Generalanwalt: Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) kann auch bei Fehlen einer Vereinbarung oder einer gemeinsamen Entscheidung zwischen den Verantwortlichen vorliegen

In der Rechtssache C-683/21 (derzeit noch nicht auf Deutsch verfügbar) hatte sich Generalanwalt Emiliou (Schlussanträge vom 4. Mai 2023) u.a. mit der Frage zu befassen, wann eine gemeinsame Verantwortlichkeit nach Art. 4 Nr. 7 und Art. 26 DSGVO anzunehmen ist. Nach Ansicht des Generalanwalts hängt die gemeinsame Verantwortlichkeit von der Erfüllung von nur zwei objektiven Voraussetzungen ab (Rn. 41).

  • Erstens muss jeder gemeinsam für die Verarbeitung Verantwortliche die Kriterien erfüllen, die in der Definition des Begriffs „für die Verarbeitung Verantwortlicher“ in Art. 4 Nr. 7 DSGVO enthalten sind. Jede Partei muss also für sich als Verantwortlicher qualifiziert werden können.
  • Zweitens muss der Einfluss der für die Verarbeitung Verantwortlichen über die Verarbeitung gemeinsam ausgeübt werden. Die gemeinsame Beteiligung an der Verarbeitung kann in verschiedenen Formen erfolgen und muss nicht auf einer gemeinsamen Entscheidung der Beteiligten beruhen.

Dies ist ein wichtiger erster Punkt: Es ist keine gemeinsame Entscheidung der beteiligten Parteien erforderlich.

Der Generalanwalt stellt klar, dass der inhaltliche und funktionale Ansatz, der erforderlich ist, um festzustellen, ob eine Person oder Einrichtung als „für die Verarbeitung Verantwortlicher“ anzusehen ist, auch für die gemeinsame Verantwortlichkeit gilt. Es geht am Ende also um rein faktische Einflussmöglichkeiten auf die Verarbeitung.

Die logischen Konsequenzen sind, dass

  • das Fehlen einer Vereinbarung oder Absprache oder sogar einer gemeinsamen Entscheidung zwischen zwei oder mehreren für die Verarbeitung Verantwortlichen an sich die Feststellung nicht ausschließt, dass sie „gemeinsam für die Verarbeitung Verantwortliche“ sind (Randnummer 42)
  • allein die Tatsache, dass zwei Unternehmen ihre Handlungen nicht koordiniert oder anderweitig miteinander zusammengearbeitet zu haben scheinen, nicht bedeutet, dass sie nicht als „gemeinsam für die Verarbeitung Verantwortliche“ angesehen werden können (Randnummer 43).

Wichtiger zweiter Punkt: Vereinbarung oder Absprache nicht zwingend erforderlich.

Laut der Stellungnahme kommt es darauf an, „dass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre“. Die Anforderungen für die Annahme einer gemeinsamen Verantwortlichkeit sind daher äußerst niedrig und werden in der Praxis wahrscheinlich häufig erfüllt.

EuGH: Nicht jeder Verstoß gegen die DSGVO führt zu einer rechtswidrigen Verarbeitung

Gestern wurde in der Datenschutz-Community natürlich vor allem über die Urteile des EuGH in der Rechtssache C-487/21 und der Rechtssache C-300/21 diskutiert. Etwas untergegangen ist hierbei ein drittes Urteil des EuGH zum Datenschutzrecht (C-60/22). Die Praxisrelevanz dieses dritten Urteils ist meines Erachtens aber nicht zu unterschätzen. Der EuGH setzt sich mit der Frage auseinander, inwiefern Verstöße gegen Pflichten aus der DSGVO, die nicht direkt eine Verarbeitung personenbezogener Daten betreffen, zu einer Rechtswidrigkeit dieser Datenverarbeitung führen. Aus der Praxis kennen wir diese Diskussion etwa in Bezug auf fehlerhafte Datenschutzhinweise (Art. 12, 13 DSGVO) oder nicht abgeschlosse Verträge zur Auftragsvearbeitung (Art. 28 DSGVO).

Sachverhalt

Das VG Wiesbaden legte dem EuGH unter anderem die Frage vor, ob ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) oder eine fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) dazu führt, dass eine Datenverarbeitung „unrechtmäßig“ im Sinne von Art. 17 Abs. 1 lit. d DSGVO ist.

Entscheidung des EuGH

Der EuGH arbeitet in seinem Urteil sehr schön den Unterschied zwischen jenen Artikeln der DSGVO heraus, die die Rechtmäßigkeit der Datenverarbeitung betreffen und solchen Vorschriften, die gerade keinen Einfluss auf die Rechtmäßigkeit haben.

Voraussetzungen der Rechtmäßigkeit – Art. 6 Abs. 1 DSGVO

Der Startpunkt ist für den EuGH der Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO, wonach personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden [müssen]“. Die dort geforderte Rechtmäßigkeit wird aber nach Ansicht des EuGH nicht in jedem Artikel der DSGVO geregelt oder durch jede Pflicht berührt.

Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt.“ (Rz. 55)

Die Liste der in Art. 6 Abs. 1 DSGVO genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend. Die Einhaltung der in Art. 26 DSGVO und in Art. 30 DSGVO verankerten Pflichten zählen aber nach Ansicht des EuGH

nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung“. (Rz. 59)

Der EuGH folgert hieraus, dass sich aus dem Wortlaut von Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 Unterabs. 1 DSGVO ableiten lässt,

dass ein Verstoß des Verarbeiters gegen die in den Art. 26 und 30 dieser Verordnung vorgesehenen Pflichten keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung darstellt“. (Rz. 61)

Erweiterte Voraussetzungen aus Kap. II DSGVO

Der EuGH weitet die für die Rechtmäßigkeit der Datenverarbeitung relevanten Artikel dann aber doch etwas über Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 DSGVO hinaus aus.

Er orientiert sich hierbei an dem Umfang von Kapitel II DSGVO. Die Art. 7 bis 11 DSGVO betreffen, genau wie die Art. 5 und 6 DSGVO, die Grundsätze die zum Ziel haben,

den Umfang der dem Verarbeiter nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegenden Pflichten näher zu bestimmen“ (Rz. 58).

Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn sie diese anderen Bestimmungen des Kapitels II einhält, die im Wesentlichen die Einwilligung, die Verarbeitung besonderer Kategorien sensibler personenbezogener Daten und die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten betreffen.

Dann ist aus Sicht des EuGH aber auch Schluss. Weitere Artikel und Pflichten der DSGVO betreffen nicht die Frage der Rechtmäßigkeit einer Datenverarbeitung. Aus der Struktur und aus der Systematik der DSGVO gehe eindeutig hervor, dass sie zum einen zwischen den „Grundsätzen“, die in ihrem Kapitel II geregelt werden,

und zum anderen den „allgemeinen Pflichten“ unterscheidet, die zu Abschnitt 1 des Kapitels IV der Verordnung gehören, das die Verantwortlichen betrifft; zu diesen Pflichten zählen die Pflichten nach den Art. 26 und 30 ebendieser Verordnung.“ (Rz. 62)

Zuletzt für der EuGH auch das Ziel der DSGVO als Argument an, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten, insbesondere des Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten. Das Fehlen einer Vereinbarung nach Art. 26 DSGVO oder eines Verzeichnisses im Sinne von Art. 30 DSGVO reicht aber

für sich genommen nicht aus, um nachzuweisen, dass ein Verstoß gegen das Grundrecht auf den Schutz personenbezogener Daten vorliegt“. (Rz. 65)

Auswirkung für die Praxis

Der EuGH befasst sich in seinem Urteil natürlich nur mit den ihm vorgelegten Fragen und hier den Art. 26 und 30 DSGVO. Meiner Ansicht nach ist die Begründung des EuGH hinsichtlich der Frage, welche Artikel der DSGVO für die Rechtmäßigkeit der Verarbeitung relevant sind, aber so eindeutig, dass das Urteil auch auf andere Konstellationen und andere Pflichten aus der DSGVO übertragbar ist.

In der Praxis dürften hier vor allem die Informationspflichten nach Art. 12-14 DSGVO eine Rolle spielen. Einige Datenschutzbehörden gehen ja davon aus, dass ein Verstoß gegen Art. 13 DSGVO zu einer Rechtswidrigkeit der Verarbeitung führt. Diese Argumentation ist mit dem Urteil des EuGH nun meines Erachtens nicht mehr haltbar. Deklinieren wir es mit den Argumenten des EuGH durch:

  • Art. 12-14 DSGVO sind nicht in Art. 6 Abs. 1 DSGVO enthalten
  • Art. 12-14 DSGVO sind nicht Teil des Kapitel II der DSGVO

Dasselbe dürfte meines Erachtens insbesondere auch für Art. 28 DSGVO, also fehlende Verträge zur Auftragsverarbeitung oder auch einen Verstoß gegen Art. 32-36 DSGVO gelten, wenn also zB keine saubere DSFA durchgeführt wurde. Aber: natürlich sind Verstöße gegen diese Artikel weiter bußgeldbewehrt und evtl. entstehen auch Schadenersatzansprüche für Betroffene.

Europäischer Datenschutzausschuss veröffentlicht Bericht zur Prüfung von Datentransfers in Drittländer

Die europäischen Datenschutzbehörden haben einen Bericht (PDF) über die Ergebnisse der Arbeit der Task Force veröffentlicht, die eingerichtet wurde, um 101 Beschwerden zu prüfen, die von der Nichtregierungsorganisation NOYB im Anschluss an das Schrems-II-Urteil des EuGH in verschiedenen Mitgliedstaaten eingereicht wurden.

