Category Archives: Europa

Behörde verweigert gerichtliche Aktenvorlage mit Verweis auf die DSGVO – und scheitert.

Posted on by

Der VGH Baden-Württemberg hat im Februar 2019 eine interessante Entscheidung, u.a. zur Frage der Anwendbarkeit der DSGVO im justiziellen Bereich, getroffen (Beschl. v. 15.02.2019 – 1 S 188/19). Erforderlich war der Beschluss, da sich eine Behörde weigerte, einem Verwaltungsgericht Akten zur Entscheidungsfindung vorzulegen. Der angebliche Grund: die DSGVO.

Nach ErwG 20 DSGVO gilt die DSGVO „unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden“. Auch Gerichte müssen sich daher natürlich an datenschutzrechtliche Vorgaben halten. Doch in seinem Beschluss macht der VGH nun deutlich, dass die Einhaltung der DSGVO nicht gleichzeitig im Konflikt mit der richterlichen Tätigkeit steht, wie dies von der Behörde im konkreten Fall wohl angeführt wurde.

Sachverhalt

Der VGH hat über eine Beschwerde gegen einen sog. Hängebeschluss im einstweiligen Rechtsschutz zentschieden. Kleiner Exkurs ins Verwaltungsrecht:

Ein Hängebeschluss ist eine Zwischenverfügung des Gerichts in einem Eilrechtsverfahren, um den Ist-Status für den Antragsteller zu sichern, bis das Gericht final entscheidet. Es handelt sich aber nicht um eine instanzabschließende Sachentscheidung. Ob ein solcher Hängebeschluss überhaupt angegriffen werden kann und wenn ja, mit welchem Rechtsmittel, ist umstritten. Das sieht man zB sehr schön daran, dass der hier entscheidende 1. Senat am VGH die Beschwerde gegen den Hängebeschluss zulässt, der 11. Senat des VGH dies aber jüngst noch abgelehnt hat (Beschl. v. 15.3.2018 – 11 S 2094/17). Ein solcher Hängebeschluss des VG Sigmaringen war hier der Beschwerdegegenstand.

Vorliegend hat Verwaltungsgericht der Behörde als Antragsgegnerin mit dem angefochtenen Beschluss im Wege eines Hängebeschlusses bis zu einer Entscheidung des Verwaltungsgerichts über den Eilantrag untersagt, Bauplätze in einem Baugebiet zu vergeben und notarielle Kaufverträge abzuschließen. Die Behörde

hatte sich trotz mehrfacher Aufforderungen des Verwaltungsgerichts, die vollständigen Akten im Original vorzulegen, wiederholt unter Verstoß gegen ihre Pflichten aus § 99 Abs. 1 S. 1 VwGO geweigert, Verwaltungsvorgänge zu dem Auswahlverfahren und zu den zugrundeliegenden Sitzungen des Gemeinderats vorzulegen. Durch dieses offensichtlich rechtswidrige Verhalten der Antragsgegnerin war das Verwaltungsgericht nicht in der Lage, die Erfolgsaussichten des Eilrechtsantrags zu prüfen.

Entscheidung

Der VGH hat unmissverständlich klar gemacht, dass es nicht der Behörde obliegt, selbst zu entscheiden, welche Dokumente und Akten für das Verfahren eventuell relevant sein mögen.

Die Entscheidung darüber, welche Urkunden und Akten vorzulegen sind, steht im Rahmen des § 86 Abs. 1 VwGO im Ermessen des Gerichts; ihm allein und nicht der Behörde kommt nach § 86 Abs. 1 VwGO auch die Beurteilung zu, welche Urkunden und Akten für seine Entscheidung erheblich sein können.

Ursprünglich hatte die Behörde gegen das Aktenvorlageverlangen des Verwaltungsgerichts Bedenken aus dem „Datenschutzrecht“ vorgetragen. Der VGH befindet hierzu, dass solche Bedenken nicht bestehen.

Einem Herausgabeverlangen nach § 99 Abs. 1 S. 1 VwGO kann insbesondere nicht „die DSGVO“ (Schriftsatz vom 14.01.2019, S. 14) entgegengehalten werden.

Der VGH verweist darauf, dass die DSGVO grundsätzlich auch für die Tätigkeiten der Gerichte gelte. Sie steht aber einer Datenerhebung durch das Verwaltungsgericht in der Gestalt einer Verfügung zur Aktenvorlage nicht entgegen.

Danach befasst sich der VGH mit den verschiedenen in Betracht kommenden Rechtsgrundlagen. Hierzu verweist er allgemein zunächst auf die Rechtsgrundlagen in Art. 6 Abs. 1 DSGVO. Nach Ansicht des VGH sind für die Tätigkeit der Gerichte sowohl der Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt) als auch Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde) einschlägig.

Die Voraussetzungen beider Tatbestände sind erfüllt, wenn die Gerichte Daten bei den Beteiligten eines gerichtlichen Verfahrens zum Zweck der Rechtspflege erheben und die Daten zu diesem Zweck verwenden.

Der VGH verweist hierzu insbesondere auf die gesetzliche Pflicht der Verwaltungsgerichte, den Sachverhalt von Amts wegen zu ermitteln und dabei die Beteiligten heranzuziehen (§ 86 Abs. 1 S. 1 VwGO). Zudem widmet sich der VGH der Frage, ob auch die Behörde befugt ist, personenbezogene Daten an das Gericht zu übermitteln. Diese Datenübermittlung ist zur Erfüllung einer rechtlichen Verpflichtung, nämlich jener aus § 99 Abs. 1 S. 1 VwGO, erforderlich und kann daher auf den Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO gestützt werden.

Auch geht der VGH auf die Frage ein, ob § 99 VwGO als nationale Vorschrift mit den Vorgaben der DSGVO im Einklang steht. Hierbei befasst sich das Gericht jedoch nicht mit den Vorgaben des Art. 6 Abs. 2 und 3 DSGVO und den dort aufgestellten Anforderungen an Rechtsgrundlagen im nationalstaatlichen Recht. Vielmehr geht der VGH anscheinend davon aus, dass § 99 VwGO eine die Rechte der Betroffenen beschränkende Vorschrift im Sinne des Art. 23 DSGVO darstellt. Zumindest geht das Gericht nur hierauf ein.

Gemäß Art. 23 Abs. 1 Buchst. f DS-GVO können insbesondere zum Schutz der Unabhängigkeit der Justiz und zum Schutz von Gerichtsverfahren durch Rechtsvorschriften der Mitgliedstaaten, denen der Verantwortliche unterliegt, unter anderem die Pflichten und Rechte gemäß den Art. 12 bis 22 DS-GVO beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt.

Und nach Ansicht des VGH enthalten solche Regelungen zum Schutz von Gerichtsverfahren und zur Datenverarbeitung durch die Gerichte insbesondere die nationalen Vorschriften über das Verfahrensrecht der Gerichte betreffend die Datenerhebung zum Zweck der Rechtsprechung.

Datenschutzbehörden zum Einsatz von Drohnen: in der Regel nicht datenschutzkonform möglich

Posted on by

Auf der Webseite der Datenschutzbehörde aus Baden-Württemberg ist ein Positionspapier der Datenschutzkonferenz (DSK) zur „Nutzung von Kameradrohnen durch nicht-öffentliche Stellen“ (Stand: 16.1.2019) abrufbar (pdf).

In dem Positionspapier befassen sich die deutschen Behörden recht knapp mit den datenschutzrechtlichen Anforderungen an den Einsatz von Drohnen durch Private. Das Ergebnis:

Insbesondere in urbanen Umgebungen ist das Betreiben von Drohnen mit Film- und Videotechnik im Einklang mit den geltenden Gesetzen in der Regel nicht möglich.

Das ist natürlich eine ziemlich vernichtende Feststellung, wenn man bedenkt, wie oft private Nutzer oder Unternehmen bereits heutzutage Drohnen einsetzen. Zudem denke man auch an wirtschaftlich begründete Einsatzszenarien, wie die Vermessung von Feldern oder anderen Flächen oder auch Luftaufnahmen mit wissenschaftlichem Hintergrund. Gerade Unternehmen mit einem Entwicklungsschwerpunkt, etwa in der Maschinenindustrie, im Automobilbereich, in der Luftfahrt oder auch im Agrarsektor setzen Drohnen ein, um neue Technologien zu entwickeln oder zu testen.

