Drittstaatentransfers: Deutsche Behörden planen Begutachtung der Rechtslage in den USA und Stichprobenprüfung bei Unternehmen

Kürzlich wurde das Protokoll der 100. Sitzung der DSK im Internet veröffentlicht (pdf).

Neben anderen praxisrelevanten Themen haben sich die deutschen Datenschutzbehörden in ihrer Sitzung Ende November 2020 auch mit Umsetzung der Vorgaben des EuGH aus dem Schrems —Urteil befasst (siehe Top 22).

So hat die Behörde aus Berlin vorgeschlagen, „hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen“. Wichtig ist der Behörde ein gemeinsames Vorgehen der Aufsichtsbehörden zur Umsetzung des Urteils. Laut dem Protokoll soll nun der DSK-Vorsitz ein Umlaufverfahren hinsichtlich der Beauftragung eines Gutachtens sowie dessen Finanzierung einzuleiten.

Die Initiative aus Berlin ist meines Erachtens durchaus praxisrelevant. Zum Teil wird ja sowohl dem EuGH als auch den Aufsichtsbehörden vorgehalten, sich nicht genauer mit der Rechtslage in den USA befasst zu haben. Dieses Argument kann auch bei der rechtlichen Beurteilung von Schutzmaßnahmen, die man ergänzend zu EU-Standarddatenschutzklauseln vereinbart, Bedeutung haben. Denn der Exporteur in der EU soll ja nach dem Urteil des EuGH (mit Unterstützung des Importeurs) beurteilen, wie sich die Rechtslage in dem jeweiligen Drittland in Bezug auf den Importeur und durch diesen verarbeitete Daten auswirkt.

Eventuell ist nun von Behördenseite angedacht, diese „Lücke“ zu schließen und, zumindest auf Behördenseite, eine Begutachtung der Rechtslage in den USA stets verfügbar zu haben. Für Unternehmen, die sich z.B. in einem Prüfverfahren mit der Behörde befinden, kann dies etwa auch dazu führen, dass sie sich gegen Aussagen aus dem Gutachten verteidigen bzw. diese entkräften müssen, wenn die Aufsichtsbehörde das Gutachten zur Grundlage ihrer Argumentation macht.

Wie beschrieben, soll aber nun erst einmal innerhalb der DSK abgefragt werden, ob die Behörden ein solches Gutachten in Auftrag geben möchten.  

In diesem Zusammenhang enthält das Protokoll einen weiteren wichtigen Hinweis: die Datenschutzbehörde aus Hamburg ergänzt in der Sitzung, „dass Stichproben mit Hilfe eines abgestimmten Fragebogens hinsichtlich der Umsetzung des Schrems II-Urteil bei Verantwortlichen durchgeführt werden sollen“. Die Aufsichtsbehörden solle einzeln über eine Teilnahme an dieser Abfrage entscheiden.

Nach meiner Kenntnis, liegt ein innerhalb der DSK abgestimmter Fragebogen zur Prüfung von Drittstaatentransfers aktuell noch nicht vor. Dies schließt freilich nicht aus, dass etwa die Behörde aus Hamburg, wie im Protokoll angekündigt, auch selbstständig entsprechende Prüfungen startet. Letzte Anmerkung dazu: die Prüfung soll bei „Verantwortlichen“ durchgeführt werden. Also wohl nicht bei Dienstleistern mit Sitz in der EU, die Daten in Drittländer übermitteln.  

Bundesregierung plant neue Dokumentationspflicht für Werbeeinwilligungen

In dem „Entwurf eines Gesetzes für faire Verbraucherverträge“ (BR Drs 18/21, PDF) vom 1.1.2021 schlägt die Bundesregierung in Artikel 3 die Schaffung eines neuen § 7a UWG vor. Es geht um die Einführung einer ausdrücklichen Aufbewahrungspflicht für Einwilligung im Bereich Telefonwerbung. In der Begründung wird u.a. auch mit den Vorgaben der DSGVO argumentiert.

Hier der Vorschlag:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Zuständige Behörde wäre hier die BNetzA.

Nach der Gesetzesbegründung (S. 8) sieht die Bundesregierung das Problem, dass in zivilrechtlichen Verfahren und auch nach Art. 7 Abs. 1 DSGVO der Werbende die Darlegungs- und Beweislast für das Vorliegen einer Einwilligung trage. Jedoch müsse im Ordnungswidrigkeitenverfahren zunächst die Behörde den Nachweis der Tatbestandsverwirklichung erbringen, zum Beispiel durch Zeugenbefragungen. Dies gestalte die Verfahren umfangreich und kompliziert.

Interessant ist auch der Hinweis auf die Argumente der werbenden Unternehmen. Diese

versuchen sich dabei zum Teil zu entlasten, indem sie behaupten, die Einwilligungserklärung habe aus Gründen des Datenschutzes nicht länger aufbewahrt werden dürfen und sei daher vernichtet worden“.

Diese Begründung würde ich aus datenschutzrechtlicher Sicht tatsächlich auch nicht verstehen. Denn als Verantwortlicher bin ich sowohl nach Art. 7 Abs. 1 DSGVO als auch allgemein nach Art. 5 Abs. 2 DSGVO zum Nachweis der Zulässigkeit der Datenverarbeitung verpflichtet. Selbst von Datenschutzbehörden ist akzeptiert, dass ich zum Nachweis einer einmal erteilten Einwilligung die erforderliche Dokumentation länger aufbewahren darf. Personenbezogene Daten (in der Einwilligung) dürfen auf der Grundlage von Artt. 6 Abs. 1 lit. c, 7 Abs. 1 DSGVO aufbewahrt werden, so etwa der BayLfD (28. TB, Ziff. 2.3):


Diese personenbezogenen Daten werden durch den Verantwortlichen freilich nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO“.

Zurück zum Gesetzesentwurf. Durch Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher soll die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden.

Fraglich ist jedoch, ob der neu vorgesehene § 7a UWG mit der DSGVO, konkret mit Art. 7 Abs.1 DSGVO, vereinbar ist. Denn das UWG kennt ja keinen eigenen Einwilligungsbegriff, sondern die relevante RL 2002/58/EG verweist auf die alte RL 95/46/EG, die nun durch die DSGVO ersetzt wurde. Nun sollen aber im UWG spezifische Anforderungen an die Dokumentation der Einwilligung aufgenommen werden, die so nicht in der unmittelbar anwendbaren DSGVO festgelegt sind (insbesondere etwa die Dauer von 5 Jahren).

