Category Archives: Datenschutz-Grundverordnung

AG Mannheim: Gemeinsame Verantwortlichkeit von Wohnungseigentümern und Verwalter – Anforderungen an die Art. 26-Vereinbarung

Posted on by

Auf europäischer Ebene nimmt die Figur der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) durch die Rechtsprechung des Europäischen Gerichtshofs aktuell eine wichtige Rolle ein. Nationale Gerichtsentscheidungen hierzu sind jedoch noch Mangelware. Umso interessanter ist daher ein neues Urteil des Amtsgerichts Mannheim (Urt. v. 11.09.2019 – 5 C 1733/19 WEG).

Das AG geht in seinem recht ausführlichen Urteil sowohl auf die Einordnung von an einer Datenverarbeitung beteiligten Parteien ein, als auch auf die Inhalte der Vereinbarung nach Art. 26 DGSVO.

Sachverhalt

Dem Klageverfahren lag ein Streit zwischen Wohnungseigentümern über Beschlüsse der Wohnungseigentümergemeinschaft (WEG) zugrunde, die sich inhaltlich mit der Umsetzung der DSGVO in der WEG befassten. Die Parteien streiten um die Gültigkeit verschiedener Beschlüsse zur Umsetzung der DSGVO aus einer Eigentümerversammlung.

Die WEG wird von einer Immobilienverwaltung (Beigeladene in dem Verfahren) verwaltet. In einer Eigentümerversammlung haben die Eigentümer verschiedene Beschlüsse zur Umsetzung der DGSVO gefasst. U.a. heißt es im Vorwort eines Beschlusses: „Verantwortlicher für alle datenschutzrechtlichen Belange der WEG im Sinne der Datenschutzgrundverordnung ist die Wohnungseigentümergemeinschaft“. Und in einem anderen: „Die Weitergabe von personenbezogenen Informationen durch die Wohnungseigentümergemeinschaft an Dritte (Verwalter, Abrechnungsunternehmen, Handwerker usw.) zum Zwecke der auftragsgemäßen Verarbeitung darf nach Art. 28 DSGVO nur auf der Grundlage Auftragsverarbeitungsvertrages erfolgen.

Die Kläger ordnen die datenschutzrechtlichen Verantwortlichkeiten anders als in den Beschlüssen dargestellt ein. Nur der beauftragte Verwalter erhebe und verwalte im Rahmen seines Verwaltervertrages personenbezogene Daten und sei daher für die Datenverarbeitung innerhalb seines Geschäftsbetriebes (Allein-)Verantwortlicher.

Die Beklagten sind der Ansicht, dass der Verwalter für die Verarbeitung von Daten der Wohnungseigentümergemeinschaft Auftragsverarbeiter, bzw. allenfalls nur gemeinsam mit der Wohnungseigentümergemeinschaft verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO sei, je nach Einordnung der datenschutzrechtlichen Stellung eines Wohnungseigentumsverwalters.

Im Grunde geht es vorliegend also um die Einordnung der datenschutzrechtlichen Verantwortlichkeiten.

Entscheidung

Das AG wies die Klage als unbegründet ab.

Nach Ansicht des Gerichts richtet sich die datenschutzrechtliche Vereinbarung wie streitgegenständlich, nach Maßgabe der DSGVO nach Art. 26 DSGVO,

denn zur Überzeugung des Gerichts ist der Verwalter Mitverantwortlicher im Sinne des Art. 26 DSGVO“.

Das AG leitet seine Begründung zunächst aus den Definitionen der DSGVO und der Rechtsprechung des EuGH her.

Gemeinsame Verantwortlichkeit

Zurecht weist das AG darauf hin, dass es für die Bestimmung der Verantwortlichkeit allein maßgeblich ist, wer die Entscheidungskompetenz innehat, über den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu entscheiden.

Leider wird das AG danach in seiner Begründung, wo genau die gemeinsame Verantwortlichkeit liegt, meines Erachtens etwas ungenau. Zuletzt hatte ja der EuGH in FashionID (C-40/17) deutlich gemacht, dass eine gemeinsame Verantwortlichkeit anhand einzelner Verarbeitungsphasen zu bestimmen ist (dort: Erhebung und Übermittlung). Eine gemeinsame Verantwortlichkeit für einen Geschäftsvorgang oö, kann es sicher geben. Jedoch wäre auch dies anhand der innerhalb dieses Vorgangs stattfindenden Verarbeitungsphasen zu bestimmen.

Das AG setzt sich vorliegend jedoch nicht mit einzelnen Verarbeitungsphasen und den Einflussmöglichkeiten der Beteiligten hierauf auseinander.

Nach Ansicht des AG entscheidet die WEG mit der Bestellung eines Verwalters über das „Wie“ und „Warum“ der Datenverarbeitung. Der Verwalter bestimme dann in der Folge über das „Wie“ und das „Warum“ der Erhebung und Verarbeitung. Im Rahmen der WEG-Verwaltung erhebe und verarbeite er sodann Daten der WEG, wie etwa Namen und Anschriften der Eigentümer, im Rahmen der Verbrauchserfassung und Abrechnung eventuell auch Daten von Mieter und Nutzer von Wohnraum, Daten von Dienstleistern der WEG wie beispielsweise Handwerker.

Für die Verwaltung des gemeinschaftlichen Eigentums sind, wenn ein Verwalter bestellt ist, die Wohnungseigentümer sowie die Verwaltung oder ein Verwaltungsbeirat verantwortlich, sodass zumindest eine Alleinverantwortlichkeit des Verwalters, auch im Lichter europäischen Rechtsprechung … nicht besteht“.

Dass nach Außen nur der Verwalter agiert, ändert an der Einschätzung des AG zur gemeinsamen Verantwortlichkeit nichts. Das AG verweist hierzu ebenfalls auf die Rechtsprechung des EuGH und den Schutz der Betroffenenrechte:

Die Betroffenen sollen im Außenverhältnis gegenüber allen einen Anspruch haben, die für Datenerhebung und Verarbeitung personenbezogener Daten verantwortlich sind, wenn ihr Handeln über das eines Auftragsverarbeiters, also ihr Handeln über eine bloße Hilfsfunktion bei der Erhebung und Verarbeitung personenbezogener Daten hinausgeht“.

Nach Ansicht des AG geht die Tätigkeit des Verwalters über diese Hilfsfunktionen hinaus, wenn im Rahmen der laufenden Verwaltung für die WEG personenbezogene Daten der WEG verwaltet werden. Da die Wohnungseigentümergemeinschaft die Datenerhebung veranlasst habe, durch Bestellung des WEG-Verwalters, sei deshalb – zum Schutze der Betroffenen – auch nach der weiten Auslegung des EuGH – von einer Mitverantwortlichkeit des Verwalters i.S.d. Art. 26 DSGVO auszugehen.

Abgrenzung zur Auftragsverarbeitung

Danach geht das AG kurz auf die Abgrenzung zur Auftragsverarbeitung ein. Es sei sachfremd und in der Praxis kaum vorstellbar, dass der Verwalter im Rahmen seiner Pflichten gem. § 27 WEG sowie den vertraglich festgelegten Pflichten des Verwalters für jede Maßnahme die Weisung seines Auftragsgebers einholt. Nach Ansicht des AG darf es sich bei der Auftragsverarbeitung nur um eine datenverarbeitende Hilfsfunktion handeln. Das bedeute, dass keine Leistungen erbracht werden dürfen, die über die bloße Datenverarbeitung hinausgehen.

Das AG fokussiert sich bei der Definition des Begriff der Auftragsverarbeitung also sehr stark auf den Inhalt der beauftragten Leistung. Eine ähnliche Sichtweise nimmt auch das BayLDA in seiner Auslegungshilfe zur Auftragsverarbeitung ein (pdf).

Die Leistungen, welche der Verwalter im Rahmen seiner Verwalterbestellung erbringe, gehen nach Ansicht des AG regelmäßig hinaus über die bloße Datenverarbeitung im Rahmen einer datenverarbeitenden Hilfsfunktion.

Rechtfolge der gemeinsamen Verantwortlichkeit

Nach der Feststellung des Vorliegens einer gemeinsamen Verantwortlichkeit, befasst sich das AG mit der abzuschließenden Vereinbarung.

Begrüßenswert ist, dass das AG damit seine Sichtweise deutlich macht, dass die Vereinbarung nicht Voraussetzung der gemeinsamen Verantwortlichkeit ist, sondern die Folge ihres Vorliegens.

Beide Verantwortliche müssen in einer transparenten Vereinbarung festlegen, wer von ihnen in welchem Maß den Pflichtenkreis der DSGVO zum Schutz der Betroffenen abdeckt. Dabei geht das AG zurecht davon aus, dass für die Vereinbarung keine bestimmte Form vorgesehen ist.

Jedoch verdeutlicht das AG, dass entsprechend Art. 5 Abs. 2 DSGVO der Nachweis bzgl. des Vorliegens einer der Vereinbarung sowie der vereinbarten Inhalte geführt werden können muss.

Inhalt der Vereinbarung

Nach Auffassung des AG macht eine Mitverantwortlichkeit des Verwalters ein Regelwerk zwischen der WEG und dem Verwalter nach den gesetzlichen Bestimmungen der DSGVO erforderlich.

Dabei muss Regelungsinhalt sein, wer von beiden welche Verpflichtungen gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt“.

Interessant ist zudem der Hinweis des AG, dass die Vereinbarung auch Vorgaben zur Haftung zwischen den Beteiligten im Innenverhältnis enthalten sollte. Dies begründet das AG mit Verweis auf die Bußgeldandrohungen nach Art. 83 DSGVO.

Im Interesse des Verwalters und der WEG müssen daher auch haftungsrechtliche Fragen im Innenverhältnis zwischen WEG und dem Verwalter geklärt werden, denn im Außenverhältnis haften alle Mitverantwortlichen den betroffenen Personen zu gleichen Teilen nach Art. 26 DSGVO“.

Leider lässt das AG den letzten Punkt, die Haftung nach außen zu gleichen Teilen, ohne nähere Begründung. Hier wäre interessant gewesen, woraus da Gericht diese ableitet und warum die Haftung immer zu gleichen Teilen erfolgen soll.

Idee: in einem Vertrag zur Auftragsverarbeitung

Zudem geht das AG noch auf ein interessantes Thema ein.

Nach Ansicht des Gerichts ist es

unschädlich und den gemeinsamen Verantwortlichen auch nicht verwehrt, eine solche Vereinbarung, wie sie Art. 26 DSGVO verlangt, auch im Rahmen eines „Auftragsverarbeitungsvertrags“, der darüber hinaus auch die Anfordernisse des Art. 28 DSGVO erfüllt, auszugestalten“.

Das AG geht also davon aus, dass die Vereinbarung nach Art. 26 DSGVO gleichzeitig auch einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO enthalten kann.

Inhalt einer Vereinbarung nach Art. 26 DSGVO kann es jedenfalls durchaus sein, eine Vereinbarung mit identischem Inhalt wie in Art. 28 DSGVO für den Auftragsbearbeitungsvertrag vorgesehen, zu treffen“.

Dies verwundert insofern, als das AG weiter oben eigentlich von einer gemeinsamen Verantwortlichkeit ausgeht und ein Auftragsverarbeitungsverhältnis gerade ablehnt.

Sondervergütung für DSGVO-relevante Tätigkeiten des Verwalters

Zuletzt befasst sich das AG noch mit der Frage, ob der Verwalter für die (neuen) Pflichten als gemeinsam Verantwortlicher zusätzlich eine Vergütung verlangen darf. Das AG sieht hierein keine Probleme.