Die DSK kommt in dem Papier zu dem Schluss, dass ein datenschutzkonformer Einsatz „in der Regel“ nicht möglich sei. Leider wird in dem Papier kein Hinweis darauf gegeben, welche Maßnahmen aus Sicht der Behörden erforderlich wären, um einen datenschutzgerechten Einsatz von Drohnen zu ermöglichen.

Anwendbarkeit der DSGVO

Richtig verweisen die Behörden darauf, dass, wenn Drohnen mit Foto- oder Videotechnik zum Einsatz kommen und natürlich Personen aufgenommen werden, eine Verarbeitung personenbezogener Daten vorliegt und damit die Vorgaben der DSGVO zu beachten sind.

Bereits hinsichtlich des Anwendungsbereichs der DSGVO ist jedoch darauf hinzuweisen, dass tatsächlich auch „personenbezogene Daten“ verarbeitet werden müssen. Also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Die Aufnahmen der Drohne müssen also mindestens den Rückschluss auf eine natürliche Person ermöglichen. Kann dieser nicht erfolgen, z.B. weil Personen nicht erkennbar oder aufgrund äußerer Merkmale nicht identifizierbar sind, liegen auch keine personenbezogenen Daten vor und die DSGVO wäre nicht anwendbar. Dieser Hinweis wird leider in dem Positionspapier nicht erteilt.

Erlaubnistatbestand

Hinsichtlich der für die Verarbeitung erforderlichen Rechtsgrundlage erwähnt das Papier nur die Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO. Aus Sicht der Behörden spielt bei dieser Abwägung der Einsatzzweck der Drohne eine entscheidende Rolle. Und auch hier tendiert die DSK leider per se zu einer sehr restriktiven Auslegung:

Die genannten Voraussetzungen sind in der Mehrzahl der Fälle wegen des regelmäßigen Überwiegens von Interessen Betroffener nicht erfüllt. Dies ist insbesondere dann der Fall, wenn die Aufnahmen für eine Veröffentlichung im Internet erstellt werden.

Warum regelmäßig die Interessen der Betroffenen überwiegen sollen, erwähnen die Behörden nicht. Aus der DSGVO ergibt sich dieses Überwiegen nicht. Es ist vielmehr eine einzelfall- oder zumindest fallspezifische Interessenabwägung durchzuführen, die in der Praxis von sehr vielen Faktoren beeinflusst sein kann. Ein grundsätzliches Überwiegen von schutzwürdigen Interessen anzunehmen, erscheint daher leider zu pauschal.

Informationspflichten

Zudem gehen die Behörden auch auf die Informationspflichten nach den Art. 12 ff. DSGVO ein. Auch hier wird seitens der DSK aber sehr pauschal angenommen, dass die gesetzlichen Vorgaben nicht eingehalten werden können:

Zudem können die für die Verarbeitung personenbezogener Daten erforderlichen Informationspflichten gem. Art. 12 ff. DS-GVO in der Regel nicht erfüllt werden.

Unverständlich an dieser Auffassung ist, dass mehrere Datenschutzbehörden in der Vergangenheit zur ähnlichen Thematik des Fotografierens von Menschen(ansammlungen) aus größerer Entfernung ausdrücklich die Meinung vertreten haben, dass es sich um eine heimliche Datenerhebung handele und damit die besonderen Ausnahmen von der Informationspflicht nach Art. 14 Abs. 5 DSGVO eingreifen würden. So etwa der LfDI Baden-Württemberg (Fotografieren und Datenschutz –Wir sind im Bild!) oder der Landesbeauftragte aus Hamburg (Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus). Warum die DSK nun in dem Positionspapier diese Möglichkeit einer Ausnahme nach Art. 14 DSGVO nicht einmal anspricht oder diskutiert, erschließt sich mir nicht. Für Unternehmen, die Drohnen einsetzen, würden diese Hinweise doch gerade einen möglichen Lösungsansatz zum datenschutzkonformen Einsatz von Drohnen bieten. Daneben ist zu beachten, dass Informationspflichten, je nach den Umständen, natürlich auch beim Drohneneinsatz erfüllt werden können. Es können etwa Schilder aufgestellt werden, Personen direkt angesprochen und auf ergänzende Informationen im Internet hingewiesen werden; es könnten auch Visitenkarten mit einem Link zur Datenschutzerklärung verteilt werden. Auch bei der Erfüllung gesetzlicher Informationspflichten kommt es stark auf die Umstände des Einzelfalls an.

Tracking und DSGVO – Datenschutzbehörden: Pseudonymisierung soll nicht zugunsten von Unternehmen berücksichtigt werden

Posted on by

Die deutsche Datenschutzkonferenz (DSK) hat letzte Woche ihre lang erwartet Orientierungshilfe (pdf) zum Tracking und vor allem zu dem Verhältnis von TMG und DSGVO veröffentlicht. Auf das letztgenannte Thema möchte ich hier nicht näher eingehen.

Hinweisen möchte ich vielmehr auf eine meines Erachtens unhaltbare Position der DSK im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO. Dieser Erlaubnistatbestand bildet aus Sicht der DSK die wohl meist einschlägige Rechtsgrundlage, wenn es um ein Tracking von Personen im Internet über Webseiten oder Nutzern in Apps geht.

Die DSK stellt die drei erforderlichen Prüfungsschritte der Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO dar.

  1. Stufe: Vorliegen eines berechtigten Interesses der Verantwortlichen oder eines Dritten
  2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen
  3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall

Im Rahmen der dritten Stufe weist die DSK richtigerweise darauf hin, dass die ermittelten, sich gegenüberstehenden Interessen zu gewichten sin. Hierfür kann keine allgemeingültige Regel aufgestellt werden. Soweit kein Problem.

Doch dann stellt die DSK recht apodiktisch fest:

Zu beachten ist, dass im Rahmen der Abwägung ohnehin bestehende Pflichten aus der DSGVO, z.B.  Informationspflichten oder die Sicherheit der Verarbeitung durch Pseudonymisierung, nicht zugunsten des Verantwortlichen berücksichtigt werden können. 

Diese pauschale Ablehnung einer positiven Berücksichtigung von Pseudonymisierungsmaßnahmen ist meines Erachtens kontraproduktiv für eine wirksame Umsetzung der DSGVO in der Praxis und vor allem rechtlich auch so nicht haltbar. Im Grunde gibt die DSK hier zu verstehen, dass Unternehmen personenbezogene Daten zwingend pseudonymisieren müssten, da dies so in der DSGVO vorgegeben sei und diese, datenschutzfreundliche Maßnahme, dem Unternehmen nicht zum Vorteil gereichen darf. Ich einer solchen Situation verstehe ich jede datenverarbeitende Stelle, die sich fragt, warum man überhaupt pseudonymisieren sollte? Denn der Vorgang der Pseudonymisierung kann, je nach vorliegenden Datenarten und dem Umfang, recht aufwendig sein. Hierzu muss man nur einmal einen Blick in die Legaldefinition der Pseudonymisierung in Art. 4 Nr. 5 DSGVO werfen. Die Anforderungen sind recht hoch.

Daneben ist diese Ansicht meines Erachtens aber auch rechtlich nicht vertretbar. Die DSGVO kennt nämlich keine Pflicht zur Pseudonymisierung, ebenso wenig wie eine Pflicht zur Verschlüsselung. Beide Maßnahmen sind im hier relevanten Art. 32 Abs. 1 DSGVO (Sicherheit der personenbezogenen Daten) als Beispiele umzusetzenden Maßnahmen genannt. Art. 32 Abs. 1 lit. a) DSGVO gibt vor: „Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten“.

Die Formulierung „unter anderem Folgendes ein“ in der deutschen Version der DSGVO ist ein Übersetzungsfehler. Dies ergibt sich aus dem Vergleich mit der englischen Sprachversion. Dort wird die Aufzählung mit „including inter alia as appropriate“ eingeleitet. Anders als die deutsche Fassung, verweist der englische Text ausdrücklich auf die Erforderlichkeit bzw. Angemessenheit einer jeden Maßnahme. Die Übersetzung von „as appropriate“ wurde in der deutschen Sprachfassung schlicht vergessen. Zudem ist zu beachten, dass Art. 32 Abs. 1 DSGVO jegliche Sicherheitsmaßnahmen von verschiedensten Faktoren abhängig macht, wie etwa dem Stand der Technik und auch der Implementierungskosten.