Die Bundesregierung sieht in § 7a UWG-E kein Problem. In der Gesetzesbegründung (S. 13) geht sie davon aus, dass die neue Norm „Artikel 7 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vereinbar“ ist.

Nach Ansicht der Bundesregierung stellt die Regelung „eine spezielle Ausfüllung der Beweislastverteilung der in Artikel 7 Absatz 1 DSGVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar“. Hinsichtlich des § 7a Abs. 1 UWG-E, mag man dies noch verstehen. Denn es wird tatsächlich keine bestimmte Form für die Einwilligung selbst oder den Nachweis vorgegeben. Auch die DSGVO kennt keine Formanforderungen der Einwilligung. Fraglich könnte aber sein, ob die Pflicht zur Aufbewahrung für 5 Jahre nach Abs. 2 so von Art. 7 Abs. 1 DSGVO gedeckt ist. Die DSGVO sieht keine konkreten Zeiträume vor, wie lange Dokumente aufzubewahren sind, um der Rechenschaftspflicht zu genügen. Dies wird man dann sowohl als Pro- als auch als Contra-Argument nutzen können. Diskutabel ist der Punkt meines Erachtens aber schon.

Klar ist aber aus Unternehmenssicht auch, wenn § 7a UWG-E in dieser Form kommt, dass dann § 7a Abs. 2 UWG-E iVm Art. 6 Abs. 1 lit. c DSGVO eine Rechtsgrundlage für die Aufbewahrung der Einwilligungsdokumente und darin enthaltener personenbezogener Daten darstellt.

Kein Prozess zur regelmäßigen Prüfung von Sicherheitsmaßnahmen: 460.000 EUR Bußgeld

Die polnische Datenschutzbehörde (UODO) hat ein durchaus beachtliches Bußgeld gegen ein Unternehmen verhängt, welches nach Ansicht der UODO gegen den Datenschutzgrundsatz der Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verstoßen hatte.

Insgesamt wurde ein Bußgeld in Höhe von 460.000 EUR verhängt. Konkret beanstandet die Behörde, dass das Unternehmen keine ausreichenden technischen und vor allem organisatorische Maßnahmen zum Schutz personenbezogener Daten umgesetzt hatte. Bemängelt wurde insbesondere ein unzureichender Prozess der Prüfung und ggfs. Anpassung bereits vorhandener Schutzmaßnahmen.

Nach Art. 5 Abs. 1 lit. f DSGVO dürfen personenbezogene Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Die Einhaltung dieses Grundsatzes muss der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Zudem möchte ich auch noch auf die allgemein gültige Vorgabe des Art. 24 Abs. 1 DSGVO hinweisen (auch wenn ein Verstoß gegen Art. 24 DSGVO selbst nicht bußgeldbewährt ist), die in andere Vorschriften ausstrahlen. Danach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Und wichtig: „Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert“.

Genau dieser Aspekt wurde von der UODO moniert.

Nach den Schilderungen in der Mitteilung wurden von dem Unternehmen keine Tests durchgeführt, um die Sicherheitsmaßnahmen in Bezug auf die Übertragung von Daten zwischen Anwendungen, die mit der Betreuung von Käufern von Prepaid-Diensten zusammenhängen, zu überprüfen. Darüber hinaus wurde die mit dem Datenaustausch in diesen Systemen verbundene Schwachstelle von einer unbefugten Person genutzt, um Daten von einigen Kunden des Unternehmens abzuziehen.

Zudem führte das Unternehmen keine regelmäßigen und umfassenden Tests und Bewertungen der Effektivität der angewandten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der verarbeiteten Daten durch. Diesbezügliche Aktivitäten wurden nur bei Verdacht auf eine Schwachstelle oder im Zusammenhang mit organisatorischen Änderungen durchgeführt.

Diese organisatorische Ausgestaltung des Prüfprozesses der Sicherheitsmaßnahmen bewertete die Behörde als ungenügend. Der Vorwurf der Behörde richtet sich hier also vor allem auf eine ungenügende organisatorische Ausgestaltung des Datenschutzmanagement.

Für Unternehmen ergeben sich aus den oben genannten Vorschriften also nicht nur einmalige Pflichten zur Umsetzung von Sicherheitsmaßnahmen. Erforderlich ist auch die Einführung und Umsetzung eines Prozesses zur regelmäßigen Validierung der Maßnahmen. Dieser Prozess darf zudem nicht nur dann in Gang gesetzt werden, wenn „etwas passiert“, sondern muss regelmäßig erfolgen.

DSGVO-Bußgeld ohne Sachverhaltsermittlung?

Heute hat die Niedersächsische Datenschutzbehörde bekannt gegeben, dass sie ein Bußgeld in Höhe von über 10 Mio Euro gegen die notebooksbilliger.de AG verhängt hat. Inhaltlich soll es um eine länger andauernde Videoüberwachung von Mitarbeitern gehen, die nach Ansicht der Behörde unzulässig erfolgte.

Das Unternehmen hat sich ebenfalls öffentlich zu dem Bußgeld geäußert und wird gegen den Bescheid vorgehen.

Ich möchte mich hier zu diesem konkreten Verfahren gar nicht äußern. Wir werden (sollte die LfD den Bescheid nicht aufheben) wohl sicher noch eine gerichtliche Entscheidung in dieser Sache erleben.

Auf welchen praxisrelevanten Aspekt ich hinweisen möchte, ist der Vorwurf von notebooksbilliger.de an die LfD, dass die Behörde nicht selbst vor Ort war und die Kamerasysteme in Augenschein genommen hat. Auf der Webseite des Unternehmens heißt es:

Zu keinem Zeitpunkt war das Videosystem darauf ausgerichtet, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Das von der Datenschutzbeauftragten suggerierte Klima der Furcht ist eine haltlose Unterstellung und gefährdet unseren Ruf.

Außerdem hat trotz mehrmaliger Einladung durch NBB kein Mitarbeiter der Behörde in den Lagern oder Versandzentren des Unternehmens mit Mitarbeitern gesprochen. Es wurde sich also weder ein Bild von den Kameras gemacht noch über Arbeitsprozesse und die Unternehmenskultur informiert“.