„…verlangt die Datenschutzgrundverordnung, in Ansehung dessen, dass der Verwalter als Mitverantwortlicher i.S.v. Art. 26 DSGVO anzusehen ist, von den Immobilienverwaltungen zusätzlichen Aufwand, der mit dem Grundhonorar so wie im Verwaltervertrag festgelegt, nicht abgedeckt ist“.

Die Höhe der Vergütung sieht das AG als angemessen an. Sie wurde hier als Pauschale beschlossen. Der Verwalter verlangt einen Betrag in Höhe von 214 EUR bzw. 178,50 EUR brutto jährlich, d.h. pro Einheit einen Betrag in Höhe von 16,22 EUR jährlich. Nach Einschätzung des AG ist dies angemessen.

Es ist mitunter auch gerichtsbekannt, dass allein datenschutzrechtliche Beratung auf der Basis eines Stundensatzes von bis zu 500,00 € netto von ausgewiesenen Fachleuten erfolgt“.

Fazit

Das Urteil des AG ist deshalb so interessant, weil es (so scheint es) das erste Urteil in Deutschland ist, welches sich detailliert mit den Vorgaben nach Art. 26 DSGVO und deren Umsetzung auseinandersetzt. Meines Erachtens ist die Begründung des AG nicht an jeder Stelle voll überzeugend. Dennoch liegt hiermit zumindest einmal Rechtsprechung in diesem gerichtlich noch kaum „beackerten“ Bereich vor.

Die Europäisierung des Datenschutzrechts – ein alternativer Kommentar zu dem Planet49-Urteil des EuGH

Posted on by

Nach dem EuGH-Urteil in der Sache Planet49 (C?673/17), haben viele Kolleginnen und Kollegen lesenswerte Besprechungen der Entscheidung veröffentlicht. Z.B. Simon Assion, Stephan Hansen-Oest, Thomas Schwenke oder Nina Diercks.

In diesem Beitrag möchte ich mich mit ein paar „Randthemen“ des Urteils befassen, die jedoch meiner Ansicht nach nicht minder relevant sind. Es soll hier also nicht um die konkreten Anforderungen einer Einwilligung gehen, sondern um Aussagen des EuGH, die das Gericht daneben getroffen hat, die für die Praxis im Datenschutzrecht aber meines Erachtens über den Themenkomplex „Cookies und Einwilligung“ Relevanz haben.

Findet bei dem Einsatz von Cookies immer auch eine Verarbeitung personenbezogener Daten statt?

Der EuGH geht in seiner Prüfung, aufgrund der durch den BGH vorgegebenen und auch durch Planet49 bestätigten Sachverhaltsangaben davon aus, dass in dem zu beurteilenden Fall personenbezogene Daten verarbeitet wurden (Rz. 45 und 67). Dieser Personenbezug wird über eine Zuordnung von Registrierungsdaten der Nutzer (Name und Adresse im Teilnahmeformular) zu der Nummer des Cookies hergestellt (Rz. 45).

Für die Frage der Anwendbarkeit des Art. 5 Abs. 3 RL 2002/58 ist die Unterscheidung, ob personenbezogene Daten verarbeitet werden oder nicht, irrelevant (vgl. Rz. 70).

Aus der reinen „Datenschutz-Brille“ betrachtet, sind die Erwägungen des EuGH aber durchaus interessant. Denn insbesondere die Begründung in Rz. 45, warum in den Cookies auch personenbezogene Daten verarbeitet werden, lässt argumentativen Spielraum für Konstellationen, in denen durch Cookies keine personenbezogenen Daten verarbeitet bzw. den Cookies keine personenbezogenen Daten zugeordnet werden. Man stelle sich eine Situation vor, in der „nur“ ein Cookie gesetzt wird und in diesem Cookie statistische Daten gespeichert werden (z.B. Browserversion, Herkunftsland, Bildschirmauflösung o.ä.). Ob auch in diesem Fall per se ein Personenbezug vorliegen würde, hat der EuGH nicht entschieden (da er es auch nicht entscheiden musste). Oder anders ausgedrückt: nicht jeder Einsatz von Cookies ist gleichbedeutend mit der Verarbeitung personenbezogener Daten.

Die Erwägungen des EuGH lassen sich meines Erachtens durchaus so verstehen, dass im Fall des Setzens eines Cookie auf dem Gerät eines Nutzers, dies noch nicht zwangsläufig bedeutet, dass damit auch personenbezogene Daten im Spiel sind und die DSGVO Anwendung findet.

Warum ist dies relevant? Meines Erachtens insbesondere mit Blick auf die vielen Folgepflichten, die sich aus der DSGVO ergeben würden. Man denke etwa an die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO oder die Pflicht, Verarbeitungen in ein Verzeichnis der Verarbeitungstätigkeiten aufzunehmen oder auch die Betroffenenrechte. Ist die DSGVO nicht anwendbar, würde auch kein Auskunftsanspruch nach Art. 15 DSGVO bestehen. Dies ist am Ende natürlich nur folgerichtig, denn wenn keine personenbezogenen Daten verarbeitet werden, kann ein Unternehmen auch keine Person identifizieren und dieser Person Auskunft zu ihren Daten erteilen.

Zur Auslegung und Anwendung europäischen (Datenschutz)Rechts

Bevor der EuGH in seinem Urteil in die Prüfung der einzelnen Merkmale einer Einwilligung einsteigt, legt er den Rahmen und die Methoden dar, innerhalb dessen und wie die europäischen Vorgaben auszulegen sind. Die Ausführungen des EuGH in den Rz. 47 und 48 haben daher ganz generelle Bedeutung für die Anwendung der RL 2002/58 und auch der DSGVO. Gerade in der deutschen Literatur und Diskussion findet man häufig sehr national geprägte Interpretation des europäischen Rechts.

Der EuGH macht zunächst deutlich, dass „Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen“. Das Gericht begründet dies mit den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes.

Dies bedeutet für die Datenschutzpraxis, dass Begriffe der DSGVO gerade nicht aus einem rein nationalen Blickwinkel betrachtet und ausgelegt werden dürfen. Diese müssen, nach dem EuGH, vielmehr in der gesamten Union eine autonome und einheitliche Auslegung erhalten.

Plastische Bespiele für solche Begriffe finden sich in der DSGVO an vielen Stellen. Hier ein paar Beispiele:

Art. 12 Abs. 1 DSGVO: „Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“. Was „schriftlich“ oder „elektronisch“ bedeutet, kann daher nicht allein mit Blick auf nationales Recht beantwortet werden. Ein Verweis, etwa auf Vorgaben des BGB, wäre mithin verfehlt.

Art. 32 Abs. 1 DSGVO: „Unter Berücksichtigung des Stands der Technik, …“. Man ist sicherlich geneigt, den „Stand der Technik“ in Deutschland im Sinne der Interpretation dieses Begriffs z.B. durch die deutsche Rechtsprechung zu verstehen. Auch hier ist jedoch Vorsicht geboten. Der „Stand der Technik“ im Sinne der DSGVO muss nicht gleichbedeutend mit dem Verständnis des BVerfG (BVerfG, Beschl. v. 08.08.1978 – 2 BvL 8/77, Kalkar I) sein. Nach den Vorgaben des EuGH in dem aktuellen Urteil, wäre dieser nationale Blick in jedem Fall zu eng.

Art. 33 Abs. 2 DSGVO: „Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich“. Die Frage, was „unverzüglich“ bedeutet (vgl. auch Art. 34 Abs. 1 DSGVO), kann daher ebenfalls nicht allein aus Sicht des deutschen Zivilrechts und der zu diesem Begriff ergangenen Rechtsprechung beantwortet werden.

Zudem verweist der EuGH in Rz. 48 darauf, welche verschiedenen Auslegungsmethoden bei der Anwendung europäischen Rechts zu berücksichtigen sind.

Bei der Auslegung einer Vorschrift des Unionsrechts sind:

  • der Wortlaut,
  • die mit ihr verfolgten Ziele,
  • ihr Kontext und
  • das gesamte Unionsrecht zu berücksichtigen.

Daneben kann auch die Entstehungsgeschichte einer Vorschrift relevante Anhaltspunkte für ihre Auslegung liefern. Oder um es anders zu formulieren: die Vorschriften der DSGVO und ihr Verständnis sind aus mehreren Blickwinkeln zu betrachten.

Keine Entscheidung zur Zulässigkeit der Kopplung einer Einwilligung

Zuletzt sei noch darauf hingewiesen, dass der EuGH in seinem Urteil alle Tatbestandsmerkmale der datenschutzrechtlichen Einwilligung auslegt. Bis auf eines: die Freiwilligkeit.

Art. 4 Nr. 11 DSGVO definiert die Einwilligung u.a. als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“. Der EuGH musste hierzu auch nichts sagen, da der BGH ihn nicht danach gefragt hatte. In Rz. 64 des Urteils stellt der EuGH ausdrücklich heraus, dass er sich nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO) erteilten Einwilligung vereinbar ist, „wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt“.

Die angesprochene Situation ist jene, die das sog. „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO avisiert. Auf die entsprechende Vorschrift verweist der EuGH sogar. Ob oder wann es jedoch europarechtlich unter der DSGVO (un)zulässig ist, die Teilnahme an einem Gewinnspiel davon abhängig zu machen, dass man in die werbliche Nutzung seiner Daten einwilligt, hat der EuGH nicht entschieden. Die Antwort auf diese Frage (nicht nur speziell in Bezug auf Gewinnspiele), dürfte also zunächst weiter national umstritten bleiben.

Seltsamer Beschluss der Datenschutzkonferenz zu „verhaltensbasierter Werbung“ (UPDATE)

Posted on by

Auf der Webseite der Datenschutzkonferenz (DSK) wurde mit Datum vom 25.9.2019 ein Beschluss zu „verhaltensbasierter Werbung“ veröffentlicht (PDF). Seltsam ist der Beschluss, da er sich materiell rechtlich überhaupt nicht mit verhaltensbasierter Werbung befasst und zudem auch formelle Defizite aufweist und den Leser mit Fragen zurücklässt.

Beschluss

Der Beschluss bezieht sich auf eine Beschwerde des Netzwerk Datenschutzexpertise (Netzwerk). Gemeint ist wohl diese Beschwerde (PDF). Dort wird auf mögliche Verstöße gegen das Datenschutzrecht durch Google und „andere Internet-Unternehmen der Branche“ hingewiesen. Die Beschwerde des Netzwerks ist von vier Personen unterzeichnet und datiert auf den 4.6.2019. Laut dem Beschluss der DSK wird in der Beschwerde die Datenverarbeitung durch Google sowie weitere Anbieter, die Mitglieder des IAB Europe sind, gerügt. Die DSK bezieht sich ausdrücklich nur auf diese Beschwerde, die bei mehreren deutschen Datenschutzbehörden eingelegt wurde.

Die DSK folgert aus der Beschwerde, dass diese sich allein gegen Google richtet, da weitere „Anbieter bzw. Akteure“ nicht ausdrücklich genannt werden.

