhang jedoch noch eine andere Thematik in den Sinn gekommen. Nämlich die Frage danach, welche europäische Aufsichtsbehörde denn dann in diesem konkreten Fall oder auch allgemein bei Vorliegen von gemeinsam Verantwortlichen die sog. „federführende Aufsichtsbehörde“ (Art. 56 DSGVO) ist. Der federführenden Aufsichtsbehörde kommt in dem durch die DSGVO etablierten System des one-stop-shop eine wichtige Bedeutung zu. Nach Art. 56 Abs. 6 DSGVO ist sie der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung. Gerne umschreibe ich sie salopp auch als den „Chef im Ring“ der anderen Aufsichtsbehörden.

Die Grundkonzeption der DSGVO kennt nur eine (!) federführende Aufsichtsbehörde. Es wird nicht die Situation vorgesehen, dass es nebeneinander mehrere federführende Aufsichtsbehörden gibt. Das würde freilich auch das Prinzip der zentralen Anlaufstelle konterkarieren. Der Gesetzgeber wollte gerade, im Vergleich zur aktuellen Situation, ein System schaffen, in dem es nur eine in Europa zuständige, letztlich entscheidende Aufsichtsbehörde gibt. Zumindest soweit es um „grenzüberschreitende Verarbeitungen“ geht. Eine solche grenzüberschreitende Verarbeitung liegt in den in Art. 4 Nr. 23 DSGVO benannten Fällen vor. Entweder die Verarbeitung erfolgt über Landesgrenzen hinweg in mehreren Niederlassungen oder sie erfolgt im Rahmen der Tätigkeiten einer einzigen Niederlassung, kann aber erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben.

Nun mag man in dem vor dem EuGH liegenden Fall zu Fanpages noch gut diskutieren, ob die Wirtschaftsakademie, als (Mit)Verantwortlicher für die Datenerhebung überhaupt eine grenzüberschreitende Verarbeitung vornimmt. Denn sie hat nur eine Niederlassung in Schleswig-Holstein und man könnte eventuell argumentieren, dass die Erhebung der Daten der Besucher ihrer Fanpage keine erheblichen Auswirkungen auf betroffene Personen in anderen Mitgliedstaaten hat.

Man wird jedoch schnell Beispiele finden können, bei denen entweder gemeinsam Verantwortliche tatsächlich Datenverarbeitungen durchführen, die mehrere Niederlassungen betreffen oder die zumindest auch Auswirkungen auf Personen in anderen Mitgliedstaaten haben. Den aktuellen Fall der Wirtschaftsakademie müsste man nur um eine Niederlassung in Holland oder Belgien ergänzen, die ebenfalls von der Fanpage und den durch Facebook generierten Statistiken profitiert. Dann lägen gemeinsam Verantwortliche für eine Verarbeitung vor, jedoch würde es für diese konkrete Phase der Verarbeitung, z. B. die Erhebung, gleichzeitig mehrere (!) federführende Aufsichtsbehörden geben. Für Facebook Inc. und Facebook Ltd. wäre dies wohl die irische Behörde, für (in dem von mir gebildeten Beispiel) die Wirtschaftsakademie das ULD in Schleswig-Holstein.

Es würde also eine Situation bestehen, die der Gesetzgeber gerade verhindern wollte und auch in der DSGVO nicht vorgesehen hat. Die DSVGO spricht stets nur von einer federführenden Aufsichtsbehörde.

Die Art. 29 Gruppe hat diese Gefahr wohl auch erkannt, bietet dafür in ihrem Arbeitspapier zur „federführenden Behörde“ (WP 244, pdf) auch keine finale Lösung. Die Art. 29 Gruppe schlägt vor, dass gemeinsam Verantwortliche, wenn sie überhaupt vom one-stop-shop profitieren möchten, einen allein für die betreffende Verarbeitung zuständige Niederlassung festlegen sollen, die die Entscheidungsbefugnis hinsichtlich der Verarbeitung gegenüber allen anderen Niederlassungen der gemeinsam Verantwortlichen hat.