Untersuchungsgrundsatz nach VwVfG

Im Kern steht hier also der Vorwurf im Raum, dass die Aufsichtsbehörde ihre Pflicht zu Ermittlung des entscheidungserheblichen Sachverhalts (Untersuchungsgrundsatz, § 24 VwVfG) verletzt hat. Diese verwaltungsrechtliche Anforderung entstammt nicht dem Datenschutzrecht, aber ist selbstverständlich von den Datenschutzbehörden zu beachten. Daher ist dieser Aspekt (des möglicherweise anstehenden gerichtlichen Verfahrens) auch generell für Unternehmen von Bedeutung, wenn sie sich einer Untersuchung durch Datenschutzbehörden ausgesetzt sehen.

Es wird davon ausgegangen, dass die Ermittlung des entscheidungserheblichen Sachverhalts eine originäre Pflicht der zuständigen Behörde ist. Hierzu kann sie sich auch der Hilfe Dritter bedienen.

Speziell datenschutzrechtlich sieht die DSGVO eine Befugnis der Datenschutzbehörden vor, die mit der Pflicht zur Sachverhaltsermittlung korreliert. Nach Art. 58 Abs. 1 lit. f DSGVO ist die Datenschutzbehörde etwa befugt, nach dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. Diese Befugnis dient gerade dazu, eine Prüfung der Einhaltung der DSGVO vornehmen zu können.

Folge bei unterbliebener Ermittlung

Der Vorwurf des Unternehmens lautet hier, dass die Behörde nicht vor Ort war, um die Kameraanlage zu prüfen. Nun könnte man evtl. argumentieren, dass eine Inaugenscheinnahme nicht zwingend erforderlich ist, wenn man stattdessen Kamerapläne und weitere Beschreibungen oder Fotos erhält. Gerade bei dem Einsatz von Kameras erscheint meines Erachtens aber der persönliche Eindruck vor Ort durchaus von Relevanz zu sein. Nicht umsonst gibt es ja viele Urteile, die allein die Wirkung von Kameraattrappen ausreichen lassen, um eine Verletzung von Persönlichkeitsrechten anzunehmen.

Geht man davon aus, dass die Behörde den Untersuchungsgrundsatz aus § 24 VwVfG verletzt hat, muss man auf der Rechtsfolgenseite trennen.

Per se ist die mangelhafte Sachverhaltsermittlung nicht selbstständig anfechtbar, sondern nur bei einem Vorgehen gegen die Sachentscheidung (§ 44a VwGO).

Bei fehlender oder mangelhafter Aufklärung des Sachverhalts liegt ein Verfahrensfehler in Bezug auf den jeweiligen Verwaltungsakt vor, der aber „nur“ zu einer formellen Rechtswidrigkeit führt. Eine Aufhebung kommt dann nur unter den gesteigerten Voraussetzungen des § 46 VwVfG in Betracht.

Aber, und dies ist für die materielle Rechtmäßigkeit der Entscheidung relevant: wenn der Sachverhalt mangelhaft ermittelt ist, kann sich dies bei einer Ermessensentscheidung auf die materielle Rechtmäßigkeit des Verwaltungsaktes auswirken. Aber: ein Ermessensfehler liegt grunsätzlich erst dann vor, wenn die Behörde tatsächlich vorhandene entscheidungserhebliche Gesichtspunkte außer acht gelassen oder falsch gewichtet hat.

Eine Entscheidung aus dem Datenschutzrecht (wenn auch noch zum BDSF aF) gibt es zu diesem Thema etwa vom VG Gelsenkirchen (Beschl. v. 14.10.2013 – 17 L 304/13). Dort wurde (im Eilverfahren) gegen einen Bescheid der Datenschutzbehörde NRW vorgegangen. Aus der Begründung des Gerichts:

Es ist anerkannt, dass die rechtsfehlerfreie Ermessensausübung als Grundlage einer Entscheidung die zutreffende und vollständige Sachverhaltsermittlung voraussetzt. Denn die Verwaltung kann ihren Entscheidungsfreiraum nur sachgerecht nutzen, wenn sie den wesentlichen Sachverhalt kennt“.

Und weiter:
Ermessensfehlerhaft sind daher Entscheidungen, wenn die Behörde von unzutreffenden tatsächlichen Voraussetzungen oder einer unvollständigen Sachverhaltsvorstellung ausgeht“.

In diesem Verfahren gab das Gericht dem Antragsteller recht und erkannte den Bescheid der Datenschutzbehörde bei summarischer Prüfung als materiell rechtswidrig an. Wegen Verstoßes gegen § 24 VwVfG und dessen Auswirkung auf die Ermessenentscheidung der Behörde.

Gemessen hieran begründen bereits die vorstehend angeführten Unklarheiten hinsichtlich des rechtlich relevanten Sachverhalts die Ermessensfehlerhaftigkeit des angefochtenen Bescheides“.

Auch die Verhängung eines Bußgeldes nach Art. 59 Abs. 2 lit. i, 83 DSGVO steht im Ermessen der Datenschutzbehörde (vgl. etwa VG Ansbach, Urt. v. 16.3.2020 – AN 14 K 19.00464).

Fazit

Sollte sich in einem gerichtlichen Verfahren wirklich herausstellen, dass hier der Untersuchungsgrundsatz nicht beachtet wurde, bestehen also durchaus Chancen dafür, dass der Bescheid der Behörde wegen Ermessensfehlerhaftigkeit aufgehoben wird. Unternehmen sollten diesen, zunächst evtl. rein förmlich anmutenden Aspekt, daher stets im Rahmen von behördlichen Verfahren beachten.  

Generalanwalt am EuGH: Rechtsgrundlage für die Erlangung von IP-Adressen zur Rechteverfolgung im Internet

Am 17.12.2020 hat der Generalanwalt am EuGH (GA) Maciej Szpunar in der Rechtssache C‑597/19 seine Schlussanträge vorgelegt.

In dem Verfahren geht es um die Klage einer Lizenzinhaberin aus Zypern (Mircom), die erotische Filme öffentlich wiedergeben darf. Gleichzeitig ist Mircom auch mit der Verfolgung unzulässiger öffentlicher Wiedergaben in Peer-to-Peer-Netz beauftragt.

Mircom erhob in Antwerpen Klage, mit der sie u. a. beantragte, den Internetzugangsanbieter Telenet aufzugeben, die Daten zur Identifizierung ihrer Kunden vorzulegen, deren Internetanschlüsse dazu genutzt worden seien, in einem Peer-to-Peer-Netz mittels des BitTorrent-Protokolls Filme aus dem Repertoire von Mircom zu teilen. Die IP-Adressen dieser Verbindungen wurden für Mircom von der Media Protector GmbH mittels einer speziellen Software erhoben.