Wichtig für die Praxis: der Bericht legt die gemeinsamen Standpunkte der Mitglieder der Task Force dar und enthält Informationen über die Ergebnisse der betroffenen Fälle.

Nachfolgend habe ich einige relevante Aspekte zusammengefasst (auch wenn die Positionen nicht völlig neu sind):

  • Wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, auch wenn es keine Probleme mit den Anforderungen von Kapitel V der DSGVO gibt.
  • Abschluss des EU-Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO mit rückwirkender Kraft ist nicht zulässig.
  • Die Verschlüsselung durch den Datenimporteur ist keine geeignete Maßnahme, wenn der Datenimporteur als Anbieter des Tools gesetzlich verpflichtet ist, die kryptografischen Schlüssel ggü. Behörden in dem Drittland zur Verfügung zu stellen.
  • Anonymisierungsfunktionen sind keine geeignete Maßnahme, wenn die Anonymisierung erfolgt, nachdem die Daten in das Drittland übermittelt wurden.
  • In Fällen, in denen ein Auftragsverarbeiter als Datenexporteur im Auftrag des für die Verarbeitung Verantwortlichen (des Website-Betreibers) handelt, ist der für die Verarbeitung Verantwortliche ebenfalls für den Datentransfer verantwortlich und könnte gemäß Kapitel V der DSGVO haftbar gemacht werden.
  • Wenn der für die Verarbeitung Verantwortliche nicht in der Lage ist, ausreichende Angaben zu machen, um nachzuweisen, wie Übermittlungen stattfinden, könnte dies zu einem Verstoß gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO (Rechenschaftspflicht) führen.  
  • Die Entscheidung eines Website-Betreibers, ein bestimmtes Tool für bestimmte Zwecke zu verwenden (z. B. zur Analyse des Verhaltens der Website-Besucher), wird als Bestimmung der „Zwecke und Mittel“ gemäß Art. 4 Abs. 7 DSGVO angesehen (womit der Website-Betreiber zum (Mit)Verantwortlichen wird).

EDSA: Zustimmung zu Datenschutzhinweisen als Verstoß gegen Grundsatz von „Treu und Glauben“ (Art. 5 Abs. 1 a) DSGVO)

Dass es keine gute Idee ist, sich eine Einwilligung oder Zustimmung zu den gesamten Datenschutzhinweisen / Datenschutzhinweisen erteilen zu lassen, ist insbesondere unter dem Blickwinkel der Anwendbarkeit des AGB-Rechts bekannt.

Rechtsprechung zur Anwendbarkeit des AGB-Rechts
So hat etwa jüngst der OGH aus Österreich (Urteil vom 23.11.2022 – 7 Ob 112/22d) sogar entschieden, dass Datenschutzhinweise auch dann der Klauselkontrolle des AGB-Rechts unterfallen, wenn der Betroffene „dem Datenschutzhinweis zwar nicht „zustimmen““ musste, jedoch in einem Versicherungsantrag bestätigen musste, „den Datenschutzhinweis „zur Kenntnis“ genommen zu haben“. Aus Sicht des OGH macht es keinen relevanten Unterschied zu der noch klareren Situation, in der den Datenschutzhinweisen an sich zugestimmt werden muss, „weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren kann“.

Verstoß gegen Art. 5 Abs. 1 a) DSGVO?
Sich eine Zustimmung in eine Datenschutzerklärung, die eigentlich nur der Informationserteilung nach Art. 13 DSGVO dient, einzuholen, ist nach Ansicht des EDSA aber auch noch aus einem anderen Grund unzulässig und kann gegen die DSGVO selbst verstoßen.

In seiner bindenden Entscheidung 5/2022 (Art. 65 DSGVO) vom 5.12.2022 (es ging um ein Verfahren der irischen Behörde gegen die WhatsApp Ireland Limited, befasst sich der EDSA mit der Frage, ob die Einholung einer zwingenden Zustimmung zu den Datenschutzhinweisen einen Verstoß gegen den Grundsatz der Verarbeitung nach Treu und Glauben nach Art. 5 Abs. 1 a) DSGVO darstellt.

Zum Grundsatz der Fairness / Treu und Glauben
Nach Art. 5 Abs. 1 a) DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) (im Englischen: „lawfulness, fairness and transparency“).

In seiner Entscheidung erläutert der EDSA (ab Rz 142) zunächst, wie er die Norm und speziell den Grundsatz von „Treu und Glauben“ bzw. „Fairness“ versteht. Die Grundsätze der Fairness, der Rechtmäßigkeit und der Transparenz, seien zwar drei unterschiedliche, aber dennoch untrennbar miteinander verbundene und voneinander abhängige Grundsätze, die jeder Verantwortliche bei der Verarbeitung personenbezogener Daten beachten muss.