Diese Vereinbarung mag man theoretisch andenken. Gerade in dem hier benannten Beispiel kann ich mir aber nur schwer eine Vereinbarung zwischen der Wirtschaftsakademie und Facebook Inc. und Facebook Ltd. bezüglich der Entscheidungsbefugnis mit Blick auf die Erhebung vorstellen. Man könnte freilich an eine Vereinbarung durch AGB, die z. B. Facebook vorgibt, denken, in denen Facebook Ltd. als Niederlassung mit alleiniger Entscheidungsbefugnis festgelegt wird; diese Befugnis müsste sich dann aber auch auf die Wirtschaftsakademie erstrecken. Diese dürfte dann selbst auch gar nicht mehr über Möglichkeiten verfügen, Entscheidungen in Bezug auf die Erhebung zu treffen. Doch könnte man argumentieren, dass (in dem hier gebildeten Beispiel) die Wirtschaftsakademie am Ende ja immer noch eine Entscheidungsbefugnis besitzt, nämlich ob sie die Erhebung stoppt, indem die Fanpage gelöscht wird.

Zumal auch die Art. 29 Gruppe davon auszugehen scheint, dass das one-stop-shop Prinzip mit der federführenden Behörde in diesen Situationen überhaupt nur so wirksam beibehalten werden könnte, womit andererseits bei fehlender interner Festlegung zwischen den Verantwortlichen dann eben mehrere federführende Behörden existieren.

Ein aus meiner Sicht sehr interessantes und praxisrelevantes Problem. Insbesondere wenn der EuGH der Linie des Generalanwalts folgt und die Voraussetzungen für eine gemeinsame Verantwortlichkeit nicht besonders hoch ansetzt.

Neue Datenschutzaufsichtsbehörde für den Norddeutschen Rundfunk

Bekanntlich verpflichtet Art. 85 Abs. 1 DSGVO die Mitgliedstaaten dazu, durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang zu bringen. Es handelt sich um einen Regelungsauftrag an die Mitgliedstaaten. In Deutschland sowohl an den Bund als auch die Länder. Nach Art. 85 Abs. 2 DSGVO müssen die Mitgliedstaaten Ausnahmen von den meisten Kapiteln der DSGVO vorsehen, wenn die Verarbeitung zu journalistischen Zwecken erfolgt und die Ausnahmen erforderlich sind, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

Bisher ist das sog. Medienprivileg in § 41 BDSG bzw. § 57 RStV geregelt. Im neuen, ab dem 25. Mai 2018 geltenden, BDSG wird eine solche Regelung bewusst fehlen. Dies bedeutet, dass in Deutschland die Bundesländer solche Ausnahmen schaffen müssen.

Derzeit wird länderübergreifend etwa der geltende Rundfunkstaatsvertrag (RStV) mit Blick auf die DSGVO überarbeitet.

Daneben sind jedoch auch einzelne Bundesländer mit Ergänzungen bzw. Anpassungen der rechtlichen Rahmenbedingungen für Rundfunkanstalten der Länder befasst. Hinsichtlich des Norddeutschen Rundfunks (NDR) haben sich die viel NDR-Staatsvertragsländer darauf geeinigt, die Umsetzung der DSGVO in einem eigenen „NDR-Datenschutz-Staatsvertrag“ vorzunehmen.

Der Entwurf dieses NDR-Datenschutz-Staatsvertrages vom 13.09.2017 ist nun öffentlich abrufbar (pdf). Die Unterzeichnung des NDR-Datenschutz-Staatsvertrages ist für Ende November / Anfang Dezember 2017 vorgesehen.

Mit dem Entwurf werden die datenschutzrechtlichen Normen im NDR-Staatsvertrag (§§ 41, 42) gestrichen und durch § 1 und § 2 Abs. 4 des neuen NDR-Datenschutz-Staatsvertrages ersetzt. Völlig neu sind hierbei die Regelungen in § 1 Abs. 1 bis 3 und die §§ 3 & 4 zur Ernennung des „Rundfunkbeauftragten für den Datenschutz beim NDR“ und sind gänzlich neu. Neben dem Datenschutzbeauftragten des NDR (der auch bisher schon existiert) wird ein Rundfunkbeauftragter für den Datenschutz beim NDR geschaffen. Er soll Behördenqualität erhalten und seine Funktion besteht darin, Datenschutzbeauftragten des NDR zu überwachen. Nach § 2 Abs. 1 soll der Rundfunkbeauftragte für den Datenschutz die zuständige Aufsichtsbehörde im Sinne des Art. 51 DSGVO sein. Nach § 3 Abs. 1 ist er in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er unterliegt auch keiner Rechts- oder Fachaufsicht. Hierdurch wird dem Erfordernis der völligen Unabhängigkeit der Datenschutzaufsichtsbehörden Rechnung getragen.

