Category Archives: Europa

Verwaltungsgericht Mainz: Betroffene haben keinen Anspruch auf die Vornahme bestimmter aufsichtsbehördlicher Maßnahmen

Posted on by

Kann eine betroffene Person, wen sie sich bei einer Datenschutzbehörde beschwert hat, von dieser Datenschutzbehörde die Vornahme einer ganz bestimmten aufsichtsbehördlichen Maßnahme verlangen und dies auch einklagen? Um diese Frage ging u.a. in einem Fall, den das Verwaltungsgericht Main (VG) entschieden hat (Beschluss vom 29.08.2019 – 1 L 605/19.MZ).

Sachverhalt

In dem Verfahren im Rahmen des einstweiligen Rechtsschutzes (§ 123 Abs. 1 VwGO) hat die Antragstellerin vorgetragen, sie führe einen Rechtsstreit mit ihrem früheren Anwalt, der sie gegen die B. GmbH vertreten habe. Der Anwalt sei später als Zeuge von der B. GmbH angeboten worden, was ihrer Ansicht nach dafür spreche, dass er einen Geheimnisverrat begangen habe. Um dies feststellen zu können, benötige sie nunmehr die Auskunft von der B. GmbH.

Hierzu hatte die Antragstellerin offensichtlich einen Auskunftsanspruch nach Art. 15 DSGVO gegenüber der B. GmbH geltend gemacht. Dieser scheint nicht erfüllt worden zu sein, worauf hin sich die Antragstellerin bei dem Landesbeauftragten für Datenschutz in Rheinland-Pfalz (LfDI) beschwerte. Der LfDI hat das Beschwerdeverfahren durch einen rechtsverbindlichen Beschluss, der auch mit einer Rechtsbehelfsbelehrung versehen war, abgeschlossen.

Die Antragstellerin begehrte nun vom LfDI, dass er das gegen die B. GmbH gerichtete Beschwerdeverfahren nach Art. 77 Abs. 1 DSGVO wieder aufnimmt und fortsetzt.

Entscheidung

Das VG lehnt die begehrte einstweilige Anordnung gegenüber dem LfDI ab. Die Antragstellerin habe einen Anordnungsgrund nicht glaubhaft gemacht. Es könne damit offenbleiben, ob ein Anordnungsanspruch bestehe.

Der Antrag der Antragstellerin ist quasi auf eine Fortsetzung des Beschwerdeverfahrens gerichtet. Nach Art. 77 Abs. 1 DSVGO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Da hier die Fortsetzung des Verfahrens Antragsziel ist, könnte die besondere Form der Untätigkeitsklage nach Art. 78 Abs. 2 DSGVO statthaft sein. Danach hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

Jedoch verweist das VG in seiner Begründung zurecht darauf, dass der LfDI als Aufsichtsbehörde hier das Verfahren bereits durch einen rechtsverbindlichen Beschluss abgeschlossen hat.

Gegen diesen Verwaltungsakt als Abschlussverfügung des LfDI kann die betroffene Person grundsätzlich nach Art. 78 Abs. 1 DSGVO vorgehen. Jedoch ist der Antrag hier gerade nicht nur auf die Aufhebung eines Verwaltungsakts bzw. die Anfechtung eines rechtsverbindlichen Beschlusses der Aufsichtsbehörde gerichtet, sondern zumindest auch auf ein Tätigwerden des LfDI.

Grundsätzlich relevant ist die Ansicht des VG, dass Art. 78 Abs. 1 DSGVO nicht nur auf Anfechtungsklagen gegen die rechtsverbindlichen Beschlüsse der Aufsichtsbehörde beschränkt ist, sondern darüber hinaus

auch Verpflichtungs- und Leistungsklagen zur Gewährung eines effektiven Rechtsschutzes für die betroffene Person

umfasst.

Danach geht das VG noch auf die Frage ein, was konkret die Antragstellerin überhaupt von dem LfDI verlangen könnte.

In diesem Zusammenhang verweist das VG auf die durchaus (auch schon gerichtlich) divers diskutierte Frage nach dem Umfang der – gerichtlich gegebenenfalls durchsetzbaren – Pflichten der Auskunftsbehörde.

Zum einen wird die Auffassung vertreten, dass von der Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO und Art. 57 Abs. 1 lit. f) DSGVO nur eine Bearbeitung der Beschwerde bzw. eine zeitnahe Unterrichtung über den Stand und das Ergebnis der Untersuchungen verlangt werden kann.

Andererseits gibt es aber auch die Rechtsmeinung, dass die Aufsichtsbehörde zu konkreten Maßnahmen verpflichtet werden kann.

Nach Ansicht des VG (nach der im Eilverfahren gebotenen summarischen Prüfung) spricht einiges dafür,

dass der Aufsichtsbehörde ein (weiter) Ermessensspielraum zusteht, ob und welche Maßnahmen sie ergreift, um einen etwaigen Verstoß gegen die DSGVO festzustellen oder einen Auskunftsanspruch des Beschwerdeführers durchzusetzen.

Danach kann eine betroffene Person nur Ermessensfehler rügen, jedoch nicht in Form eines Anspruchs direkt nur eine bestimmte aufsichtsbehördliche Maßnahme fordern. Vorliegend begehrt die Antragstellerin aber nicht den Erlass einer ermessensfehlerfreien Entscheidung und etwa einen Anspruch auf behördliches Einschreiten des Antragsgegners gegen die B. GmbH, sondern sie hat nur eine Fortsetzung des Beschwerdeverfahrens beantragt.

Offen lässt das VG im Rahmen der Prüfung des Anordnungsanspruchs, welche Pflichten die nach Art. 77 Abs. 1 DSGVO angerufene und mit einer Beschwerde befasste Aufsichtsbehörde hat, ob ein (weiter) Ermessensspielraum besteht oder ob sie zum Erlass bestimmter Maßnahmen verpflichtet ist bzw. verpflichtet werden kann. Denn das Gericht lehnt den Antrag bereits wegen Fehlens eines Anordnungsgrundes (keine hinreichende Glaubhaftmachung, dass ihr ein Abwarten einer Entscheidung in der Hauptsache nicht zumutbar ist) ab.

ePrivacy: neuer Vorschlag im Rat zur Aufnahme „berechtigter Interessen“ als Grundlage des Trackings

Posted on by

Mit Datum vom 21.02.2020 hat die aktuelle Ratspräsidentschaft neue Vorschläge zur Anpassung der Art. 6 und 8 des Entwurfs der ePrivacy-Verordnung vorgelegt (PDF). Hiervon erfasst ist auch eine Anpassung von Art. 8 („Schutz von Informationen im Zusammenhang mit Endeinrichtungen“), also die Regelungen zum Einsatz von Tracking-Technologien.

In Art. 8(1)(g) des Vorschlags hat die Präsidentschaft eine neue Grundlage für die Verarbeitung von Informationen auf der Grundlage von „berechtigten Interessen“ eingeführt. Dies ist deshalb relevant, da die ePrivacy-Verordnung bislang ihren Fokus sehr stark auf die Einwilligung von betroffenen Personen gelenkt hatte. Hiermit zusammenhängende Änderungen sind auch in den begleitenden Erwägungsgründen 20, 21, 21b und 21c enthalten.

