Landgericht Frankfurt: Kein Schadensersatzanspruch allein wegen fehlender Vereinbarung zwischen gemeinsam Verantwortlichen

Mit Urteil vom 18.9.2020 (Az. 2-27 O 100/20) hat das Landgericht Frankfurt am Main einige interessante Aussagen rund um Schadensersatzansprüche nach Art. 82 DSGVO getroffen. Ich beschränke mich hier auf solche zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO.

Sachverhalt

In dem Verfahren ging es (vermute ich), um Ansprüche eines ehemaligen Mitglieds des Bonusprogramms von Mastercard „Priceless Specials“, bei dem es im Jahr 2019 zu einem Sicherheitsvorfall bei einem Dienstleister kam, aufgrund dessen Datensätze der Teilnehmer im Internet landeten. Der Kläger machte aus verschiedenen Gründen Schadensersatzansprüche geltend. U.a. auch mit folgender Begründung:

„Dass zwischen der Beklagten und der XXX eine Vereinbarung nach Art. 26 DSGVO fehle, obwohl beide ausweislich des vorgelegten Datenverarbeitungsvertrages Zwecke und Mittel der Verarbeitung durch die XXX festgelegt hätten, verstoße gleichfalls gegen die DSGVO.“

Der Kläger machte mit der Behauptung, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, einen Schadensersatzanspruch in Höhe von insgesamt 1200 EUR geltend.

Entscheidung

Das LG musste sich also auch mit der Frage befassen, ob das (angebliche) Fehlen einer Vereinbarung nach Art. 26 Abs. 1 S. 2 DSGVO bereits einen ersatzfähigen Schaden für betroffene Personen darstellt. Nach Ansicht des Gerichts ist dies jedoch nicht der Fall.

Das LG führt hierzu aus:
„Überdies regelt Art. 26 DSGVO lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO“.

Das Gericht geht also davon aus, dass allein ein möglichen Fehlen der Vereinbarung zwischen gemeinsam Verantwortlichen noch nicht einen ersatzfähigen Schaden begründet. Dies liegt durchaus auf der Linie auch anderer Gerichte zu dem Schadensersatzanspruch nach Art. 82 DSGVO, die stets verlangen, dass ein konkreter Schaden durch Betroffene auch nachgewiesen wird. Allein der Verstoß gegen eine DSGVO-Pflicht, berechtigt noch nicht per se zum Schadensersatz. Das LG begründet seine Ansicht zudem auch mit einem Verweis auf Art. 26 Abs. 3 DSGVO, wonach Betroffene, unabhängig von Regelungen in der Vereinbarung, ihre Rechte gegen jeden der Verantwortlichen geltend machen können.

Fazit Allein eine fehlende JC-Vereinbarung begründet für sich noch keinen Schadensersatzanspruch. Anders mag dies sein, wenn tatsächlich ein Schaden eingetreten ist, der kausal auf diesem Mangel beruht. Spannend ist sicherlich auch die Frage, ob man die Argumentation des LG auf Verträge nach Art. 28 DSGVO übertragen kann.

Referentenentwurf zum 2. IT-Sicherheitsgesetz – Datenverarbeitung in Systemen der Angriffserkennung

Letzte Woche hat das Bundesinnenministerium einen neuen Referentenentwurf für das Zweite Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) veröffentlicht (pdf).

Mit dem Vorschlag sollen unter anderem auch Anpassungen an dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vorgenommen werden (Artikel 1 des Referentenentwurfs).

Eine von vielen interessanten und praktisch relevanten Schnittmengen zum Datenschutzrecht findet man in dem Vorschlag, eine Pflicht zum Einsatz von Systemen zur Angriffserkennung (§ 8a Abs. 1a und 1b BSIG-E) einzuführen.

Nach § 2 Abs. 9b BSIG-E handelt es sich bei „Systemen zur Angriffserkennung“ um durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten. Der Entwurf sieht also eine Legaldefinition dieser Systeme vor.

Die eigentliche Pflicht zum Einsatz solcher Systeme findet sich in § 8a Abs. 1a BSIG-E:

Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst spätestens ein Jahr nach Inkrafttreten dieses Gesetzes auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.“

Der Referentenentwurf sieht die Systeme zur Angriffserkennung damit als Teil der allgemein umzusetzenden organisatorische und technische Vorkehrungen. Hieraus lässt sich bereits ein erster Brückenschlag zum Datenschutzrecht, konkret Art. 32 DSGVO, vornehmen. Auch dort wird allgemein die Pflicht zur Umsetzung von technischen und organisatorischen Schutzmaßnahmen vorgesehen. Eine solche allgemeine Pflicht findet sich in dem aktuellen § 8a Abs. 1 BSIG, wonach Betreiber Kritischer Infrastrukturen verpflichtet sind, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

Mit dem Vorschlag zu § 8a Abs. 1a und 1b BSIG-E werden Betreiber Kritischer Infrastrukturen konkretisierend dazu verpflichtet, in Kritischen Infrastrukturen Systeme zur Angriffserkennung einzusetzen und bestimmte Daten für mindestens vier Jahre zu speichern (dies ergibt sich aus dem vorgeschlagenen Abs. 1b).

Der Referentenwurf ordnet § 8a Abs. 1a BSIG-E als Ergänzung der Verpflichtung der Betreiber Kritischer Infrastrukturen ein, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Diese Pflicht umfasst mit der Ergänzung nach der Begründung nun auch ausdrücklich Systeme zur Angriffserkennung (S. 67 des Entwurfs).

Bereits aus der vorgeschlagenen Legaldefinition (§ 2 Abs. 9b BSIG-E) ergibt sich, dass eine solche Angriffserkennung dabei meist durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten, erfolgt. Das System basiert also quasi auf einer Datenverarbeitung und einem Datenabgleich.

Nach der Begründung in dem Referentenwurf (S. 68) können sich darunter natürlich auch personenbezogene Daten befinden. Beispiele werden nicht genannt, man kann aber etwa an IP-Adressen, MAC-Adressen oder auch Geräte-IDs denken. Das BSIG-E lässt die Vorgaben der DSGVO zum Umgang mit personenbezogenen Daten selbstverständlich unangetastet. Daher verweist das BMI in der Begründung, für die Frage der rechtlichen Zulässigkeit des Datenabgleichs, auch auf die DSGVO.

Soweit die Verarbeitung personenbezogener Daten für die Angriffserkennung erforderlich ist, sind Betreiber Kritischer Infrastrukturen nach § 8a Absatz 1a nun auch ausdrücklich dazu verpflichtet. Die Regelung enthält daher eine rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c DSGVO zur Verarbeitung personenbezogener Daten.“

Mit dem vorgeschlagenen § 8a Abs. 1a BDSIG-E möchte das BMI also eine rechtliche Verpflichtung zur Datenverarbeitung schaffen. Diese Begründung ist unter zwei Gesichtspunkten interessant:

  • Zum einen geht die Begründung (zumindest nicht ausdrücklich) näher auf die Anforderungen nach Art. 6 Abs. 3 und 4 DSGVO ein. Danach muss der Zweck der Verarbeitung in der Rechtsgrundlage festgelegt sein. Jedoch lässt sich der Zweck der hier durchgeführten Datenverarbeitung aber mE auch aus dem Text des Abs. 1a entnehmen. Es müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfasst und ausgewertet werden können; zudem ist Ziel, dass die Systeme dazu in der Lage sind, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.
  • Mit diesem Vorschlag und der begründenden Verweisung auf Art. 6 Abs. 1 lit. c DSGVO ist mE gleichzeitig die Tendenz erkennbar, gesetzliche Pflichten zur Umsetzung von technischen und organisatorischen Schutzmaßnahmen als Rechtsgrundlage einer dafür erforderlichen Datenverarbeitung anzusehen. Ich vertrete und begründe diese Auffassung mit Blick auf Art. 32 DSGVO etwa in meinem Beitrag („Sicherheit der Verarbeitung“ als gesetzlicher Erlaubnistatbestand) in der Festschrift für Prof. Jürgen Taeger.

