Europäische Kommission zum Formerfordernis für Auftragsverarbeitungsverträge nach der DSGVO

Eine Neuerung der Datenschutz-Grundverordnung (DSGVO) ist, dass nach Art. 28 Abs. 9 DSGVO der Auftragsverarbeitungsvertrag oder das andere Rechtsinstrument im Sinne der Art. 28 Abs. 3 und 4 DSGVO, schriftlich abzufassen sind, was aber „auch in einem elektronischen Format erfolgen kann“.

Die DSGVO selbst definiert nicht, was konkret das „Rechtsinstrument“ ist oder was unter dem „elektronischen Format“ zu verstehen ist. Die Europäische Kommission hat nun, basierend auf einer Anfrage im Europäischen Parlament, im Rahmen einer Antwort in dieser Hinsicht für etwas mehr Klarheit gesorgt.

Elektronisches Format

Hinsichtlich des Begriffs „elektronisches Format“ weist die Kommission darauf hin, dass die Regeln für den Abschluss von Verträgen oder anderen Rechtsakten, auch in elektronischer Form, nicht in der DSGVO, sondern in anderen EU- und/oder nationalen Gesetzen festgelegt sind. Insbesondere die Richtlinie über den elektronischen Geschäftsverkehr (Richtlinie 2000/31/EG) sieht die Beseitigung rechtlicher Hindernisse für die Nutzung von elektronischen Verträgen vor. Zwar harmonisiere diese Richtlinie nicht die Form, in der elektronische Verträge zustande kommen können.

Im Prinzip, so die Kommission, seien automatisierte Vertragsprozesse aber zulässig und so geschlossene Verträge auch rechtmäßig. Zum Teil wird in der Kommentarliteratur vertreten, dass das „elektronische Format“ praktisch nur eine qualifizierte elektronische Signatur (§ 126a BGB) meinen könne. Dieser, meines Erachtens nicht zutreffenden Ansicht, widerspricht nun die Kommission.

It is not necessary to append an electronic signature to contracts for them to have legal effects. E-signatures are one of several means to prove their conclusion and terms.”

Eine elektronische Signatur ist für die Rechtswirksamkeit von Verträgen gerade nicht erforderlich. Signaturen sind eines von mehreren Mitteln, um den Vertragsschluss beweisen zu können. Dies bedeutet, dass Autragsverarbeitungsverträge auch „einfach“ elektronisch, zB per PDF Dokument oder über eine Webseite, abgeschlossen werden können.

Rechtsinstrument

Nach Art. 28 Abs. 3 DSGVO erfolgt die Verarbeitung durch einen Auftragsverarbeiter entweder auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten. Auch der Begriff des „Rechtsinstruments“ wird in der der DSGVO nicht näher umschrieben. Zum Teil wird davon ausgegangen, dass ein „Rechtsinstrument“ im Sinne von Gesetzen oder Rechtsverordnungen zu verstehen sei. Auch diese Sichtweise wird von der Kommission nicht gestützt.

A legal act may be an ordinance or other type of administrative decision whereby controllers vested in public authority may stipulate the conditions for processing personal data on their behalf.”

Danach kann das Rechtsinstrument irgendeine Art von Verwaltungsentscheidung sein, mit der der Verantwortliche, hier die öffentliche Stelle, die Bedingungen für die Verarbeitung personenbezogener Daten in ihrem Namen festlegen können. Die Kommission verlangt in ihrer Antwort nicht das Vorliegen eines Gesetzes.

Bayerischer Landesbeauftragter für Datenschutz: Keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung

Sowohl vor als auch nach dem 25.5.2018 (und auch weiterhin) spielten und spielen in der Praxis die Anpassungen von bestehenden oder der Abschluss von neuen Verträgen zur Auftragsverarbeitung eine wichtige Rolle. Dabei haben sich die gesetzlichen Vorgaben in diesem Bereich (nun Art. 28 DSGVO) gar nicht so sehr geändert. Der Abschluss eines Vertrages etwa war auch vor dem 25.5.2018 erforderlich.

Nach Art. 28 Abs. 3 lit. h) DSGVO muss der Vertrag unter anderem vorsehen, dass der Auftragsverarbeiter, „dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt“. Der Auftragsverarbeiter muss danach ausdrücklich Kontrollen durch den Verantwortlichen ermöglichen und auch dazu beitragen. Diese Kontrollen sollen es dem Verantwortlichen ermöglichen zu prüfen, ob der Dienstleister die in Art. 28 DSGVO vorgegebenen Regularien beim Umgang mit personenbezogenen Daten beachtet.

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD; die Aufsichtsbehörde für den öffentlichen Bereich in Bayern) hat nun ein durchaus praxisrelevantes Kurzpapier zu der Frage veröffentlicht, ob Auftragsverarbeiter ihr Mitwirken an diesen Kontrollen durch den Verantwortlichen von Zahlungen (z.B. von Aufwendungen) abhängig machen können. Aus eigener Erfahrung kann ich sagen, dass derartige Klauseln, die dem Auftragsverarbeiter das Recht zusprechen, für seine Mitwirkungshandlungen im Zuge der Erfüllung der DSGVO-Pflichten eine gesonderte Vergütung zu verlangen, in der Praxis sehr verbreitet sind. Laut dem Kurzpapier werden auch bayerische öffentliche Stellen von Auftragsverarbeitern unter anderem mit dem Ansinnen konfrontiert, einer Vertragsklausel zuzustimmen, die dem Auftraggeber eine Vor-Ort-Kontrolle nur gegen ein besonderes Entgelt ermöglicht.