Nach Art. 8 (1)(g) des Entwurfs ist jede Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer grundsätzlich untersagt. Dies gilt nicht, wenn es für die von einem Diensteanbieter verfolgten berechtigten Interessen erforderlich ist, die Verarbeitungs- und Speichermöglichkeiten von Endgeräten zu nutzen oder Informationen von den Endgeräten eines Endnutzers zu sammeln, es sei denn, dieses Interesse wird von den Interessen oder den Grundrechten und -freiheiten des Endnutzers überlagert.

Der Vorschlag zieht hier also die aus der DSGVO bekannt Interessenabwägung in die ePrivacy-Verordnung. Dies auch nicht nur bezogen auf spezifische Zwecke, wie etwa statistische Analysen, sondern ganz generell.

Diese Anpassung würde für die Wirtschaft sicherlich eine begrüßenswerte und pragmatische Öffnung der strengen und engen Vorgaben des Art. 8 des Entwurfs bedeuten. Aufgrund der fehlenden Beschränkung auf bestimmte Zwecke des Zugriffs auf Informationen in Endgeräten oder des Auslesens, würde dies also wohl auch den Einsatz von Cookies oder Pixeln zum Zweck der Werbeausspielung umfassen.

Man mag nun direkt in kritische Würdigungen verfallen, da diese Anpassung ad hoc natürlich sehr weit und unbestimmt klingt. Jedoch scheint sich die Ratspräsidentschaft hierzu einige Gedanken gemacht zu haben und verengt die Möglichkeit der Nutzung der Interessenabwägung dadurch, dass sie gesetzliche Vermutungen aufstellt, wann die Interessen der Endnutzer überwiegen sollen.

Es wird davon ausgegangen, dass die Interessen des Endnutzers die Interessen des Diensteanbieters überwiegen, wenn

  • der Endnutzer ein Kind ist oder
  • wenn der Diensteanbieter die Informationen verarbeitet, speichert oder sammelt, um das Wesen und die Eigenschaften des Endnutzers zu bestimmen oder
  • um ein individuelles Profil des Endnutzers zu erstellen, oder
  • wenn die Verarbeitung, Speicherung oder Sammlung der Informationen durch den Diensteanbieter besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs.1 DSGVO enthält.

Insbesondere die Ausschlussgründe der Bestimmung des „Wesens oder der Eigenschaften eines Endnutzers“ sowie der Erstellung eines „individuellen Profils“ dürften für den Einsatz von Tracking-Technologien für Werbezwecke von Relevanz sein. Interessant ist übrigens auch die entsprechende Änderung hierzu in Erwägungsgrund 21b. Denn dort werden “Wesen” und “Merkmale” alternativ genannt (“oder”), wohingegen in dem Vorschlag zu Art. 8 beide Merkmale kumulativ (verbunden mit „und“) aufgezählt werden.

Nach dem neuen Erwägungsgrund 21b sind bei der Abwägung die berechtigten Erwartungen der Endnutzer zu berücksichtigen. Beispielhaft nennt der Vorschlag den Zugriff auf Informationen in Endgeräten zum Zweck der Behebung von Sicherheitslücken als vom berechtigten Interesse umfasst. Zusätzlich verweist der Vorschlag auch darauf, dass Diensteanbieter sich auf berechtigte Interessen stützen könnten, wenn der Dienst (etwa eine Webseite) und seine Inhalte ohne zusätzliche Zahlung zugänglich ist und teilweise oder gänzlich durch Werbung finanziert wird.

Zusätzlich verengt der Vorschlag in Erwägungsgrund 21b die Möglichkeit des Einsatzes von Trackingtechnologien aber weiter, indem hinsichtlich der angesprochenen Dienste ganz konkrete Arten benannt werden, die sich auf berechtigte Interessen stützen könnten. Hierbei handelt es sich um Dienste zur Wahrung der Meinungs- und Informationsfreiheit, einschließlich zu journalistischen Zwecken, wie Online-Zeitungen oder anderen Presseveröffentlichungen.

Zum anderen sieht der Vorschlag weitere Schutzmechanismen für Endnutzer in dem neuen Abs. 1a vor, wenn ein Diensteanbieter die Interessenabwägung als Erlaubnis nutzen möchte. Weitere Erläuterungen ergeben sich aus Erwägungsgrund 21c. Danach dürfen Diensteanbieter die aus Endgeräten gewonnen Informationen nicht mit Dritten teilen, es sei denn, die Informationen wurden zuvor anonymisiert. Dies gilt jedoch nicht in Bezug auf Auftragsverarbeiter, die in diesem Zusammenhang eingesetzt werden und auf der Grundlage von Art. 28 DSGVO eingeschaltet werden.

Interessant an diesem Vorschlag ist, dass anscheinend davon ausgegangen wird, dass bei dem in Art. 8 (1)(g) ePrivacy-Verordnung als potentiell zulässig anerkannten Zugriff auf Informationen und deren Nutzung stets personenbezogene Daten (iSd DSGVO) vorliegen. Denn ansonsten würde der Verweis auf eine vorzunehmende Anonymisierung der Daten keinen Sinn ergeben. Ebenfalls dafür spricht der Hinweis auf die Vorgaben des Art. 28 DSGVO (also zur Auftragsverarbeitung), die eingehalten werden sollen.

Zusätzlich sieht der Vorschlag vor, dass Endnutzern eine Widerspruchsmöglichkeit (Opt-out) angeboten werden muss.

Datenschutzbehörde Hamburg: Gemeinsame Verantwortlichkeit beim Einsatz von Google Analytics (in der Standardeinstellung)

Posted on by

In seinem aktuellen Tätigkeitsbericht für das Jahr 2019 (S. 126 ff.) befasst sich der Datenschutzbeauftragte aus Hamburg auch mit dem Thema Google Analytics. Nach seiner Ansicht sei eine Anonymisierung der Daten und damit Ausschluss des  Anwendungsbereichs der DSGVO allein durch die Kürzung der IP-Adresse schon vor dem Hintergrund, dass diese nur ein Nutzungsdatum unter vielen ist, nicht möglich.

Nach Angabe der Behörde diene das Tool außer dem Nutzen für den Webseitenbetreiber in Form von Nutzungsstatistiken auch der Informationsgewinnung durch Google.

In der von der Behörde beanstandeten und von Google den Webseitenbetreibern empfohlenen Standardeinstellung soll zunächst zwischen der Google LLC und dem Webseitenbetreiber ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen werden. Darüber hinaus werde dem Webseitenbetreiber, soweit die Standard-Einstellung ausgewählt wird, zusätzlich der Abschluss eines „Controller-Controller-Agreement“ zur zwingenden Bedingung gemacht, aus dem sich ergibt, dass sowohl Google als auch der Webseitenbetreiber in eigener Verantwortlichkeit handeln und die Möglichkeit einer eigenen anderweitigen Verarbeitung der Daten vorbehalten bleibt. Nach Ansicht der Behörde sei eine derartige Aufspaltung von Verarbeitungsvorgängen allerdings lebensfremd.

Die Kritik der Behörde zielt darauf ab, dass es sich bei dem durch Google Analytics im Rahmen des Seitenbesuchs durch den Nutzer ausgelösten technischen Vorgangs, der gleichzeitig Daten sowohl für den Webseiten-Betreiber selbst erhebt als auch an Google überträgt, um einen einzigen Lebenssachverhalt handele. Ein „Aufschwingen“ vom Auftragsverarbeiter zum eigenverantwortlichen Datenverarbeiter innerhalb einer Verarbeitungstätigkeit sei dem gesetzlichen Rollenverständnis der DSGVO fremd.