Rein praktisch stellen sich für Betreiber von Kritischen Infrastrukturen dann noch nachfolgende datenschutzrechtliche Fragen, wie etwa die Aufnahme der Verarbeitung (also des Systems zur Angriffserkennung ins Verzeichnis der Verarbeitungstätigkeiten) oder auch die Erfüllung von Informationspflichten nach Art. 13/14 DSGVO. Insbesondere hinsichtlich der Informationspflichten kann ggfs. die Ausnahme nach Art. 13 Abs. 4 DSGVO einschlägig sein. Eventuell sollte das BMI oder der Gesetzgeber insgesamt aber auch noch klarstellend eine ausdrückliche gesetzliche Ausnahme vorsehen. Zu denken ist hier auch an die Situation der Dritterhebung (Art. 14 DSGVO), wenn die in dem System der Angriffserkennung also nicht direkt bei den Betroffenen erhoben werden. Dann könnten sich Unternehmen eventuell auf die Ausnahme nach Art. 14 Abs. 5 b DSGVO berufen.

Landgericht Landshut: Keine Schadensersatzansprüche nach Art. 82 gegen den Datenschutzbeauftragten

Das Landgericht (LG) Landshut hatte über mögliche Schadenersatzansprüche wegen vorgebrachter Verstöße gegen die DSGVO zu entscheiden. In dem Verfahren machte ein Wohnungseigentümer Ansprüche sowohl gegen die Hausverwaltung als auch gegen den (externen) Datenschutzbeauftragten der Hausverwaltung geltend. Das LG wiese die Klage mit Endurteil vom v. 06.11.2020 – 51 O 513/20 als unbegründet ab.

Sachverhalt

Der Kläger ist Eigentümer der Eigentumswohnung und die Beklagte zu 1) die bis 31.12.2019 zuständige Hausverwaltung. Der Beklagte zu 2) ist der von der Beklagten zu 1) eingesetzte externer Datenschutzbeauftragte.

In der Wohnanlage gab es einen Legionellenbefall, von dem auch die streitgegenständliche Wohnung des Klägers betroffen war. Die Hausverwaltung wurde zu einer Eigentümerversammlung auch eine Tagesordnung an alle Wohnungseigentümer versendet. Dort wurde auch das Thema des Legionellenbefalls angesprochen, sowie die betroffenen Wohnungen und Eigentümer genannt. Hierin sah der Wohnungseigentümer einen Verstoß gegen Art. 6 DSGVO.

Entscheidung

Das LG wies die Klage als unbegründet ab.

Nach Ansicht des Gerichts lag hier durch die Nennung der Wohnung des Klägers sowie die Nennung des Namens des Klägers als Eigentümer der Wohnung kein Verstoß gegen die Vorgaben der DSGVO vor.

Zudem äußert sich das LG daneben auch zu einem möglichen Schadensersatzanspruch. Materielle Schäden wurden vom Kläger weder substantiiert vorgetragen noch belegt. Daher scheide ein solcher Anspruch auf Grundlage von Art. 82 DSGVO aus.

Auch einen Anspruch auf Ersatz eines immateriellen Schadens lehnt das LG ab. Art. 82 Abs. 1 DSGVO sehe zwar eine Erstattungspflicht für immaterielle Schäden vor. Diese Pflicht sei auch nicht nur auf schwere Schäden beschränkt.

Allein die Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen“.

Vielmehr, so das LG, muss die Verletzungshandlung in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben.

Und zuletzt äußert sich das LG auch zu einem möglichen Schadensersatzanspruch gegen den externen Datenschutzbeauftragten der Hausverwaltung. Zurecht lehnt das LG diesen auf der Grundlage von Art. 82 DSGVO ab.

Der Beklagte zu 2) ist als Datenschutzbeauftragter nicht „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO. Verantwortlicher für Verarbeitung von personenbezogenen Daten im datenschutzrechtlichen Sinne war bezüglich der Versendung der Tagesordnung nur die Beklagte zu 1).“

Das LG wendet hier richtigerweise also „stur“ Art. 82 Abs. 1 DSGVO an. Danach besteht der Anspruch auf Schadensersatz „gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Der Datenschutzbeauftragte ist aber keines von beiden. Nur, weil er für einen Verantwortlichen oder Auftragsverarbeiter tätig ist, tritt er nicht in dessen Pflichten nach der DSGVO ein.

Fazit

Natürlich sollte man als DSB beachten, dass man nicht im haftungsfreien Raum agiert. Es können, etwa bei rechtlicher Falschberatung, zB Ansprüche des Auftraggebers im Raum stehen. Jedoch zeigt das Urteil, dass der DSB nicht als Haftungssubjekt neben dem Verantwortlichen für Schadensersatzansprüche zur Verfügung steht.

Datenschutzbehörde Niedersachsen: Hinweise zu Einwilligungen für Cookies und Consent Management Tools

Die Datenschutzbehörde Niedersachsen hat am 25.11.2020 „Hinweise zu datenschutzkonfomen Einwilligungen auf Webseiten und zu Anforderungen an Consent-Layer“ (PDF) auf ihrer Webseite veröffentlicht. Die Hinweise geben einen guten und praktischen Überblick, was aus Unternehmenssicht bei dem Einsatz von Cookies und auch der Auswahl eines Consent Management Tools zu beachten ist. Zum Teil sind die Empfehlungen tatsächlich eher wirtschaftsfreundlich, jedoch finden sich in den Hinweisen auch einige meiner Ansicht nach rechtlich diskutable Punkte.

Die Hinweise starten mit der Feststellung, dass „sowohl für die Verwendung von Cookies als auch generell für die Einbindung von Drittdienst-leistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste)“ eine datenschutzrechtliche Einwilligung der Seitennutzerinnen und -nutzer erforderlich sei. In dieser Pauschalität ist diese Aussage jedoch nicht richtig. Natürlich gibt es auch Cookies, für deren Einsatz gerade keine Einwilligung eingeholt werden muss. Beispiele hierfür finden sich etwa im Working Paper 194 der ehemaligen Art. 29 Datenschutzgruppe, welches sich allein mit den Ausnahmen vom Einwilligungserfordernis befasst.

„Werbeversprechen“ von Consent-Tools

Meines Erachtens zurecht weist die Behörde darauf hin, dass sich Unternehmen nicht blind auf Aussagen von Anbietern von Consent Management Tools verlassen dürfen. Also etwa, dass mit deren Einsatz per se DSGVO-konforme Einwilligungen eingeholt werden. Meiner Erfahrung nach können dieses Tools sehrwohl als Werkzeug dienen, um solche Einwilligung einzuholen. Jedoch bedarf es stets einer finalen Prüfung und ggfs. Anpassung durch den Verantwortlichen.