Hiermit soll also für den NDR eine eigene Datenschutzaufsichtsbehörde geschaffen werden, die von dem Datenschutzbeauftragten des NDR zu unterscheiden ist. Rundfunkbeauftragte für den Datenschutz überwacht die Einhaltung der Datenschutzvorschriften des Rundfunkstaatsvertrages, der DSGVO und anderer Vorschriften über den Datenschutz bei der gesamten Tätigkeit des NDR (§ 4 Abs. 1). Grundsätzlich sollen ihm auch alle Befugnisse nach Art. 57 und 58 Abs. 1 DSGVO zustehen. Geldbußen soll er gegenüber dem NDR jedoch nicht verhängen dürfen.

Bayerische Aufsichtsbehörde veröffentlicht Hinweise und Anforderungen an den Einsatz von Facebook Custom Audience

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in der Vergangenheit bayernweiten 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird. Gestern veröffentlichte die Behörde nun das Ergebnis ihrer Prüfung und gleichzeitig auch allgemeine Hinweise und Anforderungen, die aus Sicht des BayLDA beim Einsatz von Custom Audience zu beachten sind (Pressemitteilung und Hinweise, pdf).

Wenn man sich die Informationen und Äußerungen des BayLDA zu Custom Audience aus der Vergangenheit vor Augen führt (hier mein Blogbeitrag zum Tätigkeitsbericht 2013/2014 und hier mein Blogbeitrag zum Tätigkeitsbericht 2015/2016), sind die Aussagen der Behörde zu den datenschutzrechtlichen Voraussetzungen beim Einsatz von Custom Audience wenig überraschend. Dennoch möchte ich bereits hier anfügen, dass die Auffassung des BayLDA zumindest zum Teil sicher auch streitbar ist.

Das BayLDA trennt in seinen Hinweisen klar strukturiert zwischen der Funktion „Facebook Custom Audience über die Kundenliste“ und „Facebook Custom Audience über das Pixel-Verfahren“, wobei in letzterer Variante noch die Funktion „Erweiterter Abgleich“ eine Rolle spielt.

Facebook Custom Audience über die Kundenliste

Die Funktion „Facebook Custom Audience über die Kundenliste“, in der ein Unternehmen eine Liste erstellt, die Name, Wohnort, E-Mail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält und diese Liste dann im Facebook-Konto des Unternehmens hochlädt, damit Facebook feststellen kann, welcher Kunde Facebook-Nutzer ist, ist nach Auffassung des BayLDA nur aufgrund einer informierten Einwilligung der Kunden zulässig. Zudem weist das BayLDA darauf hin, dass das Übermitteln dieser Liste an Facebook auch auf der Basis der ab 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) seiner Ansicht nach nicht ohne Einwilligung zulässig sein wird.

Facebook Custom Audience über das Pixel-Verfahren

Die Funktion „Facebook Custom Audience über das Pixel-Verfahren“ existiert in einer einfachen Variante und in der Variante des erweiterten Abgleichs. Auf der Webseite eines Unternehmens wird ein Facebook-Pixel eingebunden. Über dieses Pixel kann Facebook (nicht der Einbindende) das Online-Verhalten des Nutzers nachvollziehen. Das BayLDA nennt beispielhaft ein typisches Szenario: „Ein Nutzer besucht einen Webshop und interessiert sich für das neueste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet. Der Betreiber des Webshops möchte natürlich den Kunden zurückgewinnen und kann ihn über Facebook mittels Werbung des zuvor angesehenen Smartphones locken und zur Rückkehr auf die Webshop-Seite verleiten“.