Die DSK hat daraufhin den oben verlinkten Beschluss gefasst. Kurzer Exkurs zu dem Verständnis der DSK, was ein Beschluss ist. „Beschlüsse sind Positionen, die die Auslegung datenschutzrechtlicher Regelungen bzw. entsprechende Empfehlungen betreffen.“ (siehe: Geschäftsordnung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz), PDF). Zur besseren Verständlichkeit meiner nachfolgenden Kritik, hier der Inhalt des Beschlusses:

Die Beschwerde erfüllt die Anforderungen gem. Art. 77 DSGVO, da sie

1. von natürlichen Personen als betroffenen Personen eingelegt wurden (die 4 Unterzeichner);

2. sich gegen einen konkreten Verantwortlichen richtet (Google) und

3. die betroffenen Personen beschwerdebefugt sind, da sie umfassend erläutern, dass die Datenverarbeitung bei der personalisierten Online-Werbung gegen die DS-GVO verstößt und sie dadurch in ihren Rechten verletzt werden.

II. Beschwerdegegner ist zunächst nur Google. Soweit sich die Beschwerde gegen dieses Unternehmen richtet, ist sie zunächst an den Hamburgischen Beauftragten weiterzuleiten.

IV. Das IAB Europe ist kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO, da es sich beim IAB Europe lediglich um einen Interessenverband von Unternehmen aus dem Bereich Programmatic Advertising handelt.

V. Sofern eine Aufsichtsbehörde der Auffassung ist, die Beschwerde sei dahingehend auszulegen, dass sich die Beschwerde gegen die jeweiligen Mitgliedsunternehmen des IAB Europe richtet, so ist mit der Beschwerde entsprechend Ziff. III. zu verfahren.

Kritik

Es stellt sich natürlich zunächst die Frage, was die DSK mit diesem Beschluss bezweckt. Dies wird zumindest für mich, auch nach mehrmaligen Lesen, nicht ganz deutlich.

Kritisieren lässt sich zunächst, dass der Beschluss, anders als in der Überschrift suggeriert, inhaltlich nichts mit einer materiell-rechtlichen Position der Behörden zur verhaltensbasierten Werbung zu tun hat. Vielmehr scheint es hier um die Festlegung einer nationalen Zuständigkeit für eine (oder mehrere?) Beschwerde(n) sowie die Feststellung des Vorliegens der Voraussetzungen für eine (oder mehrere?) Beschwerde(n) zu gehen.

Da stellt sich freilich die Frage, was diese Beschwerde so besonders macht, dass die DSK sich zu einem Beschluss gezwungen sah? Denn andere Beschwerden, die bei den Behörden eingehen, werden nicht per Beschluss der DSK veredelt. Zu dem Hintergrund des Beschlusses, finden sich keine Angaben.

Zudem ist zu fragen, was Ziel des Beschlusses ist? Eine bindende Wirkung für alle Aufsichtsbehörden? Diesen Anschein erweckt Ziff. II: „ist sie zunächst an den Hamburgischen Beauftragten weiterzuleiten“. Gibt die DSK nun alles Aufsichtsbehörden bindend vor, wie diese mit Beschwerden umzugehen haben und welche Behörde national zuständig ist? Meine Vermutung ist, dass der Beschluss eine Manifestierung der Vorgabe des § 19 Abs. 2 S. 1 BDSG darstellt. Danach gibt die Aufsichtsbehörde, bei der eine betroffene Person Beschwerde eingereicht hat, die Beschwerde an die federführende Aufsichtsbehörde nach § 19 Abs. 1 BDSG, in Ermangelung einer solchen an die Aufsichtsbehörde eines Landes ab, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Da diese Abgabe aber ohnehin gesetzlich zwingend („gibt die Beschwerde…ab“) vorgegeben ist, stellt sich die Frage nach dem Sinn des Beschlusses.

In Ziff. II wird per Beschluss vorgegeben, dass „Google“ der Beschwerdegegner sei. Welche Einheit ist hier jedoch mit „Google“ gemeint? Die Google LLC, die Google Ireland Limited oder z.B. Google Germany GmbH? Dies wird in dem Beschluss nicht deutlich und lässt den Leser ratlos zurück. Auch aus der oben verlinkten Beschwerde wird dies nicht klar. Konkretisiert die DSK evtl. eine zu allgemein abgefasste Beschwerde per Beschluss? (dem würde sich die Frage anschließen, ob sie dies darf). Man kann, aufgrund der Erwähnung der Behörde aus Hamburg, schlussfolgern, dass wohl die Google Germany GmbH mit Sitz in Hamburg gemeint ist. Warum wird dies dann aber nicht in dem Beschluss deutlich gemacht?

Der Beschluss verhält sich zudem nicht zu der (ggfs. vorliegenden federführenden) Zuständigkeit der Behörde aus Irland. In der in dem Beschluss angesprochenen Beschwerde wird ausdrücklich darauf hingewiesen, dass eine entsprechende Beschwerde bei der irischen Datenschutzbeauftragten erhoben wurde und, angesichts „der europaweiten Dimension der in dieser Beschwerde aufgeworfenen Fragen und Unternehmen“ es sinnvoll erscheint, dass die Aufsichtsbehörden dieses Thema gemeinsam prüfen (S. 15).

Der Beschluss bezieht sich mehrmals auf „die Beschwerde“. Es scheint also um eine einzelne Beschwerde zu gehen. Art. 77 Abs. 1 DSGVO, dessen Voraussetzungen nach dem Beschluss hier vorliegen, bezieht sich ausdrücklich auf eine Beschwerde einer betroffenen Person. Laut dem Text der Beschwerde erhalten die Datenschutzbehörden „individuelle Beschwerden von Frau Elisabeth Niekrenz, Herrn Thilo Weichert, Herrn Frank Spaeing und Herrn Friedemann Ebelt“ (S. 15). Nach Ziff. I 1. des Beschlusses erfüllt die einzelne Beschwerde des Netzwerkes die Anforderungen des Art. 77 DSGVO, da sie „von natürlichen Personen als betroffenen Personen eingelegt wurden (die 4 Unterzeichner)“. Hier scheint der Beschluss die eine, referenzierte Beschwerde des Netzwerkes und die wohl vorliegenden Einzelbeschwerden zu vermengen. Geht die DSK folglich davon aus, dass eine Beschwerde nach Art. 77 DSGVO auch zulässig ist, wenn mehrere natürliche Personen in einem Schreiben eine Beschwerde einreichen?

Nach Ziff. I 2. des Beschlusses richtet sich die Beschwerde gegen einen „konkreten Verantwortlichen“, Google. Auch dies muss verwundern, da aus dem Beschluss nicht deutlich wird, welche juristische Person mit „Google“ gemeint ist (siehe oben). Auch in der Beschwerde des Netzwerkes wird nur „Google“ genannt, nicht jedoch die LLC oder etwa die deutsche GmbH. Es stellt sich daher die Frage, wen die DSK hier (per Beschluss) als Verantwortlichen betrachtet und gleichzeitig als solchen festlegt?

In Ziff. V wird darauf hingewiesen, dass eine Aufsichtsbehörde, die der Auffassung ist, dass die Beschwerde dahingehend auszulegen sei, „dass sich die Beschwerde gegen die jeweiligen Mitgliedsunternehmen des IAB Europe richtet“, mit dieser Beschwerde entsprechend Ziff. III zu verfahren habe. Ziff. III fehlt jedoch in dem Beschluss der DSK. Es stellt sich daher die Frage, wie Aufsichtsbehörden in diesem Fall nach Ansicht der DSK zu verfahren haben? Fehlt Ziff. III bewusst oder handelt es sich um einen formellen Fehler?

Zuletzt noch ein ganz persönlicher Kritikpunkt, der mich bereits in mehrere Verwaltungsverfahren stutzten lässt: die DSK stellt per Beschluss in Ziff. I 3. fest, dass die Anforderungen von Art. 77 DSGVO erfüllt seien (weitere Fragen: kann die DSK das Vorliegen von Tatbestandsvoraussetzungen der DSGVO in einem konkreten Verwaltungsverfahren feststellen? Geht die DSK hier davon aus, dass sie über eine entsprechende Rechtsnatur verfügt, um materiell-rechtliche Vorgaben zu prüfen und aufgrund dieser Prüfung den Aufsichtsbehörden Vorgaben zu machen?), da die Beschwerdeführer erläutern, dass „die Datenverarbeitung bei der personalisierten Online-Werbung gegen die DS-GVO verstößt“. Für Art. 77 Abs. 1 DSGVO ist jedoch ausreichend, dass die betroffene Person der Ansicht ist, dass die Verarbeitung gegen die DSGVO verstößt. Die DSK scheint hier im Beschluss diese Position einfach als gegeben hinzunehmen. Sie hätte ja durchaus auch schreiben können, „erläutern, dass die…ihrer Ansicht nach gegen die DSGVO verstößt“. Dieser Verweis auf die Ansicht der Beschwerdeführer fehlt in dem Beschluss jedoch gänzlich, ohne dass eventuell bisher die Stellungnahme des Verantwortlichen begutachtet wurde.

Wie bereits einleitend angemerkt, fällt zuletzt auf, dass der Beschluss materiell-rechtlich keine Aussagen zur verhaltensorientierten Werbung trifft. Es scheint sich vielmehr um einen Beschluss zu einer (oder mehreren?) Beschwerde(n) und deren Zulässigkeit und der Zuständigkeit der Bearbeitung zu handeln. Möglicherweise gab es auch Streit unter den deutschen Behörden hinsichtlich des weiteren Vorgehens. Eine Unterrichtung nach Art. 77 Abs. 2 DSGVO scheint der Beschluss aus meiner Sicht nicht zu sein. Denn diese Unterrichtung muss nur gegenüber dem Beschwerdeführer, nicht jedoch der Allgemeinheit erfolgen. Zudem, und viel wichtiger, ist die DSK keine „Aufsichtsbehörde“ im Sinne des Art. 77 Abs. 2 DSGVO. Nur diese muss aber den Beschwerdeführer unterrichten.

Update vom 4.10.2019

Nach meinem Blogbeitrag zu dem oben besprochenen und verlinkten Beschluss der DSK, hat man in den Datenschutzbehörden die geäußerte Kritik wohl zur Kenntnis genommen. Nun wurde der Beschluss erneut auf der Webseite der DSK veröffentlicht (pdf). Wenn man hofft, dass darauf hingewiesen wird, dass dieser Beschluss eine zweite oder zumindest angepasste Version des ursprünglich veröffentlichten Beschlusses darstellt, wird man jedoch enttäuscht. Der Beschluss enthält weiterhin keine Angabe dazu, wann er gefasst wurde. Auf der Webseite ist weiterhin der 25.09.2019 als Veröffentlichungsdatum angegeben. Der Dateiname verweist auf den 26.9.

Ich habe den ursprünglich veröffentlichten Beschluss natürlich heruntergeladen und dieser steht hier zum Abruf bereit (pdf).

Tatsächlich bin ich etwas irritiert und ja, auch verärgert, dass die Aufsichtsbehörden in dieser intransparenten Weise agieren. Wenn die erste Version des Beschlusses Fehler enthielt, kann man dies ja unproblematisch auf der Webseite deutlich machen. Fehler (dürfen) passieren. Eventuell war die erste Version ja auch so inhaltlich nicht abgestimmt. Jedoch wird hier ein Beschluss öffentlich gemacht und dann im Nachhinein, ohne Information des Empfängerkreises, nachträglich angepasst. Wie soll dieses Vorgehen bei uns als interessierten Lesern und sicherlich auch beabsichtigten Empfängerkreis verstanden werden? Sollen wir besser wöchentlich prüfen, ob nicht Beschlüsse oder andere Entscheidungen der DSK nachträglich angepasst wurden? Oder sollen wir entsprechende Veröffentlichungen der DSK, wie man so schön sagt, „nicht so ernst nehmen“?