Anforderungen an datenschutzkonforme Einwilligungen

Nachfolgend geht die Behörde dann auf die einzelnen Voraussetzungen einer Einwilligung nach Art. 4 Nr. 11 DSGVO ein. Sie stellt hierzu folgende Prüfpunkte auf:

  • Zeitpunkt der Einwilligung,
  • Informiertheit der Einwilligung,
  • eindeutige bestätigende Handlung,
  • freiwillige Einwilligung,
  • keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging),
  • Widerruf der Einwilligung,
  • Einwilligungen für Datenverarbeitungen von Minderjährigen.

Wichtig ist etwa, dass Cookies (oder generell andere Tracker) erst aktiviert werden, wenn die Einwilligung aktiv erteilt wurde. Ansonsten stellt ein Consent Management Tool nur ein Placebo dar.

Interessant ist zudem die Ansicht zu dem Merkmal der „Informiertheit der Einwilligung“, also welche Informationen im Einwilligungstext zu erteilen sind. Die Behörde trennt hier strikt zwischen der Informiertheit der Einwilligung und den Informationspflichten nach Art. 13 DSGVO.

Welche Informationen konkret zu erteilen sind, ergibt sich – im Unterschied zu den in Art. 13 DS-GVO normierten Informationspflichten – nicht unmittelbar aus dem Gesetz“. Die Datenschutzbehörde verweist für die „Informiertheit“ auf die Anforderungen des EDSA in den Guidelines 05/2020. Danach müssen folgende Informationen erteilt werden:

  • Identität des Verantwortlichen,
  • Verarbeitungszwecke
  • die verarbeiteten Daten,
  • die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit. c) und
  • die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S. 1 lit. a).

Erfreulicherweise gibt die Behörde auch Beispiele für Verarbeitungszwecke, die ihrer Ansicht nach nicht ausreichend sind. Etwa: „Webanalyse und Werbemaßnahmen durchzuführen“ und „Marketing, Analytics und Personalisierung“ zu ermöglichen. Und auch bei der Einbindung von Drittdiensten (was in der Praxis zumeist der Fall ist), ist die Behörde recht streng. Es genüge nicht eine Information, dass Daten an „Partner“ weitergegeben werden. Jedoch verlangt die Behörde nicht, dass die einzelnen Dritten direkt auf dem ersten Layer oder der ersten Ebene zu sehen sind. Sie müssen nur ausdrücklich benannt sein. Man könnte als annehmen, dass eine Information über einzelne Dritte auch auf der zweiten Ebene im Consent Management Tool zulässig ist.

Strenger ist die Auffassung hinsichtlich des Hinweises auf das Widerrufsrecht (Art. 7 Abs. 3 S. 3 DSGVO). Dort verlangt die Behörde explizit, dass dieser Hinweis „bereits auf der ersten Ebene des Consent-Fensters erforderlich“ sei. Dass man dies auch anders beurteilen kann, zeigt ein jüngst veröffentlichtes Urteil des LG Rostock (Az. 3 O 762/19). Das Gericht entschied dort: „Soweit der Kläger einwendet, die Information habe im Cookie-Banner selbst erfolgen müssen, so dass ein Verstoß gegen Art. 13 Abs. 2 lit. c DSGVO vorliege, teilt die Kammer diese Ansicht nicht“.

Spannend finde ich zudem noch die Ansicht der Behörde zur „Freiwilligkeit“. Zwar vertritt sie die Ansicht, dass sog. Cookie Walls unzulässig seien. „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen“. Die Datenschutzbehörde aus Niedersachsen bezieht sich hierbei auf einen beispielhaften Screenshot, in dem Nutzern ein Abo für 3 EUR im Monat angeboten wird, welches ohne ein Tracking auskommt. Die Behörde gestattet also das Modell der Alternative zwischen „Kostenlos, dafür Tracking“ und „Kostenpflichtig, dafür ohne Tracking“. Ob die in dem Beispiel genannten 3 EUR pro Monat als Maximalwert anzusetzen sind, würde ich jedoch eher ablehnen.

EuGH-Urteil zur Einwilligung: Voraussetzungen der Wirksamkeit und Anforderungen an den Nachweis

Mit Urteil vom 11.11.2020 (Rechtssache C?61/19) hat der EuGH einige relevante Aussagen rund um die Wirksamkeitsanforderungen und Nachweispflichten von Verantwortlichen bei der Einholung von Einwilligungen nach der DSGVO getroffen. Zum Teil wurde das Urteil mit der Information kommentiert, dass der EuGH nur wieder einmal festgestellt habe, dass vorangekreuzte Kästchen nicht als Einwilligung taugen. Meines Erachtens enthält das Urteil jedoch durchaus mehr datenschutzrechtlichen Sprengstoff und damit Praxisauswirkungen.

Sachverhalt

Dem Urteil lag ein Verwaltungsverfahren zwischen Orange Romania und der rumänischen Datenschutzbehörde zugrunde.  Diese stellte fest, dass Orange Romania im Zeitraum vom 1. März 2018 bis zum 26. März 2018 mit natürlichen Personen Verträge über Mobiltelekommunikationsdienste in Papierform geschlossen habe, wobei diesen Verträgen Kopien der Ausweisdokumente dieser Personen angeheftet worden seien. Orange Romania habe nicht nachgewiesen, dass ihre Kunden, deren Verträgen Kopien ihrer Ausweisdokumente angeheftet gewesen seien, eine gültige Einwilligung zur Sammlung und Aufbewahrung von Kopien dieser Dokumente erteilt hätten.

Wichtig zur Einordnung des Urteils, ist die Darstellung des damaligen Verkaufsverfahrens. Es gibt zum einen Verträge, in denen das Kästchen, das die Klausel in Bezug auf die Aufbewahrung der Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthielten, betroffen habe, angekreuzt worden sei, und zum anderen Verträge, bei denen ein solches Kreuz fehle. Orange Romania habe den Abschluss von Abonnementverträgen mit Kunden, die es abgelehnt hätten, in die Einbehaltung einer Kopie ihrer Ausweisdokumente einzuwilligen, nicht abgelehnt.

Interne Verfahren von Orange Romania zum Verkauf haben vorgesehen, dass diese Weigerung der Kunden in einem speziellen Vordruck zu dokumentieren sei, der von diesen Kunden vor Vertragsabschluss zu unterzeichnen sei.

Die Verkäufer haben die betroffenen Kunden während der Verfahren zum Abschluss Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet, bevor sie mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten hätten. Das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten sei allein auf der Grundlage der von den Betroffenen bei Vertragsschluss erklärten Zustimmung angekreuzt worden. Dieser Umstand ist wichtig: das Kästchen war nicht etwa per se vorangekreuzt. Es wurde aber, nach mündlicher Rückfrage beim Kunden, durch den Verkäufer (quasi für den Kunden) angekreuzt. Im Anschluss haben dann die Kunden den ganzen Vertrag, inklusive des dann natürlich schon angekreuzten Kästchens und der betreffenden Klausel zur Einwilligung unterzeichnet.

Der EuGH hatte hierauf basierend zwei Fragen zu beantworten:

  • ob unter diesen Umständen davon ausgegangen werden kann, dass die betreffenden Kunden in die Sammlung ihrer Ausweisdokumente und der Anheftung von Kopien davon an ihre Verträge gültig eingewilligt haben.
  • ob mit der Unterzeichnung eines Vertrags, in dem es eine Klausel über die Aufbewahrung von Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthalten, gibt, das Vorliegen einer solchen Einwilligung nachgewiesen werden kann.