Der Grundsatz der Fairness (Treu und Glauben) habe auch eine eigenständige Bedeutung, was dazu führt, dass etwa die Einhaltung des Grundsatzes der Transparenz nicht automatisch ausschließt, dass auch die Einhaltung des Grundsatzes der Fairness anders bewertet werden muss. Der Grundsatz der Verarbeitung nach Treu und Glauben umfasse unter anderem die „Anerkennung der berechtigten Erwartungen der betroffenen Personen, die Berücksichtigung möglicher nachteiliger Folgen, die die Verarbeitung für sie haben kann“ und auch „die Berücksichtigung des Verhältnisses und der möglichen Auswirkungen eines Ungleichgewichts“ zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen.

Der Grundsatz diene vor allem auch dazu, dass ein faires Gleichgewicht zwischen den geschäftlichen Interessen der Verantwortlichen einerseits und den Rechten und Erwartungen der betroffenen Personen nach der DSGVO andererseits hergestellt werden muss.

Falsche Darstellung der Rechtsgrundlage der Datenverarbeitung
Eine spezifische Ausformung des Grundsatzes „Treu und Glauben“ betrifft nach Ansicht des EDSA die Ermittlung der geeigneten Rechtsgrundlage durch den Verantwortlichen und insbesondere auch die Information bzw. Darstellung der Rechtsgrundlage gegenüber Betroffenen.

Der EDSA ist der Ansicht, dass eine Bewertung der Einhaltung des Grundsatzes von Treu und Glauben „auch eine Bewertung der Folgen erfordert, die die Wahl und Darstellung der Rechtsgrundlage“ für die Betroffenen mit sich bringt.

Im konkreten Fall stellt der EDSA in seiner Entscheidung fest, dass der Beschwerdeführer gezwungen war, den Nutzungsbedingungen und der Datenschutzrichtlinie zuzustimmen. Dies beeinträchtige aber eindeutig die angemessenen Erwartungen der Nutzer, da sie nicht wissen, „ob sie durch Anklicken der Schaltfläche „Akzeptieren“ ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben“. Im konkreten Fall war die Einwilligung nach Art. 6 Abs. 1 a) DSGVO auch nicht die einzige Rechtsgrundlage der Datenverarbeitung. Nach Auffassung des EDSA konnten Betroffene, durch die entsprechende Gestaltung und Einholung der Zustimmung zu den Datenschutzhinweisen, jedoch nicht sicher sein, ob dies eine Einwilligung in alle Datenverarbeitungen darstellt oder nicht.

Aus diesem Grund geht der EDSA davon aus, dass der Verantwortliche in dieser Situation die Rechtsgrundlage der Verarbeitung falsch darstellt und die Betroffenen über die möglichen Zusammenhänge zwischen den angestrebten Zwecken, der anwendbaren Rechtsgrundlage und den entsprechenden Verarbeitungstätigkeiten „im Unklaren“ gelassen werden.

Die Verarbeitung könne daher nicht als ethisch und wahrheitsgemäß angesehen werden kann, „da sie im Hinblick auf die Art der verarbeiteten Daten, die verwendete Rechtsgrundlage und die Zwecke der Verarbeitung verwirrend ist“.

Der EDSA geht daher von einem Verstoß gegen den Grundsatz von „Treu und Glauben“ (Fairness) gemäß Art. 5 Abs. 1 a DSGVO aus.

Fazit
Die Einschätzung des EDSA sollte in der Praxis als zusätzlicher Aspekt Beachtung finden, wenn es um die Ausgestaltung der Einbindung von Datenschutzhinweisen gegenüber Betroffenen geht.

EuGH zum Löschanspruch: Betroffener Person obliegt der Nachweis, dass Informationen unrichtig sind

In seiner Entscheidung C-460/20 (vom 8.12.2022) befasst sich der Gerichtshof der Europäischen Union (EuGH) mit der Beweislast in Fällen, in denen eine betroffene Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt.

Die Entscheidung des Gerichtshofs

Von hoher Relevanz für die Praxis sind die Argumente des EuGH zur Beweislast in Fällen von Art. 17 DSGVO. Konkret ging es hier um die Frage, wer im Rahmen der Ausnahmevorschrift des Art. 17 Abs. 3 lit. a DSGVO die Beweislast dafür trägt nachzuweisen, dass auf einer Webseite aufgelistete Inhalte unrichtige Behauptungen enthalten.

Beantragt eine betroffene Person die Löschung bestimmter Daten mit der Begründung, diese seien unrichtig, so obliegt nach dem EuGH „dieser Person der Nachweis, dass die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist“ (Rz. 68).

Dem EuGH zufolge darf jedoch keine übermäßige Belastung auferlegt werden, die geeignet wäre, die praktische Wirkung des Rechts auf Löschung zu beeinträchtigen. Daher muss die Person den Nachweis der Unrichtigkeit erbringen, kann aber nicht verpflichtet werden, eine gerichtliche Entscheidung gegen den Betreiber der betreffenden Website vorzulegen.