Die Behörde kommt zu dem Ergebnis, dass unter Berücksichtigung der europäischen Rechtsprechung (EuGH, Urteil v. 29.07.2019, Az: C-40/17) daher in der von Google empfohlenen Standardeinstellung von einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO auszugehen sei.

Kritik

Die Einordnung der Behörde, die Aufspaltung von Verarbeitungsvorgängen nach verschiedenen Zwecken der Nutzung und verschiedenen Verantwortlichkeitsrollen, sei lebensfremd, würde ich so nicht teilen. Meines Erachtens kommt es hierbei stets auch darauf an, zu welchem Zweck Daten verarbeitet werden sollen. Natürlich ist es möglich, dass ich eine Datenverarbeitung zu einem bestimmten Zweck (hier: Erstellung von Analysen) als Auftragsverarbeiter ausführe, daneben, zu einem anderen (eigenverantwortlichen) Zweck, aber eine weitere Verarbeitung der Daten vornehme. Schon die Art. 29 Gruppe hat in ihrem WP 169 (pdf, S. 30) festgestellt, dass „ein und dieselbe Organisation gleichzeitig hinsichtlich bestimmter Verarbeitungen als für die Verarbeitung Verantwortlicher und hinsichtlich anderer Verarbeitungen als Auftragsverarbeiter handeln“ kann.

Auch das Argument, dass ein „Aufschwingen“ vom Auftragsverarbeiter zum eigenverantwortlichen Datenverarbeiter innerhalb einer Verarbeitungstätigkeit dem gesetzlichen Rollenverständnis der DSGVO fremd sei, würde ich anders sehen. Denn genau für diesen Fall gibt es eine gesetzliche Regelung: Art. 28 Abs. 10 DSGVO. Dieser Exzess des Auftragsverarbeiters muss aber einen Verstoß gegen die DSGVO als Voraussetzung beinhalten. Wenn jedoch die Parteien eines AV-Vertrages regeln, wann eine Partei Auftragsverarbeiter ist und wann sie mit den Daten als eigener Verantwortlicher agiert, sehe ich nicht, wie man hierin einen Verstoß gegen die DSGVO (zB die Weisungen) verstehen könnte. Denn die Rollenverteilung ist ja gerade vertraglich vereinbart und klar abgegrenzt.

 

Österreichische Datenschutzbehörde: Fehlendes Double-Opt-In-Verfahren als Verstoß gegen Art. 32 DSGVO

Posted on by

Die österreichische Datenschutzbehörde (DSB) hat mit Bescheid (pdf) vom 9.10.2019 einen Verstoß eines Unternehmens gegen die Vorgaben des Art. 32 DSGVO festgestellt. Der Verstoß lag nach Ansicht der DSB in der fehlenden Umsetzung eines Double-Opt-In-Verfahrens für Registrierungen auf einer Onlinedating-Plattform.

Sachverhalt

Der Beschwerdeführer erhielt auf seine E-Mail-Adresse „Kontaktvorschläge“ und Benachrichtigungen der Beschwerdegegnerin zugesendet. Er selbst hatte sich aber gar nicht auf den Dating-Portalen der Beschwerdegegnerin angemeldet. Zur Erstellung eines Profils bzw. zur Registrierung auf den Dating-Portalen muss der User sein Geschlecht, seinen gewünschten Benutzernamen, ein Passwort und eine E-Mail-Adresse angeben. Die bei Registrierung angegebene E-Mail-Adresse wird ab Erstellung des Profils fortlaufend mit Benachrichtigungen der Beschwerdegegnerin beschickt. Nutzern ist bereits nach erfolgter Registrierung durch Einloggen in die Profile möglich, die Onlinedating-Portale zu nutzen. Für die Nutzung der Onlinedating-Portale der Beschwerdegegnerin muss der User die E-Mail-Adresse, die er bei Registrierung angegeben hat, nicht noch einmal durch Anklicken eines „Aktivierungslinks“, der ihm auf die – bei Registrierung angegebene – E-Mail-Adresse zugeschickt wurde, bestätigen.

Entscheidung

Die DSB sieht in dem hier umgesetzten Registrierungsverfahren einen Verstoß gegen Art. 32 DSGVO. Eine, wie hier vorliegende, unberechtigte Verwendung von E-Mail-Adressen kann nach Ansicht der DSB gegen Art. 5, Art. 6 und Art. 32 DSGVO verstoßen.

Die von Art. 32 DSGVO verlangten technischen und organisatorischen Maßnahmen zur Herstellung der Sicherheit der Datenverarbeitung können nach Ansicht der DSB auf mehrere Arten gewährleistet sein kann.

Beispielsweise kann eine solche Datenschutzsicherheitsmaßnahme in der Implementierung eines Double-Opt-In-Verfahrens zur rechtskonformen Erlangung einer Einwilligung bestehen“.

Die DSB versteht unter dem Double-Opt-In-Verfahren die Einholung der Zustimmungserklärung des Teilnehmers in einem zweistufigen System, das eine Anmeldung zum Bezug elektronischer Informationen etwa auf der Webseite des Anbieters vorsieht. Erst nach einer auf die Aktivierungsmail bzw. die Kurznachricht gegebenen, die Anmeldung bestätigenden Antwort oder vergleichbaren Reaktion (zB Anklicken eines Links) erfolgt die Zusendung von Werbenachrichten.

Ein solches Verfahren wurde hier nicht umgesetzt, da Nachrichten und Kontaktvorschläge schon vor der Aktivierung eines versandten Links übersendet wurden.

Somit ist es möglich, dass sich ein User nicht mit seiner eigenen E-Mail-Adresse, sondern mit der E-Mail-Adresse eines unbeteiligten Dritten auf den Onlinedating-Portalen registriert.

Dadurch, dass die Beschwerdegegnerin keine ausreichenden, Art. 32 DSGVO entsprechenden Datensicherheitsmaßnahmen gesetzt hat, war es möglich, dass personenbezogene Daten des Beschwerdeführers (nämlich seine E-Mail-Adresse) unrechtmäßig verarbeitet wurden.

Fazit

Leider geht die DSB nicht auf die relevante Frage ein, ob das hier beanstandete System, dass bereits nach erfolgter Registrierung durch Einloggen auf den Webseiten die Onlinedating-Portale genutzt werden können, ohne dies von der Aktivierung im Rahmen des Double-Opt-In abhängig zu machen, gegen den damals geltenden „Stand der Technik“ verstößt. Auf diesen unbestimmten Begriff stellt Art. 32 DSGVO hinsichtlich der Anforderungen an die Maßnahmen ab.

Als Besonderheit kam hier sicherlich hinzu, dass auch ohne separate Bestätigung der E-Mail-Adresse direkt Kontaktvorschläge und andere Informationen (vermutlich werblicher Natur) versendet wurden. Hinsichtlich der Anmeldung zum Erhalt von Werbemails ist das Vorhalten eines Double-Opt-In-Verfahrens schon seit längerer Zeit in der Praxis üblich. Auch wenn man hinzufügen muss, dass dies keine gesetzliche Anforderung darstellt, sondern vielmehr der Nachweisbarkeit einer Anmerkung und damit verbundenen Einwilligung dienen soll.