Die Anpassungen betreffen die Bezifferung im Beschluss selbst und einen Verweis in Ziff. IV (nun auf Ziff. II).

Im konkreten Fall mag der Beschluss keine bahnbrechende Relevanz haben. Was jedoch, zumindest für mich, zurückbleibt, ist ein Unverständnis über ein solches intransparentes Handeln der DSK gegenüber der Öffentlichkeit.

Verwendung von Meldungen zu Datenschutzverletzungen für Bußgeldverfahren? Ein Stimmungsbild.

Posted on by

Art. 33 Abs. 1 DSVGO schreibt vor, dass im Falle einer Verletzung des Schutzes personenbezogener Daten der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden muss (es sei denn, dass voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht).

Art. 33 Abs. 3 DSVGO gibt einen Katalog an Informationen vor, die Inhalt der Meldung an die Aufsichtsbehörde sein müssen. U.a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze sowie eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Der Verantwortliche muss in der Meldung nach Art. 33 DSGVO mithin darlegen, wie es zu der Datenschutzverletzung kam.

Doch die Aufsichtsbehörden sind nicht nur für die Entgegennahme der Meldungen zuständig. Gleichzeitig besteht für sie nach Art. 58 Abs. 2 lit. i DSGVO die Befugnis, eine Geldbuße nach Art. 83 DSVGO zu verhängen. Im Falle von Datenschutzverletzungen, die sich (nach der Legaldefinition in Art. 4 Nr. 12 DSVGO) auf die Vernichtung, den Verlust, die Veränderung, oder die unbefugte Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten bezieht, steht zumeist ein Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung im Raum).

Nun stellt sich für Verantwortliche oft die Frage: kann ich bedenkenlos die Meldung absetzen, ohne befürchten zu müssen, dass die übermittelten Informationen im Rahmen eines Bußgeldes gegen mich verwendet werden? Muss ich mich also selbst belasten?

Der deutsche Gesetzgeber hat diese Situation im Rahmen der Anpassung des DSGVO erkannt und eine klare Regelung in § 43 Abs. 4 BDSG getroffen: „Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden“. (Hervorhebung durch mich).

Eigentlich dürften also deutsche Aufsichtsbehörden die Informationen aus der Meldung nicht für die Einleitung eines Bußgeldverfahrens nutzen, ohne, dass die Zustimmung des meldenden Verantwortlichen vorliegt.

Doch wie interpretieren die (deutschen) Aufsichtsbehörden diese Vorschrift? Nachfolgend habe ich in einer Tabelle die Ansichten oder zumindest entsprechende Andeutungen verschiedener Datenschutzbehörden zusammengetragen.

Aufsichtsbehörde

Aussage

Quelle
Art. 29 Gruppe „… hat die Aufsichtsbehörde auch die Möglichkeit, Sanktionen wegen der versäumten Meldung oder Benachrichtigung (Artikel 33 und 34) einerseits sowie wegen fehlender (angemessener) Sicherheitsmaßnahmen (Artikel 32) andererseits zu verhängen, da es sich um zwei separate Verstöße handelt“. Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU)2016/679, WP 250 rev.01, S. 11
BlnBDI „Dagegen dürfen die durch die Meldung erhaltenen Informationen nicht dazu genutzt werden, die der Meldung zugrunde liegende Datenschutzverletzung zu sanktionieren.“ Jahresbericht 2018, S. 24
HessBDI § 43 Abs. 4 BDSG schränkt die Konsequenzen einer Meldung nach Art. 33 DS-GVO für ein Bußgeldverfahren ein.“ 47. Tätigkeitsbericht, S. 178
LfDI BaWü „Gemeldete Datenschutzverletzungen    können demnach grundsätzlich auch im Rahmen von Ordnungswidrigkeitsverfahren und Strafverfahren gegen den die Verletzung meldenden verwendet werden.“ 33. Tätigkeitsbericht 2016/2017, S. 17
HmbBfDI „Eine Sanktionierung kam gemäß § 43 Abs. 4 BDSG aufgrund der ordnungsgemäßen Meldung nicht in Betracht.“ 27. Tätigkeitsbericht Datenschutz 2018, S. 52
TLfDI „Dabei stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu   einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“ Pressemitteilung, Datenpanne –Bußgeld bei Meldung? Erfurt, 23.08.2019
BayLDA „Was macht BayLDA mit den Meldungen? Z.Zt. keine Geldbuße bei mitgeteilten Verstößen geplant“ Vortragsfolien von Thomas Kranig, Die DS-GVO in der Praxis – Erfahrungsbericht nach knapp einem Jahr, S. 34
LfD Sachsen-Anhalt Information auf der Webseite zur Meldung einer Datenschutzverletzung:„Die Verarbeitung dient ausschließlich den Zwecken der Überprüfung der Einhaltung der Artikel 33 und 34 DS-?GVO“. Online-Formular, Meldung einer Datenschutzverletzung,

Man sieht, dass unter den deutschen Behörden uneinheitliche Auffassungen zu bestehen scheinen, ob Informationen aus einer Meldung für ein Bußgeldverfahren genutzt werden können.

Über weitere Hinweise freue ich mich und nehme sie gerne auf.

Bayerisches Landesamt für Datenschutzaufsicht zu Facebook Custom Audience: Einwilligung nicht zwingend erforderlich?

Posted on by

Das Bayerische Landesamt für Datenschutzaufsicht hat am 30.08.2019 eine Pressemitteilung (pdf) zur aktuellen Prüfung der Website des Blutspendedienstes des Bayerischen Roten Kreuzes. Anlass der Prüfung war der Einsatz von Tracking-Tools auf der Website des Blutspendedientes.

Dass diese Prüfung stattfindet, wurde bereits letzte Woche bekannt. Daher ist die Mitteilung meines Erachtens auch nicht überraschend.

Interessant sind jedoch meines Erachtens zwei Aussagen des BayLDA bzw. seines Präsidenten zum Einsatz von Tracking-Tools und den datenschutzrechtlichen Anforderungen.

Zum einen wird in der der Pressemitteilung zu den datenschutzrechtlichen Pflichten von Webseiten-Betreibern ausgeführt:

Der Website-Betreiber muss auch sicherstellen, dass er die Tracking-Tools rechtmäßig einbindet, d. h. dass eine Rechtsgrundlage die Einbindung erlaubt oder der Nutzer vorab seine Einwilligung erklärt hat.

Interessant hierbei ist, dass das BayLDA ausdrücklich alternativ neben der Einwilligung auch andere Rechtsgrundlagen (also etwa eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO) als möglichen Erlaubnistatbestand für eine Datenverarbeitung anspricht. Die Behörde geht anscheinend nicht davon aus, dass werbliche Tracking-Tools (wie in dieser Prüfung wohl Facebook Custom Audience) nur mit Einwilligung der Besucher genutzt werden können.

Diese Aussage bedeutet wohl nicht, dass der Einsatz werblicher Tracking-Tools per se auch auf der Grundlage einer Interessenabwägung zulässig wäre. Jedoch lassen die Ausführungen des BayLDA erkennen, dass man sich nicht vorab allein auf die Einwilligung der Betroffenen als einzig mögliche Rechtsgrundlage festlegen möchte. Zudem ist noch zu bemerken, dass das BayLDA ganz allgemein auf „eine Rechtsgrundlage“ verweist, also auch nicht allein nur auf die Interessenabwägung.

Zudem wird Herr Kranig, der Präsident des BayLDA wie folgt zitiert:

Was vielen nicht klar ist: nicht der Website-Betreiber, der ein Tracking-Tool auf der Website einbindet, übermittelt Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtsdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht.

Diese Aussage ist insbesondere vor dem Hintergrund des aktuellen EuGH-Urteils in Sachen Like-Button (FashionID, Urt. v. 29. Juli 2019, C-40/17) interessant. Dort hatte der EuGH ausgeführt, dass „der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten dieses Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden“ kann. Das BayLDA geht also wohl davon aus, dass der Webseiten-Betreiber selbst nicht die Übermittlung durchführt. Jedoch wird für die Verantwortlichkeit des Betreibers, anders als im Urteil des EuGH, auch gar nicht auf die Übermittlung (hier stellt sich die Frage, von wem? Dem Besucher selbst? Seinem Browser / dem Browser-Hersteller?) abgestellt, sondern allein auf die Ermöglichung der Erhebung von Daten der Besucher durch den Anbieter des Tools.

Zum Schluss fügt Herr Kranig einen, meines Erachtens zutreffenden und bei vielen Unternehmen immer noch nicht ausreichend gewürdigten Hinweis an:

Dieser Fall zeigt, dass nicht nur die Aufsichtsbehörden Websites prüfen, sondern im Prinzip jedermann mit wenig Aufwand über den Browser testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde melden, ist bei Websites besonders hoch.

Bundesarbeitsgericht zur Rolle des Betriebsrates unter der DSGVO – so oder so: das Datenschutzrecht ist zu beachten.

Posted on by

Die Frage, wie der Betriebsrat unter der DSGVO einzuordnen ist (als eigener Verantwortlicher oder Teil des verantwortlichen Arbeitgebers), bleibt auch weiterhin höchstrichterlich ungeklärt (vgl. hierzu bereits einmal im Blog).

Das Bundesarbeitsgericht (BAG) hätte sich zu dieser Frage in einem Beschluss vom 7.5.2019 (1 ABR 53/17) äußern können. Das Gericht lies diese Frage jedoch ganz bewusst offen. Die Entscheidung des BAG ist aus der Sicht des Beschäftigtendatenschutzes aber natürlich dennoch relevant. Zudem lassen sich aus der Begründung des BAG auch weitere Schlüsse, über den Beschäftigtendatenschutz hinaus, ziehen.

Sachverhalt

Wie so oft bei Fällen des Beschäftigtendatenschutzes unter Beteiligung des Betriebsrates, ging es auch hier um das Einblicksrecht des Betriebsausschusses in Bruttoentgeltlisten.

Die Arbeitgeberin betreibt eine Klinik. Der in der Klinik errichtete Betriebsrat hat einen Betriebsausschuss gebildet. Seit einiger Zeit führte die Arbeitgeberin die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Die Listen enthalten die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu beständigen und unbeständigen Bezügen. Die Arbeitgeberin gewährte Betriebsratsmitgliedern nur Einsicht in eine anonymisierte Fassung dieser Listen.

Der Betriebsrat hat geltend gemacht, dem Betriebsausschuss sei Einblick in die Bruttoentgeltlisten mit den Klarnamen der Arbeitnehmer zu gewähren. Nur so ließe sich feststellen, nach welchen Grundsätzen die Arbeitgeberin – insbesondere nach der Kündigung des einschlägigen Tarifvertrags – Sonderzahlungen oder Lohnerhöhungen gewähre.

Entscheidung

Ein wichtiger Bestandteil der Entscheidung betraf natürlich das Betriebsverfassungsrecht und konkret den Anspruch des Betriebsausschusses, Einsicht in die Listen zu nehmen. Das BAG entschied, dass die Arbeitgeberin nach § 80 Abs. 2 S. 2 Halbs. 2 BetrVG verpflichtet ist, dem Betriebsausschuss Einblick in die nicht anonymisierten Bruttoentgeltlisten zu gewähren. Datenschutz- und grundrechtliche Belange stünden dem Anspruch nicht entgegen.