Zunächst befasst sich der GA kurz mit der Frage, ob eine IP-Adresse ein personenbezogenes Datum darstellt. Mit Verweis auf das EuGH-Urteil in der Sache Breyer (C‑582/14) bejaht dies der GA, wenn Verantwortliche über ein gesetzliches Mittel zur Identifizierung der Inhaber von Internetanschlüssen verfügen.

Sodann geht es in den Schlussanträgen um die Frage der Zulässigkeit des Umgangs mit den IP-Adressen und die Rechtsgrundlage hierfür. Das vorlegende Gericht möchte wissen, ob Art. 6 Abs. 1 lit. f DSGVO dahin auszulegen ist, dass die Speicherung der IP-Adressen der Personen, deren Internetanschlüsse für das Teilen geschützter Werke in Peer-to-Peer-Netzen verwendet wurden, wie die von Media Protector für Mircom vorgenommene, eine rechtmäßige Verarbeitung personenbezogener Daten darstellt. Es geht also um die Erhebung und Verwendung der IP-Adressen zur Verfolgung von Rechtsverletzungen.

Der Erlaubnistatbestand erfordert kumulativ:

(1) Vorliegen eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden

(2) Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses

(3) kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person

Zu (1):

Nach Ansicht des GA hängt das berechtigte Interesse im konkreten Fall auch davon ab, ob der Verantwortliche hier befugt ist, einen Antrag auf Offenlegung der IP-Adresse nach der Richtlinie 2004/48 zu stellen. Sollte dies nicht der Fall sein, bestünde auch kein berechtigtes Interesse. Oder allgemeiner: kein berechtigtes Interesse für eine Datenverarbeitung, die gegen gesetzliche Vorgaben verstößt.

Etwas allgemeiner formuliert der GA zudem, dass die ordnungsgemäße Beitreibung von Forderungen durch einen Zessionar dieser Forderungen ein berechtigtes Interesse darstellen kann, das die Verarbeitung personenbezogener Daten rechtfertigt. Damit eine solche Verarbeitung gerechtfertigt ist, muss der Zessionar jedoch anschließend diese Daten nutzen können, um die Schuldner der erworbenen Forderungen zu ermitteln. Hier kommt im konkreten Fall dann wieder die Frage ins Spiel, ob der Antrag auf Auskunft über die Namen der Inhaber der Internetanschlüsse, die durch die fraglichen IP-Adressen identifiziert wurden, zulässig ist.

Zu (2):

Bei dem Merkmal der „Erforderlichkeit“ hat der GA kein Bedenken. Die Verwendung der IP-Adresse ist seiner Ansicht nach erforderlich, um das berechtigte Interesse zu verwirklichen. Denn die Kommunikation in einem Netz von Rechnern erfolgt zwangsläufig über IP-Adressen, die verschiedenen Routern zugeordnet sind.

Jede Feststellung einer Handlung, mit der eine Datei über ein solches Netz geteilt wird, und damit einer Verletzung von Urheberrechten und verwandten Schutzrechten, wenn die Datei ein geschütztes Werk enthält und das Teilen ohne Zustimmung der Inhaber dieser Rechte geschieht, erfolgt zwangsläufig über die Identifizierung und Speicherung der IP-Adresse, von der aus diese Handlung vorgenommen wurde“.

Interessant an der Begründung des GA ist, dass es für die „Erforderlichkeit“ ausreicht, dass der Inhaber des Anschlusses nicht unbedingt auch der Verletzter sein muss (der die Handlung begangen hat). Doch ist dieser nach Ansicht des GA in der Lage, Auskunft über die verantwortliche Person zu erteilen, oder kann für die über seinen Internetanschluss begangenen Handlungen selbst haftbar gemacht werden. Auch dies reicht also für eine datenschutzrechtliche Erforderlichkeit aus.

Zu (3):

Hinsichtlich der Abwägung des Interesses mit den Grundrechten und ‑freiheiten der betroffenen Personen, verweist der GA darauf, dass es sich um das Vorliegen etwaiger besonderer Umstände des Einzelfalls handelt. Es ist Sache des zuständigen Gerichts, zu prüfen, ob solche besonderen Umstände vorliegen.

Sächsische Datenschutzbehörde: keine Möglichkeit der Rechtsdurchsetzung gegenüber allein in Drittländern ansässigen Unternehmen

Am 22.12.2020 hat der Landesdatenschutzbeauftragte für Sachsen seinen neuesten Tätigkeitsbericht veröffentlicht (Berichtsjahr bis 31.12.2019, PDF). In einem kurzen Absatz erwähnt die Datenschutzbehörde dort auch ein praxisrelevantes und für die Durchsetzung der DSGVO seit Beginn der Arbeiten an dem Gesetz bekanntes Problem: die Durchsetzung der DSGVO gegenüber Unternehmen in Drittländern (S. 109).

Bekanntlich unterliegen sowohl Verantwortliche als auch Auftragsverarbeiter mit Sitz in Drittländern und ohne (!) Niederlassung in der EU unter gewissen Voraussetzungen der DSGVO. Meiner Meinung nach ist vielen Unternehmen, die aus Drittländern Dienstleistungen in der EU anbieten, überhaupt nicht bewusst, dass auch für sie die Regelungen der DSGVO gelten.

Die sächsische Behörde berichtet, dass bei ihr zahlreiche Beschwerden gegen Unternehmen mit Sitz außerhalb der Europäischen Union eingingen. Zwar sieht die DSGVO in einem solchen Fall, wenn also keine Niederlassung in der EU besteht, die Pflicht nach Art. 27 DSGVO vor, einen Vertreter in der EU zu benennen. Doch, ketzerisch gefragt, was passiert, wenn auch diese Pflicht nicht eingehalten wird? Wohl nichts, wie nun die Angaben der Behörde aus Sachsen zeigen.

Genau diese Miesere schildert die Behörde nämlich. Im Grunde gibt es in einer solchen Situation keine wirksame Durchsetzungsmöglichkeit europäischen Datenschutzrechts.