Anders, als von der DSK dargestellt, handelt es sich bei der Maßnahme „Pseudonymisierung“ nicht um eine ohnehin bestehende Pflicht nach der DSGVO. Zwar verweist die DSK im Folgesatz darauf, dass durch „zusätzliche Schutzmaßmaßnahmen die Beeinträchtigungen durch die Verarbeitung derart reduziert werden“ können, dass die Interessenabwägung zugunsten des Verantwortlichen ausfallen kann. Es stellt sich hier aber die Frage, was diese zusätzlichen Schutzmaßnahmen sein sollen, wenn etwa Pseudonymisieurng aus Sicht der DSK bereits eine gesetzlich zwingend vorgegebene Maßnahme ist.

Insgesamt ist es aus meiner Sicht daher nicht begründbar, wenn die DSK mit der Aussage kommuniziert, dass von Unternehmen umgesetzte Schutzmaßnahmen in der Interessenabwägung keine Berücksichtugung finden könnten.

Niedersachsen schlägt Anpassungen der DSGVO und des BDSG im Bundesrat vor

Posted on by

Das Land Niedersachsen hat am 3.4.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht (BR Drs 144/19, pdf). Hintergrund des Antrages ist die Forderung, dass „über die DSGVO hinausgehende zusätzliche Auflagen für Unternehmen in Deutschland mittelstandsfreundlicher und im Sinne ehrenamtlich Tätiger in Vereinen nachgebessert werden sollten“. Die niedersächsische Landesregierung sieht, sicherlich nicht unbegründet, in der Praxis das Problem, dass das Ziel der DSGVO, den Schutz personenbezogener Daten sicherzustellen, nicht erreicht werden kann, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen nicht anwenden (können). Der Entwurf des Antrages beruht also auf der Erkenntnis, dass die Regelungen der DSGVO, die ohne Zweifel in großen Teilen im Sinne eines „one size fits all“-Ansatzes, gerade für kleinere Einheiten einigen Umseztungs- und Anpassungsbedarf mit sich bringen.

Zu der vollen Wahrheit, die in dem Entwurf nicht erwähnt wird, gehört aber auch die Tatsache, dass dieser hohe Umsetzungs- und Anpassungsaufwand für kleinere Einheiten schlicht darin begründet liegt, dass sie vor dem 25.5.2018 das schon damals geltende Datenschutzrecht nicht (voll) eingehalten haben. Es macht in der Praxis natürlich einen Unterschied, ob man als Unternehmen von null startet oder aber schon auf vorhandene Datenschutzdokumentation und -prozesse aufbauen kann.

Vorgeschlagene Änderungen

Wie vor einigen Monaten, auch im Rahmen der Diskussionen zum Entwurf des 2. Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU), schlägt Niedersachsen vor, § 38 BDSG, also die Anforderungsschwelle zur Benennung eines Datenschutzbeauftragten, anzupassen. Der Bundesrat soll die die Bundesregierung auffordern, „hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben“. Ein Vorschlag für eine neue Schwelle, oberhalb von 10 Personen, wird nicht gemacht. Diese Forderung ist nicht neu. Jedoch sollte dem Gesetzgeber klar sein, dass viele kleinere Unternehmen denken, dass eine Pflicht zur Benennung gleichbedeutend mit der Pflicht zur Einhaltung des Datenschutzrechts an sich ist. Das ist natürlich ein Trugschluss. Sollte die Schwelle angehoben werden, besteht sicherlich die Gefahr, dass kleinere Einheiten davon ausgehen, dass, wenn sie keinen Datenschutzbeauftragten benennen müssen, auch die übrigen Anforderungen der DSGVO für sie nicht gelten.

Eventuell unterliegt auch die Landesregierung Niedersachsen selbst diesem Trugschluss. In einem weiteren Antrag wird formuliert: „Der Bundesrat fordert die Bundesregierung daher auf, zu prüfen, ob eingetragene Vereine, die überwiegend oder ausschließlich mit Ehrenamtlichen arbeiten, von der Anwendung des § 38 Abs. 1 BDSG ganz ausgenommen werden können. Mindestens jedoch sollten für Vereine weitgehende Ausnahmen in Bezug auf die verpflichtende Benennung einer/eines Datenschutzbeauftragten in das BDSG aufgenommen werden“. Die Landesregierung versteift sich hier auf ein Mini-Thema der DSGVO, die Benennung des Datenschutzbeauftragten. Jedoch bedeutet die fehlende Pflicht zur Benennung natürlich nicht, dass die übrigen Anforderungen der DGSVO nicht zu beachten wären (Bsp: Datenschutzinformationen erstellen, Verzeichnis der Verarbeitungstätigkeiten führen, Einhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 DSGVO, Abschluss von Verträgen zur Auftragsverarbeitung).

Zudem schlägt die Landesregierung vor, die Meldefrist für Datenpannen nach Art. 33 Abs. 1 DSGVO auf ihre Angemessenheit zu prüfen. „Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken“. Im Grunde soll also eine Anpassung der DSGVO auf europäischer Ebene in diesem Punkt angestoßen werden. Warum die Frist zu kurz (also unangemessen) sein könnte, begründet die Landesregierung leider nicht.

Auch verlangt die Landesregierung, gesetzlich auszuschließen, dass Datenschutzverstöße durch Wettbewerber abgemahnt werden können. Auch dieses Thema ist nicht neu und wird schon länger diskutiert. „Daher sollte in diesem Zusammenhang eine ausdrückliche Ausschlussregelung getroffen werden. Der Bundesrat fordert eine klarstellende gesetzliche Formulierung“.

Was ist eine „Verarbeitungstätigkeit“ im Sinne der DSGVO?

Posted on by

Der Verantwortliche hat nach Art. 30 Abs. 1 DSGVO ein Verzeichnis aller „Verarbeitungstätigkeiten“ zu führen. Möchte ein Unternehmen mit der Erstellung dieser wichtigen Übersicht beginnen, stellt sich unweigerlich die Frage, bis auf welche Detailtiefe diese „Verarbeitungstätigkeiten“ beschrieben werden müssen. Oder anders: was genau ist eine „Verarbeitungstätigkeit“?

Die Antwort auf diese Frage ist nicht nur für das Verzeichnis nach Art. 30 Abs. 1 DSGVO von Bedeutung. Auch andere Vorschriften verweisen auf Verarbeitungstätigkeiten, so etwa in Art. 28 Abs. 4 DSGVO: „um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen“.

Eine gesetzliche Definition des Begriffs findet sich in Art. 4 DSGVO nicht. Dort wird nur die „Verarbeitung“ definiert, als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Da die Verarbeitung als Begriff definiert wird, die DSGVO jedoch auch die Formulierung „Verarbeitungstätigkeit“ verwendet, wird man davon ausgehen können, dass es sich hierbei nicht um ein Synonym handelt. Ansonsten hätte der Gesetzgeber in Art. 30 Abs. 1 DSGVO auch einfach von „Verarbeitungen“ sprechen können.

LfDI Baden-Württemberg im aktuellen Tätigkeitsbericht

Der Landesbeauftragte aus Baden-Württemberg (LfDI BaWü) hat zu dieser wichtigen Frage in seinem neusten Tätigkeitsbericht (pdf)Stellung genommen (ab S. 11).

Als Verarbeitungstätigkeit wird im Allgemeinen ein spezieller, eigenständiger Geschäftsprozess verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.

Interessant hierbei ist, dass der LfDI die Verarbeitungstätigkeit durchaus mit einem Geschäftsprozess gleichsetzt und damit wohl von einem weit geringeren Detailierungsgrad, als bei einer Verarbeitung an sich (also etwa einer Erhebung oder einer Löschung von Daten), ausgeht. Denn ein Geschäftsprozess dürfte in der Praxis zumeist nicht nur eine Verarbeitung umfassen.

Relativierend wirkt dann jedoch der zweite Satz, dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Hier scheint der LfDI dann doch einen sehr engen Konnex zwischen einer Verarbeitung und einer Verarbeitungstätigkeit ziehen zu wollen.