Womöglich muss man, hinsichtlich der Praxisrelevanz der Entscheidung, auch in Bezug auf den Zweck der Anmeldung unterscheiden. Die DSB bezieht sich in ihrer Begründung ausdrücklich darauf, dass es hier um die Erlangung einer Einwilligung ging. Für diese sollte das Double-Opt-In genutzt werden.

Wie sieht es aber aus, wenn schlicht eine Angabe der E-Mail-Adresse erforderlich ist, die zB im Rahmen eines Kaufs eingegeben wird (etwa für den Versand der Rechnung)? Hier wird man sicherlich diskutieren, ob das geforderte Double-Opt-In Verfahren stets als die erforderliche Sicherheitsmaßnahme anzusehen ist oder ob es nicht Alternativen gibt.

Verwaltungsgericht Hamburg: § 26 BDSG trifft für die Verarbeitung von Beschäftigtendaten keine abschließende Regelung

Posted on by

Das Verwaltungsgericht Hamburg (VG) hat mit Urteil vom 16.01.2020 (Az. 17 K 3920/19) entschieden, dass eine Verarbeitung der Daten von Beschäftigten nicht allein an den Vorgaben des § 26 BDSG zu messen ist. Ein Rückgriff auf die Erlaubnisnormen in Art. 6 Abs. 1 DSGVO bleibt möglich.

Sachverhalt

In dem Fall ging es um die Frage, ob das Universitätsklinikum Hamburg-Eppendorf (UKE) Informationen zu dem Gehalt des Geschäftsführers eines Tochterunternehmens nach § 3 Abs. 1 Nr. 15 des Hamburgischen Transparenzgesetzes veröffentlichen muss. Alleinige Trägerin des UKE ist die beklagte Freie und Hansestadt Hamburg. Der Geschäftsführer klagte gegen diese geplante Veröffentlichung gegen die Stadt Hamburg. Hierzu begründete er u.a., dass nach § 26 BDSG personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich sei. An dieser Voraussetzung fehle es hier.

Begründung

Das VG wies die Klage als unbegründet ab. Im Kern geht es in dem Urteil um materiell-rechtliche Fragen zum Hamburgischen Transparenzgesetz.

Am Ende seiner Begründung setzt es sich dann noch mit den datenschutzrechtlichen Argumenten des Klägers auseinander.

Nach Ansicht des VG verstößt die Veröffentlichung der Vergütung des Klägers nicht gegen datenschutzrechtliche Vorschriften. Die hiermit verbundene Verarbeitung personenbezogener Daten des Klägers durch die Stadt Hamburg entspreche § 4 HmbDSG, da sie zur Erfüllung einer in ihrer Zuständigkeit liegenden Aufgabe, nämlich der Verpflichtung aus § 3 Abs. 1 Nr. 15 HmbTG, erfolge.

Sodann wendet sich das VG auch zu dem Verhältnis zwischen UKE (bzw. dessen Trägerin, der Stadt Hamburg) und dem Kläger und damit der Frage zu, ob die hier streitgegenständliche Verarbeitung von Beschäftigtendaten (Übermittlung zum Zwecke der Veröffentlichung) denn evtl. nicht von § 26 BDSG gedeckt wäre.

Nach Ansicht des VG ergibt sich eine Unzulässigkeit der Datenverarbeitung aber auch nicht aus § 26 Abs. 1 S. 1 BDSG.

„Zwar dürfte die Übermittlung der Vergütungsdaten zum Zwecke der Veröffentlichung in keine der in § 26 Abs. 1 S. 1 BDSG genannten Fallgruppen fallen. § 26 BDSG trifft jedoch keine abschließende Regelung zur Zulässigkeit der Verarbeitung persönlicher Daten von Beschäftigten, so dass jedenfalls ein Rückgriff auf die allgemeinen Regelungen der DSGVO möglich bliebe“

Daraus folgert das VG, meines Erachtens völlig zurecht, dass sich die Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 lit. c und e DSGVO ebenfalls aus der in § 3 Abs. 1 Nr. 15 HmbTG normierten Verpflichtung ergebe.

Fazit

Es wird in der Literatur durchaus diskutiert, ob denn § 26 BDSG für den Umgang mit Beschäftigtendaten eine abschließende Regelung treffe und daher ein Rückgriff auf Art. 6 Abs. 1 DSGVO, insbesondere etwa auch die Ziff. f) zur Interessenabwägung, nicht mehr möglich sei. Dieser Ansicht erteilt das VG zurecht eine klare Absage (wenn auch ohne nähere Begründung). Meines Erachtens ergibt sich aber sowohl aus Art. 88 DSGVO als auch etwa aus dem Urteil des EuGH in Sachen „Breyer“, dass der nationale Gesetzgeber die europarechtliche (durch die DSVGO sogar unmittelbar) vorgegeben Erlaubnistatbestände zum Umgang mit personenbezogenen Daten nicht ein- oder beschränken darf. Dies bedeutet in der Praxis, dass sich Unternehmen natürlich auch auf Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO berufen können, wenn sie Mitarbeiterdaten verarbeiten.

Landesdatenschutzbehörde NRW: FAQ zum Datenschutzbeauftragten

Posted on by

Die Datenschutzbehörde des Landes Nordrhein-Westfalen (LDI NRW) hat auf ihrer Webseite eine umfassende Liste von FAQ zur Rolle und den Aufgaben des Datenschutzbeauftragten veröffentlicht (Stand: Nov 2019, PDF).

Einleitend verweist die Behörde auch auf die bekannten Leitlinien des europäischen Datenschutzausschusses (EDSA) zu diesem Thema (WP 243 rev.0.1). Jedoch geht die Behörde auch davon aus, dass diese Leitlinien nur unverbindliche Auslegungshilfen darstellen. Diese Sichtweise der Behörde ist relevant, da in den Antworten zum Teil deutlich wird, dass die Behörde eine andere Ansicht vertritt, als in den Leitlinien des EDSA beschrieben. Nachfolgend möchte ich einige Antworten der Behörde darstellen.

Konzerndatenschutzbeauftragter

Nach Ansicht der LDI NRW darf eine Unternehmensgruppe darf eine(n) gemeinsame(n) Datenschutzbeauftragte(n) benennen (Art. 37 Abs. 2 DSGVO). Hierfür genügt auch nur ein einziger Benennungsakt, wenn er für die beteiligten Stellen wirkt. Dies bedeutet, dass etwa bei einer Gruppe aus 10 Unternehmen nicht 10 Benennungen erfolgen müssen.

Neubenennung unter der DSGVO?

Da Art. 37 DSGVO keine Frist zur Benennung vorsieht, geht die LDI NRW davon aus, dass diese ist die Pflicht sofort zu erfüllen ist, sobald die Voraussetzungen vorliegen. Zudem weist die Behörde darauf hin, dass zwar bereits nach alter Rechtslage erfolgte Benennungen Bestand hätten, zur Klarstellung der neuen Pflichten des Datenschutzbeauftragten unter der DSGVO jedoch eine erneute (formale) Benennung zu empfehlen sei.