Was die andere Seite betrifft, so kann von dem für die Verarbeitung Verantwortlichen nicht verlangt werden, dass er den Sachverhalt ermittelt und eine kontradiktorische Debatte mit dem Anbieter der Inhalte führt. Der EuGH geht davon aus, dass der Verantwortliche nicht verpflichtet ist, „bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken, um festzustellen, ob dieser Antrag stichhaltig ist“ (Rz. 70).

Eine ähnliche Argumentation für Art. 16 DSGVO?

In einer Entscheidung aus März 2022 (BVerwG 6 C 7.20) hatte sich das Bundesverwaltungsgericht (BVerwG) ebenfalls mit einem ähnlichen Fall zu befassen, allerdings verlangte die betroffene Person eine Datenberichtigung nach Art. 16 DSGVO. Das BVerwG hat darauf hingewiesen, dass der Maßstab für die Qualifizierung eines Datums als „richtig“ oder „unrichtig“ im Sinne des Art. 16 S. 1 DSGVO zunächst die objektive Wirklichkeit ist.

Was die Beweislast betrifft, so verwies das Gericht auf Art. 5 Abs. 2 DSGVO. Nach Auffassung des BVerwG enthält die DSGVO enthält in Art. 5 Abs. 2 DSGVO eine spezifische Bestimmung, wer die Beweislast für die Richtigkeit des nach dem Begehren der betroffenen Person neu einzutragenden Datums trägt. Die Vorschrift regelt auch die Beweislast, soweit die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.

Konkret bezogen auf einen Berichtigungsanspruch, bei dem die Richtigkeit eines Datums umstritten ist, ist damit auch die Frage verbunden, ob der für die Verarbeitung Verantwortliche mit der Verarbeitung des „alten“ oder aber des „neuen“ Datums seiner Pflicht zur Einhaltung des Grundsatzes der Datenrichtigkeit gerecht wird.

Das BVerwG führt aus, dass „die Nichterweislichkeit der Richtigkeit des Datums, dessen Verarbeitung der jeweilige Anspruchsteller mit dem Berichtigungsanspruch nach Art. 16 Satz 1 DSGVO begehrt, zu Lasten des Anspruchstellers geht“. Der Verantwortlichen muss im Zweifel in Zukunft nachweisen, dass ein durch ihn verarbeitetes Datum richtig ist. Wenn ihm aber dieser Nachweis obliegt, so das BVerwG, kann von ihm nicht verlangt werden, „ein vom Antragsteller angegebenes Datum, dessen Richtigkeit sich nicht feststellen lässt, einzutragen und weiter zu verarbeiten“.

Fazit

Beide Entscheidungen enthalten relevante Klarstellungen hinsichtlich der Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit Anfragen von betroffenen Personen konfrontiert sind, die die Berichtigung oder Löschung von Daten beantragen, ohne etwa einen Beweis für die Unrichtigkeit der vorhandenen Daten vorzulegen, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen müssen, an den Gründen dieser Entscheidungen orientieren.

EU-Kommission plant Anpassung der DSGVO – Überblick zur Initiative

Die Europäische Kommission hat eine Initiative für die Anpassung ausgewählter Bereich der DSGVO gestartet. Bis zum 24.3.23 können interessierte Gruppen hierzu Stellungnahmen abgeben.

Um was geht es?

Direkt vorab: die Kommission plant (zumindest nach ihrem Vorschlag) nicht, die DSGVO „komplett auf zu machen“. Vielmehr ist die Idee der Kommission, eine Verordnung zur Anpassung ganz spezifischer Vorschriften der DSGVO bzw. auch zum Erlass eigenständiger Regelungen zu entwerfen. Hier kann man sich dazu einen Überblick verschaffen und auch eine Stellungnahme abgeben.

Laut den Angaben der Kommission zielt die Initiative darauf ab, „die Zusammenarbeit zwischen den nationalen Datenschutzaufsichtsbehörden bei der Durchsetzung der Datenschutz-Grundverordnung (DSGVO) in grenzüberschreitenden Fällen zu optimieren“.

Es soll die „Harmonisierung einiger Aspekte der Verwaltungsverfahren, die die Datenschutzaufsichtsbehörden in diesen Fällen anwenden, vorgeschlagen“ werden. Aus diesen Angaben lässt sich bereits der beschränkte Anwendungsbereich der Initiative erkennne. Es geht der Kommission um die Zusammenarbeit und die Vereinheitlichung von Verfahren bei „grenzüberschreitenden Fällen“; betroffen dürften daher Vorschriften in Kapitel VII (ab Art. 60 DSGVO) sein.

Was wird vorgeschlagen?