Nach Auffassung des BayLfD müssen die Kontrollrechte nach der DSGVO ohne besondere Begründung seitens des Verantwortlichen als Auftraggeber und ohne Abwehrmöglichkeit seitens des Auftragsverarbeiters (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO: “und dazu beiträgt”) ausgeübt werden können. „Andernfalls könnte der Verantwortliche nämlich seinen bei ihm auch nach Einbindung eines Auftragsverarbeiters verbleibenden Pflichten insbesondere gegenüber den betroffenen Personen nicht angemessen nachkommen“.

Daher darf nach Ansicht des BayLfD die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Ein solches Entgelt könne zudem entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten.

Als Lösung schlägt der BayLfD vor, dass der Auftragsverarbeiter die ihm durch Vor-Ort-Kontrollen seines Auftraggebers entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einrechnet (“Einpreisung”). Um dem Risiko für Auftragsverarbeiter zu begegnen, nicht von Auftraggebern “überrannt” zu werden, verweist der BayLfD darauf, dass jede Partei einer Auftragsverarbeitungs-Vereinbarung nach Treu und Glauben zur Rücksichtnahme auf die jeweils andere Partei verpflichtet ist. Diese Verpflichtung könne in der Vereinbarung durchaus näher ausgestaltet werden, etwa durch Bestimmungen, „dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen bzw. abzustimmen ist, oder dass anlasslose Inspektionen mengenmäßig kontingentiert sind“.

Die Ansicht des BayLfD wird man sicherlich diskutieren können. Dann ein vom Gesetz gefordertes „Beitragen“ zu den Kontrollen durch den Auftragsverarbeiter kann dem Grunde auch bei der Vereinbarung eines Entgelts vorliegen. Die DSGVO selbst schließt dies zumindest in Art. 28 DSGVO nicht aus. Das Gesetz konkretisiert nicht, inwiefern das „Beitragen“ kostenlos erfolgen muss. Der europäische Gesetzgeber hat aber solche Problematiken, dass die Pflichtenerfüllung der DSGVO nur gegen Entgelt ermöglicht wird, durchaus erkannt und an anderen Stellen entsprechende Regelungen für eine Kostenfreiheit getroffen, etwa in Art. 12 Abs. 5 DSGVO zu den Betroffenenrechten.

Zudem kann man die Auffassung vertreten, dass die vorgeschlagene Lösung über näher ausgestaltetet Regelungen zur Rücksichtnahme auf die Interessen der anderen Partei ebenso eine Abhängigkeit der Kontrollrechte von bestimmten Handlungen schafft. Denn wenn vor der Kontrolle diese zwischen den Parteien „abzustimmen“ ist, kann dies ebenfalls bedeutet, dass eine Kontrolle nicht ohne einvernehmliche Planung und gemeinsame Festlegung durch beide Parteien erfolgen kann. Damit hätte es aber wieder der Auftragsverarbeiter in der Hand, der Kontrolle „entgegenzuwirken“, was der BayLfD hinsichtlich des Entgelts als unzulässig ansieht.

Hier die richtige (vertragliche) Balance zu finden ist sicherlich nicht ganz einfach und wird vielfach auch durch die Umstände des Einzelfalls beeinflusst sein.

Verordnung über den freien Verkehr nicht personenbezogener Daten in der Europäischen Union kurz vor Verabschiedung – Abgrenzungsfragen zur DSGVO

Durch die Arbeiten an der DSGVO und vor allem auch der Umsetzung ihrer Vorgaben in der Praxis, wurde in den letzten Monaten recht wenig über ein anderes, für das Datenschutzrecht aber durchaus relevantes, Gesetzgebungsverfahren auf europäischer Ebene berichtet. Die im September 2017 von der Europäischen Kommission vorgeschlagene Verordnung über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union (COM(2017) 495, pdf).

Der Gesetzesentwurf wurde im letzten halben Jahr im Rat der Europäischen Union und auch im Europäischen Parlament geprüft und bearbeitet. Am 6. Juni 2018 hat der federführende Ausschuss für Binnenmarkt und Verbraucherschutz im EU-Parlament seinen Bericht vorgelegt (pdf). Mit Datum vom 25. Juni 2018 hat die Ratspräsidentschaft einen Kompromisstext der Verordnung an die ständigen Vertreter im Rat übersendet (pdf). Dieser Text ist das Ergebnis der Trilogverhandlungen zwischen Kommission, Parlament und Rat, auf den sich die Parteien am 19. Juni 2018 geeinigt haben.

Ziel des Vorschlags ist es, durch Maßnahmen zur Verbesserung der grenzüberschreitenden Mobilität nicht personenbezogener Daten im Binnenmarkt und zur Erleichterung des Anbieterwechsels und der Übertragung von Daten für die beruflichen Nutzer von Datenspeicherungs- und sonstigen Datenverarbeitungsdiensten einen stärker vom Wettbewerb geprägten und integrierten Binnenmarkt für Datenspeicherungs- und sonstige Datenverarbeitungsdienste und -tätigkeiten aufzubauen. Es sollen Datenverarbeitung in unterschiedlichen Intensitätsstufen erfasst werden, von der Datenspeicherung (Infrastructure-as-a-Service – IaaS) bis zur Verarbeitung von Daten auf Plattformen (Platform-as-a-Service – PaaS) oder in Anwendungen (Software-as-a-Service – SaaS).