Mit Blick auf das Datenschutzrecht stellt das BAG fest, dass die streitbefangene Einsichtnahme zwar auf eine Verarbeitung personenbezogener Daten gerichtet sei. Diese ist aber zulässig.

Und hier begründet das BAG nun seine Entscheidung, ohne den Streit zu entscheiden, ob der Betriebsrat (bzw. sein Ausschuss) eigener Verantwortlicher (Dritter) ist. Das Gericht baut seine Prüfung hierzu wie folgt auf.

In den Listen sind Namen der Arbeitnehmer enthalten. Damit liegen personenbezogene Daten vor.

In der Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss liegt eine „Verarbeitung“ dieser Daten.

Das BAG verweist richtigerweise auf die Begriffsdefinitionen des DSGVO. Nach Art. 4 Nr. 2 DSGVO ist eine „Verarbeitung“ ua. jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“,

also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Art. 4 Nr. 9 DSGVO folge – kein Dritter sein muss.

Betriebsrat ist auf jeden Fall „Empfänger“

Im Grunde befasst sich das BAG hier mit der zu Beginn der Anwendbarkeit (und zum Teil auch noch jetzt) diskutierten Frage, ob denn nicht die Weitergabe von Daten an einen Auftragsverarbeiter, der auch nur „Empfänger“ ist, eine Verarbeitung darstellt, für die eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen muss. Hierzu hatte ich damals bereits im Blog geschrieben.

Genau diese Ansicht vertritt das BAG, jedoch natürlich nicht in Bezug auf einen Auftragsverarbeiter, sondern in Bezug auf den Betriebsrat als „Empfänger“ (Art. 4 Nr. 9 DSGVO). Das BAG geht davon aus, dass Offenlegung der Daten an den Betriebsrat eine Datenverarbeitung darstellt, unabhängig (!) davon, ob dieser nun „Dritter“ oder „Empfänger“ im Sinne der DSGVO ist. Hierzu verweist das BAG auch auf das alte BDSG, welches eine rechtfertigungsbedürftige Übermittlung nur bei einer Weitergabe an einen Dritten annahm.

Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter iSv. Art. 4 Nr. 10 DSGVO ist.

Und mit dieser Begründung muss das BAG in der konkreten Frage der Offenlegung von Daten auch nicht mehr entscheiden, ob der Betriebsrat „Dritter“ ist. Denn für das Vorliegen einer erlaubnispflichten Übermittlung ist dies egal.

Entscheidungsrelevant kann diese Frage natürlich in Zukunft dann werden, wenn es nicht allein um die Weitergabe von Daten geht, sondern um weitere DSGVO-Pflichten des Betriebsrates. Zum Beispiel, ob er selbst ein Verzeichnis der Verarbeitungstätigkeiten führen muss oder einen eigenen Datenschutzbeauftragten zu bestellen hat. Dann müsste entschieden werden, ob der Betriebsrat eigener Verantwortlicher ist.

Für den Betriebsrat gilt die DSGVO

Im weiteren Verlauf des Beschlusses geht des BAG dann noch einmal auf die umstrittene Frage der Einordnung des Betriebsrates ein.

Im Rahmen der Prüfung der Erforderlichkeit nach § 26 Abs. 1 BDSG befasst sich das BAG noch mit dem, nicht mehr ausdrücklich geregelten „Datengeheimnis“. Völlig zurecht stellt das BAG zunächst klar, dass § 53 BDSG hier natürlich nicht einschlägig ist (ich kann gar nicht sagen, wie oft ich diese Norm als Grundlage des Datengeheimnisses schon in reinen privatwirtschaftlichen Konstellationen genannt bekommen habe).

Diese Norm ist Bestandteil des Dritten Teils des BDSG. Sie beruht auf der Datenschutzrichtlinie für Polizei und Justiz – Richtlinie (EU) 2016/680 – und gilt ausschließlich, wenn der Anwendungsbereich gemäß § 45 BDSG eröffnet ist.

Dies ist hier nicht der Fall.

Danach kommt aber eine wichtige Feststellung des BAG. Denn nur, weil das Datengeheimnis so explizit nicht mehr geregelt ist, heißt dies nicht, dass es datenschutzrechtliche schwarze Löcher in Unternehmen geben darf.

Der Betriebsrat hat seinerseits bei einer Datenverarbeitung – und so auch bei der Kenntnisnahme personenbezogener Daten im Zusammenhang mit dem Einblicksrecht in Bruttoentgeltlisten – die Datenschutzbestimmungen einzuhalten.

Und hier verweist das BAG dann erneut auf den Streit zur Einordnung des Betriebsrates, lässt die Frage aber offen. Denn die Bindung des Betriebsrates an das Datenschutzrecht

gilt unabhängig davon, ob er iSv. Art. 4 Nr. 7 DSGVO Teil der verantwortlichen Stelle (so zB Bonanni/Niklas ArbRB 2018, 371; Pötters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; Gola in Gola DS-GVO 2. Aufl. Art. 4 Rn. 56; zur Datenschutzrechtslage nach dem BDSG aF vgl. BAG 7. Februar 2012 – 1 ABR 46/10 – Rn. 43 mwN, BAGE 140, 350) oder gar Verantwortlicher (so zB Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566; Wybitul NZA 2017, 413 f.) ist.

Mithin geht das BAG davon aus, dass, wenn die Mitglieder des Betriebsrates mit personenbezogenen Daten umgehen, selbstverständlich die Vorgaben der DSGVO und des BDSG einzuhalten sind. Ob der Betriebsrat hierfür selbst Verantwortlicher ist oder aber als Teil des Arbeitgebers Adressat datenschutzrechtlicher Pflichten ist, lässt das BAG offen.

Erlaubnistatbestand?

Zum Schluss stellt sich natürlich noch die Frage, welcher Erlaubnistatbestand für die Einsichtnahme in Betracht kommt? Präziser müsste man eigentlich untergliedern: für die Offenlegung ggü. dem Betriebsausschuss durch den Arbeitgeber und für die Einsichtnahme durch den Betriebsausschuss selbst. Und diesbezüglich muss man leider sagen, dass die Begründung des BAG nicht immer klar zwischen diesen Verarbeitungsschritten trennt.

In Rz. 33 stellt das BAG etwa auf „Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss“ ab und ordnet dies (richtigerweise) als Verarbeitung ein. In Rz. 34 stellt das BAG dann aber eher auf das Einblicksrecht (also auf die Sichtweise des Betriebsrates ab). „Damit ist das erstrebte Einblicksrecht eine „nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind“ iSv. Art. 2 Abs. 1 DSGVO“ oder Rz. 35: „Die mit der Berechtigung des § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG verbundene Verarbeitung personenbezogener Daten ist für Zwecke des Beschäftigungsverhältnisses nach § 26 BDSG erlaubt“.

Es scheint aber so, dass das BAG die Verarbeitung und den dafür erforderlichen Erlaubnistatbestand (§ 26 Abs. 1 S. 1 BDSG) eher aus Sicht des Arbeitgebers prüft, der mit der Offenlegung der Listen eben auch einen betriebsverfassungsrechtlichen Anspruch des Betriebsrates erfüllt und damit einer Pflicht nachkommt (Rz. 42: „Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers…“; Rz. 43: „Steht dem Betriebsrat ein Anspruch nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG zu, ist die von § 26 Abs. 1 Satz 1 BDSG verlangte Erforderlichkeit einer damit verbundenen Datenverarbeitung gegeben. Sie folgt aus der Erfüllung eines kollektivrechtlich bestehenden Anspruchs“ und Rz. 44: „Auch beim Einblicksrecht in Bruttoentgeltlisten folgt die Rechtfertigung aus der inhaltlichen Ausgestaltung der entsprechenden kollektivrechtlichen Verpflichtung des Arbeitgebers“).

§ 26 BDSG als zulässige Spezifizierung nach Art. 88 DSGVO

Zum Schluss stellt des BAG auch noch fest, dass der deutsche Gesetzgeber mit § 26 BDSG von der Öffnungsklausel des Art. 88 DSGVO in zulässiger Weise Gebrauch gemacht hat. Ein Vorabentscheidungsersuchen an den EuGH sei daher nicht erforderlich. Damit stellt das BAG gleichzeitig auch fest, dass der Regelung des Art. 88 DSGVO und der übrigen Vorgaben der DSGVO im Bereich Beschäftigtendatenschutz allgemein keine kompetenziellen Schranken entgegenstehen (und lehnt eine andere Ansicht in der Literatur ab).

Handelsvertreter und die DSGVO – OLG München entscheidet über Auskunftsanspruch gegen den Prinzipal

Posted on by

Nach § 87 Abs. 1 HGB hat der Handelsvertreter Anspruch auf Provision für alle während des Vertragsverhältnisses abgeschlossenen Geschäfte, die auf seine Tätigkeit zurückzuführen sind oder mit Dritten abgeschlossen werden. Der Unternehmer hat zudem über die Provision, auf die der Handelsvertreter Anspruch hat, monatlich abzurechnen (§ 87c Abs. 1 HGB).  Damit der Handelsvertreter die Provisionsberechnung nachvollziehen kann, gesteht ihm das Gesetz einen Anspruch auf Erteilung des sog. Buchauszugs zu. § 87c Abs. 2 HGB: Der Handelsvertreter kann bei der Abrechnung einen Buchauszug über alle Geschäfte verlangen, für die ihm nach § 87 Provision gebührt.

Es stellt sich freilich die Frage, welche Arten von Daten in dem Buchauszug enthalten sein müssen bzw. aus datenschutzrechtlichen Gesichtspunkten enthalten sein dürfen, damit der Handelsvertreter seinen Anspruch noch sinnvoll nutzen kann. Wenig verwundern dürfte, dass Buchauszüge auch personenbezogene Daten (Namen, Adressen, Kontaktdaten) von Kunden enthalten können. Hierzu sei nur kurz anzumerken, dass die DSGVO auch im B2B-Bereich Anwendung findet. Also auch dann, wenn etwa Kontaktdaten von Personen in Unternehmen im Auszug enthalten wären. Oft wird der Auszug aber ohnehin Daten von Endkunden enthalten, z. B. im Versicherungsbereich.

Genau um solche Verträge ging es in einem Urteil OLG München (Endurteil v. 31.07.20197 U 4012/17). Das Gericht musste klären, ob einem solchen Anspruch auf Buchauszug evtl. die DSGVO entgegensteht, da personenbezogene Daten an den Handelsvertreter weitergegeben werden.

Sachverhalt

Die Parteien stritten um einen Anspruch des Klägers gegen die Beklagte auf Erteilung eines Buchauszugs. Die Beklagte vermittelt Versicherungsverträge, Finanzierungen und Anlagen. Der Kläger war für die Beklage als selbständiger (Unter-)Handels- und (Unter-)Versicherungsvertreter tätig.

Das Handels- und Versicherungsvertreterverhältnis des Klägers endete unter streitigen Umständen zu einem streitigen Zeitpunkt. Das Landgericht München I (Az. 14 HK O 10300/15) hat über den Buchauszugsanspruch des Klägers entschieden und der Klage insoweit vollumfänglich stattgegeben.

Die Beklagte führt u.a. aus, dass die Datenschutz–Grundverordnung einer Buchauszugserteilung entgegenstehe. Dieser Ansicht folgte des OLG nicht.