Auf der oben verlinkten Webseite ist im unteren Bereich ein Sondierungsdokument der Kommission mit weiteren Informationen verfügbar (PDF), aus dem sich ein guter erster Überblick zu dem Inhalt des Vorschlags ergibt.

Bei den nachfolgend genannten Themen sieht die Kommission Änderungsbedarf:

  • Bearbeitung von Beschwerden
  • Beschwerdeformular
  • Verfahrensdauer
  • Umfang des Anspruchs auf rechtliches Gehör und Zeitpunkt des Verfahrens, zu dem es gewährt wird
  • die Einbeziehung der Beschwerdeführer während des Verfahrens, einschließlich der Bereitstellung von Informationen über den Fortgang der Untersuchung

Es geht also vor allem um Aspekte auf Verfahrensebene, wenn Aufsichtsbehörden zusammenarbeiten und Betroffenenbeschwerden bearbeiten. Die Anpassungen bzw. Neuregelungen sollen in der Form einer EU-Vorordnung erlassen werden, also mit unmittelbarer Wirkung in den Mitgliedstaaten.

Vor allem geht es der Kommission auch darum, dass eine Untersuchung durch Datenschutzbehörden sowohl für die betroffenen Personen als auch für die von der Untersuchung betroffenen Parteien schneller abgeschlossen werden kann. Hierzu sollen im Rahmen der Initiative weitere Schritte für die Zusammenarbeit zur Konsensbildung zwischen den Aufsichtsbehörden festgelegt werden.

Wenn man sich dafür interessiert, was dies konkret bedeutet, lohnt sich ein Blick in ein Dokument (PDF) des EDSA, welches der Kommission im Oktober 2022 übersendet wurde. Die Kommission verweist in ihrer Initiative explizit auf diesen, wenn man so will, Vorschlagskatalog der Aufsichtsbehörden.

Was ist nicht von der Initiative umfasst?

Im Grunde alle anderen Vorschriften der DSGVO. Die Initiative zielt also etwa nicht darauf ab, Änderungen bei den Informationspflichten nach Art. 13 und 14 DSGVO oder bei dem Auskunftsanspruch nach Art. 15 DSGVO oder den Vorgaben zum Umgang mit besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) vorzuschlagen.

Zumindest ist dies derzeit nicht die Intention der Kommission. Man darf gespannt sein, ob es bei diesem sehr eng begrenzten Themenfeld der Initiative bleibt und ob die Kommission sich hier gegen Änderungsvorschläge- und wünsche für weitere Bereiche der DSGVO „wehren“ kann. Es würde mich nicht wundern und wäre verständlich, wenn die Initiative der Kommission von interessierten Gruppen auch dazu verwendet wird, den Umfang der geplanten Anpassungen zu erweitern. Nach dem Motto: „Wenn wir die DSGVO jetzt schon einmal auf machen, dann aber richtig.“

Finnische Datenschutzbehörde: Anweisung zur Löschung von Daten wegen unzulässiger Einbindung von Google Analytics

Über Bußgelder wegen Verstößen gegen die DSGVO wird ja immer wieder berichtet. Mögliche Geldbußen nach Art. 83 DSGVO sind auch der „Klassiker“ bei der Antwort auf die Frage, was bei Verstößen drohen könnte.

Meiner Ansicht nach dürfte eine weitere Befugnis der Datenschutzbehörden in der Praxis für Unternehmen, insbesondere solche, die auf die Analyse und Auswertung von Daten angewiesen sind, jedoch im Ergebnis oft viel größere Konsequenzen haben. Die Rede ist von den Befugnissen nach Art. 58 Abs. 2 lit. f und g DSGVO. Danach haben Aufsichtsbehörden die Befugnis, „eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen“ (lit. f; also die Verarbeitung zu untersagen) und die Löschung von personenbezogenen Daten anzuordnen (lit. g; also gespeicherte personenbezogene Daten, etwa von Websitebesuchern oder Kunden zu löschen).

In der Praxis klingt eine Untersagung oder Löschanordnung natürlich nicht so dramatisch wie eine in Euro bezifferte Geldbuße. Doch macht man sich einmal die potentiellen Konsequenzen einer Löschungsanordnung klar (nämlich, dass z. B. über mehrere Monate oder Jahre hinweg gesammelte Daten zu löschen sind und nicht mehr genutzt werden dürfen), habe ich es in der Praxis schon erlebt, dass gefragt wurde: „Wie war das nochmal mit dem Bußgeld?“

Dass dieses Risiko durchaus real ist, zeigt eine neuere Entscheidung der Datenschutzbehörde aus Finnland (Pressemitteilung auf Englisch).