Nach Auffassung des BayLDA ist der Webseiten-Betreiber, der den Facebook-Pixel auf seiner Webseite einbindet,

im datenschutz-rechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst.

Diese Auffassung des BayLDA ist sicherlich vertretbar. Jedoch existiert genau zu dieser Frage, inwieweit ein Webseitenbetreiber datenschutzrechtlich verantwortlich ist, wenn er Code einbindet, über den Dritte dann Daten der Besucher verarbeiten können, schon länger Streit. Die Frage der Verantwortlichkeit liegt derzeit dem Europäischen Gerichtshof (EuGH) im Fall der Einbindung des Facebook -Like-Buttons vor (C-40/17, Fashion ID). Das OLG Düsseldorf hat dem EuGH mit Beschluss vom 19.1.2017 (I-20 U 40/16) zur Haftung und Verantwortlichkeit übermittelt. Dies zeigt, dass die Frage der Verantwortlichkeit des Webseitenbetreibers in diesen Fällen zumindest derzeit nicht so klar zu beantworten ist, wie dies in den Hinweisen dargestellt wird. Man wird freilich davon ausgehen dürfen, dass die deutschen Aufsichtsbehörden in dieser Frage einer Meinung sein werden.

Was die Anforderungen an den Einsatz der Funktion „Facebook Custom Audience über das Pixel-Verfahren“ betrifft, so geht das BayLDA in seinen Hinweisen nur auf den „Erweiterten Abgleich“ ein. Die, wenn man so will, aus Datenschutzsicht „schlimmere“ Variante. Hierdurch ist es, über das Facebook-Pixel möglich, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. Nach Auffassung des BayLDA dürfen Webseiten-Betreiber die erweiterte Funktion nur einsetzen,

wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

Zusätzlich müssen Hinweispflichten erfüllt werden. Der Nutzer muss also wissen, welche Daten erhoben werden, für welche Zwecke usw. Außerdem muss der Webseiten-Betreiber ein geeignetes Opt-Out-Verfahren implementieren. Und Achtung, auch an dieses stellt das BayLDA gewisse Anforderungen. So sei ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) für ein Opt-Out nicht ausreichend. Auch ein Verweis auf die URL www.facebook.com/settings stelle kein geeignetes Opt-Out-Verfahren.

Keine Anforderungen stellt das BayLDA in seinen Hinweisen jedoch an die einfache Variante des Pixel-Verfahrens auf. Wenn also nicht noch zusätzliche Daten übermittelt werden. Das bedeutet sicherlich nicht, dass der Einsatz völlig voraussetzungslos möglich ist. Jedoch kann man meines Erachtens aus dem Schwiegen des BayLDA in seinen Hinweisen schließen, dass der Einsatz des einfachen Pixel-Verfahrens ohne Einwilligung der Webseiten-Besucher zulässig ist. Jedoch muss der Webseiten-Betreiber die Nutzer über die Funktionsweise des Pixels einwandfrei in der Datenschutzerklärung informieren und eine Opt-Out-Lösung anbieten. Wie gesagt, dass BayLDA äußert sich zu den Anforderungen an das einfache Verfahren jedoch nicht ausdrücklich.

Das BayLDA informiert in seiner Pressemitteilung nicht allein zum Ausgang der Prüfung, sondern gibt Unternehmen erfreulicherweise auch direkt Handlungsempfehlungen mit auf den Weg. Für die Antwort auf Frage der Verantwortlichkeit des Webseiten-Betreibers dürfte die Entscheidung des EuGH in dem dort anhängigen Verfahren aus Deutschland von besonderer Relevanz sein.

Bundesländer passen Datenschutzgesetze an – Aktueller Stand der Gesetzesvorhaben und Anmerkungen (aktualisiert)

Der Bundesgesetzgeber hat es (zumindest teilweise) bereits hinter sich: die Anpassung des nationalen Datenschutzrechts an die ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO). Am 25. Mai 2018 tritt das neue Bundesdatenschutzgesetz (pdf) in Kraft. Die Aufgabe ist nur teilweise erledigt, da der Bundesgesetzgeber noch eine Vielzahl von Bundesgesetzen und auch Verordnungen anpassen muss. Aus der Antwort von Staatssekretär Engelke vom 12.9.2017 (pdf, S. 10) auf eine Anfrage von Konstantin von Notz ergibt sich ein durchaus noch umfassender Anpassungsbedarf. Demnach wird derzeit auch an einem Arbeitsentwurf für ein Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) gearbeitet. Der Prozess der Anpassung der Bundesvorschriften an die DSGVO sei zudem noch nicht abgeschlossen.