Entscheidung

Zunächst befasst sich das OLG natürlich schwerpunktmäßig mit dem Handelsvertreterrecht nach dem HGB. Nach Ansicht des OLG hat der Kläger als selbständiger Unterversicherungs- und Unterhandelsvertreter iSd. § 84 Abs. 3 HGB dem Grunde nach einen Anspruch gegen die Beklagte aus §§ 92 Abs. 2, 87c Abs. 2 HGB auf Erteilung eines Buchauszuges.

Danach wendet sich das OLG in seiner Begründung dem Datenschutzrecht zu.

Die Beklagte kann dem Buchauszugsanspruch des Klägers auch nicht entgegenhalten, die Datenschutzgrundverordnung verbiete eine Buchauszugserteilung ohne die Darlegung der Erforderlichkeit der Mitteilung jedes einzelnen Datums durch den Kläger.

Dazu stellt das OLG fest, dass die DSGVO zwar auf alle im Laufe des Berufungsverfahrens erteilten Buchauszüge und auch auf alle nach § 87c Abs. 2 HGB zukünftig noch vorzunehmenden Datenverarbeitungen anwendbar ist. Jedoch ist die mit der Erteilung eines Buchauszuges verbundene Datenübermittlung nach Art. 6 Abs. 1 S. 1 DSGVO erlaubt. Das OLG geht also davon aus, dass die Weitergabe der Daten auf der Grundlage der DSVGO gerechtfertigt werden kann. Hierzu prüft das OLG das Vorliegen der verschiedenen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO.

Art. 6 Abs. 1 lit. b DSGVO

Die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. b DSGVO sind nicht erfüllt, da die Übermittlung des Buchauszugs nicht zur Erfüllung eines Vertrages erforderlich ist, dessen Vertragspartei die betroffene Person ist.

Von der Datenverarbeitung betroffene Person im Sinne dieser Vorschrift ist nämlich jeder Kunde des Versicherungs- bzw. Finanzdienstleistungsvertrages, den der Kläger vermittelt hat, da sich die im Rahmen des Buchauszugs zu übermittelnden Daten auf die Kunden beziehen. Die Kunden sind aber nicht Partei des Vertretervertrages zwischen dem Kläger und der Beklagten, zu dessen Erfüllung die Erteilung des Buchauszugs nach § 87 c Abs. 2 HGB erfolgt.

Zurecht lehnt das OLG hier den Vertretervertrag als Grundlage der Datenübermittlung ab. Die betroffenen Personen, also die Kunden, sind nicht Partei dieses Vertrages. Dies ist jedoch zwingend Voraussetzung des Erlaubnistatbestandes.

Zudem ergänzt das OLG, dass die Erteilung des Buchauszugs nicht zur Erfüllung der von den Kunden abgeschlossenen Versicherungs- bzw. Finanzdienstleistungsverträgen erforderlich ist.

Art. 6 Abs. 1 lit. c DSGVO

Das OLG lehnt auch die Anwendbarkeit des Art. 6 Abs. 1 S. 1 lit. c DSGVO ab. Die Frage, ob es sich bei der Verpflichtung des Prinzipals zur Buchauszugserteilung nach § 87c Abs. 2 HGB um eine „rechtliche Verpflichtung“ iSd Art. 6 Abs. 1 S. 1 lit c. DSGVO handelt, lässt das Gericht ausdrücklich offen.

Denn es fehle jedenfalls an einem „öffentlichen Interesse“, das gemäß Art. 6 Abs. 3 S. 4 DSGVO mit der Buchauszugserteilung verfolgt werden müsste. Nach Ansicht des OLG erfolgt die Buchauszugserteilung aber ausschließlich zur Realisierung des Vergütungsinteresses des Versicherungs- bzw. Handelsvertreters.

Art. 6 Abs. 1 lit. f DSGVO

Die Erteilung des Buchauszugs ist jedoch durch den Erlaubnistatbestand des Art. 6 Abs. 1 S. 1 lit. f DSGVO gedeckt, der die Übermittlung u.a. dann gestattet, wenn sie zur Wahrung der berechtigten Interessen eines Dritten erforderlich ist, sofern nicht die dagegen stehenden Interessen oder Grundrechte der betroffenen Person überwiegen.

Das Vergütungsinteresse des Versicherungs- bzw. Handelsvertreters qualifiziert das OLG als ein berechtigtes Interesse eines Dritten iSd. Art. 6 Abs. 1 S. 1 lit. f DSGVO,

da es aus einer von der Rechtsordnung erlaubten unternehmerischen Tätigkeit des Vertreters folgt und die unternehmerische Freiheit, die notwendigerweise das Recht zur Gewinnerzielung umfasst, ausdrücklich durch Art. 16 EUGRCh anerkannt und geschützt ist.

Das Gericht referenziert hier ausdrücklich auf die Grundrechte und Grundfreiheiten in der Charta der Europäischen Union. Dieser europarechtlich beeinflussten Begründung bleibt sich das OLG auch im Weiteren treu.

Denn zusätzlich führt das Gericht an, dass die europäische Rechtsordnung in Art. 12 Abs. 2 der Richtlinie des Rates vom 18.12.1986 zur Koordinierung der Rechtsvorschriften der Mitgliedstaaten betreffend die selbständigen Handelsvertreter (86/653/EWG) dem Warenhandelsvertreter (Art. 1 Abs. 2) auch ausdrücklich einen Anspruch gegen den Unternehmer auf Erteilung eines Auszugs aus den Büchern des Unternehmers zur Nachprüfung seines Provisionsanspruchs zugestehe. Hieraus leitet das OLG ab,

dass das Interesse des Handelsvertreters an der Erteilung eines Buchauszugs ein europarechtlich geschütztes und damit berechtigtes iSd. Art. 6 Abs. 1 S. 1 lit. f DSGVO ist.

Zwar beziehe sich die Handelsvertreterrichtlinie gemäß ihrem Art. 1 Abs. 2 nur auf Warenhandelsvertreter. Dies ändere jedoch nichts daran, dass aufgrund der gleichlaufenden Interessenlage der Beteiligten

das Interesse eines sonstigen Handelsvertreters und/oder eines Versicherungsvertreters an der Erteilung eines Buchauszuges nicht weniger schützenswert ist.

Interessant an der Begründung des OLG ist sicherlich der stark europarechtliche geprägte Fokus. Man mag die Frage stellen, ob der Fall (bzw. hier konkret die Interessenabwägung) anders einzuordnen wäre, wenn „nur“ national manifestierte Interessen in die Waagschale zu werfen wären. Man wird jedoch davon ausgehen können, dass auch national verankerte Interessen Berücksichtigung finden können, so sie denn „berechtigt“ sind. Also nicht gegen Gesetze verstoßen. Die DSGVO selbst schränkt in Art. 6 Abs. 1 lit. f DSGVO die Interessen nicht auf solche ein, die allein auf EU-Ebene zu finden wären.

Die Weitergabe der Daten in Buchauszügen ist nach Ansicht des OLG auch erforderlich zur Erreichung des Zwecks.

Die Erteilung des Buchauszugs nach § 87 c Abs. 2 HGB ist zur Verwirklichung des Provisionsanspruchs des Versicherungs- bzw. Handelsvertreters und damit zur Realisierung dessen Vergütungsinteresses auch erforderlich“.

Denn erst durch die Erteilung des Buchauszugs werde der Vertreter in die Lage versetzt, zu überprüfen, ob die ihm vom Prinzipal erteilten Abrechnungen richtig und vollständig sind oder ob ihm noch ein darüber hinaus gehender Provisionsanspruch nach § 87 a HGB zusteht.

Zuletzt lehnt das OLG im konkreten Fall auch ein Überwiegen von gegenläufigen Interessen der Kunden des Prinzipals im Rahmen der Interessenabwägung ab.

Dabei stellt das Gericht zunächst auf die in der DSGVO enthaltenen Aufzählungen von berechtigten Interessen ab, insbesondere ErwG 47 DSGVO. Wichtige Kriterien sind danach eine eventuell bestehende (ggf. vertragliche) Beziehung zwischen dem Verantwortlichen und der betroffenen Person sowie auf die Erwartbarkeit der Datenverarbeitung für die betroffene Person.

In der streitgegenständlichen Konstellation kommt zwischen dem Kunden als betroffener Person und dem Verantwortlichen eine Beziehung allein aufgrund der Vermittlungstätigkeit des Vertreters zustande. Für den Kunden ist damit absehbar, dass seine Daten vom Verantwortlichen verarbeitet und insbesondere an den Vertreter übermittelt werden.

Nach Ansicht des OLG muss auch dem „geschäftsunerfahrenen Kunden“ nach der allgemeinen Lebenserfahrung klar sein, dass, wenn der Geschäftsabschluss mit dem Prinzipal über einen (Unter-)Versicherungs- bzw. Handelsvertreter erfolgt, letzterer Provision vom Prinzipal erhält und deren Abrechnung einen Datenaustausch zwischen dem Vertreter und Prinzipal voraussetzt. Diese Erwartbarkeit einer Datenübermittlung für den Kunden spricht nach Ansicht des OLG bereits für ein Überwiegen der Interessen des Vertreters.

Zudem verweist das Gericht auch hier erneut auf europarechtliche Vorgaben zum Handelsvertreterrecht. Auch im Rahmen der Interessenabwägung sei die in Art. 12 Abs. 2 der Handelsvertreterrichtlinie enthaltene

grundsätzliche Entscheidung des europäischen Gesetzgebers zu berücksichtigen, dem (Waren-)Handelsvertreter nicht nur einen allgemeinen Auskunftsanspruch, sondern ausdrücklich einen Anspruch auf einen Buchauszug einzuräumen.

Fazit

Das OLG gestattet die Weitergabe personenbezogener Daten an den Handelsvertreter, damit dieser seine Provisionszahlungen prüfen kann. Die DSGVO steht dem, zumindest, was den Erlaubnistatbestand betrifft, nicht entgegen. Zu beachten sind jedoch noch zwei Punkte.

Zum einen bestehen für den Handelsvertreter, der als eigener Verantwortlicher agiert, natürlich daneben sämtliche weitere datenschutzrechtliche Pflichten der DSVGO, wie etwa Informationspflichten nach den Art. 12 ff. DSGVO.

Zum anderen befasst sich das OLG hier nicht mit der Frage, wie die Weitergabe von besonderen Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) zu beurteilen wäre. Für den Umgang mit solchen Daten, etwa Informationen zum Gesundheitszustand, gelten erhöhe Anforderungen und es muss ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSVGO vorliegen. In Betracht kommt im Rahmen des Provisionsanspruch wohl vor allem Art. 9 Abs. 2 lit. f DSGVO, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Datenschutzbehörde Bremen befragt Unternehmen zur Nutzung von Microsoft Office 365

Posted on by

Die LfDI Bremen hat auf ihrer Webseite Informationen zu einer aktuellen Umfrage bei den 30 größten Unternehmen der Hansestadt zum Einsatz von Microsoft Office 365 veröffentlicht. Hierfür werden Fragebögen an Unternehmen in Bremen gesendet.

Die Aufsichtsbehörde begründet die Aktion damit, dass es zahlreiche Nachfragen zur cloud-basierten Bürosoftware Office 365 gegeben habe und daher der Einsatz der Software im Hinblick auf die Sicherheit und Rechtmäßigkeit der Verarbeitung personenbezogener Daten genauer betrachtet werden soll.

Die angeschriebenen Unternehmen wurden laut Angaben der LfDI aufgefordert, den Fragebogen bis zum 30. September 2019 zu beantworten.

Der von der LfDI genutzte Fragebogen findet sich hier (pdf).