Die Verordnung soll sich, in Abgrenzung zur DSGVO und auch der noch geltenden ePrivacy Richtlinie, nur auf elektronischen Daten beziehen, die keine personenbezogenen Daten sind. Aus Sicht der Praxis kann der so umrissene Anwendungsbereich bereits kritisch hinterfragt werden, denn inwiefern Unternehmen heutzutage noch (umfangreich) mit nicht personenbezogenen Daten umgehen, ist fraglich. Gerade aufgrund der extensiven Auslegung des Begriffs, sei es durch die DSGVO selbst oder auch die Rechtsprechung des EuGH und die Ansichten der Datenschutzaufsichtsbehörden.

Gerade diese Abgrenzungsfrage stellt dann aber gleichzeitig auch aus datenschutzrechtlicher Sicht, also dem Blickwinkel der personenbezogenen Daten, einen relevanten Aspekt dar. Denn für die Praxis wird es von Relevanz sein, wie sich die Anwendungsbereiche der beiden Verordnungen, DSVGO auf der einen, Verordnung zum freien Verkehr nicht personenbezogener Daten auf der anderen Seite, abgrenzen und ob es trennscharfe Grenzlinien gibt. Die Frage der Abgrenzung der Anwendungsbereich soll daher nachfolgend kurz beleuchtet werden (ich beziehe mich hierbei auf die aktuelle Fassung der „free flow“ Verordnung aus dem Trilog).

Nach ErwG 9 werden die gesetzlichen Rahmenbedingungen zum Schutz personenbezogener Daten nach der DSGVO als auch hinsichtlich des Schutzes personenbezogener Daten im Rahmen der elektronischen Kommunikation (ePrivacy Richtlinie) von dieser Verordnung nicht berührt. Nach ErwG 10 sollen die DSGVO und diese Verordnung quasi als gemeinsames Regelwerk zum freien Verkehr von Daten (personenbezogene und solche ohne Personenbezug) nebeneinander wirken. Die Anwendungsbereiche unterscheiden sich mithin anhand der Datenarten.

Doch was sieht der EU Gesetzgeber überhaupt als Datenarten an, die von der free flow Verordnung umfasst sind. In ErwG 10a gibt er hierzu ein paar Hinweise in der Form von Beispielen. Danach sei eine große Quelle nicht personenbezogener Daten das Internet der Dinge, künstliche Intelligenz und Maschinenlernen, etwa wenn diese im Rahmen industrieller Fertigungsprozesse eingesetzt werden. Dort erwähnte Beispiele: anonymisierte Datensätze für Big Data Analysen, Daten für die Präzisierungslandwirtschaft, um etwa den Einsatz von Pestiziden oder Wasser zu optimieren oder Daten zur Instandhaltung von Industriemaschinen.

Und dann kommt bereits eine der wichtigen Aussagen des Gesetzgebers: Sofern es technologische Entwicklungen ermöglichen sollte, anonymisierte Datensätze in personenbezogene Daten umzuwandeln, sollten diese Daten (der Gesetzgeber bezieht sich hierbei auf die zuvor erwähnten anonymisierten Daten) als personenbezogene Daten angesehen werden und die DSGVO gilt. Diese Aussage ist insofern bedeutend, da bereits die Möglichkeit der Re-Identifizierung ausreicht, um anonymisierte Daten als personenbezogene Daten anzusehen. Einziger Faktor, von dem diese Re-Identifizierung abhängig gemacht wird, sind die technologischen Entwicklungen. Leider definiert der Gesetzgeber weder, was mit „technologischen Entwicklungen“ gemeint ist, noch, wann den konkret „anonymisierte Daten“ vorliegen. Die Klarstellung in ErwG 10a zeigt jedoch, dass bereits die Möglichkeit der Re-Identifizierung genügt, um den Anwendungsbereich der free flow Verordnung zu verlassen und die DSGVO für anwendbar zu erklären.

Diese Klarstellung ist meines Erachtens auch im Rahmen der Anwendung der DSGVO zu beachten. Auch dort wird ja (leider) nicht definiert, was genau „anonymisierte Daten“ sind. Der Gesetzgeber geht aber davon aus, dass diese nicht vorliegen, wenn allein aufgrund technologischer Entwicklungen die Möglichkeit (!) der Re-Identifizierung gegeben ist. Auch dies fügt sich in die oben erwähnte weite Auslegung des Begriffs der personenbezogenen Daten ein, schmälert aber zugleich den Anwendungsbereich der free flow Verordnung.

In Art. 1a der Verordnung wird dann die ebenso wichtige Frage der gemischten Datensätze angesprochen, also Datensätze, die sowohl personenbezogene als auch nicht personenbezogene Daten enthalten. Eigentlich würden wohl die Meinungen im Datenschutzrecht in einer solchen Situation ohne viel Diskussion vom Vorliegen personenbezogener Daten in Gänze ausgehen (Stichwort: Infektion nicht personengezogener Daten). Nicht so aber der EU Gesetzgeber. In Art. 1a gibt er vor, dass im Fall des Vorliegens gemischter Datensätze die free flow Verordnung auf jene Daten im Datensatz Anwendung findet, die nicht personenbezogen sind. Der Gesetzgeber splittet also die gesetzlichen Regularien innerhalb eines gemischten Datensatzes. Dies gilt jedoch nach Art. 1a nicht für den Fall, wenn die personenbezogenen und nicht personenbezogenen Daten untrennbar miteinander verbunden sind. In diesem Fall soll die Anwendung der DSGVO nicht beeinträchtigt werden. Dies soll wohl bedeuten, dass dann nur die DSGVO eingreift. Interessant an Art. 1a ist in jedem Fall die gesetzgeberisch vorgesehen Zersplitterung regulatorischer Bedingungen innerhalb eines Datensatzes, zumindest wenn die Daten nicht untrennbar verbunden sind. Unklar bleibt, wann von einer „untrennbaren“ Verbundenheit auszugehen ist. Dies dürfte, wenn der Text so beschlossen wird, in der Praxis für Unsicherheiten bei der Anwendung der Gesetze sorgen.