Doch der LfDI gibt in seinem Tätigkeitsbericht noch weitere Kriterien für die Festlegung einer Verarbeitungstätigkeit vor.

Was konkret eine Verarbeitungstätigkeit ist, hängt vom jeweiligen Unternehmen ab. In einem kleinen Unternehmen mit wenigen Mitarbeitern kann z. B. die gesamte Personalverwaltung (inkl. Bewerbungsverfahren und Lohnabrechnung) als eine einzige Verarbeitungstätigkeit gesehen werden. Bei einem mittleren Unternehmen sollte eine stärkere Untergliederung stattfinden, z. B. in Personalgewinnung, Personaleinstellung, Verwaltung des aktuellen Personals, Beendigung der Arbeitsverhältnisse und ähnliche Verarbeitungstätigkeiten.

Der LfDI schlägt also vor, den Umfang einer Verarbeitungstätigkeit von der Größe des Unternehmens und damit wohl auch des Umfangs der innerhalb einer Verarbeitungstätigkeit vorgenommen Verarbeitungen abhängig zu machen. Die DSGVO knüpft den Begriff der Verarbeitungstätigkeit jedoch nicht an die Größe des Unternehmens.

Hinweise der DSK

Ganz ähnlich wie der LfDI verstehen den Begriff „Verarbeitungstätigkeit“ wohl auch die anderen deutschen Aufsichtsbehörden. In den Hinweisen (pdf)der DSK zum Verzeichnis von Verarbeitungstätigkeiten stellt die DSK fest:

Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.

Interessant ist der Unterschied zur Umschreibung durch den LfDI. In den Hinweisen der DSK wird zugestanden, dass der Geschäftsprozess auf einem geeigneten Abstraktionsniveau beschrieben werden kann.

Auch aus diesen Hinweisen geht aber hervor, dass die DSK den Begriff „Verarbeitungstätigkeit“ in enger Verbindung mit dem Zweck der Verarbeitung sieht. So wird in Bezug auf die Informationen zum Zweck der Verarbeitung festgestellt: Je Beschreibung einer Verarbeitungstätigkeit ist der Verarbeitungszweck zu dokumentieren, z. B. Personalaktenführung/Stammdaten, Lohn-, Gehalts- und Bezügeabrechnung, Arbeitszeiterfassung. In diesen Beispielen wird deutlich, dass die DSK davon ausgeht, dass eine Verarbeitungstätigkeit nicht allein eine Verarbeitung, sondern mehrere Verarbeitungen umfassen darf.

Beispiel für ein Verzeichnis des BayLDA

Betrachtet man daneben die vom Bayerischen Landesamt für Datenschutzaufsicht veröffentlichen Beispiele von Verzeichnisses nach Art. 30 Abs. 1 DSGVO, lässt jedoch wieder der Schluss ziehen, dass eine „Verarbeitungstätigkeit“ nicht zwingend mit einer Verarbeitung gleichzusetzen ist. So nennt das BayLDA in seinem Verzeichnis für Vereine (pdf) eine Verarbeitungstätigkeit etwa „Mitgliederverwaltung“. Es dürfte klar sein, dass die Mitgliederverwaltung nicht nur eine einzelne Verarbeitung umfasst, sondern viele verschiedene.

Fazit

Insgesamt wird man festhalten können, dass weder in der DSGVO noch in den Hinweisen der Aufsichtsbehörden absolut klar wird, was eine „Verarbeitungstätigkeit“ darstellt. Mir erscheint, als gemeinsame Schnittmenge der Hinweise und Informationen der Behörden, als auch mit Blick auf die Handhabbarkeit der Vorgaben des Art. 30 DSGVO, eine Interpretation sinnvoll, nach der mit einer „Verarbeitungstätigkeit“ sowohl die „Verarbeitungen“ (Art. 4 Nr. 2 DSGVO) als auch zusätzliche Informationen zu diesen Verarbeitungen, wie Zwecke und Kategorien der Daten umfasst sind. Der Zweck der Durchführung einer Verarbeitungstätigkeit (z.B.: Bewerbermanagement) hängt aber auch unweigerlich mit dem Zweck der einzelnen Verarbeitungen zusammen, wie dies der LfDI BaWü betont.

Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?

Posted on by

Eine zurzeit heiß diskutierte Frage ist, welche Rolle der Betriebsrat im Sinne des Datenschutzes im Unternehmen überhaupt einnimmt“. Mit dieser Feststellung leitet der Landesbeauftragte aus Baden-Württemberg (LfDI) in seinem aktuellen Tätigkeitsbericht (pdf, ab S. 37) das Kapitel „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ ein und liefert in der Überschrift direkt auch seine Antwort auf diese praxisrelevante Frage. Die Begründung des LfDI: Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.

Warum ist die Frage praxisrelevant? Sollte der Betriebsrat (bzw. eine Interessenvertretung der Arbeitnehmer) als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, würden sich hieraus viele Umsetzungsaufgaben innerhalb eines Unternehmens ergeben. Angefangen mit der Pflicht des Betriebsrates, ein eigenes Verzeichnis der Verarbeitungstätitgkeiten (Art. 30 DSGVO) zu führen, selbst die Informationspflichten (Art. 13 / 14 DSGVO) zu erfüllen, eventuell einen eigenen Datenschutzbeauftragten (Art. 37 DSGVO) zu benennen und natürlich etwa auch eine eigene Rechtsgrundlage für Datenverarbeitungen (Art. 6 Abs. 1 DSGVO) zu finden. Viele weitere Themen wären relevant, so etwa, ob nicht das Unternehmen und der Betriebsrat für bestimmte Verarbeitungen als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO) anzusehen sind.

Orientiert man sich an der bisherigen Respr. des Bundesarbeitsgerichts (BAG) zum alten Datenschutzrecht, würde man davon ausgehen, dass der Betriebsrat Teil des Verantwortlichen ist (BAG, Beschl. v. 14.1.2014 – 1 ABR 54/12). Im Zuge der Anwendbarkeit der DSGVO, ist diese Einordnung jedoch auf den juristischen Prüfstand gestellt worden.

Ein Urteil des BAG oder auch des Bundesverwaltungsgerichts oder gar des Europäischen Gerichtshofs zu dieser Frage steht noch aus. Jedoch haben sich in Deutschland bereits einige Gerichte mit der Thematik auseinandergesetzt. Das Ergebnis: es ist umstritten.

Nachfolgend möchte ich einen kleinen Überblick zu den Entscheidungen geben. Interessant daran ist, dass es fast immer um das Verlangen des Betriebsrates bzw. der Personalvertretung geht, Einsicht in nicht anonymisierte Entgelt- oder Gehaltslisten zu erhalten. Entscheidende betriebsverfassungsrechtliche Norm ist dann auch zumeist § 80 Abs. 2 BetrVG. Dabei kommen die Gerichte am Ende oft zu demselben Ergebnis. Auf dem Weg dorthin sind die Argumente, ob der Betriebsrat eigener Verantwortlicher ist, jedoch verschieden.

LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18

Das LAG Niedersachsen geht davon aus, dass dem Anspruch des Betriebsrats auf einen Blick in die Bruttoentgeltlisten datenschutzrechtliche Belange nicht entgegenstehen. Das LAG verweist auf § 26 Abs. 6 BDSG, in dem ausdrücklich klargestellt ist, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Solange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt – was oben bereits bejaht wurde – handelt es sich bei ihm nicht um einen „Dritten“ iSv Art. 4 Nummer 10 EU-DSGVO. Eine Rechtmäßigkeit der Datenverarbeitung ist hier nach Art. 6 I c) Euro-DSGVO gegeben, da die Einsichtnahme in die Bruttolohn- und gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat dient.

Schön finde ich ja den Hinweis auf die „Euro-DSGVO“. Um aber beim Thema zu bleiben: das LAG sieht den Betriebsrat nicht als „Dritten“ an; zumindest, solange er sich im Rahmen der Wahrnehmung gesetzlicher Aufgaben bewegt.

LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17

Auch das LAG Sachsen-Anhalt geht davon aus, dass dem durch den Betriebsrat verfolgten Anspruch des Betriebsausschusses zur Einsichtnahme gemäß § 80 Abs. 2 S. 2 2. Halbsatz BetrVG datenschutzrechtliche Belange nicht entgegenstehen.

Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.

Das LAG Sachsen-Anhalt vertritt mithin die Ansicht, dass der Betriebsrat als eigener Verantwortlicher innerhalb des Unternehmens anzusehen ist.

LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18

Im Verfahren vor dem LAG Hessen ging es, etwas abweichend, um die Auskunft darüber, an welche Arbeitnehmer mit Ausnahme leitender Angestellter Sonderzahlungen geleistet wurden. Das LAG begründet seine Entscheidung aber auch hier mit Art. 80 Abs. 2 BetrVG.

Nach Ansicht des LAG bestehen im Übrigen datenschutzrechtliche Bedenken auch deshalb nicht,

weil der Betriebsrat selbst Teil der verantwortlichen Stelle im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung ist.

Das LAG Hessen schlägt sich hier auf die Seite jener, die den Betriebsrat nicht selbst als Verantwortlichen ansehen. Weiter begründet das LAG Hessen:

Die Zurverfügungstellung der im Antrag genannten Informationen an den Betriebsrat stellt daher keine Weitergabe des Arbeitgebers an Dritte dar.

Umfassender als die anderen Gerichte befasst sich das LAG Hessen aber mit der Frage, welche Rechtsgrundlage für die Datenverarbeitung herangezogen werden kann. Das LAG geht davon aus, dass, soweit der Betriebsrat im Rahmen seiner ihm gesetzlich zugewiesenen Aufgaben handele,

die Verarbeitung dieser Daten nach Art. 6 Absatz 1c Datenschutzgrundverordnung rechtmäßig ist.

Zudem stellt das LAG fest, dass der Betriebsrat an das Datenschutzrecht gebunden ist. Aus dieser Formulierung könnte man nun doch eine andere Ansicht ableiten. Jedoch macht das LAG in seiner weiteren Begründung deutlich, dass es den Betriebsrat als Teil des Verantwortlichen (Arbeitgeber) ansieht. Nach dem LAG gestatte das Datenschutzrecht – wie sich aus Art. 6 Abs. 1 lit. c DSGVO ergebe – die Verarbeitung von Daten durch den Betriebsrat,

wenn der Arbeitgeber insoweit einer rechtlichen Verpflichtung, z.B. aus § 80 Absatz 2 BetrVG, unterliegt. Dies ist hier der Fall“. Das LAG rechnet folglich die Verarbeitung durch den Betriebsrat dem Arbeitgeber zu, der sich wiederum hierfür auf Art. 6 Abs. 1 lit. c) DSGVO berufen kann.

Zwischenergebnis in der Rechtsprechung: 2:1 für die Ansicht, dass der Betriebsrat Teil des Verantwortlichen ist.

LAG Düsseldorf, Beschl. v. 23.10.2018 – 8 TaBV 42/18

In dem Fall des LAG Düsseldorf ging um Ansprüche auf Vorlage von Gehaltslisten in elektronischer bzw. gedruckter Form. Die Parteien stritten darüber, ob der Betriebsrat neben der Einsichtnahme auch eine Überlassung der Entgeltlisten verlangen kann. Nach Auffassung des LAG kann der Betriebsrat weder die Übergabe der Entgeltlisten in elektronischer oder gedruckter Form, noch die Überlassung eines PC, auf dem die Listen gespeichert sind, noch die Gestellung zusätzlichen Büropersonals zwecks Schaffung einer „Abschreibemöglichkeit“ der Listen verlangen. Konkret ging es hier, etwas abweichend, um einen möglichen Anspruch aus dem EntgTranspG. Nach Ansicht des LAG räumt das EntgTranspG dem Betriebsrat seinem Wortlaut nach an keiner Stelle einen Überlassungsanspruch ein, vielmehr spreche 13 Abs. 2 S. 1 EntgTranspG von „hat das Recht einzusehen“.

Da das LAG hier diesen Anspruch ablehnte, musste es (leider) zu der datenschutzrechtlichen Frage keine Stellung mehr nehmen.

Ob die Überlassung von Entgeltlisten an Betriebsrat und Betriebsausschuss weiterhin auch aus datenschutzrechtlichen Gründen unzulässig ist, bedarf in Anbetracht des vorstehenden, klaren Auslegungsergebnisses keiner Erörterung.

BVerwG, Beschl. v. 19.12.2018 – 5 P 6.17

Bisher soweit ersichtlich noch kaum beachtet, hatte auch das Bundesverwaltungsrecht (BVerwG) die Möglichkeit, sich zu der Frage zu äußern, wie eine Personalvertretung datenschutzrechtlich einzuordnen ist. Die Entscheidung betraf jedoch, anders als die obigen Entscheidungen, den öffentlichen Bereich. Das BVerwG geht davon aus, dass der Bezirkspersonalrat im konkreten Fall einen Informationsanspruch hat, weil sein Informationsbegehren einen Aufgabenbezug aufweist und die beanspruchten Informationen nach Art und Umfang zur Aufgabenwahrnehmung erforderlich sind. Entscheidende Norman waren hier jene aus dem Landespersonalvertretungsgesetz Rheinland-Pfalz.

Das Verwaltungsgericht ist im Ergebnis auch zutreffend davon ausgegangen, dass Regelungen des Datenschutzrechts der streitgegenständlichen Informationsübermittlung nicht entgegenstehen.

Das BVerwG geht in seiner Begründung zum Datenschutzrecht zunächst auf die Rechtlage vor Anwendbarkeit der DSGVO ein. Bislang wurde als geklärt angesehen, dass die Datenübermittlung der Dienststelle an den Personalrat nicht den Bestimmungen der Datenschutzgesetze unterliegt, sondern die einschlägigen personalvertretungsgesetzlichen Anspruchsnormen die insoweit maßgeblichen bereichsspezifischen Rechtsgrundlagen im Sinne des Datenschutzrechts bilden. Zudem stünden die Persönlichkeitsrechte der Betroffenen der Einsichtnahme des Personalrats in Unterlagen, die personenbezogene Daten der Beschäftigten enthalten, nicht entgegen, wenn die Einsichtnahme unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf den zur Aufgabenerfüllung erforderlichen Umfang begrenzt ist.

Das BVerwG befasst sich sodann mit der Frage, ob diese Rechtslage mit dem Inkrafttreten der DSGVO, die als Verordnung in den Mitgliedstaaten unmittelbare Anwendung findet und keiner nationalen Umsetzung bedarf, eine Änderung erfahren hat. Das Gericht verweist hierfür auf Ansichten der Literatur, dass nunmehr mangels hinreichend spezifischer und damit vorrangiger Regelungen der Personalvertretungsgesetze die datenschutzrechtlichen Regelungen über die Verarbeitung bzw. Weitergabe von personenbezogenen Daten in Dienst- und Beschäftigungsverhältnissen anzuwenden seien, wenn die Dienststellenleitung personenbezogene Daten an die Personalvertretung übermittelt und diese dort genutzt werden.

Es geht mithin um die Frage, ob nicht, neben den personalvertretungsrechtlichen Vorschriften, auch datenschutzrechtliche Regelungen zu beachten sind. Dies hätte dann eventuell auch die Frage nach der Einordnung des Personalrates umfasst.

Jedoch lässt das BVerwG eine abschließende Entscheidung in dieser Sache ausdrücklich offen.

Denn jedenfalls führt die geforderte Prüfung im vorliegenden Fall nicht zu einem anderen Ergebnis als es bei der Prüfung der personalvertretungsrechtlichen Erforderlichkeitsprüfung erzielt worden ist.

Ausblick

Die Frage, wie die Personalvertretung innerhalb eines Unternehmens oder einer öffentlichen Stelle datenschutzrechtlich einzuordnen ist, ist daher weiterhin nicht abschließend entschieden. Wie oben erwähnt, kann man hinsichtlich der Respr. verschiedener LAG von einer leichten Tendenz zur alten Rechtslage (Teil des Verantwortlichen) ausgehen.

Bis eine finale Entscheidung in Deutschland oder gar durch den EuGH vorliegt, wird es sicher noch ein wenig dauern. Unabhängig von der Stellung der Personal- oder Interessenvertretung muss aber für die Praxis beachtet werden, dass etwa ein Betriebsrat, auch wenn er Teil des Verantwortlichen ist, natürlich die Vorgaben der DSGVO, dann im Gewand des Verantwortlichen, einhalten muss. Hierzu zählen vor allem auch die Datenschutzgrundsätze in Art. 5 Abs. 1 DSGVO und weitere Normen, wie etwa angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO.