Interessenkonflikt

Die LDI NRW geht in ihren FAQ auch auf das Thema des auszuschließenden Interessenkonflikts ein. Eine unabhängige Aufgabenerfüllung als Datenschutzbeauftragter setzte voraus, dass die zu Kontrollierenden nicht selbst zu Kontrolleuren benannt werden dürfen. Zudem benennt die Behörde Beispiele für Tätigkeitsfelder, welche ihrer Auffassung nach zu einem Interessenkonflikt führen:

  • Leitung eines Unternehmens oder einer Behörde
  • Leitung der IT-Abteilung
  • Leitung der Personal-Abteilung
  • Beschäftigte der IT- oder Personalabteilung, wenn diese in der Lage sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.

Juristische Person als Datenschutzbeauftragter?

Nach Auffassung der LDI NRW ist die Benennung juristischer Personen als Datenschutzbeauftragter unzulässig,

„da Wortlaut und Systematik der DSGVO nur natürliche Personen als Datenschutzbeauftragte vorsehen“.

Die Behörde weicht bei dieser Antwort ganz bewusst von den Leitlinien des EDSA ab und verweist hierauf auch. Der EDSA hält die Benennung einer juristischen Person für zulässig, wenn jedes Mitglied derjenigen Einrichtung, die die Funktion eines Datenschutzbeauftragten wahrnimmt, sämtliche in Anforderungen erfüllt.

Aus Sicht der LDI NRW mache dies die Benennung einer juristischen Person als Datenschutzbeauftragten schon per se unattraktiv

„und ist unserer Einschätzung zufolge auch nicht zulässig“.

Arbeitsaufwand des Datenschutzbeauftragten

Die LDI NRW gibt auf die Frage, wie viel Zeit ein Datenschutzbeauftragter für seine Tätigkeit aufwenden sollte, keine spezifische Antwort in Form fester Zeitgrößen.

Der Zeitaufwand für die Tätigkeit eines Datenschutzbeauftragten lasse sich nicht abstrakt festlegen. Er hängt u.a. ab von der Größe der Stelle, dem Umfang der Datenverarbeitungen und der Tatsache, ob dem Datenschutzbeauftragten weiteres Personal zur Seite steht.

Nach Ansicht der LDI NRW muss in der Einarbeitungsphase zunächst eine umfangreiche Bestandsaufnahme erfolgen, zu der auch die Durchsicht des Verarbeitungsverzeichnisses gehört. Im Anschluss daran muss der Datenschutzbeauftragte nach den Umständen in der jeweiligen Stelle einschätzen, wie häufig weitere Überprüfungen erforderlich sind.

Protokoll der letzten DSK-Sitzung: Sprachassistenz-Systeme, Webseitenprüfung bei Medienunternehmen und mehr

Posted on by

Die Datenschutzkonferenz („DSK“) hat auf ihrer Webseite das Protokoll der letzten Sitzung vom 6. Und 7. November 2019 veröffentlicht (PDF). Auch dieses Mal sind wieder einige interessante und praxisrelevante Informationen enthalten. Nachfolgend einige der dort behandelten Themen.

Entschließung: Transkriptionen durch Anbieter von Sprachassistenz-Systemen

Die DSK arbeitet aktuell an einer Entschließung zu Sprachassistenz-Systemen. Die Behörde aus Hamburg stellt dar, dass das Thema bereits auf europäischer Ebene diskutiert wurde. Zwar wurde offensichtlich ein Entschließungsentwurf vorgelegt, jedoch gab es seitens der Aufsichtsbehörden eine Reihe von Änderungswünschen. Daher beschloss die DSK die vorgelegte Entschließung im Umlaufverfahren abzustimmen. Wir werden also wohl hoffentlicher in naher Zukunft zu diesem durchaus relevanten Thema eine erste Orientierung aus Sicht der Behörden erhalten. Relevant ist dieses Thema vor allem, weil immer mehr Geräte und zB auch Fahrzeuge mit einer Sprachsteuerung ausgestatte sind.

Vertreter von Unternehmen in Deutschland nach Art. 27 DSGVO

Auch an diesem Thema arbeitet die DSK. Die Arbeitskreise Grundsatz und Internationaler Verkehr sollen ein Positionspapier zu Art und Umfang der einem Vertreter nach Art. 27 DSGVO obliegenden Aufgaben erstellen. Diese Position dürfte dann vor allem für Anbieter der Tätigkeit als Vertreter sein, aber auch für Unternehmen außerhalb der EU, die einen Vertretet in Deutschland benennen möchten (oder evtl. müssen).

Tracking bei Presseportalen

Interessant finde ich die Informationen unter TOP 19. Die Aufsichtsbehörde aus Hamburg informiert, dass bei ihr eine steigende Zahl von Beschwerden hinsichtlich des Einsatzes von Trackingtools auf Presseportalen zu verzeichnen sei. Von Hamburg initiierte und bereits stattgefundene Gespräche mit den entsprechenden Verbänden ließen bislang allerdings wenig Bereitschaft erkennen, hinsichtlich einer Änderung dieser Praxis auf die Mitgliedsunternehmen einzuwirken. Die Behörde aus Niedersachsen berichtet zudem, dass im Arbeitskreis Medien der DSK bereits deutlich wurde, dass die Gesprächsreihe nicht fortzusetzen ist.

Und dann: „Es soll nun die bereits geplante, koordinierte Webseitenprüfung bei Medienunternehmen begonnen werden, an der sich voraussichtlich 11 Länder beteiligen werden“.

Dies bedeutet, dass sich Medienunternehmen, also wohl vor allem Verlage, aber evtl. auch Betreiber von Fernsehsendern, darauf vorbereiten sollten, dass ihre digitalen Angebote durch die Behörden im Rahmen eines koordinierten Vorgehens geprüft werden. Schwerpunkt hierbei scheint das Thema „Tracking“ (also wohl der Einsatz von Cookies, Pixeln und ähnlichen Technologien) auf den Webseiten und Apps zu sein.

Bericht der Taskforce Facebook Fanpages

Zudem gibt es eine kleine Information dazu, wie innerhalb der DSK hinsichtlich des Themas „Fanpages“ weitergearbeitet werden soll. Die Behörde aus Schleswig-Holstein stellt dar, dass die Gründe der Entscheidung des BVerwG vom 11.09.2019 noch nicht vorliegen (Anmerkung von mir: diese liegen mittlerweile vor).

Die Taskforce innerhalb der DSK werde in Kürze erneut zusammenkommen, um:

  • das von Facebook aktualisierte Addendum auszuwerten
  • eine Bewertung der Antworten auf die ausgesendeten Fragenkataloge vorzunehmen
  • eine Bewertung laufender Verfahren (insbesondere Fashion ID und Wirtschaftsakademie) vorzunehmen
  • eine Abstimmung über das weitere Vorgehen vorzunehmen

LAG Sachsen: Abberufung eines Datenschutzbeauftragten allein wegen Anwendbarkeit der DSGVO?

Posted on by

In einem Urteil vom 08.10.2019 (Az. 7 Sa 128/19; aktuell leider noch nicht frei zugänglich) hat das Sächsische Landesarbeitsgericht (LAG) die Auflösung der Rechtsstellung eines betrieblichen Datenschutzbeauftragten einer öffentlichen Stelle, wegen eines Interessenkonflikts nach Art. 38 Abs. 6 DSGVO, für zulässig erklärt. Die Beschwerde wurde beim Bundesarbeitsgericht unter dem Az. 10 AZR 621/19 eingelegt. Das Gericht hat über die Revision des Klägers gegen die frühere Entscheidung des ArbG Dresden (03.04.2019 – 3 Ca 1978/18) entschieden.