Verwaltungsgericht: Facebook Custom Audience mit Kundenliste ist ohne Einwilligung unzulässig

Dass der Einsatz von Facebook Custom Audience aus datenschutzrechtlicher Sicht nicht unkritisch ist, dürfte seit einiger Zeit bekannt sein. Zuletzt hatte die bayerische Aufsichtsbehörde für Unternehmen, das BayLDA, im Oktober 2017 in einer Pressemitteilung darauf hingewiesen, dass Unternehmen in Bayern diesbezüglich überprüft wurden. Zudem stellte das BayLDA seine Sichtweise zur Zulässigkeit der verschiedenen Varianten des Werbe-Tools dar.

Die Variante „Facebook Custom Audience über die Kundenliste“ sieht das BayLDA nur als datenschutzrechtlich zulässig an, wenn Betroffene, deren Daten, u.a. auch die E-Mail-Adresse, gehasht an Facebook zum Abgleich mit Facebook-Nutzern weitergegeben wird, zuvor in die Verwendung der Daten für den werblichen Zweck eingewilligt haben.

Nachdem ein bayerisches Unternehmen, welches diese Variante von Facebook Custom Audience nutzte, vom BayLDA geprüft wurde und der Ansicht der Behörde nicht folgte, dass in diesem Fall die Einwilligung er Betroffenen erforderlich sei (diese lag nicht vor), erließ das BayLDA gegen das Unternehmen einen Bescheid, mit dem das Unternehmen verpflichtet wurde, binnen zwei Wochen nach Zustellung des Bescheides die erstellten Custom Audiences (Kundenlisten) zu löschen.

Gegen diesen Bescheid ging das Unternehmen, zunächst im Wege des vorläufigen Rechtsschutzes, vor dem Verwaltungsgericht (VG) Bayreuth gerichtlich vor. Das Verwaltungsgericht entschied nun mit Beschluss v. 08.05.2018 – B 1 S 18.105, dass der Antrag des Unternehmens abgelehnt wird, da Sache die in der Hauptsache erhobene Klage Unternehmens voraussichtlich ohne Erfolg bleiben wird.

Oder kurz: das Gericht folgt der Auffassung des BayLDA („folgt das Gericht den Gründen der angegriffenen Anordnung vom 16.01.2018“), dass der Einsatz der Variante von Facebook Custom Audience über das Hochladen von Kundenlisten in den eigenen Facebook Account des Unternehmens der vorherigen Einwilligung der Betroffenen bedarf.

Der Beschluss des VG ist sehr ausführlich und durchaus lesenswert. Insbesondere die Darstellung der verschiedenen Rechtspositionen und Begründungen der Parteien ist interessant.

Zudem noch ein Hinweis: der Beschluss erging auf Grundlage der alten Rechtslage vor dem 25.5.2018. Das heißt nicht, dass alle in dem Beschluss benannten Gründe und Erwägungen nun hinfällig wären. Denn wie wir wissen, unterscheidet sich die DSGVO gar nicht so sehr von dem alten BDSG. An der ein oder anderen Stelle, können sich meines Erachtens aber auch Unterschiede ergeben (Beispiel: die DSGVO kennt kein Listenprivileg für Werbezwecke, sondern benennt die Verarbeitung für Zwecke der Direktwerbung als ein mögliches berechtigtes Interesse; das alte BDSG definierte die Anonymisierung von Daten, die DSGVO jedoch nicht).

Nachfolgend möchte ich ganz kurz die Gründe des VG für seine Entscheidung aufführen:

  • Uber die verwendeten E-Mail-Adressen ist ein Personenbezug herstellbar. Durch den Vorgang des „Hashens“ werden die Daten nicht (i.S.v. § 3 Abs. 6 BDSG) anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen.
  • Bei der Übermittlung der gehashten E-Mail-Adressen der Kunden des Unternehmens an Facebook handelt es sich nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung, sondern um eine Übermittlung an Dritte und in der Folge eine Datenverarbeitung.
  • In der vorliegenden Sachverhaltsgestaltung ist nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Die Übermittlung der (gehashten) E-Mail-Adressen ist integraler Bestandteil der Werbemaßnahme. Eine eigenständige Bedeutung der bloßen Durchführung eines Datenabgleichs, der dann als Teil einer Auftragsdatenverarbeitung angesehen werden könnte, ist nicht zu erkennen.
  • Das Unternehmen kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ (§ 28 Abs. 3 Satz 2 BDSG (alt)) stützen. Bei E-Mail-Adressen handelt es sich nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind.
  • Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG (alt), da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält. Darüber hinaus wäre jedoch zusätzlich eine zugunsten des Unternehmens ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG (alt)), die jedoch hier zum Nachteil des Unternehmens ausgeht.
  • Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) (Interessenabwägung) kann die Übermittlung der (gehashten) E-Mail-Adressen nicht gerechtfertigt werden. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind die im § 28 Abs. 3 BDSG (alt) getroffenen Wertungen des Gesetzgebers zu berücksichtigen. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den Regelungen in § 28 Abs. 3 BDSG (alt) selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte.
  • Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Zu berücksichtigen ist daher auch, dass das Unternehmen die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten einzuholen.