Hessischer Datenschutzbeauftragter veröffentlicht FAQ zur DSGVO – Unter anderem: vorsorgliche Einwilligung ist möglich

Posted on by

Immer noch sind viele Fragen bei der Anwendung der DSGVO unbeantwortet und umstritten. Die hessische Datenschutzbehörde hat, aufgrund „einer Flut von Anfragen beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI)“, Antworten zu den am häufigsten gestellten Fragen auf ihrer Webseite veröffentlicht.

Natürlich findet man dort als Suchender sicherlich nicht die Antwort auf jede Frage zur DSGVO. Dennoch sind die Antworten des HBDI, insbesondere für Unternehmen mit Hauptsitz in Hessen, sicherlich eine lesenswerte Ressource.

Interessant ist etwas die Aussage der Behörde zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich der HBDI der bereits vom BayLDA veröffentlichten Ansicht anzunähern und den Anwendungsbereich der Auftragsverarbeitung recht eng zu ziehen, nämlich nur auf solche Fälle, in denen tatsächlich ein Dritter mit der Verarbeitung von Daten beauftragt wird.

Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“

Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes nicht sicher ist.

„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“

Der HBDI scheint also davon auszugehen, dass eine Verarbeitung aus Sicht des Verantwortlichen auf zwei Erlaubnistatbestände, wovon einer die Einwilligung ist, gestützt werden kann, wenn man unsicher ist, ob die eigentlich avisierte Rechtsgrundlage wirklich eingreift. Der Kollege Tim Wybitul hat genau zu diesem Thema heute in einem Beitrag auf LinkedIn darauf hingewiesen, dass aus dem neues Kurzpapier (PDF) der DSK zur Einwilligung wohl eine andere Ansicht ableitbar ist. Eventuell vertritt der HBDI hier also eine nicht ganz so strenge Auffassung.

Österreichische Datenschutzbehörde: Löschung von personenbezogenen Daten ist auch durch Anonymisierung möglich

Posted on by

Die Österreichische Datenschutzbehörde (DSB) hat mit Bescheid vom 5.12.2018 (DSB-D123.270/0009-DSB/2018) eine äußerst relevante Praxisfrage für die Anwendung der DSGVO entschieden. Genügt für eine Löschung von personenbezogenen Daten (und damit der Erfüllung des Löschungsanspruchs eines Betroffenen nach Art. 17 Abs. 1 DSGVO), dass diese Daten anonymisiert werden? Die Einschätzung der DSB: die Anonymisierung von personenbezogenen Daten kann grundsätzlich ein mögliches Mittel zur Löschung im Sinne der DSGVO sein.

Sachverhalt

In dem Verfahren ging es um die Beschwerde einer betroffenen Person, die gegenüber einem Unternehmen (mit dem ursprünglich auch vertragliche Beziehungen bestanden) einen Antrag auf Löschung all ihrer Daten gestellt hatte. Die Beschwerdegegnerin hat die vollständige Löschung seiner Daten jedoch verweigert. In dem Fall ging es zudem noch um eine zunächst nicht eindeutig durchführbare Identifizierung des Beschwerdeführers. Nachdem diese bei dem Unternehmen intern jedoch vollzogen war, hat es die dem Beschwerdeführer eindeutig zuordenbaren Daten entweder sofort gelöscht, oder „DSGVO-konform anonymisiert“.

Besonders relevant war vorliegend die durch das Unternehmen an die DSB übermittelte Information, wie es die Anonymisierung vornimmt. Diese erfolgte in Umsetzung folgender kombinierter Schritte aus Löschung und Anonymisierung:

  • Löschung des Vertragsangebots: Sowohl die Kundenanfrage als auch das Angebot, das aufgrund der Onlineangaben des Kunden vom Kundenmanagementsystem erstellt worden wären, wären gelöscht worden.
  • Löschung aller elektronischer Kontakte (E-Mail-Adresse, Telefonnummer, etc.) des Kunden.
  • Änderung der Person (Name, Vorname, Adresse): Sowohl Name, als auch Adresse seien durch eine anonyme, nicht zuordenbare Person (Max Mustermann) mit identem Geschlecht und Geburtsdatum unwiderruflich manuell überschrieben worden.
  • Die nun inhaltsleere Kundenverbindung sei nur mehr Max Mustermann zugeordnet.
  • Der mit einer Kundenverbindung automatisch gestartete interne Ablauf sei sofort gestoppt worden.
  • Zusammenlegung der zu löschenden Person auf die neue anonyme Person zur Sicherstellung, dass die Überschreibung auch technisch nachhaltig verankert sei.
  • Löschen des Kunden im Elektronischen Akt (Historie).

Durch die Umsetzung all dieser beschriebenen Schritte sei eine faktische Anonymisierung der ursprünglichen Kundenverbindung durch das Überschreiben mit einer „Dummy Kundenverbindung“ herbeigeführt worden.

Auf Nachfrage der DSB ergänzte das Unternehmen, dass des Weiteren keine personenbezogenen Daten in den Logdaten gespeichert werden, da die Identifikation ausschließlich über Kennzahlen („ID´s“) erfolge. Dort wäre die Verknüpfung aber irreversibel entfernt worden. Eine Wiederherstellung oder Rekonstruktion der Daten auch aus den Logdaten sei nicht möglich.

Entscheidung der DSB

Zutreffend verweist die DSB einleitend darauf, dass der verbindliche Teil der DSGVO den Begriff der „Anonymisierung“ nicht kennt. Nur in ErwG 26 DSGVO wird dieser erwähnt (jedoch nicht definiert) und festgehalten, dass die DSGVO keine Anwendung auf anonymisierte Daten findet, worunter Informationen verstanden werden, „die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.

Danach befasst sich die DSB mit der Definition des Begriffs der „Verarbeitung“ (Art. 4 Nr. 2 DSGVO), in dem jedoch keine Definition des Begriffs „Löschung von personenbezogenen Daten“ (wie er in Art. 17 Abs. 1 DSGVO) verwendet wird, zu finden ist.

Nach Art. 4 Nr. 2 DSGVO sind aber nach Ansicht der DSB das Löschen und die Vernichtung als alternative Formen der Verarbeitung angeführt („das Löschen oder die Vernichtung“), die nicht zwingend deckungsgleich sind.

Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt.

Diese Klarstellung der DSB ist bereits die erste wichtige Aussage des Bescheids. Löschung bedeutet nicht, dass Daten faktisch vernichtet werden müssen.

Nach Ansicht der DSB steht dem Verantwortlichen hinsichtlich der Mittel (also der vorgenommenen Art und Weise der Löschung) ein Auswahlermessen zu (hierzu verweist die DSB auch umfangreich auf Kommentarliteratur).

Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten kann somit grundsätzlich ein mögliches Mittel zur Löschung iSv Art. 4 Z 2 iVm Art. 17 Abs. 1 DSGVO sein.

Jedoch verlangt die DSB, meines Erachtens zurecht, dass sichergestellt sein muss, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Wann ein solcher unverhältnismäßiger Aufwand anzunehmen sein wird, ist natürlich am Ende stets eine Einzelfallfrage. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann nach Ansicht der DSB der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (hierzu verweist die DSB auch auf die Stellungnahme 5/2014 der ehemaligen Art. 29-Datenschutzgruppe).

Im vorliegenden Fall hat das Unternehmen die personenbezogenen Daten nach Ansicht der DSB

„teils vernichtet (also ohne „Hinterlassen“ von anonymisierten Daten), teils durch Entfernung des Personenbezugs zum Beschwerdeführer „gelöscht“.

Diese Kombination aus Vernichtung und Entfernung des Personenbezugs (auch durch Ersetzen mit Dummy Daten) ist nach Auffassung der DSB ausreichend, um eine Löschung iSd DSGVO annehmen zu können.

Die DSB verweist abschließend auf einen weiteren wichtigen Aspekt: hypothetische Verläufe, insbesondere die Weiterentwicklung der Technologie, müssen an dem Ergebnis nichts ändern. Der Beschwerdeführer führte an, dass „die Daten zu einem späteren Zeitpunkt „de-anonymisiert werden könnten“. Nach Ansicht der DSB liegt eine Löschung dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person nicht mehr möglich ist.

Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität ist daher – unabhängig vom verwendeten Mittel zur Löschung – nicht notwendig.

Die DSB beurteilt die Frage, wann Daten iSd DSGVO gelöscht sind, mithin aus dem Blickwinkel des zu erzielenden Ergebnisses. Die Verarbeitung personenbezogener Daten darf nicht mehr möglich sein. Auf welchem Wege und vor allem mit welchen Mitteln ein Verantwortlicher zu diesem Ergebnis gelangt, ist in der DSGVO gerade nicht vorgegeben und daher durch den Verantwortlichen individuell umsetzbar. Aus Sicht der Praxis dürfte diese Entscheidung zum Begriff des „Löschens“ in der DSGVO besondere Relevanz besitzen.

Bundesverwaltungsgericht entscheidet zu Öffnungsklauseln: Übermittlungsvorschrift im Bayerischen Datenschutzgesetz ist mit der DSGVO unvereinbar

Posted on by

Das Bundesverwaltungsgericht (BVerwG) hat mit Urteil vom 27. September 2018 (BVerwG 7 C 5.17) entschieden, dass der Übermittlungstatbestand des Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG gegen die Vorgaben der DSGVO verstößt. Daneben trifft das Gericht einige relevante Äußerungen zum Umsetzungsspielraum der Mitgliedstaaten bei der Ausfüllung der Öffnungsklauseln in Art. 6 Abs. 2 und 3 DSGVO sowie zum Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO.

Sachverhalt

In dem Verfahren ging es um die Aufklärung der sog. „Verwandtenaffäre“ des Bayerischen Landtags. Ein Journalist bei einer Tageszeitung machte einen presserechtlichen Auskunftsanspruch gegenüber dem Landtagsamt des Freistaates Bayern geltend. Ursprünglich lehnte die Präsidentin des Bayerischen Landtags den Antrag des Klägers ab. Zuletzt wies auch der VGH Bayern die Klage ab. Unter anderem ging es bei der Ablehnung des Auskunftsanspruchs auch um die Daten von Dritten (der Ehefrau eines Landtagsabgeordneten) und der Frage, ob eine Herausgabe ihrer Daten als auch der personenbezogenen Daten des Landtagsabgeordneten selbst dem Anspruch entgegestünden. Hiergegen wendete sich der Journalist vor dem BVerwG.

Entscheidung

Nach Art. 4 des Bayerischen Pressegesetzes (BayPrG) hat die Presse gegenüber Behörden ein Recht auf Auskunft. Die Auskunft darf nur verweigert werden, soweit auf Grund beamtenrechtlicher oder sonstiger gesetzlicher Vorschriften eine Verschwiegenheitspflicht besteht.

Das BVerwG fußt seine Entscheidung darauf, dass die Auslegung und Anwendung von Art. 4 BayPrG durch den VGH Bayern nicht mit dem verfassungsrechtlichen Schutz der Presse aus Art. 5 Abs. 1 Satz 2 GG vereinbar ist.

Die in Art. 4 Abs. 2 Satz 2 BayPrG erwähnten Verschwiegenheitspflichten können sich aus Grundrechten Dritter (zB dem Recht auf informationelle Selbstbestimmung) ergeben. In diesem Fall muss eine Abwägung des verfassungsrechtlich geschützten Interesses der Presse mit dem Interesse der Betroffenen vorgenommen werden. Das BVerwG verweist hierzu auch auf den in Art. 5 Abs. 1 Satz 2 GG verbürgten verfassungsunmittelbaren presserechtlichen Auskunftsanspruch. Zudem muss sich der mit der Weitergabe personenbezogener Daten verbundene Eingriff in das Grundrecht auf informationelle Selbstbestimmung auf eine bereichsspezifische Ermächtigungsgrundlage stützen, die insbesondere den Anforderungen an die Normenklarheit genügt.

Der VGH Bayern prüfte die Weitergabe jedoch nur anhand der Offenbarungspflichten nach dem Gesetz über die Rechtsverhältnisse der Mitglieder des Bayerischen Landtags (Bayerisches Abgeordnetengesetz). Dies kritisiert das BVerwG mit der Begründung, dass die diesem Vorgehen zugrunde liegende Rechtsauffassung, dass damit die Offenlegung mandatsbezogener Informationen grundsätzlich abschließend geregelt werde, und der daraus folgende absolute Schutz der von diesen Vorschriften nicht erfassten Informationen, die Anforderungen des Art. 5 Abs. 1 Satz 2 GG verfehlt. Mit dieser einschränkenden Rechtsauffassung verschließe sich der VGH

„der Heranziehung weiterer Rechtsvorschriften, die den Anforderungen für einen Eingriff in das informationelle Selbstbestimmungsrecht genügen und deswegen Grundlage einer umfassenden Abwägung sein können“.

Zwar existiere eine solche weitere Vorschrift weder allein im presserechtlichen Normbestand (1), noch in Gestalt einer eigenständigen Rechtsgrundlage in den datenschutzrechtlichen Bestimmungen (2). Die presserechtliche Anspruchsgrundlage ist jedoch nach Ansicht des BVerwG insoweit um datenschutzrechtliche Vorgaben zu ergänzen (3).

(1)

Das BVerwG erachtet Art. 4 Abs. 2 S. 2 BayPrG allein für unzureichend, da schutzwürdige Interessen der betroffenen Dritten nicht einmal erwähnt werden.

(2)

Auch eine eigenständige datenschutzrechtliche Rechtsgrundlage existiert nicht. Das BVerwG prüft diesbezüglich den in Betracht kommenden Erlaubnistatbestand nach Art. 5 Abs. 1 S. 1 Nr. 2 des Bayerischen Datenschutzgesetzes (BayDSG, in der Fassung vom 15.5.2018, also in Umsetzung der DSGVO).

Nach Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG ist eine Übermittlung personenbezogener Daten zulässig, wenn der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.

Diese Vorschrift, die an den Vorgaben der DSGVO zu messen ist, ist nach Ansicht des BVerwG allerdings keine taugliche Rechtsgrundlage.

„Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG ist mit der Datenschutz-Grundverordnung nicht vereinbar“.

Zunächst stellt das BVerwG klar, dass die DSGVO gemäß Art. 288 Abs. 2 AEUV unmittelbar gilt und grundsätzlich weder auf eine Umsetzung angewiesen, noch dies überhaupt zulässig ist. Auch eine Normwiederholung im nationalen Recht ist dem Grunde nach ausgeschlossen. Nur im Rahmen ausdrücklicher Ermächtigungen können ihre Regelungen vom nationalen Gesetzgeber spezifiziert, präzisiert und konkretisiert werden.

Der bayerische Landesgesetzgeber benennt als Grundlage für Art. 5 BayDSG die Art. 6 Abs. 2 bis 4 DSGVO, „soweit dem nationalen Gesetzgeber darin Regelungsspielräume eingeräumt werden“. Der Landesgesetzgeber stützt sich also auf die Öffnungsklauseln der DSGVO. Genau diesen Regelungsspielraum sieht das BVerwG aber für Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG als nicht gegeben.

Zum einen kann Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG auf die Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO schon deswegen nicht gestützt werden,

weil danach nur eine Konkretisierung der Regelungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO erlaubt ist, während die landesrechtliche Bestimmung an Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO anknüpft“.

Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG enthält eine Interessenabwägung nach dem Vorbild des Art. 6 Abs. 1 lit. f) DSGVO. Art. 6 Abs. 1 lit. f) DSGVO gilt jedoch, nach Unterabs. 2, gerade nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. Hierzu gehören nach Ansicht des BVerwG sowohl „eigennützige“ als auch „fremdnützige“ Aufgaben.

Erfasst sind

„die durch Gesetz übertragenen Aufgaben im Rahmen der Eingriffs- und Leistungsverwaltung. Damit fällt jegliche Datenverarbeitung in Erfüllung hoheitlicher Funktionen, wozu auch die Beantwortung von Presseanfragen zählt, unter den Ausschlusstatbestand und ist den Erlaubnistatbeständen nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO zuzuordnen“.

Der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO ist nach dem BVerwG nur einschlägig, wenn die Behörde als Teilnehmer im Privatrechtsverkehr auftritt.