Auch die Bundesländer müssen ihre Datenschutzregeln, vor allem die Landesdatenschutzgesetze, an die Vorgaben der DSGVO anpassen. Erst seit Mitte August gelangen allmählich die ersten offiziellen Entwürfe ans Tageslicht:

Brandenburg: Gesetz zur Anpassung des Allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (pdf)

Sachsen: Gesetz zur Anpassung landesrechtlicher Vorschriften an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (pdf) (Sächsisches Datenschutzdurchführungsgesetz)

Sachsen-Anhalt: Entwurf eines Gesetzes zur Organisationsfortentwicklung des Landesbeauftragten für den Datenschutz (pdf) (wobei dieser Gesetzentwurf nur einen sehr kleinen Teilbereich der Vorgaben der DSGVO abdeckt und sich auf die Stellung und Aufgaben des Landesdatenschutzbeauftragten beschränkt; vglö hierzu meinen älteren Blogbeitrag)

Update vom 4.10.2017:

Bayern: Gesetzentwurf der Staatsregierung für ein Bayerisches Datenschutzgesetz (pdf) (derzeit zunächst in der Verbandsanhörung)

Auffällig ist, dass sich die Landesgesetzgeber sehr stark an dem neuen BDSG und den Vorschriften für nicht öffentliche Stellen orientieren. Zum Teil sind jedoch auch ganz individuelle Abweichungen vorgesehen. Nachfolgend möchte ich einige Gesetzentwürfe und dort enthaltene Regelungen vorstellen und kritisch kommentieren.

Brandenburg:

In § 3 soll der Begriff des „Anonymisieren“ ergänzend zu Art. 4 DSGVO definiert werden. Der Ausdruck bezeichnet das Verändern personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Aufgrund der bindenden Wirkung der DSGVO und ihres grundsätzlich abschließenden Regelungscharakters wird man aber die Frage stellen müssen, ob der nationale Gesetzgeber den Begriff des „Anonymisierens“ legal definieren darf. Laut der Gesetzesbegründung ergebe sich die Regelungsbefugnis hierfür aus Art. 6 Abs. 2 und 3 DSGVO (diese beiden Vorschriften nutzt der Gesetzentwurf aus Brandenburg im Übrigen sehr extensiv für verschiedenste Regelungen). Danach dürfen Mitgliedstaaten Regelungen einführen oder beibehalten, die spezifischen Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten. In ErwG 26 erwähnt die DSGVO anonyme Informationen. Dies sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die DSGVO nutzt folglich zum einen eine andere Umschreibung als § 3. Zum anderen dürfte die nationale Regelung an sich schon nicht zulässig sein, da die DSGVO (zumindest in einem ErwG) den Begriff abschließend umschreibt.

In § 4 Abs. 3 sieht der Gesetzesentwurf, abweichend von Art. 30 Abs. 4 DSGVO, vor, dass das Verzeichnis der Verarbeitungstätigkeiten von jedermann eingesehen werden kann. Auch diese Regelung stützt der Gesetzesentwurf auf Art. 6 Abs. 2 und 3 DSGVO, da es um eine Vorgabe zur Transparenz der Datenverarbeitung geht. Auch hier stellt sich aber die Frage, ob der nationale Gesetzgeber die Vorgaben der DSGVO (hier Art. 30 Abs. 4 DSGVO) insoweit aufbrechen darf, dass die Pflicht zur Offenlegung des Verzeichnisses auf jedermann erweitert wird.