Entscheidung des EuGH

Wirksamkeit der Einwilligung

Zunächst stellte sich die Frage, ob die Einwilligung zur Verarbeitung der Daten in den Ausweiskopien in der hier durchgeführten Form wirksam erteilt wurde. Der EuGH prüft die Wirksamkeit sowohl anhand der alten EU Datenschutz-Richtlinie, als auch der DSGVO.

Der EuGH verweist zunächst auf ErwG 32 und auch sein Urteil in Planet 49 (C-673/17). Danach wird ausdrücklich ausgeschlossen, dass bei „Stillschweigen, bereits angekreuzte[n] Kästchen oder Untätigkeit“ eine Einwilligung vorliegt. In einem solchen Fall ist es nämlich praktisch unmöglich, objektiv zu bestimmen, ob der Nutzer einer Website tatsächlich seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten gegeben hat, indem er die voreingestellte Markierung eines Kästchens nicht aufgehoben hat, und ob diese Einwilligung überhaupt in informierter Weise erteilt wurde. Die erforderliche Willensbekundung muss zudem „für den konkreten Fall“ erfolgen, was so zu verstehen sei, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.

Da hier die Einwilligung innerhalb des Vertragstextes enthalten war, referenziert der EuGH zudem auf Art. 7 Abs. 2 S. 1 DSGVO wonach, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, das Ersuchen um Zustimmung in einer solchen Form erfolgen muss, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Allgemein relevant ist auch die Anforderung des EuGH an das Merkmal „in informierter Weise“ (Art. 4 Nr. 11 DSGVO). Zur Ausfüllung dieser Anforderung verweist das Gericht auf die Informationspflichten nach Art. 13 DSGVO. Der für die Verarbeitung Verantwortliche muss der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lassen. Mindestinhalt der Informiertheit der Einwilligung sind danach:

  • die Art der zu verarbeitenden Daten,
  • die Identität des für die Verarbeitung Verantwortlichen,
  • die Dauer und die Modalitäten dieser Verarbeitung
  • die Zwecke, die damit verfolgt werden,

Diese Informationen müssen den Betroffenen bekannt sein. Die Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen.

Ganz entscheidend ist auch noch der Hinweis auf die erforderliche Freiwilligkeit. Nach dem EuGH muss eine echte Wahlfreiheit bestehen. Vertragsbestimmungen dürfen die Betroffenen nicht über die Möglichkeit irreführen, einen Vertrag abschließen zu können, auch wenn sich die Person weigert, in die Verarbeitung ihrer Daten einzuwilligen. Sind solche Hinweise zur Freiwilligkeit nicht vorhanden, kann die Einwilligung dieser Person in die Verarbeitung ihrer personenbezogenen Daten weder als freiwillig erteilt noch im Übrigen als in Kenntnis der Sachlage oder in informierter Weise erteilt angesehen werden.

Im konkreten Fall sah der EuGH diese Anforderungen nicht als erfüllt an.

Zum einen wurde die (durch das Verkaufspersonal) angekreuzte Klausel in Bezug auf die Verarbeitung dieser Daten nicht in einer Form präsentiert, die sie klar von anderen Vertragsklauseln unterscheidet. Zum anderen hegt das Gericht Zweifel, ob die Einwilligung in informierter Weise erteilt wurde. Kritisch sieht der EuGH den Umstand, dass sich die in Rede stehende Vertragsklausel darauf beschränkt, „ohne irgendeinen anderen Hinweis die Identifikation als Zweck für die Aufbewahrung der Kopien der Personalausweise anzugeben“. Der EuGH sieht hier wohl nicht alle Anforderungen der Informiertheit als erfüllt an. Dies muss aber das vorlegende Gericht feststellen.

Zudem sieht der EuGH wohl auch die erforderliche Freiwilligkeit hier kritisch. Das vorlegende Gericht muss prüfen, „ob die im Ausgangsverfahren in Rede stehenden Vertragsbestimmungen die betroffene Person mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten und ob damit in Frage gestellt wird, dass die in dieser Unterschrift zum Ausdruck gebrachte Einwilligung in informierter Weise und in Kenntnis der Sachlage erfolgt ist“.

Was bedeutet dies für die Praxis? Die Anforderungen an eine wirksame Einwilligung bleiben hoch. Der EuGH dekliniert hier noch einmal sehr gut die wichtigsten Anforderungen an eine Einwilligung nach der DSGVO durch. Besonderes Augenmerk muss in der Praxis in jedem Fall auf eine transparente und klare Erteilung der Einwilligung, umfassende Informationen und die Sicherstellung der Freiwilligkeit und der Hinweis auf eben diese gelegt werden.

Nachweis der Einwilligung

Spannend sind sodann die Ausführungen des EuGH zu der Nachweispflicht des Verantwortlichen. Der EuGH verweist zunächst auf die Datenschutzgrundsätze. Der Verantwortliche hat nach Art. 5 Abs. 1 lit. a DSGVO u. a. die Rechtmäßigkeit der Verarbeitung dieser Daten zu gewährleisten. Zudem muss er, wie Art. 5 Abs. 2 DSGVO klarstellt, in der Lage sein, diese Rechtmäßigkeit nachzuweisen. Nach Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf einer Einwilligung beruht.

Vorliegend sind die Kunden nach Aussage von Orange Romania während der Verfahren zum Abschluss der Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet worden. Danach hätten die Mitarbeiter mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten und das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten angekreuzt.

Dies genügt dem EuGH offensichtlich nicht.

Da die betroffenen Kunden das Kästchen, das diese Klausel betrifft, anscheinend

nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden in die Sammlung und Aufbewahrung einer Kopie ihrer Personalausweise nachzuweisen“.

Nach Ansicht des EuGH reicht der Umstand, dass die Kunden die Verträge mit dem angekreuzten Kästchen unterzeichnet haben,

„für sich genommen nicht aus, um eine solche Einwilligung nachzuweisen, sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“.

Meines Erachtens bedeutet dies für die Praxis, dass etwa allein der interne Vermerk „Kunde hat zugestimmt“ durch einen Mitarbeiter im Rahmen von Kundengesprächen nicht als Nachweis einer erteilten Einwilligung ausreicht. Dies dürfte vor allem für Telefongespräche oder auch allgemein Verkaufsgespräche relevant sein, in denen der Mitarbeiter des Unternehmens während des Gesprächs parallel zB einen Vertrag ausfüllt. Man denke hier insbesondere auch an Call-Center. Im Grunde ist das Urteil für jegliche Situation relevant, in der die Einwilligung mündlich erteilt wird.

Der EuGH sieht diese Art der Nachweisführung jedoch nicht per se als ungeeignet an. Er ergänzt ausdrücklich „sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“. Das bedeutet, dass Unternehmen in der Praxis durchaus das Häkchen für den Kunden setzen dürfen, dies jedoch nur dann der Nachweispflicht genügt, wenn zusätzlich (prozessuale) Maßnahmen vorgesehen sind, die belegen können, dass der Betroffene die Einwilligung selbst und die dazugehörigen Informationen auch zur Kenntnis genommen hat. Der Nachweis, dass der Vertrag mit der entsprechenden Klausel unterzeichnet wurde, reicht nicht aus.