Sachverhalt

Der Kläger ist seit dem 01.01.2002 auf der Grundlage eines schriftlichen Dienstvertrages bei der Beklagten als Mitarbeiterin beschäftigt. Bei der Beklagten handelt es sich um eine öffentliche Stelle des Landes, die – als Dienstleister für Kommunen – personenbezogene Daten verarbeitet. In seiner Tätigkeit obliegt dem Kläger für die Beklagte, die Kommunen des Freistaates Sachsen mit der Bereitstellung und Wartung sowie Beratung über Datenverarbeitungsprogramme betreut, eine Tätigkeit als Anwendungsberater. Mit Schreiben vom 27.02.2004 wurde der Kläger auf der Grundlage von § 11 Sächsisches Datenschutzgesetz (aF) zum Datenschutzbeauftragten bei der Beklagten bestellt.

Aufgrund von Handlungsempfehlungen des Sächsischen Landesdatenschutzbeauftragten anlässlich des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) entschloss sich die Beklagte, den Kläger mit Schreiben vom 15.08.2018 von der Funktion als Datenschutzbeauftragten zum 31.08.2018 abzubestellen. Mit der vor dem ArbG Dresden zuvor erhobenen Klage hat der Kläger die Feststellung des Fortbestandes seiner Rechtsstellung als behördlicher Datenschutzbeauftragter über den 31.08.2018 hinaus gerichtlich geltend gemacht.

Nach Ansicht des Klägers bestand kein Interessenkonflikt. Beide Tätigkeiten wurden seit 15 Jahren unverändert nebeneinander ausgeübt. Es gäbe daher keinen triftigen Grund für die Abberufung. Die Rechtsstellung des Klägers sei darüber hinaus nicht durch die in Kraft getretene DSGVO beendet worden und daher verstoße die Abbestellung gegen Art. 38 Abs. 3 S. 2 DSGVO.

Die Beklagte trägt hingegen vor, dass mit Anwendbarkeit der DSGVO die im Jahre 2004 erfolgte Bestellung zum Datenschutzbeauftragten von Rechts wegen geendet habe. Die Fortführung des Amtes sei dem Kläger aber auch wegen eines Interessenkonflikts mit seiner beruflichen Tätigkeit unmöglich gewesen. Der Interessenkonflikt zwischen den fachlichen Tätigkeiten und seiner Funktion als Datenschutzbeauftragter liege im Wesentlichen darin, dass der Kläger Finanzdaten von Bürgern zu verarbeiten habe sowie in seinen fachlichen Aufgaben und Pflichten als Anwendungsbetreuer und als Auftragsverarbeiter tätig werde. Maßgeblich sei der Interessenkonflikt im Einsatz des Klägers als Kundenbetreuer und dem Umfang der von ihm geschuldeten Tätigkeit bei der Datenverarbeitung selbst. Der Kläger müsse die Einhaltung der Vorschriften während seiner Arbeit sicherstellen und kontrolliere sich praktisch selbst.

Entscheidung

Im Ergebnis wies das Gericht die Berufung des Klägers gegen das erstinstanzliche Urteil ab.

Das Gericht teilte jedoch nicht die Auffassung der Beklagten, dass die Tätigkeit des Datenschutzbeauftragten allein aufgrund der Anwendbarkeit (Anm: das LAG nennt zwar das „Inkrafttreten“, meint aber offensichtlich die Anwendbarkeit, da auf den 25.5.18 verwiesen wird) der DSGVO beendet werden sollte. So finde die Auflösung der Rechtsstellung des Datenschutzbeauftragten keine gesetzliche Grundlage in der DSGVO oder nicht allein in deren Anwendbarkeit. Diese mag die Rechtsstellung des Datenschutzbeauftragten anders regeln als im zuvor allein anwendbaren Recht. Eine Regelung, wonach das Amt des Datenschutzbeauftragten – allein wegen der Anwendbarkeit der DSGVO am 25.05.2018 – von Gesetzes wegen endet, enthalte sie aber nicht.

Nach § 11 Abs. 2 SächsLDSG (aktuelle Fassung) dürfe zum Datenschutzbeauftragten (einer öffentlichen Stelle) nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt mit seinen sonstigen beruflichen Aufgaben ausgesetzt wird. Er ist bei der Erfüllung seiner Aufgaben dem Leiter der öffentlichen Stelle unmittelbar zu unterstellen und weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Diese nach dem SächsLDSG im Verhältnis zu § 6 Abs. 4 S. 1 BDSG geringeren Schutz-Anforderungen entsprechen Art. 38 Abs. 3 DSGVO, wonach der Verantwortliche und der Auftragsverarbeiter sicherstellen muss, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Die DSGVO und auch das SächsLDSG kennen keinen besonderen Kündigungs- bzw. Abberufungsschutz, wie er im BDSG geregelt ist.

(Gemäß § 6 Abs. 4 BDSG ist die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten unzulässig, es sei denn, es liegen Tatsachen vor, die die öffentliche Stelle zur Kündigung des Arbeitsverhältnisses aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen).

Insbesondere darf der Datenschutzbeauftragte nach Auffassung des Gerichts nicht deshalb von seiner Funktion entbunden werden oder sonstige Nachteile erleiden, weil er sich in bestimmter Weise und mit einem Ergebnis seiner datenschutzrechtlichen Prüfung positioniert hat, die der Geschäftsleitung, dem Betriebs- oder Personalrat oder anderen Stellen im Unternehmen oder der Behörde nicht genehm sind. Eine solche Benachteiligung des Klägers wegen der von ihm ausgeübten Tätigkeit als Datenschutzbeauftragter sei im Streitfall aber nicht feststellbar und wird vom Kläger im Ergebnis auch nicht behauptet. Vielmehr macht der Beklagte geltend, dass nach der Anwendbarkeit der DSGVO der behauptete Interessenkonflikt zwischen der beruflichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragter neu beurteilt worden sei.

Die Zuverlässigkeit eines Datenschutzbeauftragten könne infrage gestellt werden, wenn die Gefahr von Interessenkonflikten bestehe. So könne ein Eingriff in die Interessensphären die vom Gesetz geforderte Zuverlässigkeit beeinträchtigen. Nach Ansicht des Gerichts ist unter Berücksichtigung von Art. 38 Abs. 6 DSGVO, wonach der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann und der Verantwortliche oder der Auftragsverarbeiter sicherstellt, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, die Abbestellung jedenfalls nachzuvollziehen. Die Tatsache, dass der Kläger möglicherweise seit mehr als 15 Jahren denselben Interessenkonflikt zwischen seiner dienstlichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragter hat, verpflichte den Beklagten hingegen nicht, den Interessenkonflikt aufrechtzuerhalten. Der Kläger sei auch nicht wegen der Ausübung seiner Tätigkeit als Datenschutzbeauftragter in der Vergangenheit oder wegen einzelner Handlungen im Zusammenhang mit dieser von seiner Funktion abbestellt worden, sondern weil die Beklagte einen Interessenkonflikt in der von ihm auszuübenden Tätigkeit des Anwendungsberaters bei der Datenverarbeitung für öffentliche Stellen, die personenbezogene Daten verarbeiten, sehe.