Extensiv nutzt der Gesetzesentwurf in § 6 Abs. 1 Nr. 1 bis 8 die Erlaubnis nach Art. 6 Abs. 4 iVm Art. 23 Abs. 1 DSGVO, eine nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie ursprünglich erhoben wurden, zu schaffen. Jedoch ergibt sich aus der Gesetzesbegründung nicht, welche in Art. 23 Abs. 1 DSGVO abschließend benannten Ziele die jeweilige Erlaubnis in § 6 Abs. 1 Nr. 1 bis 8 nutzt. So soll die zweckändernde Verarbeitung nach Nr. 8 etwa zulässig sein, wenn die Daten aus allgemein zugänglichen Quellen erhoben werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das Interesse der betroffenen Person an dem Ausschluss der Speicherung oder einer Veröffentlichung der gespeicherten Daten offensichtlich überwiegt. Es bleibt unklar, welche in Art. 23 Abs. 1 DSGVO benannte Ziel mit dieser Regelung verfolgt. Eine Möglichkeit zur Weiterverarbeitung von Daten aus allgemein zugänglichen Quellen listet Art. 23 Abs. 1 DSGVO aber nicht auf. Auch hier besteht also das Risiko einer Europarechtswidrigkeit.

Sachsen:

Anders als die finale Fassung des neuen BDSG sieht § 22 Abs. 1 die Möglichkeit vor, dass auch Mitarbeiter öffentlicher Stellen ordnungswidrig handeln und als Folge mit einem Bußgeld von bis zu 50.000 EUR (Abs. 2) geahndet werden können. Eine solche Regelung dürfte jedoch europarechtswidrig sein.

Denn nationale Bußgeldtatbestände, die Sanktionen gegen Mitarbeiter öffentlicher Stellen vorsehen würden, sind nicht mit Art. 83 DSGVO vereinbar. Art. 83 Abs. 7 DSGVO enthält zwar eine Öffnungsklausel für Bußgeldtatbestände, die öffentliche Stellen adressieren. Dem ausdrücklichen Wortlaut nach bezieht sich die Regelungsbefugnis der Mitgliedstaaten aber allein darauf, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. Art. 83 Abs. 7 DSGVO erwähnt nicht die Mitarbeiter der öffentlichen Stellen.

Weitere Landesdatenschutzgesetze sind derzeit in Arbeit bzw. liegen in Referentenentwürfen vor. Man darf gespannt sein, ob jedes Bundesland bis zum 25.5.2018 ein angepasstes Landesdatenschutzgesetz vorweisen kann.

Mecklenburg-Vorpommern:

Auch für Mecklenburg-Vorpommern liegt nun ein Gesetzentwurf (pdf), u.a. auch für ein neues Landesdatenschutzgesetz, vor. Wie der Entwurf aus Sachsen, will auch der Landesgesetzgeber Bußgeldtatbestände für die direkte Sanktionierung von Mitarbeitern der öffentlichen Stellen schaffen. Auch hierzu lässt sich meines Erachtens feststellen, dass eine solche Regelung europarechtswidrig wäre.

Hessen:

In Hessen wurde am 5.12.2107 ein Gesetzentwurf (pdf) für ein Hessisches Gesetz zur Anpassung des Hessischen Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 und zur Informationsfreiheit vorgelegt. Mit diesem Gesetz möchte der Landesgesetzgeber zudem einen gesetzlichen Anspruch auf Informationszugang für Bürger schaffen (ab §§ 80 ff.). Anders als in den übrigen Bundesländern, möchte der hessische Gesetzgeber die Vorgaben der JIRL nicht (nur) im speziellen Fachrecht (etwa im Polizeirecht), sondern allgemein im Hessischen Landesdatenschutzgesetz umsetzen (ab §§ 40 ff.). Mit Blick auf die Anpassung des Hessischen Landesdatenschutzgesetzes an die DSGVO, orientiert sich der Gesetzgeber zu einem großen Teil an dem neuen BDSG. Meines Erachtens mit dem bestehenden Risiko der Schaffung europarechtswidrigen Rechts, wie etwa § 4 Abs. 1 HDSIG zur Videoüberwachung.