Wie gesagt, sind einzelne Begründung aufgrund der neuen Rechtslage nicht per se übertragbar. Es zeigt sich aber insgesamt, dass das VG hier in allen entscheidenden Punkten der Argumentation des BayLDA folgt.

Besonders spannend ist für mich, aus juristischer Sicht, die Frage nach der Auftragsverarbeitung durch Facebook. Das VG verweist hier deutlich darauf, dass es nicht unbedingt auf den zwischen Facebook und dem Unternehmen abgeschlossenen Vertrag ankommt, sondern die faktischen Gegebenheiten entscheiden. Das bedeutet aber auch, dass es wohl faktische Gegebenheiten geben kann, in denen man Facebook durchaus als Auftragsverarbeiter des Unternehmens ansehen könnte.

Zu beachten zudem, dass sich diese Entscheidung nur auf eine Alternative des Werbe-Tools von Facebook bezieht. Daneben gibt es auch noch die Möglichkeit, ein Pixel des Netzwerkes in die eigene Webseite einzubinden (also keine Listen mit Kundendaten hochzuladen).

Wie ein schlechter Scherz: EU Gesetzgeber passt die DSGVO an – Einen Monat vor Anwendbarkeit

Es ist eigentlich kaum zu glauben, mit was der europäische Gesetzgeber, einen Monat vor Anwendbarkeit der DSGVO, nun um die Ecke kommt.

In einem 386 Seiten starken Dokument (Ratsdokument vom 19.4.2018, pdf, ab S. 47 beginnt die deutsche Fassung) nimmt er umfassende Anpassungen an allen Sprachfassungen der DSGVO vor.

Eigentlich soll es bei diesen Anpassungen nur um offensichtliche Fehler innerhalb der DSGVO gehen. Also etwa um Rechtschreibfehler oder auch um Verweisfehler auf Absätze, die nicht existieren.

Ich halte selbst solche Änderungen eines in Kraft getretenen Gesetzestextes für kritisch. Zumindest muss man hier wirklich mit der gebotenen Umsicht und Sorgfalt agieren. Denn wir Juristen wissen, dass es bei der Auslegung und Anwendung von Gesetzen gerade auf einzelne Wörter und ihre Bedeutung ankommen kann. Nun mag man nachträgliche Änderungen von Gesetzen noch gutheißen, wenn es tatsächlich um Rechtschreibfehler und auch offensichtliche Fehler in einer Sprachfassung geht, die in anderen Sprachfassungen nicht vorhanden sind. Es geht ja um die Schaffung von Rechtssicherheit für die Anwender.

Das ist bei diesen Vorschlägen zur Anpassung der DSGVO aber nicht immer der Fall. Betrachtet man die Änderungen etwas genauer, wird schnell klar, dass einige Änderungen sich tatsächlich auch auf den Sinn und den Aussagegehalt einer Vorschrift erstrecken.

Das bedeutet, dass eine Regelung, mit der Unternehmen seit Inkrafttreten im Mai 2016 arbeiten und auf die sie ihre Datenverarbeitungsprozesse anpassen, nun im schlimmsten Fall einen anderen Sinn und eine andere Regelungsvorgabe enthält. Als Berater zur Umsetzung der DSVGO fehlt mir da tatsächlich das Verständnis und lässt mich doch etwas sprachlos zurück.

Ich möchte diese Kritik an einigen Beispielen verdeutlichen:

ErwG 71 befasst sich mit den Vorgaben für das Profiling (Art. 22 DSGVO). Es geht dort u.a. auch darum, welche Maßnahmen der Verantwortliche zum Schutz der Betroffenen treffen muss.

… und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben“.

Die Berichtigung wird nun „oder zu Maßnahmen kommt“ durch „oder zu einer Verarbeitung kommt“ ersetzen. Meines Erachtens wird durch Einfügung des Begriffs „Verarbeitung“ durchaus der Sinn der Vorschrift geändert. Denn „Maßnahmen“ würde ich persönlich weiter verstehen als eine „Verarbeitung“; diese bezieht sich allein auf den Umgang mit personenbezogenen Daten, wohingegen „Maßnahmen“ umfassender zu verstehen ist.

Ein weiteres Beispiel:

In ErwG 145 geht es um die Klagemöglichkeit Betroffener gegen Verantwortliche und Auftragsverarbeiter. Derzeit wird hier noch, zum Ort, an dem Klage eingereicht werden kann, vorgegeben: „des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat“. In der offiziellen Berichtigung wird nun „Aufenthaltsort“ durch „in dem die betroffene Person wohnt“ ersetzt. Auch dies ist meines Erachtens nach nicht nur eine marginale sprachliche Anpassung. Denn den „Aufenthaltsort“ wird man weiter verstehen können als den reinen „Wohnort“. Der Knaller ist aber, dass der entsprechende Artikel, Art. 79 Abs. 2, nicht angepasst wird. Dort heißt es „in dem die betroffene Person ihren Aufenthaltsort hat“. Also ändert der Gesetzgeber nun den ErwG 145 abweichend zu der Vorgabe in dem entsprechenden Artikel.

Und ein letztes Beispiel:

Art. 25 Abs. 2 S. 1 heißt momentan: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Die offizielle Berichtigung löscht nun das Wort „grundsätzlich“. In Zukunft heißt es also: „…die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung…“. Als Juristen wissen wir, dass das Wort „grundsätzlich“ eine durchaus relevante Bedeutung hat, nämlich dass es noch Ausnahmen gibt bzw. die jeweilige Regelung nicht unbedingt abschließend ist. Diese Interpretation des Art. 25 Abs. 2 S. 1 wird nun aber gänzlich unmöglich, denn „grundsätzlich“ wird gelöscht. Die Vorgabe ist mithin als abschließend und zwingend anzusehen. Auch dies stellt, finde ich, nicht allein nur eine sprachliche Anpassung des Textes dar, sondern verändert den Inhalt der gesetzlichen Regelung.