Schlussendlich kenne weder das Sächsische Datenschutzgesetz noch die DSGVO einen besonderen Abbestellungs- oder Abberufungsschutz. Es muss lediglich sichergestellt sein, dass der Kläger nicht wegen der von ihm ausgeübten Tätigkeit benachteiligt und insbesondere nicht deswegen abberufen oder abbestellt wird, so das Gericht.

Amtsgericht: 15.000 EUR Zwangsgeld wegen unzureichender Auskunft nach der DSGVO

Posted on by

Was passiert, wenn eine betroffene Person keine bzw. keine aus ihrer Sicht richtige Auskunft nach Art. 15 DSGVO erhält? Man mag initial an ein Bußgeld durch eine Datenschutzbehörde denken. Das ist sicher ein Risiko. Daneben besteht für Betroffene aber auch noch die Möglichkeit, die datenverarbeitende Stelle vor einem Zivilgericht in Anspruch zu nehmen. Diesen Fall hatte das Amtsgericht Wertheim zu entscheiden.

Und das Ergebnis (Beschluss vom 12.12.2019 – 1 C 66/19; aktuell noch nicht öffentlich abrufbar, bei BeckOnline unter BeckRS 2019, 33192; dejure wird informiert): die Verhängung eines Zwangsgeldes in Höhe von 15.000 EUR (ersatzweise für je 500 EUR ein Tag Zwangshaft) gegen das auskunftspflichtige Unternehmen.

Sachverhalt

Dem nun veröffentlichten Beschluss ging ein Klageverfahren voraus, welches mit einem Anerkenntnisurteil endete (Anerkenntnisurteil vom 27.05.2019 – 1 C 66/19). Dort wurde die Beklagte verurteilt, Auskunft über die personenbezogenen Daten des Klägers bei der Beklagten zu erteilen und die Informationen nach Art. 15 Abs. 1 DSGVO mitzuteilen.

Dieser Pflicht scheint das Beklagte Unternehmerin als Schuldnerin nicht nachgekommen zu sein. Die Handlung (=Auskunft) konnte nicht durch einen Dritten vorgenommen werden, so dass die vorzunehmende Handlung ausschließlich vom Willen der Schuldnerin abhängig ist.

Entscheidung

Nach Ansicht des AG hat die Schuldnerin diese Handlung nicht vollständig ausgeführt. Sie habe insbesondere die Auskunft hinsichtlich Art. 15 Abs. 1 lit. g) DSGVO („wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten“) nicht vollständig erteilt. Die Schuldnerin habe dem Antragsteller nicht alle verfügbaren Informationen über die Herkunft der bei ihr verarbeiteten Daten mitgeteilt.

Das AG begründet seinen Beschluss im Grunde mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO.

Die Auskunft Art. 15 DSGVO ist gemäß Art. 12 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Es war wohl umstritten, ob eine solche Auskunft bereits erteilt wurde bzw. als Schriftstück übergeben wurde. Jedenfalls erfüllte dieses Schriftstück nicht die Erfordernisse des Art. 15 DSGVO. Zum einen sei es offensichtlich nicht vollständig, darüber hinaus sei es inhaltlich falsch.

Das AG befasst sich sodann mit Art. 15 Abs. 1 lit. g DSGVO. Die Frage nach der Herkunft der Daten, werde hier nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ beantwortet. Das AG verweist hierzu auch auf die Anforderungen des Art. 12 Abs. 1 DSGVO. In dem Schriftstück wurde eine „Firma U. P. GmbH“ lediglich in Klammern und mit Zusatz „z.B.“ genannt. Der Leser des Schriftstücks könne daraus die Schlussfolgerung ziehen, dass die Daten des Beklagten von der Fa. U. P. GmbH übermittelt wurden, muss das jedoch nicht. Das bedeutet, dass das AG durch den Zusatz „z.B.“ eine unklare Auskunftserteilung annimmt. Der Betroffene wisse daher nicht, ob Daten wirklich von diesem Unternehmen übermittelt wurden.

Dies ist meines Erachtens die erste praxisrelevante Aussage des Gerichts.

Zweitens geht das AG davon aus, dass eine Auskunft über personenbezogene Daten grundsätzlich auch die Auskunft darüber umfasst,

welche konkreten personenbezogenen Daten (also nicht nur die Auskunft, dass ein Name und dass ein Geburtsdatum gespeichert wurde, sondern auch welcher Name, welches Geburtsdatum, etc.) gespeichert sind bzw. verarbeitet werden.

Die Mitteilung aller verfügbaren Informationen über die Herkunft der Daten umfasse daher – soll sie vollständig sein – nicht nur die Mitteilung von wem die Daten übermittelt wurden,

sondern auch wann und mit welchem Inhalt personenbezogene Daten übermittelt wurden. Dies ergibt sich nicht aus dem genannten Schriftstück.

Zum einen verlangt das AG also, dass im Rahmen der Auskunft nach Art. 15 Abs. 1 DSGVO nicht nur Datenarten oder -kategorien genannt werden. Sondern die konkret verarbeiteten Daten selbst. Diese Ansicht ist meines Erachtens ebenfalls praxisrelevant, wenn auch nicht besonders überraschend.

Sehr streng ist aber die Auffassung des AG, dass die Auskunft dann auch Angaben dazu enthalten muss, „wann“ personenbezogene Daten an das auskunftspflichtige Unternehmen übermittelt wurden und welchen Inhalt diese konkret hatten. Dies würde für die Praxis und ein internes Datenschutz-Management bedeuten, dass nicht nur nachvollzogen werden können muss, welche Daten von wem an das Unternehmen gingen, sondern auch wann dies konkret erfolgte. Man müsste also zusätzlich Datumsangaben zu jedem personenbezogenen Datum hinzuspeichern.

Daneben wurde wohl in dem Schriftstück auch mitgeteilt, dass „zum Namen Ihres Mandanten weitere personenbezogenen Daten gespeichert sind, die sich jedoch nicht auf ihn beziehen, sondern denen ein Betrugsfall zugrunde liegt.“ Diese weiteren Daten enthielten aber wohl auch ein Geburtsdatum, womit es sich auch bei diesen Daten um personenbezogene Daten, nicht lediglich um Daten, die sich auf eine Bestellung bzw. einen Betrugsfall beziehen, handelte.

Fazit

Die Entscheidung des AG ist zum Teil sehr streng und man kann sicherlich diskutieren, ob etwa die Anforderung, dass auch Zeitangaben zu speichern und zu beauskunften sind, wann Daten bei einem Unternehmen eingegangen sind. Eventuell kann man dies an dem Merkmal „alle verfügbaren Informationen“ festmachen. Dazu müsste das Datum aber ja schon verfügbar sein (also gespeichert sein). Ob diese Anforderung aber als Grundlage der Speicherung des Datums (Tag, Uhrzeit oö) dienen kann, erscheint meines Erachtens fraglich.

Wo darf die Datenschutzbehörde verklagt werden? VG Gera gegen Zuständigkeitskonzentration.

Posted on by

Das Verwaltungsgericht (VG) Gera hat bereits Anfang des Jahres einen Beschluss (pdf) zu der Frage gefasst, welches Gericht für eine Klage gegen die Datenschutzbehörde (hier: den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI)) zuständig ist (Beschl. v. 16.01.2019, 2 K 2281/18).

Entscheidungen zur Zuständigkeit von Gerichten bei Klagen gegen Datenschutzbehörden sind sicherlich nicht an der Tagesordnung. Auch aus diesem Grund ist der Beschluss von Relevanz. Um es jedoch vorweg zu nehmen: ich halte die Entscheidung für falsch.