In dem Fall wurden auf den Webseite von Bibliotheken Tracking-Technologien verwendet, die möglicherweise Daten über die von den Nutzern gesuchten Bücher an Dritte weitergegeben haben. Lau Ansicht der Behörde wurden personenbezogene Daten auch unrechtmäßig in die USA übermittelt. Die Bibliotheken verwendeten die Tools Google Analytics und den Dienst Google Tag Manager. Die Datenschutzbehörde verweist auf das Urteil „Schrems II“ (C-311/18) und, dass die für die Verarbeitung Verantwortlichen die Übermittlung personenbezogener Daten an Drittländer einstellen müssen, wenn sie keine ausreichenden zusätzlichen Garantien für den Schutz personenbezogener Daten umsetzen können.

Nach Auffassung der Datenschutzbehörde wurden die auf der Webseite der Bibliotheken erhobenen personenbezogenen Daten ohne ausreichende zusätzliche Garantien in die USA übermittelt. Zudem wurden die betroffenen Personen nicht in angemessener Weise über die Übermittlung personenbezogener Daten informiert.

Die Bibliotheken haben darauf hin erklärt, dass sie unverzüglich Maßnahmen ergreifen werden, um die Tracking-Technologien von der Webseite zu entfernen.

Die Datenschutzbehörde machte in diesem Fall von ihrer Befugnis Gebrauch, die Löschung von personenbezogenen Daten anzuordnen. Laut der Pressemitteilung wies die Aufsichtsbehörde die Bibliotheken an,

die mit den Tracking-Technologien erhobenen personenbezogenen Daten zu löschen, wenn die personenbezogenen Daten der betroffenen Person nach der Erhebung unrechtmäßig gespeichert oder verwendet wurden“.

Dänische Datenschutzbehörde: Auskunftsrecht bei Videospielen – Chats, Serverlogs und Anti-Cheat-Informationen

In ihrer Entscheidung vom 29. August 2022 (die im Rahmen des One Stop Shop Verfahrens gefasst wurde) befasst sich die dänische Datenschutzbehörde (Datatilsynet) mit dem Auskunftsrecht nach Art. 15 DSGVO im Zusammenhang mit Videospielen. Nach Prüfung des Falles beschloss die Datenschutzbehörde, das Unternehmen zu verwarnen, weil es keine Kopie der an den Beschwerdeführer gerichteten und von ihm gesendeten Chatnachrichten im Spiel gemäß Art. 15 Abs. 3 DSGVO bereitgestellt hatte.

Sachverhalt

Nachdem der Beschwerdeführer (Nutzer eines Videospiels des Unternehmens) Auskunft nach Art. 15 DSGVO beantragt hatte, verweigerte ihm das Unternehmen die Herausgabe von Daten über Spielwiederholungen (1), Anti-Cheat-Informationen (2), Serverprotokolle (3) und In-Game-Chat-Nachrichten (4), da diese Daten Geschäftsgeheimnisse des Unternehmens darstellen. Es ging hier also um vier verschiedene Arten von Daten, die der Betroffene verlangte, aber nicht erhielt.

Nachdem er sich erneut an das Unternehmen gewandt hatte, ohne zusätzliche Informationen zu erhalten, beschwerte sich die betroffene Person bei der Aufsichtsbehörde.

Die Entscheidung der Behörde

Die Datenschutzbehörde stellte fest, dass das Unternehmen gegen Art. 15 Abs. 3 DSGVO verstoßen hat, indem es keine Kopie der an den Beschwerdeführer gerichteten und von ihm gesendeten Chat-Nachrichten (4) im Spiel zur Verfügung gestellt hat.

Nach Auffassung der Behörde konnte sich das Unternehmen hinsichtlich dieser Daten auf keine Ausnahme nach Art. 15 Abs. 4 DSGV stützen. Zudem betont die Behörde, dass der Beschwerdeführer bereits Kenntnis vom Inhalt der Nachrichten hat.

Bei den anderen oben benannten Datenkategorien geht die Aufsichtsbehörde aber zum Teil durchaus von dem Eingreifen der Ausnahmeregelung aus.

Der Verantwortliche musste keine anderen Chatnachrichten (4) zur Verfügung stellen, da das Unternehmen durch die Bereitstellung dieser Nachrichten wahrscheinlich Informationen über andere Personen preisgeben würde (z. B. wenn sie von anderen Chatteilnehmern erwähnt werden). Die Behörde sah von Art. 15 Abs. 3 DSGVO also nur solche Chats / Nachrichten umfasst, die vom Betroffenen selbst kamen oder an ihn gerichtet waren.

Ein Erwägungsgrund hierbei ist, dass die Spielteilnehmer ein gewisses Maß an Privatsphäre in Bezug auf die im Eifer des Gefechts verschickten Nachrichten innerhalb des Spiels erwarten. 