Ich frage mich wirklich, was nun Unternehmen denken, die zwei Jahre lang mit dem Text der DSGVO gearbeitet, Geld und Zeit investiert haben, und nun, einen Monat vor Anwendbarkeit eine textlich und auch inhaltlich angepasste DSGVO serviert bekommen.

Nun mag man argumentieren, dass ja die einzelnen Sprachfassungen ohne Bedeutung seien und die englische Fassung stets die entscheidende war und dort entsprechende Fehler auch nicht enthalten sind. Das sin der englischen Fassung manche der oben genannten Anpassungen nicht vorgenommen werden, mag zutreffen. Jedoch ist es ständige Rechtsprechung des EuGH, dass grundsätzlich allen Sprachfassungen einer Gemeinschaftsvorschrift der gleiche Wert beizumessen ist (z.B. C-152/01). Die englische Fassung ist also per se nicht richtiger oder besser als die deutsche.

Ich für meinen Teil finde es leider abstrus, dass nun, so kurz vor Anwendbarkeit der DSGVO, tatsächlich auch noch inhaltliche Änderungen an der DSGVO vorgenommen werden.

DSGVO-Prax – Name des Datenschutzbeauftragten in der Datenschutzerklärung?

Im Blog war es in den letzten Wochen ein wenig ruhiger. Der Grund hierfür hat einen Namen: DSGVO. Immer mehr Unternehmen befassen sich in den letzten Monaten mit der bald anwendbaren DSGVO und der Beratungsbedarf steigt daher stetig.

Aus diesen verschiedenen Beratungsanfragen und DSGVO-Projekten möchte ich in den nächsten Wochen immer mal wieder ein paar (hoffentlich) relevante Fragestellungen hier im Blog präsentieren. Sozusagen das “Best of”. Also Fragen aus und Antworten für die Praxis: DSGVO-Prax.

Der heutige Beitrag befasst sich mit einer Frage, die ich in der Beratung oder auch bei Seminaren oder Vorträgen eigentlich immer gestellt bekomme. Warum diese Frage immer wieder auftaucht, kann ich selber gar nicht genau einschätzen. In vielen Unternehmen bzw. besser, für viele Datenschutzbeauftragte, scheint sie aber sehr relevant zu sein.

Erfordert die Vorgabe des Art. 13 Abs. 1 lit. b) und Art. 14 Abs. 1 lit. b) DSGVO die Nennung des Namens des Datenschutzbeauftragten in der Datenschutzerklärung (z. B. auf der Webseite oder in Datenschutzinformationen für Mitarbeiter)?

Meiner Ansicht nach ist die klare Antwort: nein. Der Name des Datenschutzbeauftragten muss nicht genannt werden. Natürlich kann man ihn dennoch angeben. Aber gesetzlich zwingend ist die Angabe im Rahmen der Informationspflichten nach Art. 13 und 14 DSGVO nicht.

Dies ergibt sich zum einen schlicht aus dem Wortlaut. Art. 13 Abs. 1 lit. b) DSGVO verlangt, dass gegebenenfalls „die Kontaktdaten des Datenschutzbeauftragten“ mitzuteilen sind. „Kontaktdaten“ sind aber kein Name, sondern etwa die Telefonnummer oder die E-Mail-Adresse.

Zudem ergibt sich dieses Ergebnis aus einer systematischen Gesamtschau. Der europäische Gesetzgeber sieht nämlich in der DSGVO durchaus die Pflicht vor, den Namen des Datenschutzbeauftragten zu nennen, etwa in Art. 30 Abs. 1 lit. a) DSGVO im Verzeichnis der Verarbeitungstätigkeiten. Dies spricht dafür, dass er in einem Fall (Art. 13/14 DSVGO) den Namen bewusst nicht von der Informationspflicht umfasst sieht, in einem anderen Fall (Art. 30 DSGVO) den Namen aber im Verzeichnis aufgenommen haben möchte. Ein anderes Beispiel für die Erwähnung des Namens des Datenschutzbeauftragten ist Art. 33 Abs. 3 lit. b) DSGVO bei der Meldung einer Datenschutzverletzung.

Also: im Rahmen der Datenschutzinformationen muss der Name nicht genannt werden.

Flickenteppich bei Landesdatenschutzgesetzen – Rechtunsicherheit ist vorprogrammiert

Derzeit überarbeiten auch die Bundesländer ihre Landesdatenschutzgesetze, um diese den Vorgaben der DSGVO und auch der Datenschutzrichtlinie im Bereich Strafverfolgung und –vollstreckung (JIRL) anzupassen. Also jene Vorgaben, die schwerpunktmäßig den Umgang mit personenbezogenen Daten durch Landesbehörden regeln.

Wer gehofft hat, dass Landesbehörden in Zukunft einheitlichen Regelungen beim Umgang mit personenbezogenen Daten folgen werden, dem wird nach Sichtung der verschiedenen Entwürfe schnell klar, dass dies nicht der Fall ist. Sollten die Gesetzesentwürfe in ihrer jetzigen Form verabschiedet werden, dürfte die Folge vor allem eine große Rechtsunsicherheit bei der betroffenen Behörden, aber vor allem auch Bürgern und Unternehmen sein, die als Dienstleister und Geschäftspartner der Landesbehörden agieren. Nachfolgend nur ein paar Beispiele für dieses teils stark abweichende Regelungsgeflecht.