Die Anforderung des EuGH, dass der Kunde die Klausel wirklich auch gelesen haben muss, ist meines Erachtens eher im Sinne einer „Kenntnisnahme“ zu verstehen. Denn wir soll man als Verantwortlicher in der Praxis sicherstellen, dass ein Betroffener wirklich den Text liest? Selbst wenn man ihm die Klausel zum Lesen vorlegt, könnte er ja (salopp formuliert) nur auf das Blatt starren. In diesem Fall zu fordern, dass das Unternehmen den Nachweis des Lesens erbringt, halte ich persönlich für überspitzt.

Justizministerium veröffentlicht Referentenentwurf zur Umsetzung der Richtlinie über digitale Inhalte – Vom „Zahlen mit Daten“ und der Vertragsnichtigkeit bei DSGVO-Verstößen

Am 3. November hat das BMJV den lang erwarteten Referentenentwurf zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen veröffentlicht (pdf). Dieser soll die Vorgaben der Richtlinie 2019/770 in das deutsche Recht umsetzen.

Ganz allgemein bietet der Referentenentwurf eine Fülle an spannenden Themen rund um die Digitalisierung, insbesondere etwa eine Updatepflicht (inkl. der Frage, inwieweit Verbraucher hierbei mitwirken müssen) (§ 327 f BGB) für Unternehmen und auch Vorschriften zu Mängelrechten, wenn digitale Produkte (dies umfasst digitale Inhalte und Dienstleistungen) nicht frei von Produkt- und Rechtsmängeln sind (§ 327e BGB).

Daneben bietet der Entwurf spannende Überschneidungen zum Datenschutzrecht. Auf einige solcher Themenkomplex möchte ich hier kurz eingehen. Weitere Beiträge zu dem Vorhaben folgen sicherlich noch.

Verträge, bei denen „mit Daten bezahlt“ wird

Der Referentenentwurf schlägt einen neuen § 312 Abs. 1a BGB vor, mit dem nun auch ausdrücklich geregelt werden soll, dass die Verbraucherschutzvorschriften auf Verträge Anwendung finden, die ein „Bezahlen mit Daten“ zum Gegenstand haben. Der neue Abs. 1a lautet:

Die Vorschriften der Kapitel 1 und 2 dieses Untertitels sind auch auf Verbrauchervertra?ge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet.“

Zunächst ist festzustellen, dass sich die Vorschrift nur auf personenbezogene Daten bezieht; also nicht auf technische Informationen. Was personenbezogene Daten sind, ergibt sich aus der Legaldefinition des Art. 4 Nr. 1 DSGVO.

Nach Satz 2 ausgenommen sein sollen jene Verarbeitungen, die zur Erfüllung des Vertrages oder auch gesetzlicher Pflichten erforderlich sind. Nach der Begründung dürfte dies etwa einschlägig sein bei der „Erhebung personenbezogener Daten des Verbrauchers wie Name, Postanschrift oder E-Mail-Adresse, die der Unternehmer benötigt, um seinem Vertragspartner die vereinbarte Leistung zukommen zu lassen“. Eine weitere Ausnahme betrifft Datenverarbeitungen, zu denen der Unternehmer aufgrund gesetzlicher Anforderungen, laut der Begründung „etwa nach Steuer- oder Ordnungsrecht, verpflichtet ist“. Es geht bei den für den Anwendungsbereich relevanten Daten also stets um ein „Mehr“ an Zwecken bzw. Datenverarbeitungen. Auch eine Zweckänderung von Daten kann zur Anwendung der neuen Vorschriften führen.

Datenschutzverstoß führt nicht zur Nichtigkeit des Vertrages

Interessant ist die folgende Begründung im Entwurf: „Auf die Frage der datenschutzrechtlichen Rechtma?ßigkeit der Datenverarbeitung kommt es für die Anwendbarkeit der §§ 312 ff. BGB-E nicht an“. Dies wird damit begründet, dass es aus Sicht des Verbrauchers nicht nachteilig sein darf (er also nicht auf die Einhaltung verbraucherschützender Vorschriften vertrauen darf), wenn die Datenverarbeitung unzulässig ist.

Ganz abstrakt relevant ist die Ansicht des BMJV, dass Verstöße gegen die Vorgaben der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO keine Regelungen betreffen, die sich gegen den Abschluss eines mit der Datenerhebung verbundenen Rechtsgeschäfts wenden. In der Begründung wird etwa auf Art. 6 Abs. 1 lit. a, b und f DSGVO verwiesen. Das bedeutet nach Ansicht des BMJV auch, dass „ein Verstoß gegen die entsprechenden Vorschriften der Datenschutz-Grundverordnung die Wirksamkeit des Vertrags mit Blick auf § 134 BGB unberührt“ lässt.

Diese Ansicht ist deshalb ganz allgemein von praktischer Relevanz, da es in der Vergangenheit bereits anderslautende Rechtsprechung gab, etwa im Fall des OLG Frankfurt a.?M., Urteil vom 24.1.2018 – 13 U 165/16. Dort ging das Gericht (noch zum alten Datenschutzrecht, konkret zu § 28 Abs. 3 BDSG aF) davon aus, dass sowohl ein Verstoß gegen § 28 Abs. 3 S. 1 BDSG aF als auch ein Verstoß gegen § 7 Abs. 3 Nr. 3 UWG zu einer Nichtigkeit des gesamten Vertrags gemäß § 134 BGB führt.

Schon die „Bereitstellung“ genügt

Beachtenswert ist, dass Verträge bereits dann erfasst werden, wenn personenbezogene Daten bereitgestellt werden oder sich der Verbraucher hierzu auch nur verpflichtet.

Nach der Begründung ist der „Begriff der Bereitstellung personenbezogener Daten ist im weitest möglichen Sinne zu verstehen und umfasst alle Verarbeitungen von personenbezogenen Daten des Verbrauchers durch den Unternehmer, unabhängig von der Art und Weise der Verarbeitung“.

Ausdrücklich nicht erforderlich ist daher, dass der Verbraucher dem Unternehmer seine personenbezogenen Daten aktiv übermittelt. Ausreichend soll vielmehr sein, dass der Verbraucher die Verarbeitung seiner personenbezogenen Daten durch den Unternehmer zulässt.

Und hier nennt das BMJV einige interessante Fälle für die Praxis:

Dies kann bereits im Zeitpunkt des Vertragsschlusses geschehen sein oder auch im weiteren Verlauf erfolgen. Eine Bereitstellung liegt auch vor, wenn der Unternehmer Cookies setzt oder Metadaten wie Informationen zum Gerät des Verbrauchers oder zum Browserverlauf erhebt, soweit der betreffende Sachverhalt als Vertrag anzusehen ist“.

Dies bedeutet, dass das BMJV von einem „Bereitstellen“ und damit der Anwendung der Verbraucherschutzvorschriften ausgeht, wenn Unternehmen Cookies auf Geräten der Nutzer setzen, um hierüber personenbezogene Daten zu erheben. Man darf davon ausgehen, dass Cookies nur ein möglicher Anwendungsfall sind und dies etwa auch für Pixel oder Scripte gelten wird.