Wie in dem Entwurf aus Brandenburg soll in Hessen eine gesetzliche Definition der “anonymen Informationen” eingeführt werden. Auch hier wird man durchaus darüber streiten können, ob der nationale Gesetzgeber im Anwendungsbereich der DSGVO überhaupt befugt ist, diesen Begriff landesgesetzlich zu definieren. Zwar enthält die DSGVO keine Begriffsbestimmung der “Anonymisierung” in ihrem verfügenden Teil; jedoch kennt sie den Begriff und umschreibt ihn in ErwG 26.

In § 19 Abs. 5 HDSIG wird, richtigerweise, die Möglickeit des Insichprozesses aufgenommen. Nach der DSGVO dürfen die Aufsichtsbehörden ihre Befugnisse, also etwa auch den Erlass untersagender Verwaltungsakte, gegenüber öffentlichen Stellen ausüben. Mit § 19 Abs. 5 wird klargestellt, dass in Zukunft der Hessische Datenschutzbeauftragte auch gegenüber Landesbehörden Verwaltungsakte erlassen kann und es hierüber eventuell auch zu einem gerichtlichen Verfahren kommt. Entweder kann die Landesbehörde gegen die Entscheidung des Hessischen Datenschutzbeauftragten klagen oder aber der Hessische Datenschutzbeauftragte darf selbst die Rechtmäßigkeit seiner Entscheidung feststellen lassen.

Leider wird auch mit dem Entwurf auf Hessen wieder deutlich, wie unterschiedlich die einzelnen Landesgesetzgeber an die Anpassung des Landesrechts an die DSGVO und die Umsetzung der JIRL herangehen. Die Entwürfe unterscheiden sich zum Teil erheblich und dürften, wenn sie in dieser Form Gesetz werden, für zusätzliche Rechtsunsicherheit sorgen.

German Court: Data Protection Authorities may not base administrative orders before the 25 May 2018 on the EU General Data Protection Regulation

The General Data Protection Regulation (GDPR) applies from 25 May 2018 (Art. 99 (2) GDPR). The GDPR has already entered into force on 24 May 2016. However, it does not apply until 25 May 2018. Only from this date on, the requirements of the GDPR are binding and enforceable by the data protection authorities (DPAs) in the Member States.

Facts

In Germany, the DPA of the state of Baden-Wuerttemberg at the end of 2016 was of another opinion. On 6 July 2017, the Administrative Court of Karlsruhe (with its decision in case 10 K 7698/16, pdf; in German) (Court) annulled an administrative order by the DPA of 25 November 2016, in which a credit bureau was obligated to delete claims within the meaning of Sec. 28a of the German Federal Data Protection Act (Act) and the related information about persons which the credit bureau stored, after the 24 May 2018, after the expiry of three years, starting with the date of the due date, unless the person concerned is insolvent or unwilling to pay at that time.

The DPA based its decision, among other things, on the purpose to prevent any abuses which the DPA expected to occur after 24 May 2018. The currently still valid Sec. 35 (2) sentence 2 no. 4 of the Act, which stipulates certain deadlines for the examination for the deletion of data, finds no correspondence in the GDPR and also not in the new German Federal Data Protection Act.

Although the credit bureau had announced that it intends to adapt its data erasure concept to the GDPR as of 25 May 2018, in the view of the DPA, this the announcement was merely a declaration of intent.

The judgement

The Court rightly upheld the complaint by the credit bureau against the administrative order of the DPA. There exists no legal basis for the administrative order.

The DPA also based its decision on Recital 39 GDPR, according to which, in order to ensure that personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. However, Recital 39 GDPR does not indicate that the controller would already be obliged to create appropriate review and deletion periods before the GDPR applies.

The Court notices:

An authorization to act before the application of the GDPR – to ensure at an early stage that the regulations applicable in the future will be respected by the controller in the light of the legal opinion of the supervisory authority – cannot be inferred from the GDPR or the current Act.

This finding of the Court is relevant for companies during the time period until 25 May 2018. The Court correctly clarifies that a DPA is not allowed to enforce any provisions that are not yet applicable at all.

In addition, the DPA relied on Art. 58 (2) d) GDPR. Thereafter, a supervisory authority shall have the corrective power to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period. Like the entire GDPR, of course, Art. 58 GDPR is only applicable and enforceable if the GDPR applies. Therefore, only from 25 May 2018.