Soweit die Verantwortlichen kein Vertreter nach Artikel 27 DSGVO benannt haben, stellt sich die Einwirkung auf den Verantwortlichen in seiner Umsetzung als praktisch schwierig dar.“

Zwar merkt die Behörde an, dass soweit Maßnahmen gegenüber diesen Verantwortlichen ergriffen werden sollen, zwar eventuell ein Amtshilfeverfahren und ein Procedere auf dem diplomatischen Weg über die Außenvertretungen der Bundesrepublik Deutschland einzuleiten wäre.

Jedoch scheint dieser Weg für die Behörde praktisch nicht gangbar zu sein. Daher fasst die Datenschutzbehörde ihr derzeitiges Vorgehen wie folgt zusammen:

Aktuell teile ich den Beschwerdeführern mit, dass ich – in Ermangelung zwischenstaatlicher Vereinbarungen – keine Möglichkeiten sehe, meine Rechtspositionen bzw. Anordnungen durchzusetzen“.

Dieses Ergebnis ist meines Erachtens durchaus ernüchternd. Offenbart hier eine Behörde doch ungeschönt, dass sie keine Möglichkeit sieht, das europäische Recht (obwohl anwendbar) durchzusetzen. Meines Erachtens darf man in diesen Situationen aber nicht den Aufsichtsbehörden einen Vorwurf machen. Dieser Fehler einer effektiven Durchsetzung war von Angang an systematisch in der DSGVO angelegt und hängt natürlich eng mit dem (intendierten) sehr weiten räumlichen Anwendungsbereich der Verordnung zusammen.

Referentenentwurf des Bundesarbeitsministeriums: Betriebsrat nicht datenschutzrechtlich verantwortlich, aber irgendwie doch…

In dem aktuellen Referentenentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) für ein Gesetz zur Förderung der Betriebsratswahlen und zur Stärkung der Betriebsräte (Betriebsrätestärkungsgesetz) (Stand: 21.12.2020) schlägt das BMAS auch eine gesetzliche Regelung zur datenschutzrechtlichen Verantwortlichkeitsverteilung zwischen Arbeitgeber und Betriebsrat vor. Der Betriebsrat soll nicht datenschutzrechtlich verantwortlich sein. Jedoch ist der Entwurf meines Erachtens jedoch noch nicht zufriedenstellend und bringt in der Praxis sogar ggfs. noch mehr Probleme mit sich. Nachfolgend eine kurze Einordnung zu dem Vorschlag.

Zweck

Mit einem neuen § 79a BetrVG soll die datenschutzrechtliche Verantwortlichkeit nach der Datenschutz-Grundverordnung bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich klargestellt werden (S. 2).

Die Regelung soll die bislang bestehende, seit dem Inkrafttreten der DSGVO jedoch umstrittene Rechtslage fortführen und „dient der Schaffung von Rechtsklarheit“ (S. 16). Ich stelle dieses letzte Ziel bewusst heraus, da der Entwurf dieses Ziel meines Erachtens (noch) verfehlt.

Neuer § 79a BetrVG

Der vorgeschlagene § 79a BetrVG soll wie folgt lauten:

§ 79a

Datenschutz

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Begründung im Entwurf

Nach Ansicht des BMAS agieren die Betriebsräte bei der Verarbeitung personenbezogener Daten als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für die Verarbeitung personenbezogener Daten durch den Betriebsrat sei sachgerecht, weil der Betriebsrat lediglich organisationsintern, jedoch keine nach außen rechtlich verselbständigte Institution ist (S. 16).

Das BMAS stützt sich bei der Regelung auf die in Art. 4 Nr. 7 DSGVO eröffnete Möglichkeit, den für die Datenverarbeitung Verantwortlichen im mitgliedstaatlichen Recht zu bestimmen (S. 24). Die Regelung soll die seit dem Inkrafttreten der Datenschutz-Grundverordnung umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat festlegen und „weist diese dem Arbeitgeber zu (Satz 1)“ (S. 24).

Dies ist nach Ansicht des BMAS sachgerecht, da der Betriebsrat keine nach außen rechtlich verselbständigte Institution ist. Bei der Verarbeitung personenbezogener Daten agiere der Betriebsrat daher als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers (S. 24).

Einschätzung

Und hier möchte ich dann in die Kommentierung des Entwurfs übergehen. Denn meines Erachtens erfolgt ab hier in der Gesetzesbegründung ein Bruch der Argumentation. Noch einmal zusammengefasst: das BMAS möchte den Arbeitgeber als gesetzlich Verantwortlichen nach DSGVO und BDSG festlegen. Das ist möglich, auch wenn manche sich evtl. eine andere Festlegung gewünscht hätten.

Wenn man aber den Arbeitgeber (das Unternehmen) als „Verantwortlichen“ nach der DSGVO festlegt, dann muss dies meines Erachtens auch konsequent für alle datenschutzrechtlichen Rechte und Pflichten gelten. Es gibt keinen „Verantwortlichen“ nach der DSGVO, der nur selektiv einer Pflichtenerfüllung unterliegt.

Die Begründung im Referentenentwurf führt aus: „Bei der Verarbeitung personenbezogener, teils sensibler, Beschäftigtendaten hat auch der Betriebsrat die datenschutzrechtlichen Vorschriften einzuhalten. Diese ergeben sich insbesondere aus der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und dem Bundesdatenschutzgesetz“ (S. 24).

Die Ansicht des BMAS ist hier meines Erachtens mindestes missverständlich. Denn zur Einhaltung der Pflichten nach DSGVO ist nicht ein Teil eines Verantwortlichen oder Auftragsverarbeiters verpflichtet, sondern der Verantwortliche an sich. Natürlich bedeutet dies, dass ein Unternehmen dafür sorgen muss, dass innerorganisatorisch gesetzliche Regelungen beachtet werden (also zB Mitarbeiter den Datenschutz einhalten). Gesetzlich verpflichtet ist aber nicht der einzelne Mitarbeiter oder eine Abteilung oder ein Fachbereich, sondern das Unternehmen an sich (als „Verantwortlicher“; in der Sondersituation des Exzesses mag dies anders sein). Die Begründung des BMAS eröffnet hier bereits Raum für Unsicherheiten, ob nicht der Betriebsrat doch noch irgendwie selbst verantwortlich bzw. verpflichtet ist. Allein die Möglichkeit dieser Interpretation der Begründung steht aber dem begrüßenswerten Ziel der Rechtsklarheit der Regelung entgegen.