Wartung von Systemen als Auftragsverarbeitung?

Sowohl das neue BDSG als auch der Gesetzentwurf in Brandenburg sehen keine gesetzliche Fiktion der Auftragsverarbeitung für die Durchführung von Wartungsarbeiten an Systemen (wie derzeit noch in § 11 Abs. 5 BDSG geregelt) vor. Im Entwurf aus Hessen soll diese Fiktion in § 3 Abs. 2 HDSIG-E jedoch vorgeschrieben werden. Es stellt sich jedoch die Frage, ob eine solche Regelung im Anwendungsbereich der DSGVO überhaupt europarechtskonform möglich ist. Denn Art. 4 Nr. 8 DSGVO definiert, wer „Auftragsverarbeiter“ ist. Dort findet sich keine Fiktion für Wartungsarbeiten. Im Entwurf in NRW wird die Fiktion (§ 52) nur auf den Anwendungsbereich der JIRL beschränkt (§§ 35 ff.).

Dienstleister für hessische Behörden müssten also, wenn sie Wartungen an Systemen durchführen, einen Vertrag zur Auftragsverarbeitung abschließen. Für dieselbe Tätigkeit für Behörden in Brandenburg wäre dies nicht nötig. In NRW müsste vorher geprüft werden, ob die Tätigkeit der Behörden in den Anwendungsbereich der JIRL (also die §§ 35 ff. des Entwurfs des LDSG NRW) fällt.

Videoüberwachung

Auch die Erlaubnisnorm zur Vornahme der Videoüberwachung ist in den verschiedenen Gesetzen ganz unterschiedlich ausgestaltet. In Brandenburg (§ 27) geht es um die „Erhebung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung) und deren weitere Verarbeitung“, in Hessen (§ 4) um die „Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung)“, in Sachsen (§ 13) um die „Verarbeitung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung), einschließlich der Speicherung und Verwendung der erhobenen Daten“. Nun mag man argumentieren, dass das im Ergebnis ja egal sei. Dies würde ich jedoch nicht so sehen, da es in der Praxis durchaus relevant sein kann, wann die Vorgaben zur Videoüberwachung einzuhalten sind und wann nicht. Geht es um eine „Beobachtung“, eine „Verarbeitung“ oder eine „Erhebung“?

Anonymisierung

Die DSGVO kennt den Begriff der „anonymen Informationen“ und erwähnt diesen in ErwG 26 DSGVO. Eine gesetzliche Begriffsbestimmung in Art. 4 DSGVO existiert aber nicht. Das neue BDSG enthält keine Definition der „Anonymisierung“ oder „anonymen Informationen“. In Hessen soll in § 2 Abs. 4 der Begriff „anonyme Informationen“ gesetzlich festgelegt werden. Der Entwurf orientiert sich hierbei an ErwG 26. In Brandenburg wird in § 3 gleich eine ganz eigene Begriffsbestimmung für „Anonymisierung“ festgelegt, die sich so nicht aus der DSGVO ergibt. Auch im Entwurf aus NRW wird die „Anonymisierung“ gesetzlich definiert. Es stellt sich jedoch dir Frage, ob Landesgesetzgeber diesen Begriff legal definieren dürfen, wenn die DSGVO (und damit der europäische Gesetzgeber) den Begriff der „anonymen Informationen“ kennt, jedoch ganz klar keine Legaldefinition in Art. 4 DSGVO aufgenommen hat. Bleiben die Definitionen bestehen, würde dies bedeuten, dass in den einzelnen Bundesländern jeweils unterschiedliche Vorgaben dazu existieren, wann eine „Anonymisierung“ gegeben ist und wann nicht.

ePrivacy Verordnung: Mitgliedstaaten sollen über opt-in oder opt-out für den Einsatz von Cookies für Werbezwecke entscheiden

Im Rat der Europäischen Union wird zwischen den Mitgliedstaaten weiter über den Entwurf der ePrivacy Verordnung diskutiert (mein älterer Beitrag hierzu). Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacyVO soll die geltende ePrivacy-Richtlinie ersetzt werden.

Nun hat die Ratspräsidentschaft ein aktuelles Sachstandspapier (pdf) vom 11.1.2018 zu noch offen diskutierten Themen veröffentlicht, in dem sie die Mitgliedstaaten dazu auffordert, Stellungnahmen zu verschiedenen Lösungsvorschlägen abzugeben. Betroffene Themen sind u.a. ganz allgemein das Verhältnis der ePrivacyVO zur EU Datenschutz-Grundverordnung, die Regulierung der Maschine-Maschine-Kommunikation, die Anforderungen an Software (Browser, Apps) aber natürlich auch die zukünftigen rechtlichen Anforderungen zum Zugriff auf Informationen oder das Ablegen von Informationen in Endgeräten der Nutzer. Also insbesondere der Einsatz von Cookies und anderen Trackingtechnologien für werbliche Zwecke.

Sowohl der Entwurf der Kommission als auch die Entschließung des Europäischen Parlaments zur ePrivacyVO sahen in Art. 8 Abs. 1 dem Grunde nach keine Möglichkeit vor, Informationen auf Endgeräten abzulegen oder auf Informationen in Endgeräten von Nutzern für rein werbliche Zwecke (z.B. Onlinewerbung) zuzugreifen, ohne dass die Einwilligung des Nutzers vorliegt.