Sachverhalt

In dem Verfahren wandte sich die Klägerin gegen eine Entscheidung des TLfDI, mit der dieser eine Beschwerde der Klägerin als unbegründet zurückgewiesen hat. Ansonsten ist zu den Umständen des Falles wenig bekannt. Klar ist nur, dass es nicht um eine Untätigkeitssituation ging, sondern die (ablehnende) Entscheidung des TLfDI angegriffen wurde. Die Klägerin hat ihren Wohnsitz im Bezirk des VG Gera. Der TLfDI seinen Dienstsitz in Erfurt. Er ist als Aufsichtsbehörde damit für ganz Thüringen zuständig. Also ein Gebiet, das mehrere Verwaltungsgerichtsbezirke umfasst.

Entscheidung

Die Klägerin und ihr folgend das VG Gera wenden für die Zuständigkeitsfrage § 52 Ziff. 3 S. 2 VwGO an. Danach ist für die Anfechtungsklage gegen einen Verwaltungsakt, der von einer Behörde erlassen wurde, deren Zuständigkeit sich auf mehrere Verwaltungsgerichtsbezirke erstreckt, oder von einer gemeinsamen Behörde mehrerer oder aller Länder erlassen wurde, das Verwaltungsgericht zuständig, in dessen Bezirk der Beschwerte seinen Sitz oder Wohnsitz hat. Hier also der Bezirk des Wohnsitzes der Klägerin.

Das VG lehnt eine Anwendung der Zuständigkeitsregelung des § 20 Abs. 3, Abs. 1 BDSG ab, da das BDSG vorliegend gar nicht anwendbar sei.

Auch ergebe sich eine andere Zuständigkeit nicht aus § 9 Abs. 1 ThürDSG. Denn es gehe hier nicht um einen Streit zwischen einer öffentlichen Stelle und dem TLfDI. Auch § 9 Abs. 2 ThürDSG greife nicht ein, da es vorliegend nicht um die Untätigkeit der Datenschutzbehörde geht.

Diese Auffassung ist meines Erachtens aus mehreren Gründen nicht richtig.

Kompetenz beim Bund

Das Gericht lehnt die Anwendbarkeit von § 20 Abs. 3, Abs. 1 BDSG mit der Begründung ab, dass der Anwendungsbereich nicht eröffnet sei, da nach § 1 Abs. 1 S. 1 Nr. 2 BDSG das BDSG nur für die Verarbeitung personenbezogener Daten durch öffentliche Stellen der Länder gelte, soweit der Datenschutz  nicht durch Landesrecht geregelt sei. Nach Ansicht des VG beinhalte das ThürDSG aber eine Vollregelung des Datenschutzes, wie sich aus § 2 Abs. 1 ThürDSG ergebe.

Meines Erachtens verkennt das VG hier die bundesgesetzlich festgeschriebene Zuständigkeitskonzentration in § 20 BDSG und den Anwendungsanspruch des BDSG.

Grundsätzlich hat der Bundesgesetzgeber mit § 52 VwGO eine abschließende Regelung zur gerichtlichen Zuständigkeit getroffen. Es ist deshalb den Ländern verwehrt, durch Gesetze abweichende Bestimmungen über den Gerichtsstand zu erlassen (vgl. etwa: Schoch/Schneider/Bier/Schenk, 37. EL Juli 2019, VwGO § 52 Rn. 3a).

So hat etwa auch das BVerfG mit Beschluss 07.05.1974, Az. 2 BvL 17/73 entschieden: „Da der Bundesgesetzgeber von seiner Kompetenz, die örtliche Zuständigkeit des Verwaltungsgerichts zu regeln, mit § 52 VwGO rechtswirksam, vollständig und ohne entsprechenden Vorbehalt Gebrauch gemacht hat, hatte das Land Bayern keine Kompetenz(…)“.

Die Gesetzgebungskompetenz für die gerichtliche Zuständigkeit liegt im Wege der konkurrierenden Gesetzgebung nach Art. 72, 74 Abs. 1 Nr. 1 Var. 3 GG beim Bund. In Art. 74 Abs. 1 Nr. 1 Var. 3 GG wird von „Gerichtsverfassung“ gesprochen. Dies befähigt im Einzelnen den Bund den hierarchischen Aufbau der Gerichtsbarkeiten sowie die Maßstäbe der sachlichen, funktionellen und örtlichen Zuständigkeit zu definieren (vgl. BeckOK Grundgesetz/Seiler, 41. Ed. 15.2.2019, GG Art. 74 Rn. 9). Gerichtlich festgestellt ist die erschöpfende Regelung für die örtliche Zuständigkeit der Verwaltungsgerichte (BVerfGE 37, 191) (Ausnahme: § 187 Abs. 1 VwGO).

Konzentrationen bleiben bundesrechtlich möglich

Dem Bundesgesetzgeber (aber nicht dem Landesgesetzgeber) steht es frei, speziellere Regelungen zu erlassen, die § 52 VWGO vorgehen. Dazu zählt ausweislich der Gesetzesbegründung auch § 20 Abs. 3 BDSG.

Damit ist es meines Erachtens schon ein Fehler des Gerichts, überhaupt auf das ThürDSG abstellen zu wollen, weil dies die gerichtliche Zuständigkeit gar nicht regeln kann.

Anwendbarkeit des BDSG

Zudem geht die Begründung des VG Gera fehl, wenn es das BDSG nicht für anwendbar hält.

Es heißt in § 1 Abs. 1 Nr. 2 BDSGsoweit der Datenschutz nicht durch Landesrecht geregelt“ ist. Es geht um den Datenschutz, nicht die gerichtliche Zuständigkeit der Verwaltungsgerichte. Das VG stellt für seine Begründung zur Frage der gerichtlichen Zuständigkeit (die der Bundeskompetenz unterliegt) darauf ab, dass das ThürDSG hierzu eine „Vollregelung des Datenschutzes“ geschaffen habe. Eine solche Regelung in Bezug auf die Gerichtszuständigkeit ist aber nicht möglich.

Im Übrigen regelt § 9 ThürDSG auch gar nicht die örtliche Zuständigkeit, sondern stellt nur eine Rechtswegeröffnung bei Untätigkeit der Aufsichtsbehörden dar, die ohnehin existiert.

§ 9 Abs. 1 S. 1 ThürDSG wiederholt nur die ohnehin schon bestehende Verwaltungsgerichtszuständigkeit nach § 20 Abs. 3 BDSG (aufdrängende Sonderzuweisung) und hat damit deklaratorische Wirkung. § 9 Abs. 1 S. 2 ThürDSG verweist auf § 20 Abs. 3 BDSG. Danach ist das VG zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat.

Das ThürDSG trifft also gar keine abweichenden Reglungen. Damit ist der Anwendungsbereich des BDSG auch nicht verschlossen, da § 1 Abs. 2 Nr. 2 BDSG nicht erfüllt ist und zweitens das ThürDSG nach der obigen Erwägung ohnehin nicht die gerichtliche Zuständigkeit regeln kann.

Fazit

Es gilt also in Bezug auf die gerichtliche örtliche Zuständigkeit von vornherein nur § 52 VwGO, außer es liegt eine speziellere Regelung, wie hier, auf Bundesebene vor.