Die Frage sind noch recht allgemein gehalten. Die LfDI wird sich in einem ersten Schritt wohl zunächst einen Überblick über den Einsatz der Software und auch die interne Dokumentation der Unternehmen zu dem Einsatz verschaffen wollen.

U.a. wird auch danach gefragt, ob vor dem Einsatz der Software eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt wurde. Sollte die Antwort „nein“ lauten, soll das Unternehmen begründen, warum die DSFA nicht stattfand. Hierbei scheint die LfDI eventuell Berichte aus den Niederlanden im Kopf zu haben. Dort wurde für das Justizministerium durch eine Beratungsgesellschaft eine DSFA durchgeführt und die Ergebnisse veröffentlicht.

Daneben fragt die LfDI etwa auch nach der Rechtsgrundlage der Datenübermittlung in Drittstaaten (konkret die USA).

Das jeweilige Anschreiben an die Unternehmen ist nicht veröffentlicht. Da laut den Informationen auf der Webseite die Unternehmen aber „aufgefordert“ werden, bis zu einer bestimmten Frist Informationen bereitzustellen, kann es sich hier auch um einen Verwaltungsakt handeln. Dafür kann etwa sprechen, wenn in dem Anschreiben auf § 40 Abs. 4 BDSG verwiesen wird, wonach der Aufsicht unterliegenden Stellen verpflichtet sind, einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen.

Erst kürzlich entschied das Verwaltungsgericht Mainz (Urteil vom 09.05.2019 – 1 K 760/18.MZ) in einem Verfahren, in dem die Datenschutzbehörde von dem Betreiber eines Tanzlokals Auskunft in Form eines Fragenkataloges, der insgesamt 16 Fragen umfasste, insbesondere hinsichtlich des Umfangs der eingesetzten Videoüberwachungstechnik, begehrte. Das Verwaltungsgericht sah den diesbezüglich erlassenen Verwaltungsakt der Behörde als rechtmäßig an. Das Verwaltungsgericht verwies hierzu u.a. auf die Untersuchungsbefugnisse der Behörden nach Art. 58 DSGVO und die Aufgabe nach Art. 57 Abs. 1 lit. a DSGVO, die Anwendung der DSGVO zu überwachen und durchzusetzen. Auf Art. 57 Abs. 1 lit. a DSGVO verweist auch hier die LfDI Bremen in den Erläuterungen.

Sollte es sich hier um einen Verwaltungsakt handeln, bestehen für die Unternehmen natürlich auch die gesetzlich vorgeschriebenen Rechtschutzmöglichkeiten.

OVG Hamburg: Kein Anspruch auf Berichtigung der Personalakte nach der DSGVO bei einer Namensänderung

Posted on by

Das OVG Hamburg hat sich in einem Beschluss vom 27.05.2019 (Az. 5 Bf 225/18.Z) unter anderem mit der Frage beschäftigt, wie weit der Berichtigungsanspruch des Art. 16 DSGVO reicht. Der konkrete Fall spielte im öffentlichen Bereich, kann jedoch hinsichtlich der Begründung auch für Unternehmen und deren Führung von Personalakten von Mitarbeitern relevant sein. Nach Ansicht des OVG ergibt sich aus Art. 16 DSGVO kein Anspruch, nach der offiziellen Änderung eines Vornamens, den Inhalt der Personalakte rückwirkend (auch für den Zeitraum vor der Namensänderung) der neuen Namensführung anzupassen.

Sachverhalt

Die Klägerin, eine Bundespolizistin, begehrt die vollständige Anpassung ihrer Personalakte an das weibliche Geschlecht. Die Klägerin wurde mit männlichem Geschlecht und männlichen Vornamen geboren. Im Oktober 2012 wurden die Vornamen der Klägerin gemäß § 1 des Gesetzes über die Änderung der Vornamen und die Feststellung der Geschlechtszugehörigkeit in besonderen Fällen (TSG) geändert und es wurde eine entsprechende Änderung des Personenstandes vorgenommen.

Danach wandte sich die Klägerin an die Beklagte und forderte diese auf, alle Schriftstücke in der über sie geführten Personalakte an ihre jetzigen Vornamen sowie an das weibliche Geschlecht anzupassen. Sie berief sich hierzu u.a. auf § 20 Abs. 1 BDSG a.F. Das Verwaltungsgericht hatte die Klage abgewiesen.

Entscheidung

Nach Ansicht des OVG ergibt sich der geltend gemacht Anspruch zur Änderung der Vornamen in alten Schriftstücken nicht aus dem datenschutzrechtlichen Berichtigungsanspruch (Art. 16 DSGVO) oder dem Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG).

Nach Art. 16 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Nach Ansicht seien die alten Vornamen unrichtig, weswegen sie zu berichtigen seien. Bereits das Verwaltungsgericht hatte dies u.a. mit der Begründung abgelehnt, dass die Änderung der Vornamen keine allgemeine Ex-Tunc-Wirkung habe.

Zunächst stützt das OVG die Begründung des Verwaltungsgerichts. Die Änderung der Vornamen (in eine weibliche Form) wirkt nicht ex tunc, also in die Vergangenheit. Deswegen sind die alten Vornamen, die noch in der Personalakte vorhanden sind, auch nicht unrichtig geworden.

Sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.

Da das OVG davon ausgeht, dass die personenbezogenen Daten (hier: die Vornamen) weiterhin richtig sind, lehnt es folgerichtig einen Berichtigungsanspruch aus Art. 16 DSGVO ab. Denn dieser setzt voraus, dass „unrichtige“ personenbezogene Daten vorliegen. Interessant an der Begründung ist, dass das OVG hinsichtlich der Beurteilung der Richtigkeit von Daten nicht allein auf den aktuellen Zeitpunkt abstellt, sondern quasi die historische Entwicklung eines Datums mitberücksichtigt. Ein in der Vergangenheit richtiges Datum wird also nicht dadurch „unrichtig“, dass sich die (persönlichen oder sachlichen) Verhältnisses der betroffenen Person mit der Zeit geändert haben.

Das OVG stützt seine Begründung daneben aber auch auf den Datenschutzgrundsatz der Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO.

Danach müssen personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein. Nach Ansicht des OVG kommt es im vorliegenden Fall auf den jeweiligen historischen Kontext an. Daher machen

nachträgliche Veränderungen der Wirklichkeit, wie die Änderung der Vornamen und der Geschlechtszugehörigkeit der Klägerin, die über sie gespeicherten personenbezogenen Daten nicht falsch.

Man kann das OVG also so verstehen, dass der Berichtigungsanspruch nicht dazu dienen soll, die richtig dokumentierte Vergangenheit zu ändern. Vorliegend hielt die Beklagte ihre Personalakten auf dem Stand, der zum jeweiligen Zeitpunkt richtig war, um ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentieren zu können. Zudem fügt das OVG noch hinzu, dass eine nachträgliche Anpassung, die aus den Akten nicht erkennbar wäre, umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen kann.

Fazit

Zum Recht auf Berichtigung gibt es bislang noch wenige Entscheidungen. Umso relevanter dürften die obergerichtlichen Aussagen aus Hamburg sein. Wie bereits erwähnt, kann die Argumentation des Gerichts, auf deren Grundlage der Anspruch nach Art. 16 DSGVO abgelehnt wird, durchaus auch in der Privatwirtschaft, etwa im Rahmen der Führung von Personalalten und sonstigen Mitarbeiterdatenverwaltung von Relevanz sein.

Bayerischer Verwaltungsgerichtshof zum Beschäftigtendatenschutz unter der DSGVO

Posted on by

Wenn es um Datenschutz im Arbeitsverhältnis geht, erhalten wir Entscheidungen zumeist eigentlich von den Arbeitsgerichten. Nun hat aber der Bayerische Verwaltungsgerichtshof (VGH) eine sehr interessante Entscheidung zum Beschäftigtendatenschutz im Anwendungsbereich der DSGVO im öffentlichen Dienstverhältnis getroffen (Beschluss vom 21.05.201917 P 18.2581). Die Entscheidung ist vor allem deshalb relevant, weil sich der VGH u.a. auch mit dem Verhältnis von nationalem Datenschutzrecht im Arbeitsverhältnis zur DSGVO und einzelnen Rechtsgrundlagen zur Verarbeitung von Mitarbeiterdaten befasst.

Sachverhalt

Das Verfahren betrifft Datenschutzfragen zur Unterrichtung der Personalvertretung durch die Dienststelle bei der Mitbestimmung anlässlich der Versetzung von Arbeitnehmern (nicht Beamten) ohne Bestenauslese. Im Kern geht es um die Frage, ob der Personalvertretung auch hinsichtlich solcher Arbeitnehmer, die für Versetzungen zur Auswahl stehen, aber von der Dienststelle gerade nicht ausgewählt werden, Angaben unter Nennung des Namens zu übermitteln sind oder ob insoweit anonymisierte Daten ausreichen. Die Dienststelle benannte gegenüber dem Bezirkspersonalrat bislang nur den jeweils von der Dienststelle ausgewählten Bewerber namentlich, während sie auf Mitbewerber nur anonymisiert verweist. Daneben enthält die Mitteilung die Anzahl der weiteren Versetzungsbewerber, die Darstellung der jeweiligen sozialen Auswahlkriterien der Versetzungsbewerber sowie eine Begründung der getroffenen Auswahlermessensentscheidung.

Der Bezirkspersonalrat vertritt die Auffassung, nur mit Kenntnis der Namen und der Beschäftigungsbehörden der Mitbewerber sei eine wirksame Nichtzustimmung begründbar bzw. überhaupt zu erkennen, ob eine Nichtzustimmung angezeigt sei. Er beruft sich u.a. auf Art. 69 Abs. 2 S. 3 BayPVG. Er zieht einerseits eine Parallele zur Mitbestimmung bei der Einstellung von Arbeitnehmern und andererseits eine Parallele zur Informationsweitergabe an den Personalrat beim sog. betrieblichen Eingliederungsmanagement. Die Angabe anonymisierter Daten genüge nicht.

Entscheidung

Der VGH lehnt die Beschwerde des Bezirkspersonalrates (es ging konkret um einen Feststellungsantrag) ab.

Nach Ansicht des VGH ergibt sich der Anspruch nicht aus Art. 69 Abs. 2 S. 1 und 2 BayPVG. Danach ist der Personalrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Ihm sind die hierfür erforderlichen Unterlagen zur Verfügung zu stellen.

Nach Auffassung des VGH ist die vorliegend beantragte nicht anonymisierte Datenübermittlung unter Berücksichtigung des Gewichts der informationellen Selbstbestimmung der von der Datenübermittlung betroffenen Personen nicht nach Art. 69 Abs. 2 S. 1 und 2 BayPVG zu rechtfertigen.

Begriff der „Erforderlichkeit“

Der VGH befasst sich in seiner Begründung mit der Frage, wie der Begriff „erforderlich“ nach Art. 69 Abs. 2 S. 2 BayPVG zu verstehen ist. Zunächst stellt der VGH diesbezüglich fest, dass die in Art. 69 Abs. 2 S. 1 und 2 BayPVG vorgesehene Unterrichtungspflicht streng aufgabenbezogen zu interpretieren ist. Weiter führt der VGH aus:

Was in diesem Sinn „erforderlich“ ist, lässt sich nicht rein begrifflich klären, sondern setzt als Korrektiv eine wertende Betrachtung voraus, in die neben einer Bewertung des Aufgabenbezugs selbst auch grundrechtliche Wertungen im Hinblick auf die von Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmung … einzufließen haben, wobei personalvertretungsrechtliche Datenübermittlungen auch nicht gegen unionsrechtliche Datenschutzvorgaben verstoßen dürfen.