Die Ratspräsidentschaft bittet in dem aktuellen Diskussionspapier nun um Stellungnahmen der Delegationen zu der Frage, ob Art. 8 Abs. 1 in der Hinsicht angepasst werden sollte, dass ein Erlaubnistatbestand aufgenommen wird, der, auf der Grundlage berechtigter Interessen und dem Recht des Betroffenen auf Widerspruch, Unternehmen die Möglichkeit eröffnet, Cookies und andere Technologien für werbliche Zwecke einzusetzen. Es geht hier also um die Frage, ob eine Interessenabwägung auch im Bereich des Zugriffs auf Informationen in oder das Ablegen von Informationen (wie Cookies) auf Endgeräte als Erlaubnistatbestand Einzug in die ePrivacyVO halten soll. Sollte dieser Vorschlag Zuspruch finden, dürfte diese Änderung sicherlich noch für Diskussionen im (wohl für Herbst bzw. Ende 2018 geplanten) Trilog zwischen Kommission, Parlament und Rat sorgen.

Europäische Kommission: Vereinigtes Königreich ist ab dem 30.3.2019 ein Drittland – Handlungsbedarf für Unternehmen

Die Europäische Kommission hat in einer Mitteilung (pdf) vom 9.1.2018 bestätigt, wovon die meisten Beobachter ohnehin bereits ausgegangen sind. Ab dem 30.3.2019 ist das Vereinigte Königreich aufgrund seines erklärten Austritts aus der Europäischen Union als „Drittland“ im Sinne der dann geltenden EU Datenschutz-Grundverordnung (DSGVO) zu behandeln. Datenschutzrechtlich betrachtet steht das Vereinigte Königreich dann auf einer Stufe mit Ländern wie USA, China oder auch Russland, für die kein Angemessenheitsbeschluss der Europäischen Kommission zum Schutzniveau für personenbezogene Daten existiert.

Die nun vorliegende schriftliche Klarstellung der Kommission macht deutlich, dass es keine automatische Anerkennung des Datenschutzniveaus im Vereinigten Königreich nach dem Austritt geben wird. Manch einer mag gehofft haben, dass das Schutzniveau des Datenschutzrechts im Vereinigten Königreich quasi automatisch als angemessen angesehen wird, da ja zumindest bis zum Austritt aus der Union auch dort die DSGVO gilt. Einem solchen Automatismus erteilt die Kommission jedoch eine Absage. Gegen die automatische Anerkennung des Schutzniveaus spricht im Übrigen auch der veränderte Prüfungsmaßstab der Kommission, wenn sie die Angemessenheit des Schutzniveaus nach Art. 45 Abs. 2 DSGVO prüft. Denn sie muss dann auch nationale Rechtsvorschriften in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten prüfen (Art. 45 Abs. 2 lit. a) DSGVO). Solange das Vereinigte Königreich aber Mitglied der Europäischen Union ist, ist die Frage der nationalen Sicherheit aber der Kompetenz der Kommission entzogen.

Zu Recht macht die Kommission in ihrer Mitteilung auf die Konsequenzen für Unternehmen aufmerksam, wenn diese personenbezogene Daten auch nach dem Stichtag an Stellen im Vereinigten Königreich übermitteln möchten. Für die Zulässigkeit solcher Übermittlungen müssen bestimmte Voraussetzungen erfüllt werden, die in den Art. 44 ff DSGVO näher beschrieben sind. Mangels eines Angemessenheitsbeschlusses der Kommission (Art. 45 DSGVO) werden für Unternehmen also vor allem die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) DSGVO, jetzige EU Standardvertragsklauseln) eine wichtige Rolle spielen. Diese Verträge sind dann mit Unternehmen im Vereinigten Königreich abzuschließen.

Daneben kommen in Zukunft unter der DSGVO auch weitere Instrumente, wie etwa genehmigte Verhaltensregeln oder genehmigte Zertifizierungsmechanismen als Grundlage für eine Übermittlung in Betracht.

Unternehmen in der Europäischen Union müssen sich also innerhalb des nächsten Jahres darum kümmern, Datenübermittlungen in das Vereinigte Königreich aus rechtssichere Füße zu stellen.

Datenschutz-Grundverordnung in der Arztpraxis – Fragebogen der Datenschutzbehörde zur Praxisorganisation

Die ab dem 25.5.2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO) gilt nicht nur für große, internationale Unternehmen. Auch mittelständische Betriebe und Selbstständige müssen sich mit den, teilweise neuen, Vorgaben zum Umgang mit personenbezogenen Daten befassen. In Deutschland kommen zudem die Regelungen des ebenfalls ab dem 25.5.2018 geltenden neuen Bundesdatenschutzgesetzes hinzu.

Der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern hat Ende 2017 einen Fragebogen (pdf) an zufällig ausgewählte Arztpraxen versendet, in dem er die Erfüllung verschiedenster Anforderungen der DSGVO abfragt. Die Ergebnisse der Befragung sollen der Behörde helfen, den Beratungsbedarf bei Arztpraxen einzuschätzen.

Arztpraxen (aber selbstverständlich auch andere datenverarbeitende Stellen) sollten sich, auch wenn sie den Fragebogen nicht selbst erhalten haben, mit den Fragen auseinandersetzen und für sich prüfen, ob sie entsprechende Antworten geben könnten. Die Fragen der Behörde stellen eine erste Richtungsvorgabe dafür dar, was Unternehmen ab dem 25.5.2018 für Anfragen von Seiten der Aufsichtsbehörden erwarten könnten und welche Regelungsbereiche der DSGVO aus Sicht der Behörde besondere Relevanz haben.