§ 79a sieht auch beiderseitige Unterstützungspflicht von Arbeitgeber und Betriebsrat bei der Einhaltung der datenschutzrechtlichen Vorschriften vor (Satz 2). Nach der Begründung beruht dies auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits (S. 24).

Daher, so die Begründung, „sind Arbeitgeber und Betriebsrat bei der Erfüllung der datenschutzrechtlichen Pflichten in vielfacher Weise auf gegenseitige Unterstützung angewiesen: So hat der Betriebsrat z.B. keine Pflicht, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 der Datenschutz-Grundverordnung) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten“ (S. 24).

Der Entwurf nennt als weiteres Beispiel den datenschutzrechtlichen Auskunftsanspruch. Bei des Erfüllung ist der Arbeitgeber, wenn der Auskunftsanspruch sich auf die durch den Betriebsrat verarbeiteten Daten bezieht, auf die Unterstützung durch den Betriebsrat angewiesen (S. 24).

Die Begründung des BMAS verdeutlicht meines Erachtens die künstliche, einseitige Bestimmung der Verantwortlichkeit, die rein faktisch aber selbst nach Ansicht des BMAS gar nicht besteht bzw. durch den Arbeitgeber voll ausgeübt werden kann, ohne dass er durch den Betriebsrat unterstützt wird. Es schießen sich bei dieser Regelung in Satz 2 ganz entscheidende Praxisfragen an: was geschieht, wenn der Betriebsrat nicht unterstützt? Wie weit muss der Betriebsrat unterstützen? Gelten Antwortfristen nach der DSGVO an Betroffene auch für den Betriebsrat? Was geschieht, wenn aufgrund unterbliebener oder ungenügender Unterstützung ein Bußgeld gegen den Arbeitgeber verhängt wird?

Offensichtlich möchte das BMAS dem Betriebsrat eine Sonderstellung zukommen lassen, die natürlich arbeits- und betriebsverfassungsrechtlich besteht, jedoch datenschutzrechtlich für erheblich Unsicherheit in der Praxis führen kann.

Der worst case wäre hier sicher ein datenschutzrechtlich verantwortlicher Arbeitgeber (qua Gesetz), der aber zum Teil seine DSGVO-Pflichten nicht erfüllen kann. Bereits dieses mögliche Ergebnis (welches auch das BMAS sieht und daher die Unterstützungspflicht aufnimmt) macht meines Erachtens deutlich, dass die Festlegung der Verantwortlichkeit hier kein einfaches Unterfangen ist. Nicht zuletzt aufgrund der Schnittmenge zwischen europäischem Datenschutzrechts und nationalem Arbeits/Betriebsverfassungsrecht. Wenn jedoch eine Verantwortlichkeit festgelegt wird, dann kann und muss dies meines Erachtens umfassend erfolgen. Dies sehe ich in dem Entwurf noch nicht.

Dieses (problematische) Ergebnis wird in der Entwurfsbegründung in dem nächsten Absatz besonders deutlich.

Schließlich hat der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Artikel 24 und 32 der Datenschutz-Grundverordnung sicherzustellen.“

Hier bricht dann das datenschutzrechtlich angedachte Konzept der Verantwortlichkeit des Arbeitgebers vollends. Denn der Betriebsrat soll selbst und „eigenverantwortlich“ Pflichten der Datensicherheit umsetzen. Die dort benannten Pflichten, etwa Art. 32 DSGVO, treffen aber entweder den Verantwortlichen und/oder den Auftragsverarbeiter. Es ist nicht vorgesehen, dass national gesetzliche Pflichten auf innerbetriebliche Einheiten delegiert werden. Meines Erachtens schafft diese Regelung und ihre Begründung daher Unsicherheit darüber, wie andere relevanten Datenschutzpflichten in der Praxis zu erfüllen sind.

Zuletzt noch ein Hinweis auf die Vorgaben des Art. 4 Nr. 7 DSGVO selbst. Der Verantwortliche kann nach nationalem Recht bestimmt werden, wenn (!) die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind. Zu dieser Anforderung der DSGVO verhakte sich die Begründung überhaupt nicht. Man fragt sich also, welche Zwecke und Mittel das BMAS als auschlaggebend erachtet, um dem Arbeitgeber die Verantwortlichkeit aufzuerlegen.

Fazit

Das Ziel der Rechtssicherheit erfüllt der Vorschlag leider noch nicht. Meines Erachtens sollte im Rahmen der Verbändeanhörung und einer möglichen Anpassung des Entwurfs darüber nachgedacht werden, ob die Festlegung der Verantwortlichkeit in dieser Form wirklich rechtssicher umzusetzen ist. Auf jeden Fall sollte diese Festlegung, wenn sie erfolgt, konsequent gelten und nicht vereinzelt Ausnahmen vorsehen.

Datenschutzbeauftragter als Unternehmensvertreter im Verwaltungsverfahren?

Die Stellung und Aufgaben des Datenschutzbeauftragten (DSB) sind ja bekanntlich in Artt. 38, 39 DSGVO festgelegt. Hierbei fokussiert sich das Gesetz natürlich auf datenschutzspezifische Themen, wie etwa die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter zu beraten oder auch als Anlaufstelle für die Datenschutzbehörde zu agieren.

Eine Rolle als Vertreter des Verantwortlichen oder Auftragsverarbeiters nach außen, insbesondere prozessual, ist dem DSB in der DSGVO eigentlich nicht angedacht. Zumindest wird hierauf nicht eingegangen und eigentlich mag man sogar davon ausgehen, dass der DSB eine solche Vertretung gegenüber Aufsichtsbehörden wegen seiner unabhängigen Stellung (Art. 38 Abs. 3 DSGVO) nicht einnimmt.

In diesem Zusammenhang bin ich bei der Analyse der aktuellen Entscheidung des EDSA in dem Verfahren der irischen Aufsichtsbehörde gegen Twitter auf einen sehr interessanten und meines Erachtens hoch praxisrelevanten Aspekt gestoßen.  Die Entscheidung des EDSA ist hier abrufbar und auch ansonsten lesenswert, handelt es sich doch auch um die erste bindende Entscheidung des EDSA in einem Streitbeilegungsverfahren nach Art. 65 DSGVO.