Dies ist eine erste relevante Aussage des Gerichts, die auch im nicht-öffentlichen Bereich der Verarbeitung von Mitarbeiterdaten Relevanz entfalten kann. Was bedeutet „erforderlich“? (vgl. etwa auch in § 26 Abs. 1 S. 1 BDSG oder § 80 Abs. 2 BetrVG). Ausdrücklich verweist das Gericht hier darauf, dass sowohl grundrechtliche Erwägungen als auch Vorgaben des EU-Datenschutzrechts zu beachten sind. Meines Erachtens wird man die Begründung des VGH durchaus auch im privatwirtschaftlichen Bereich, wenn es um die Übergabe von Unterlagen und Daten an einen Betriebsrat geht, übertragen können.

Der VGH begründet seine Ablehnung der Übergabe umfassender Unterlagen an die Personalvertretung hier damit, dass die für die Personalvertretung bei der Versetzungsmitbestimmung maßgeblichen Kriterien auch auf der Basis bloß anonymisierter Daten weitgehend überprüft werden.

Eine darüber hinausgehende Datenübermittlung ist in der beantragten Tragweite nicht erforderlich.

Eine pauschale namentliche Datenübermittlung ist nicht erforderlich i.S.v. Art. 69 Abs. 2 S. 1 und 2 BayPVG, weil sie im Vergleich zu einer anonymisierten nicht wesentlich besser geeignet ist, um Art. 75 Abs. 2 BayPVG bei Versetzungen zu prüfen, gleichzeitig, so der VGH, aber im Vergleich zu anonymisierten Datenübermittlungen deutlich intensiver in die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG) eingreift.

DSGVO gilt auch für den Beschäftigtendatenschutz

Danach befasst sich der VGH mit der DSGVO und den europäischen Datenschutzvorgaben.

Nach Ansicht des VGH spricht auch das mit Anwendbarkeit der DSGVO unionsrechtlich geregelte Datenschutzrecht im Hinblick auf den mit der Datenübermittlung verbundenen Eingriff in das unionsrechtliche Grundrecht auf Schutz personenbezogener Daten (Art. 8 i.V.m. Art. Art. 51 Abs. 1 S. 1 GRCh) gegen die vorliegend von der Personalvertretung begehrte pauschale Übermittlung namentlicher Sozialauswahldaten.

Zunächst stellte sich die Frage, ob die DSGVO auf den vorliegenden Sachverhalt Anwendung findet, da die Datenweitergabe ja unstreitig im Arbeitsverhältnis stattfindet und dieser Bereich des Arbeitnehmerdatenschutzes evtl. aus der Regelungskompetenz der EU ausgenommen ist.

Das VGH sieht dies, meines Erachtens zu Recht, nicht so.

Die Datenschutz-Grundverordnung erfasst unmittelbar auch die vorliegend streitgegenständliche Datenübermittlung im Rahmen des Arbeitnehmerdatenschutzes.

Zwar mag Art. 69 Abs. 2 BayPVG als bereichsspezifische Gesamtregelung dem nationalen Bayerischen Datenschutzgesetz vorgehen. Jedoch, so der VGH,

erfasst die direkt anwendbare Datenschutz-Grundverordnung im Hinblick auf den Anwendungsvorrang des Unionsrechts unmittelbar auch den Beschäftigtendatenschutz.

Auch geht der VGH klar davon aus, dass die Datenübermittlung im Zusammenhang mit der Beteiligung einer Personalvertretung nicht aus dem Anwendungsbereich des Unionsrechts herausfällt. Die Begründung: es ist von einschlägigen Rechtsetzungskompetenzen der Europäischen Union auszugehen.

Die Rechtsetzungskompetenz der Europäischen Union kann durchaus auch den Bereich des Arbeitsrechts und der diesbezüglichen Mitarbeitervertretung (hier: Personalvertretung) betreffen, was etwa durch Art. 2 Buchst. f, Art. 4 Abs. 4, Art. 6 Abs. 1 Satz 1 oder Abs. 7 der Richtlinie 2002/14/EG belegt werde.

Zudem weist der VGH noch darauf hin, dass das bayerische Landesrecht – anders als etwa § 26 BDSG – für den Bereich des Beschäftigtendatenschutzes die Ausnahmemöglichkeit des Art. 88 DSGVO nicht ausgeschöpft hat.

Personalvertretung als eigener Verantwortlicher?

Natürlich handelt es sich bei der begehrten Weitergabe von Unterlagen und Daten an die Personalvertretung auch um eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 und Nr. 2 DSGVO. Interessant ist hier natürlich, welche Form der Verarbeitung der VGH in der Weitergabe von Daten des Arbeitgebers an die Personalvertretung erkennt. Stichwort: Betriebsrat (hier: Personalvertretung) als eigener Verantwortlicher.

Der VGH lässt diese Frage leider ausdrücklich unbeantwortet und geht davon aus, dass die begehrte Weitergabe der Daten zumindest in Form der Verwendung durch Zurverfügungstellung an die Personalvertretung eine Verarbeitung darstellt.

Für die Frage der „Datenverarbeitung“ unerheblich ist, ob „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO beim Umgang mit diesen Daten durch die Personalvertretung die Dienststelle ist (deren Teil die Personalvertretung ist) oder ob die Personalvertretung eine eigene Verantwortlichkeit hat.

Der VGH positioniert sich also leider nicht zu dem aktuellen Streit, ob die Personalvertretung als eigener Verantwortlicher anzusehen ist.

Öffnungsklausel des Art. 88 DSGVO

Sehr relevant für den privatwirtschaftlichen Bereich sind die nachfolgenden Aussagen des VGH zu Art. 88 DSGVO und die Diskussion, wie die „Öffnungsklauseln“ der DSGVO zu verstehen sind. Insbesondere, ob der nationale Gesetzgeber strengere Regelungen im Beschäftigtendatenschutz schaffen darf.

Nach Ansicht des VGH ergibt sich aus Art. 88 DSGVO keine Ausnahme vom Geltungsbereich der Datenschutz-Grundverordnung für den Beschäftigtendatenschutz an sich. Hiergegen spreche schon der Wortlaut des Art. 88 Abs. 1 DSGVO, wo von „spezifischeren Vorschriften“ die Rede ist.

Die Verwendung des Komparativs (spezifischerer) ist ein deutlicher Hinweis darauf, dass es sich insoweit nicht um eine vollständige Geltungsbereichsausnahme, sondern vielmehr um eine Öffnungsklausel handelt, die den Mitgliedstaaten die Möglichkeit gibt, die im Ausgangspunkt einschlägigen Regelungen der Datenschutz-Grundverordnung durch spezifischere nationale Vorschriften zu präzisieren.

Das bayerische Landesrecht sieht im Zusammenhang mit der Versetzungsmitbestimmung und der diesbezüglichen Datenübermittlung an die Personalvertretung aber gerade keine „spezifischere“ Regelung vor. Die hier relevanten nationalen Normen, Art. 69 Abs. 2 S. 1 und 2 BayPVG weisen nach Ansicht des VGH im Vergleich zu Art. 88 DSGVO und zu Art. 5, 6 und 9 DSGVO keine höhere Spezifizierung auf – insbesondere auch nicht hinsichtlich der in Art. 88 DSGVO betonten Grundrechte der jeweils betroffenen Personen. Zudem kenne das bayerische Landesrecht bislang auch keine dem § 26 Abs. 6 BDSG vergleichbare explizite Vorschrift.

Hieraus folgt der VGH, dass die DSGVO im konkreten Fall unmittelbar für den Umgang mit Beschäftigtendaten gilt.

Deshalb bleibt es derzeit im Bereich des bayerischen Personalvertretungsrechts bei der unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung, und damit insbesondere auch der dort (Art. 6 DSGVO) vorgesehenen Rechtmäßigkeitsvoraussetzungen für Datenverarbeitungen.

Prüfung der Erlaubnistatbestände nach Art. 6 DSGVO

Danach befasst sich der VGH mit den verschiedenen, in Betracht kommenden Erlaubnistatbeständen für die Datenverarbeitung.

Zunächst lehnt der VGH richtigerweise das Vorliegen einer Einwilligung ab.

Insbesondere kann in der bloßen Äußerung eines Versetzungswunsches – auch wenn sie sich auf behördenintern bekannt gegebene, zu besetzende Dienstposten bezieht – noch keine i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO hinreichende Einwilligung in eine Datenübermittlung der Dienststelle an die Personalvertretung gesehen werden.

Zudem verweist der VGH darauf, dass die bloße Äußerung eines Versetzungswunsches auch nicht ausreicht, um i.S.v. Art. 7 Abs. 1 DS-GVO „nachzuweisen“, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten in Form der Übermittlung ihrer sozialen Auswahldaten an die Personalvertretung eingewilligt hat.

Auch eine Rechtfertigung der Verarbeitung über Art. 6 Abs. 1 lit. c DSGVO lehnt der VGH ab. Hier knüpft er an seine Ausführungen zur „Erforderlichkeit“ der Übergabe der Unteralgen an.

Der VGH begründet dies damit, dass die Weitergabe der Daten bei einer Auslegung im Licht des Art. 8 GRCh für die Erfüllung der rechtlichen Pflichten der Dienststelle nicht „erforderlich“ ist. Die unionsrechtskonforme Auslegung unter Berücksichtigung des Rechts auf Schutz der personenbezogenen Daten (Art. 8 GRCh) komme als Korrektiv dort zum Zuge, wo sich die typisierende gesetzliche Abwägung des Art. 69 Abs. 2 S. 1 und 2 BayPVG im Einzelfall als unverhältnismäßig erweist. Der Unterscheidung zwischen namentlichen und anonymisierten Daten komme auch aus Sicht des unionsrechtlichen Datenschutzes große Bedeutung zu.

Nach Auffassung des VGH spreche die abstrakt gesehen mögliche Sensibilität der gewünschten namensbezogenen Datenübermittlung (angesichts der ohnehin auch bei anonymisierten Daten bestehenden Rückschlussmöglichkeiten) gegen die Erforderlichkeit der von der Personalvertretung abstrakt und generell begehrten namensbezogenen Übermittlung.

Zuletzt lehnt der VGH die Datenverarbeitung auch auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO ab. Der VGH lässt hier die Frage offen, ob eine Geltung dieser Vorschrift im Zusammenhang mit personalvertretungsrechtlicher Aufgabenerfüllung nicht schon gemäß Art. 6 Abs. 1 Unterabs. 2 DSGVO ausgeschlossen ist. Jedoch könne die in Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung im Hinblick auf den von Art. 8 GRCh vermittelten Grundrechtsschutz nicht anders ausfallen als die Erforderlichkeitsprüfung bei Art. 6 Abs. 1 lit. c DSGVO.

Fazit

Die Entscheidung des VGH ist ein Schatz an interessanten und für die Praxis relevanten Auslegungen und Interpretationen der DSGVO im Bereich des Beschäftigtendatenschutz. Besonders bedeutsam ist auch der Umstand, wie sehr der VGH hier (meines Erachtens absolut zu Recht) auf eine europarechtskonforme Auslegung der Vorschriften pocht und immer wieder auf die Charta der Grundrechte verweist. Man kann es nicht oft genug betonen: Datenschutz, auch der Beschäftigtendatenschutz, ist im Kern europäisches Recht und daher auch so zu behandeln.