Bundesdatenschutzbeauftragter: Prüfschema für Datentransfers in Drittländer

Die Auswirkungen des EuGH-Urteils in Schrems II (C-311/18) sind in der Praxis weiterhin ein wichtiges Thema. Viele Unternehmen versuchen (Anm: viel mehr geht aktuell wohl auch nicht), ihre eigenen Datentransfers zu prüfen und, wo möglich, zusätzliche Garantien mit Datenempfängern zu vereinbaren. Wie diese vom EuGH angesprochenen „zusätzlichen Maßnahmen“ (Rz. 133) konkret aussehen, wissen wir immer noch nicht. Der EDSA soll hierzu wohl noch Leitlinien veröffentlichen.

Bis es soweit ist, könnte für Unternehmen eventuell auch eine Veröffentlichung des Bundesbeauftragten für Datenschutz (BfDI) interessant sein. Der BfDI veröffentlicht auf seiner Webseite ein „Prüfschema Drittländertransfer“ (PDF). Laut den Angaben auf der Webseite dient das Prüfschema „der strukturierten Überprüfung zum Datentransfer in Drittländer“. Zudem verlangt der BfDI, dass das Ergebnis dieser Prüfung nachvollziehbar und überprüfbar dokumentiert wird. Zwar ist der BfDI vor allem für die öffentlichen Stellen des Bundes und im privatwirtschaftlichen Bereich für Unternehmen aus den Branchen Post und Telekommunikation zuständig. Nichts desto trotz kann ein Blick in das Prüfschema meines Erachtens auch für Unternehmen, die nicht direkt der Aufsicht des BfDI unterliegen, sinnvoll sein. Denn wie sagt ein von mir sehr geschätzter Landesbeauftragter immer (frei zitiert): „Kein Unternehmen muss schlauer als die Aufsichtsbehörde sein“.

Das Prüfschema enthält verschiedene Prüfschritte:

  • Datentransfers prüfen
  • Vorliegen Angemessenheitsbeschluss
  • Schutzniveau im Drittland: Einzelfallanalyse
  • Prüfung Schutzmechanimus
  • Definierung zusätzlicher Maßnahmen
  • Implementierung zusätzlicher Maßnahmen
  • Ausnahmen nach Art. 49 DSGVO
  • Dokumentation
  • Meldung an die Aufsichtsbehörde

Ganz interessant in Bezug auf die Frage, ob Standardvertragsklauseln (SCC) genehmigungsfrei angepasst werden dürfen (hier meine Meinung zu dieser Frage), finde ich die folgende Aussage des BfDI:

Hinweis: Eigenständige vertragliche Lösungen bedürfen als ad-hoc-Klauseln einer Genehmigung durch die zuständige Aufsichtsbehörde. Änderungen an Standard-Datenschutzklauseln behalten ihre Gemehmigungsfreiheit nur, solange diese weder mittelbar noch unmittelbar im Widerspruch zum Inhalt der erlassenen Standard-Datenschutzklauseln stehen“.

Der BfDI geht also meiner Ansicht davon aus, dass 1) eine Anpassung der SCC nicht per se zur Genehmigungspflicht führt und 2), dass die Genehmigungsfreiheit dann besteht, wenn die Anpassungen nicht im „Widerspruch“ zu den Klauseln stehen. Dies ist aus praktischer Sicht auf jeden Fall begrüßenswert. Natürlich wird in der Praxis dann immer die entscheidende Frage sein, wann denn ein solcher Widerspruch vorliegt.

Europäischer Datenschutzbeauftragter: Strategie für EU-Institutionen zur Einhaltung des „Schrems II“-Urteils

Der Europäische Datenschutzbeauftragte (EDPS), also die Aufsichtsbehörde für die Institutionen der EU, hat gestern ein interessantes Papier für eine Stratege zur Einhaltung der Vorgaben des Schrems II Urteils des EuGH veröffentlicht (pdf). Dort wird dargelegt, wie nach Ansicht der Aufsichtsbehörde die EU-Institutionen nun kurz- und mittelfristig mit Datentransfers in Drittländer (insbesondere die USA) umgehen sollten.

Die Vorgaben und Empfehlungen des EDPS sind meines Erachtens auch eine gute Arbeitshilfe für Unternehmen im privatwirtschaftlichen Bereich, die ja vor derselben Herausforderung stehen.

Ziel der Strategie

Nach Aussage des EDPS zielen die Strategie und darin enthaltende Empfehlungen darauf ab, die Einhaltung des Urteils durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union zu gewährleisten und zu überwachen. Das Dokument befasst sich sowohl mit kurz- als auch mit mittelfristigen Maßnahmen für die EU-Institutionen und den EDPS.

Inhalt der Strategie

Die Vorgaben unterscheiden zwischen kurzfristigen und mittelfristigen Einhaltungsmaßnahmen wurde. Als kurzfristige Maßnahme erließ der EDPS am 5. Oktober 2020 eine Anweisung an die EU-Institutionen, eine Bestandsaufnahme durchzuführen, um festzustellen, bei welchen laufenden Verträgen, Beschaffungsverfahren und anderen Arten der Zusammenarbeit Daten übertragen werden. Als mittelfristige Maßnahme wird der EDPS Leitlinien bereitstellen und von Fall zu Fall Maßnahmen zur Einhaltung und/oder Durchsetzung der Datenschutzvorschriften bei Übermittlungen in die Vereinigten Staaten oder andere Drittländer verfolgen. Zudem sollen die EU-Institutionen aufgefordert werden, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um für den jeweiligen Transfer zu ermitteln, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau, wie es in der EU/EWR vorgesehen ist, gewährleistet ist.

Nachfolgend eine Übersicht zu den Vorgaben mit einer eigenen Übersetzung. Ich denke, dass man aus Sicht eines Unternehmens nicht alle Vorgaben direkt übernehmen kann. Jedoch ist dieser Umsetzungsplan des EDPS ein guter Anhaltspunkt, wie man im Unternehmen sein eigenes „Schrems II-Projekt“ aufsetzen könnte.

Der EDPS hält einen zweigleisigen Ansatz für den geeignetsten:

(1) Ermittlung dringender Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften durch einen risikobasierten Ansatz für Übermittlungen in die USA, die für die betroffenen Personen mit hohen Risiken verbunden sind, und parallel dazu

(2) Bereitstellung von Leitlinien und Verfolgung mittelfristiger fallweiser Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften des EDPS für alle Übermittlungen in die USA oder in andere Drittländer.

Die Strategie des EDPS zur Gewährleistung und Überwachung der Einhaltung des Urteils ist im Wesentlichen in zwei Phasen mit kurz- und mittelfristigen Maßnahmen unterteilt.

1. Kurzfristig – Bestandsaufnahme (mapping) und unmittelbare Einhaltungsprioritäten

Bestandsaufnahme

Der EDPS erteile EU-Institutionen die Anweisung, eine Bestandsaufnahme aller laufenden Verarbeitungsvorgänge und Verträge durchzuführen, die Übermittlungen in Drittländer beinhalten. Die Institutionen werden aufgefordert, bis Ende Oktober eine Bestandsaufnahme durchzuführen, um Datenübermittlungen für laufende Verträge, Beschaffungsverfahren und andere Arten der Zusammenarbeit zu ermitteln. Die Bestandsaufnahme der EU-Institutionen sollte folgend Daten enthalten:

  • die Verarbeitungsvorgänge,
  • die Bestimmungsorte,
  • die Empfänger,
  • die verwendeten Übertragungsinstrumente,
  • die Arten der übertragenen personenbezogenen Daten,
  • die Kategorien der betroffenen Personen sowie
  • Informationen über Weiterleitungen beschreiben.