In der Beschreibung des Sachverhalts wird dort auch auf die Frage eingegangen, ob denn Twitter im Rahmen des durch die irische Datenschutzbehörde durchgeführten Verwaltungsverfahrens und der darauf folgenden Einleitung des Verfahrens nach Art. 65 DSGVO beim EDSA zuvor ordentlich angehört und beteiligt wurde. Achtung, es geht hier nicht um die Involvierung des DSB von Twitter an sich, sondern des Unternehmens in dem Verwaltungsverfahren selbst. Das Sekretariat des EDSA fragte hierzu bei der irischen Behörde an:


On 4 September 2020, the Secretariat contacted the IE SA with additional questions in order to confirm whether TIC has been given the opportunity to exercise its‘ right to be heard regarding all the documents that were submitted to the Board for making its decision. On 8 September 2020, the IE SA confirmed that it was the case and provided the documents to prove it”.

Die “IE SA” ist die irische Behörde. „TIC“ ist die Abkürzung für Twitter.

Das EDSA Sekretariat verweist zuvor als Begründung auf Art. 41 Abs. 2 lit. a der Charta der Grundrechte der Europäischen Union. Danach hat jede Person das Recht, gehört zu werden, bevor ihr gegenüber eine für sie nachteilige individuelle Maßnahme getroffen wird. In der Rechtsprechung des EuGH wird stets die Bedeutung des Rechts auf Anhörung und seinen sehr weiten Geltungsumfang in der Unionsrechtsordnung bekräftigt. Das Recht auf Anhörung garantiert jeder Person die Möglichkeit, im Verwaltungsverfahren, bevor ihr gegenüber eine für ihre Interessen nachteilige Entscheidung erlassen wird, sachdienlich und wirksam ihren Standpunkt vorzutragen (EuGH, Urt. v. 22.11.2012 – C-277/11).

Die irische Datenschutzbehörde hat nach den obigen Ausführungen in der Entscheidung Dokumente an den EDSA geleitet, aus denen sich ergibt, dass das Unternehmen in dem Verwaltungsverfahren ordentlich angehört wurde. Hierzu verweist der Beschluss des EDSA in Fußnote 13 auf folgende Information:
Amongst the documents sent by IE SA, there were emails from the Global DPO acknowledging receipt of the relevant documents”.

Der DSB von Twitter hat in dem Verfahren relevante Dokumente von der Behörde erhalten und deren Erhalt auch per E-Mail bestätigt.

Das bedeutet, dass der EDSA anscheinend für eine Anhörung in einem Verwaltungsverfahren auch die Kommunikation mit bzw. Adressierung des DSB, quasi als Vertreter des Unternehmens im Verwaltungsverfahren, als ausreichend ansieht.

In Deutschland kennen wir dieses Recht aus § 28 VwVfG. Danach sind es „Verfahrensbeteiligte“ iSv § 13 Abs. 1 und Abs. 2 bzw. deren Vertreter oder Bevollmächtigte (§ 14 VwVfG), denen das Recht auf Anhörung zusteht. Den DSB an sich würde man bei uns wohl nicht als Verfahrensbeteiligten oder Bevollmächtigten ansehen. Zumindest nicht ohne entsprechende Bevollmächtigung und von Sonderkonstellationen einer Anscheins- oder Duldungsvollmacht abgesehen. Würde sich die Ansicht des EDSA (basierend auf der Auslegung europäischen Rechts) durchsetzen, würde dies in der Praxis für Unternehmen bedeuten, dass eine Kommunikation mit der Aufsichtsbehörde intern auf jeden Fall klar strukturiert erfolgen muss. Denn im schlimmsten Fall haben interne Abteilungen wie Legal oder Compliance keine Kenntnis von der Kommunikation mit der Behörde, diese würde aber von einer ordentlichen Anhördung des Unternehmens ausgehen. Klingt für mich insgesamt auch nach einer spannenden Frage zum Verhältnis zwischen DSGVO (bzw. der Charta) und nationalem Verfahrensrecht.

Landgericht Frankfurt: Kein Schadensersatzanspruch allein wegen fehlender Vereinbarung zwischen gemeinsam Verantwortlichen

Mit Urteil vom 18.9.2020 (Az. 2-27 O 100/20) hat das Landgericht Frankfurt am Main einige interessante Aussagen rund um Schadensersatzansprüche nach Art. 82 DSGVO getroffen. Ich beschränke mich hier auf solche zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO.

Sachverhalt

In dem Verfahren ging es (vermute ich), um Ansprüche eines ehemaligen Mitglieds des Bonusprogramms von Mastercard „Priceless Specials“, bei dem es im Jahr 2019 zu einem Sicherheitsvorfall bei einem Dienstleister kam, aufgrund dessen Datensätze der Teilnehmer im Internet landeten. Der Kläger machte aus verschiedenen Gründen Schadensersatzansprüche geltend. U.a. auch mit folgender Begründung:

„Dass zwischen der Beklagten und der XXX eine Vereinbarung nach Art. 26 DSGVO fehle, obwohl beide ausweislich des vorgelegten Datenverarbeitungsvertrages Zwecke und Mittel der Verarbeitung durch die XXX festgelegt hätten, verstoße gleichfalls gegen die DSGVO.“

Der Kläger machte mit der Behauptung, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, einen Schadensersatzanspruch in Höhe von insgesamt 1200 EUR geltend.

Entscheidung

Das LG musste sich also auch mit der Frage befassen, ob das (angebliche) Fehlen einer Vereinbarung nach Art. 26 Abs. 1 S. 2 DSGVO bereits einen ersatzfähigen Schaden für betroffene Personen darstellt. Nach Ansicht des Gerichts ist dies jedoch nicht der Fall.

Das LG führt hierzu aus:
„Überdies regelt Art. 26 DSGVO lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO“.

Das Gericht geht also davon aus, dass allein ein möglichen Fehlen der Vereinbarung zwischen gemeinsam Verantwortlichen noch nicht einen ersatzfähigen Schaden begründet. Dies liegt durchaus auf der Linie auch anderer Gerichte zu dem Schadensersatzanspruch nach Art. 82 DSGVO, die stets verlangen, dass ein konkreter Schaden durch Betroffene auch nachgewiesen wird. Allein der Verstoß gegen eine DSGVO-Pflicht, berechtigt noch nicht per se zum Schadensersatz. Das LG begründet seine Ansicht zudem auch mit einem Verweis auf Art. 26 Abs. 3 DSGVO, wonach Betroffene, unabhängig von Regelungen in der Vereinbarung, ihre Rechte gegen jeden der Verantwortlichen geltend machen können.