Zum anderen ermöglicht auch Art. 6 Abs. 4 DSGVO dem nationalen Gesetzgeber nicht,

„den Erlaubnistatbestand des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO hinsichtlich seines persönlichen Geltungsbereichs zu erweitern“.

Art. 6 Abs. 4 DSGVO ist keine neben Art. 6 Abs. 2 und 3 DSGVO stehende übergreifende Öffnungsklausel. Nach Auffassung des BVerwG bezieht er sich vielmehr allein auf die Zweckänderungsbefugnis im Rahmen der nach Art. 6 Abs. 1 DSGVO nach Maßgabe von Art. 6 Abs. 2 und 3 DSGVO zulässigen Datenverarbeitung.

(3)

Zwar existiere somit für die Datenweitergabe an eine private Stelle keine eigenständige Rechtsgrundlage im Rahmen eines presserechtlichen Auskunftsanspruchs.

Jedoch, so das BVerwG, kann Art. 6 Abs. 1 lit. f) DSGVO

„zur inhaltlichen Ausfüllung und Konkretisierung dieses Anspruchs herangezogen werden, der dann den Anforderungen des Gesetzesvorbehalts für einen Eingriff in das Recht auf informationelle Selbstbestimmung genügt“.

Zwar sei Art. 6 Abs. 1 lit. f) DSGVO auf behördliche Tätigkeiten nicht anwendbar, weil die Übermittlung von personenbezogenen Daten in den privaten Bereich einer ausdrücklichen gesetzlichen Entscheidung bedarf. Jedoch, so das BVerwG, können die materiellen Anforderungen zur gebotenen inhaltlichen Ausformung der Datenverarbeitung, wie sie in Art. 6 Abs. 1 lit. f) DSGVO vorgegeben sind, bei der Anwendung und Auslegung des presserechtlichen Auskunftsanspruchs berücksichtigt werden, wenn der Gesetzgeber, wie hier, gesetzlich zumindest im Grunde vorgesehen hat, dass entsprechende Drittinteressen vor einer Weitergabe zu berücksichtigen sind bzw. ganz allgemein eine gesetzliche Erlaubnis für die Weitergabe vorgesehen ist. Nach Ansicht des BVerwG ist dies hier der Fall. Das BVerwG begründet diese Folgerung nicht näher, scheint aber davon ausgehen, dass in Art. 4 Abs. 2 S. 2 BayPrG dem Grunde nach eine gesetzliche Erlaubnis für die Weitergabe vorgesehen ist, die jedoch inhaltlich um die materiellen datenschutzrechtlichen Vorgaben des Art. 6 Abs. 1 lit. f) DSGVO zu ergänzen ist. Art. 6 Abs. 1 lit. f) DSGVO muss folglich in die Anforderungen des Art. 4 Abs. 2 Satz 2 BayPrG hineingelesen werden.

Interessenabwägung

Danach befasst sich das BVerwG mit der Interessenabwägung. Diese fällt zugunsten des Auskunftsanspruchs des Journalisten aus.

Allgemein relevant für die Anwendung des Art. 6 Abs. 1 lit. f) DSGVO ist zudem noch der Hinweis des BVerwG, dass das Tatbestandsmerkmal der „Erforderlichkeit“ im Sinne einer Verhältnismäßigkeitsprüfung zu verstehen ist.

„Im Übrigen findet der Verhältnismäßigkeitsgrundsatz in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO seinen Niederschlag in der Regelung, dass die Datenübermittlung erforderlich sein muss“.

Fazit

Besonders relevant an dieser Entscheidung ist meines Erachtens die Feststellung des BVerwG zu der Unvereinbarkeit einer nationalen Regelung mit der DSGVO, wenn diese Regelung einen Erlaubnistatbestand für die Datenverarbeitung durch öffentliche Stellen im Rahmen der Ausübung ihrer Aufgaben darstellen soll, dabei aber auf den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO rekurriert. Eine solche Vorschrift kann nicht auf die Öffnungsklauseln der Art. 6 Abs. 2 und 3 DSGVO gestützt werden. Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG dürfte hier exemplarisch für viele weitere Erlaubnistatbestände sowohl im BDSG als auch Landesdatenschutzgesetzen stehen. Ausdrücklich verweist das BVerwG etwa in seiner Begründung auf § 25 Abs 2 Nr. 2 BDSG, der damit wohl auch als europarechtswidrig anzusehen wäre. Zuletzt ist aber darauf hinzuweisen, dass eine Europarechtswidrigkeit von nationalen Vorschriften verbindlich nur durch den EuGH festgestellt werden kann.

ePrivacy Verordnung: Bundesregierung sieht weiteren Beratungsbedarf

Posted on by

Die Verhandlungen zur ePrivacy Verordnung dauern weiter an. Da Ende Mai 2019 in ganz Europa die Wahlen für ein neues Europäisches Parlament anstehen, wird man damit rechnen müssen, dass vor diesen Wahlen eine finale Verabschiedung der ePrivacy Verordnung (inkl. eines Trilogs zwischen Kommission, Parlament und Rat) schwierig wird.

Auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag („Verhandlungen über den Datenschutz in der elektronischen Kommunikation (ePrivacy-Reform)“) hat die Bundesregierung am 21.12.2018 einige Informationen zum aktuellen Stand der Verhandlungen zur ePrivacy Verordnung und dem möglichen weiteren Ablauf gegeben (BT Drs. 19/6709, 21.12.2018, pdf).

Zum Zeithorizont äußert die Bundesregierung, dass sie grundsätzlich einen zeitnahen Abschluss der Verhandlungen anstrebt. Jedoch teilt sie auch mit, dass sie sich im Minterrat dafür ausgesprochen hat,

dass bestimmte Anliegen zunächst weiter beraten werden sollen, bevor über Verhandlungen mit dem Europäischen Parlament entschieden wird“.

Die Bundesregierung sieht folglich allgemein noch Beratungsbedarf. Wann die Verhandlungen im Rat aus ihrer Sicht abgeschlossen sein (oder werden) können, teilt sie nicht mit. Jedoch weißt die Bundesregierung noch darauf hin, dass derzeit eine Übergangsfrist von zwei Jahren für die ePrivacy Verordnung vorgesehen ist, die die Bundesregierung auch gefordert habe. Wenn es also tatsächlich im Laufe des Jahres 2019 zu einer Einigung zwischen Kommission, Parlament und Rat kommen sollte, dürfte die Anwendbarkeit der ePrivacy Verordnung wohl nicht vor 2021 zu erwarten sein.

Drei noch umstrittene Regelungsbereiche liegen nach Aussage der Bundesregierung in der Frage der zulässigen Verarbeitung von Metadaten ohne Einwilligung des betroffenen Endnutzers zu wirtschaftlichen Zwecken des Anbieters sowie in den Regelungen zum Schutz der Endgeräte. Also die Vorgaben zum Einsatz von Cookies auf Endgeräten oder dem Zugriff auf im Endgerät vorhandene Informationen. Einen weiteren wesentlichen Konfliktpunkt stellt wohl auch der Anwendungsbereich der ePrivacy Verordnung und das Verhältnis als Spezialgesetzgebung zur DSGVO dar.

Die Bundesregierung benennt zudem noch folgende Themen mit Diskussionsbedarf:

  • Bekämpfung der Kinderpornografie und des Missbrauchs von Kindern in den Netzen
  • Bestimmungen zum Schutz der Endeinrichtungen
  • Einstellungen zum Schutz der Privatsphäre in Browsersoftware
  • Aufsicht

Konkret zu dem Thema „Tracking Walls“ befragt, bekräftigt die Bundesregierung ihre bereits in der Vergangenheit geäußerte Ansicht,

dass werbefinanzierte Onlinedienste die Möglichkeit haben sollten, die Nutzung solcher Dienste von der Einwilligung in Cookies für Werbezwecke abhängig zu machen“.

Insgesamt deuten die Antworten der Bundesregierung darauf hin, dass es zum einen in wesentlichen Punkten noch Diskussionsbedarf zwischen den Mitgliedstaaten gibt und zum anderen ein rascher Abschluss der Verhandlungen (also etwa im ersten Halbjahr 2019) insgesamt wohl nicht zu erwarten ist.