Rückmeldung an den EDPS

Bis spätestens 15. November 2020 sollen die EU-Institutionen dem EDPS über spezifische Risiken und Lücken berichten, die sie bei dieser Bestandsaufnahme ermittelt haben. Darüber hinaus müssen sie dem EDPS spezifische und transparente Informationen über drei Hauptkategorien von Datenübermittlungen vorlegen, die wahrscheinlich höhere Risiken für die Rechte und Freiheiten natürlicher Personen bergen und vom EDPS vor Ende 2020 als Aufsichtsprioritäten ermittelt wurden:

  • illegale Übermittlungen, die nicht auf einem Übermittlungsinstrument beruhen;
  • Übermittlungen, die auf einer Ausnahmeregelung nach Artikel 50 der Verordnung beruhen; und
  • „risikoreiche Übermittlungen“ in die USA an Stellen, die eindeutig unter Abschnitt 702 FISA oder E.O. 1233319 fallen und bei denen es sich entweder um groß angelegte Verarbeitungsvorgänge oder komplexe Verarbeitungsvorgänge oder um die Verarbeitung sensibler Daten oder Daten sehr persönlicher Art handelt.

Auf der Grundlage dieser ersten Berichterstattung kann der EDPS Durchsetzungsmaßnahmen ergreifen, um diese Übermittlungen mit der Verordnung in Einklang zu bringen oder diese Übermittlungen gegebenenfalls auszusetzen.

2. Mittelfristig – Leitlinie des EDSA und Transfer Impact Assessments

Transfer Impact Assessments (TIAs)

Die EU-Institutionen werden aufgefordert, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um festzustellen, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/EWR gewährleistet ist.

Im Anschluss an die erwartete Leitlinie des Europäischen Datenschutzausschusses zu geeigneten ergänzenden Maßnahmen wird der EDPS eine Liste von Vorfragen für Verantwortliche zur Verfügung stellen, damit diese TIAs mit Datenimporteuren einleiten können.

Auf der Grundlage dieser Bewertungen, die mit Hilfe von Datenimporteuren durchgeführt werden, sollten die EU-Institutionen eine Entscheidung darüber treffen, ob es möglich ist, die in der Bestandsaufnahme ermittelten Transfers fortzusetzen.

Rückmeldung an den EDPS

Abhängig vom Ergebnis der TIAs sollen die EU-Institutionen dem EDPS im Laufe des Frühjahrs 2021 über die folgenden drei Kategorien von Datentransfers Bericht zu erstatten:

  • Übermittlungen in ein Drittland, die kein im Wesentlichen gleichwertiges Schutzniveau gewährleisten;
  • Übermittlungen, die ausgesetzt oder beendet werden, sind gemäß Art. 47 Abs. 2 der Verordnung 2018/1725 zu melden, wenn die EU-Institution der Auffassung ist, dass das Drittland kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet;
  • Bei Übertragungen, die auf Ausnahmeregelungen beruhen, sind Kategorien von Fällen, in denen Art. 50 der Verordnung 2018/1725 angewandt wurde, gemäß Art. 50 Abs. 6 der Verordnung zu melden.

Verwaltungsgericht Berlin: wann bestehen „begründete Zweifel“ an der Identität des Betroffenen im Rahmen einer Auskunft?

Das Verwaltungsgericht Berlin (VG) hatte mit Urteil vom 31.8.2020 (1 K 90.19) in einem Fall zu entscheiden, in dem es um die Frage ging, wann ein datenschutzrechtlich Verantwortlicher (hier: das Amtsgericht Tiergarten) „begründete Zweifel“ an der Identität eines Betroffenen gegen einen Auskunftsanspruch vorbringen kann.

Sachverhalt

Der Kläger begehrte schriftliche Auskunft über die beim Amtsgericht Tiergarten zu seiner Person gespeicherten persönlichen Daten. Diesen Auskunftsantrag lehnte der Präsident des Amtsgerichts Tiergarten mit Bescheid vom 17. Januar 2019 ab, weil der Kläger seine Identität nicht in der erforderlichen Form nachgewiesen habe. Der Präsident des Amtsgerichts Tiergarten verlangte hierzu die Vorlage einer Kopie des Personalausweises des Klägers. Der Widerspruch des Klägers hatte keinen Erfolg und er klagte schließlich gegen die Ablehnung.

Entscheidung

Das VG gab der Klage statt. Nach Ansicht des Gerichts konnte sich das Amtsgericht hier nicht auf die Ausnahmeregelung in § 59 Abs. 4 BDSG berufen. Dort ist geregelt, dass der Verantwortliche, wenn er begründete Zweifel an der Identität einer betroffenen Person hat, er von ihr zusätzliche Informationen anfordern kann, die zur Bestätigung ihrer Identität erforderlich sind. Die Vorschrift geht auf Art. 12 der Richtlinie 2016/680 zurück, die für Datenverarbeitungen im Bereich Polizei und Justiz.

Eine ähnliche Regelung findet sich praktisch wortgleich auch in Art. 12 Abs. 5 DSGVO. Aus diesem Grund ist die Begründung des VG in seiner Entscheidung meines Erachtens auch für Unternehmen im Anwendungsberiech der DSGVO interessant.

Strittig war hier also allein die Frage, ob der Kläger sich in der vom Beklagten verlangten qualifizierten Form legitimieren muss, um die beantragte schriftliche Auskunft erhalten zu können. Dies sieht das VG nicht so.

Zunächst interpretiert das VG den Begriff der „begründeten Zweifel“. Es geht davon aus, dass der auskunftspflichtige Verantwortliche ohne besonderen keinen Identitätsnachweis von einem Antragsteller verlangen darf.

Fraglich war dann, ob ein solcher besonderer Anlass oder besondere Umstände vorlagen. Auch dies lehnt das Gericht ab. Der Kläger als Betroffener begehrte Auskunft (wohl) auf postalischem Weg. Die Anschrift des Klägers war dem Amtsgericht aber schon seit längerem bekannt. Das Amtsgericht Tiergarten hatte dem Kläger schon in der Vergangenheit verschiedene Entscheidungen unter seiner gegenwärtigen Adresse übersandt.

Zudem, und dies ist auch ein interessanter Punkt in der Begründung, fehlt nach Ansicht des VG jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte.

Das VG argumentiert also wie folgt: wenn die postalische Adresse schon bisher genutzt wurde, um mit dem Betroffenen zu kommunizieren und keine Anhaltspunkte für unzulässiges Handeln Dritter erkennbar sind, kann man nicht von „begründeten Zweifeln“ ausgehen.

Zuletzt führt das VG aus, dass das Amtsgericht als Verantwortlicher durch eine förmliche Zustellung seines Auskunftsschreibens dessen Fehlleitung unterbinden kann. Auch dieser Hinweis ist für den Anwendungsbereich der DSGVO relevant und meines Erachtens auch in der Praxis dringend anzuraten. Der Versand von Auskunftsschreiben sollte nachweisbar erfolgen (allein um auch die Fristen einzuhalten). Also etwa per Einschreiben.

Fazit

Die Begründung des VG ist meines Erachtens schlüssig. Auch wenn man für den postalischen Auskunftsweg hypothetische Unsicherheitsfaktoren berücksichtigen kann (Bsp: jemand fängt den Brief ab), darf dies nicht per se dazu führen, dass eine Auskunft verweigert wird. Ist aus vergangener Korrespondenz klar, dass der Betroffene unter dieser Adresse kommuniziert, müssten besondere Anhaltspunkte hinzutreten, um „begründete Zweifel“ an der Identität annehmen zu können.

Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW

Nach dem Schrems II Urteil des EuGH (C-311/18) versuchen europäische Verantwortliche und Auftragsverarbeiter, den Einsatz von Dienstleistern aus Drittstaaten und natürlich insbesondere aus den USA den Anforderungen des EuGH anzupassen. Immer wieder diskutiert wird in diesem Zusammenhang auch, ob nicht eine Verlagerung der Daten auf Server in der EU eine Lösung wäre, selbst wenn diese durch ein Tochterunternehmer einer US-Muttergesellschaft betrieben werden. Denn in diesem Fall würde ja keine Übermittlung von Daten in die USA stattfinden.

US CLOUD Act

Wenn personenbezogene Daten über eine Tochtergesellschaft (oder direkt eine Niederlassung) einer amerikanischen Muttergesellschaft auf Server in Europa gehostet werden, wird in der Diskussion um mögliche Alternativen nach Schrems II oft der US CLOUD Act als Problem angeführt. Der US CLOUD Act (PDF) wurde im Jahr 2018 vom US-Kongress verabschiedet. Ziel des Gesetzes ist es u.a., US-Behörden das Recht zu geben, Daten von Unternehmen, die dem US-Recht unterliegen, für Strafverfolgungszwecke anzufordern. Explizit auch solche Daten, die außerhalb der USA gespeichert sind. Das bedeutet, dass auch personenbezogene Daten auf Servern in Europa angefordert werden können.

Gegebenenfalls kann es dann zu einem Konflikt zwischen US-Recht und der DSGVO kommen. Hierzu hatten sich schon einmal der EDSA und der EDSB in einer Stellungnahme geäußert (PDF).

Ein wichtiger Punkt im Rahmen des US CLOUD Act ist die Möglichkeit für betroffene Unternehmen, gegen eine behördliche Anfrage vorzugehen („may file a motion to modify or quash the legal process“). Zwar besteht diese Möglichkeit im Grundsatz, jedoch nur, wenn gewisse Voraussetzungen erfüllt sind. Eine dieser Voraussetzungen ist, dass das Unternehmen gegen das Recht einer sog. „qualifying foreign government“ verstößt. Hierbei handelt es sich um Länder, die mit den USA ein spezielles executive agreement unter dem CLOUD Act abgeschlossen haben (“with which the United States has an executive agreement that has entered into force under section 25239”). Ein solches Abkommen hat bisher nur das Vereinigte Königreich mit den USA abgeschlossen. Die EU verhandelt zu diesem Thema noch mit den USA.

Ansicht der Landesregierung NRW

In einer aktuellen Antwort (PDF) aus Anfang Oktober 2020 im Landtag NRW hat sich die Landesregierung NRW nun zu diesem Themenkomplex geäußert. Es ging dort um „LOGINEO NRW“, konkret den LOGINEO NRW Messenger. Der Messenger wird über einen AVV mit einem Dienstleister betrieben, der wiederum als Subdienstleister die „AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg“ einsetzt, also ein Tochterunternehmen von Amazon Web Services, Inc. In der Frage an die Landesregierung wird daher auch auf den US CLOUD Act und einen möglichen Konflikt mit der DSGVO eingegangen.

Die Landesregierung führt zunächst aus, dass sich die Betriebsserver für den Messengerdienst in einem zertifizierten Rechenzentrum in Frankfurt am Main befinden. Damit würden die Datenschutzgrundverordnung und das nationale Datenschutzrecht gelten. Diese Aussage ist meines Erachtens zumindest missverständlich. Denn allein der Serverstandort (oder: Ort der Datenspeicherung) ist für die Anwendbarkeit der DSGVO nicht relevant. Man wird hier aber in Bezug auf AWS mindestens von der Anwendbarkeit der DSGVO über Art. 3 Abs. 1 DSGVO ausgehen können.

Sodann verweist die Landesregierung für die DSGVO-Compliance darauf, dass es AWS, nach der zu schließenden Auftragsverarbeitungsvereinbarung (diese ist auf der Webseite des Messengers abrufbar), untersagt sei, Daten außerhalb der EU und des europäischen Wirtschaftsraumes zu verarbeiten. Damit verweist die Landesregierung im Grunde auf den Zielkonflikt, dem Unternehmen unterliegen: welches Recht halten wir ein bzw. brechen wir? Wenn sich also hier z.B. der CLOUD Act und die DSGVO gegenüberstehen und die Unternehmen zwischen den Stühlen sitzen. Natürlich ist es möglich, dass vertraglich eine Weitergabe untersagt ist. Rein objektiv betrachtet wird es aber Situationen geben, in denen Unternehmen vor die Wahl gestellt sind, welcher Rechtsordnung sie den Vorzug geben. Dass dies nicht die gewünschte Situation sein kann, ist natürlich auch klar.

Zudem führt die Landesregierung konkret zum US CLOUD Act an:

Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.

Diese Aussage ist sicher auf für Unternehmen interessant, die gerade über eine Verlagerung der Datenspeicherung nach Europa denken. Nach Ansicht der Landesregierung ist der Prozess, der dem US CLOUD Act zugrunde liegt, nämlich jenem in Deutschland vergleichbar. Die Landesregierung argumentiert für die Zulässigkeit des Einsatzes von US-Dienstleistern (bzw. deren Tochtergesellschaften) also mit einer Vergleichbarkeit der Rechtslagen in den USA und Deutschland. Oder anders ausgedrückt: die Landesregierung sieht hier wohl Argumentationsspielraum dafür, von einer Gleichwertigkeit des Schutzniveaus für Daten auszugehen. Ich möchte hinsichtlich des Prozesses und konkret der Widerspruchsmöglichkeit für Unternehmen aber auch auf meine Ausführungen oben verweisen.

Interessant ist auch der Hinweis der Landesregierung, dass die Daten der Kommunikation sowohl „bei der Übertragung zwischen den Endgeräten der Nutzer und AWS als auch während der Speicherung bei AWS verschlüsselt“ seien und von an der Kommunikation Unbeteiligten nicht gelesen werden könnten. Meines Erachtens stellt sich dann aber die Frage, ob denn überhaupt eine Auftragsverarbeitungssituation vorliegt, wenn AWS keinen Zugriff auf verschlüsselte Daten hat. Bzw. wozu wird ein AVV abgeschlossen, wenn der Dienstleister gar nicht auf personenbezogene Daten zugreifen kann?

Ob die Ansicht zum US CLOUD Act auch deutsche Datenschutzbehörden teilen würden, ist meines Erachtens zumindest fraglich. Denn wie oben verlinkt, hat der EDSA sich zum US CLOUD Act bereits einmal inhaltlich geäußert und sieht wohl datenschutzrechtliche Probleme. Ich finde die Ansicht der Landesregierung dennoch interessant und meines Erachtens macht es für Unternehmen im Rahmen des internen Mappings von Drittlandsübermittlungen und der Prüfung des Schutzniveaus bei Empfängern in Drittländern durchaus Sinn, auch die Vorgaben des US CLOUD Act zu betrachten. Denn sollte es von Aufsichtsbehörden diesbezüglich, zB im Rahmen einer Prüfung, zu Rückfragen kommen, ist eine entsprechend dokumentierte Auseinandersetzung mit der Rechtslage in dem Drittland zu empfehlen.