Fazit Allein eine fehlende JC-Vereinbarung begründet für sich noch keinen Schadensersatzanspruch. Anders mag dies sein, wenn tatsächlich ein Schaden eingetreten ist, der kausal auf diesem Mangel beruht. Spannend ist sicherlich auch die Frage, ob man die Argumentation des LG auf Verträge nach Art. 28 DSGVO übertragen kann.

Referentenentwurf zum 2. IT-Sicherheitsgesetz – Datenverarbeitung in Systemen der Angriffserkennung

Letzte Woche hat das Bundesinnenministerium einen neuen Referentenentwurf für das Zweite Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) veröffentlicht (pdf).

Mit dem Vorschlag sollen unter anderem auch Anpassungen an dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vorgenommen werden (Artikel 1 des Referentenentwurfs).

Eine von vielen interessanten und praktisch relevanten Schnittmengen zum Datenschutzrecht findet man in dem Vorschlag, eine Pflicht zum Einsatz von Systemen zur Angriffserkennung (§ 8a Abs. 1a und 1b BSIG-E) einzuführen.

Nach § 2 Abs. 9b BSIG-E handelt es sich bei „Systemen zur Angriffserkennung“ um durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten. Der Entwurf sieht also eine Legaldefinition dieser Systeme vor.

Die eigentliche Pflicht zum Einsatz solcher Systeme findet sich in § 8a Abs. 1a BSIG-E:

Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst spätestens ein Jahr nach Inkrafttreten dieses Gesetzes auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.“

Der Referentenentwurf sieht die Systeme zur Angriffserkennung damit als Teil der allgemein umzusetzenden organisatorische und technische Vorkehrungen. Hieraus lässt sich bereits ein erster Brückenschlag zum Datenschutzrecht, konkret Art. 32 DSGVO, vornehmen. Auch dort wird allgemein die Pflicht zur Umsetzung von technischen und organisatorischen Schutzmaßnahmen vorgesehen. Eine solche allgemeine Pflicht findet sich in dem aktuellen § 8a Abs. 1 BSIG, wonach Betreiber Kritischer Infrastrukturen verpflichtet sind, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

Mit dem Vorschlag zu § 8a Abs. 1a und 1b BSIG-E werden Betreiber Kritischer Infrastrukturen konkretisierend dazu verpflichtet, in Kritischen Infrastrukturen Systeme zur Angriffserkennung einzusetzen und bestimmte Daten für mindestens vier Jahre zu speichern (dies ergibt sich aus dem vorgeschlagenen Abs. 1b).

Der Referentenwurf ordnet § 8a Abs. 1a BSIG-E als Ergänzung der Verpflichtung der Betreiber Kritischer Infrastrukturen ein, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Diese Pflicht umfasst mit der Ergänzung nach der Begründung nun auch ausdrücklich Systeme zur Angriffserkennung (S. 67 des Entwurfs).

Bereits aus der vorgeschlagenen Legaldefinition (§ 2 Abs. 9b BSIG-E) ergibt sich, dass eine solche Angriffserkennung dabei meist durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten, erfolgt. Das System basiert also quasi auf einer Datenverarbeitung und einem Datenabgleich.

Nach der Begründung in dem Referentenwurf (S. 68) können sich darunter natürlich auch personenbezogene Daten befinden. Beispiele werden nicht genannt, man kann aber etwa an IP-Adressen, MAC-Adressen oder auch Geräte-IDs denken. Das BSIG-E lässt die Vorgaben der DSGVO zum Umgang mit personenbezogenen Daten selbstverständlich unangetastet. Daher verweist das BMI in der Begründung, für die Frage der rechtlichen Zulässigkeit des Datenabgleichs, auch auf die DSGVO.

Soweit die Verarbeitung personenbezogener Daten für die Angriffserkennung erforderlich ist, sind Betreiber Kritischer Infrastrukturen nach § 8a Absatz 1a nun auch ausdrücklich dazu verpflichtet. Die Regelung enthält daher eine rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c DSGVO zur Verarbeitung personenbezogener Daten.“

Mit dem vorgeschlagenen § 8a Abs. 1a BDSIG-E möchte das BMI also eine rechtliche Verpflichtung zur Datenverarbeitung schaffen. Diese Begründung ist unter zwei Gesichtspunkten interessant:

  • Zum einen geht die Begründung (zumindest nicht ausdrücklich) näher auf die Anforderungen nach Art. 6 Abs. 3 und 4 DSGVO ein. Danach muss der Zweck der Verarbeitung in der Rechtsgrundlage festgelegt sein. Jedoch lässt sich der Zweck der hier durchgeführten Datenverarbeitung aber mE auch aus dem Text des Abs. 1a entnehmen. Es müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfasst und ausgewertet werden können; zudem ist Ziel, dass die Systeme dazu in der Lage sind, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.
  • Mit diesem Vorschlag und der begründenden Verweisung auf Art. 6 Abs. 1 lit. c DSGVO ist mE gleichzeitig die Tendenz erkennbar, gesetzliche Pflichten zur Umsetzung von technischen und organisatorischen Schutzmaßnahmen als Rechtsgrundlage einer dafür erforderlichen Datenverarbeitung anzusehen. Ich vertrete und begründe diese Auffassung mit Blick auf Art. 32 DSGVO etwa in meinem Beitrag („Sicherheit der Verarbeitung“ als gesetzlicher Erlaubnistatbestand) in der Festschrift für Prof. Jürgen Taeger.

Rein praktisch stellen sich für Betreiber von Kritischen Infrastrukturen dann noch nachfolgende datenschutzrechtliche Fragen, wie etwa die Aufnahme der Verarbeitung (also des Systems zur Angriffserkennung ins Verzeichnis der Verarbeitungstätigkeiten) oder auch die Erfüllung von Informationspflichten nach Art. 13/14 DSGVO. Insbesondere hinsichtlich der Informationspflichten kann ggfs. die Ausnahme nach Art. 13 Abs. 4 DSGVO einschlägig sein. Eventuell sollte das BMI oder der Gesetzgeber insgesamt aber auch noch klarstellend eine ausdrückliche gesetzliche Ausnahme vorsehen. Zu denken ist hier auch an die Situation der Dritterhebung (Art. 14 DSGVO), wenn die in dem System der Angriffserkennung also nicht direkt bei den Betroffenen erhoben werden. Dann könnten sich Unternehmen eventuell auf die Ausnahme nach Art. 14 Abs. 5 b DSGVO berufen.