In Bezug auf andere Informationen über Anti-Cheat-Maßnahmen (2) vertrat die Datenschutzbehörde die Auffassung, dass das Unternehmen nach speziellen Vorgaben im dänischen Datenschutzgesetz das Recht hat, diese Informationen nicht weiterzugeben. Dort ist geregelt, dass u.a. Art. 15 DSGVO nicht greift, wenn das Interesse der betroffenen Person an dieser Information von wesentlichen Erwägungen anderer privater Interessen überwogen werden. Die Behörde argumentiert, dass eine Offenlegung aufzeigen kann, wie Spieler im Spiel betrügen können, und die zugrunde liegende Logik offenbart, was möglicherweise nicht nur Auswirkungen auf das Unternehmen, sondern auch auf andere Spieler haben könnte.

Was die Spielwiederholungsdaten (1) und die Serverprotokolle (3) betrifft, so hat das Unternehmen erklärt, dass die Informationen nur für einen begrenzten Zeitraum gespeichert werden und bereits gelöscht wurden, bevor das Unternehmen den Antrag auf Auskunft erhalten hat. Die Datenschutzbehörde sah keinen Grund, diese Tatsache weiter zu untersuchen oder zu bestreiten.

EDSA: Anforderungen an die Ablehnungsmöglichkeit für Cookies – Ist ein Link im Fließtext ok?

Am 17.1.2023 hat der EDSA seinen Bericht zur Arbeit der „Cookie Banner Taskforce“ veröffentlicht (PDF). Der Bericht und die dort abgestimmten Positionen zur Anwendung der ePrivacy Richtlinie (bzw. nationaler Umsetzungen, also in Deutschland des TTDSG), ist vor allem deshalb relevant, weil es im Anwendungsbereich der ePrivacy Richtlinie keinen One Stop Shop Mechanismus gibt. Das bedeutet, dass es für die Aufsichtsbehörden keine Pflicht gibt, bei grenzüberschreitenden oder EU-weit relevanten Verarbeitungen eine Abstimmung innerhalb Europas vorzunehmen. Über die Festlegungen in dem Bericht erfolgt nun aber eine, aus Sicht der Praxis begrüßenswerte, abgestimmte Positionierung zu einigen Aspekten.

Verhältnis zwischen ePrivacy Richtlinie und DSGVO

Zur Abgrenzung zwischen der ePrivacy Richtlinie (TTDSG in Deutschland) und der DSGVO stellen die Aufsichtsbehörden fest, dass für die von einem Verantwortlichen „vorgenommenen Folgeverarbeitungen“, also Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen, die im Endgerät eines Nutzers gespeichert sind, erfolgen (z.B. das Setzen oder Lesen von Cookies), der anwendbare Rahmen die DSGVO ist.

Der Dauerbrenner: Ablehnungsmöglichkeit auf erster Ebene

Zudem setzt sich der Bericht auch mit der schon lange diskutierten Frage auseinander, wie eine Ablehnungsmöglichkeit in einem Cookies Banner oder einer CMP ausgestaltet sein muss, damit die Einwilligung wirksam eingeholt werden kann.

Die Mitglieder der Taskforce waren sich einig, dass die folgenden Beispiele nicht zu gültigen Einwilligungen führen:

  • Die einzige angebotene Handlungsalternative (außer der Erteilung der Einwilligung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, eingebettet in einen Textabschnitt im Cookie-Banner, ohne ausreichende visuelle Unterstützung, um die Aufmerksamkeit eines durchschnittlichen Nutzers auf diese alternative Handlung aufmerksam zu machen;
  • die einzige angebotene Handlungsalternative (außer der Erteilung der Einwilligung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, die außerhalb des Cookie-Banners platziert sind, ohne eine ausreichende visuelle Unterstützung um die Aufmerksamkeit der Nutzer auf diese alternative Aktion außerhalb des Rahmens zu lenken;

Der EDSA verlangt also eine Ablehnungsmöglichkeit (genauer müsste man sagen, eine Möglichkeit, die Einwilligung nicht zu erteilen), auf der ersten Ebene. Zudem muss auf diese Möglichkeit auch irgendwie deutlich hingewiesen werden.

Gleichzeitig verlangt der EDSA in dem Bericht aber nicht, dass etwa Schaltflächen eins zu eins gleich gestaltet sein müssen. Nicht ausreichend ist nach Ansicht des EDSA eine Ablehnungsmöglichkeit in einem Fließtext, wenn auf diese nicht hervorgehoben hingewiesen wird.

Hieraus lässt sich wohl ableiten, dass die Ablehnungsmöglichkeit durchaus zulässig in einem Fließtext eingebettet sein darf, wenn sie besonders hervorgehoben ist und sich vom restlichen Text abhebt (also nicht versteckt wird). Also etwa durch Fettdruck, Unterstreichung oder eine andere Farbe.

Generalanwalt am EuGH: Mitarbeiter sind keine „Empfänger“ – zum Umfang des Auskunftsanspruchs

Am 15. Dezember 2022 hat Generalanwalt (GA) Sanchez-Bordona seine Schlussanträge in dem Verfahren C-579/21 vorgelegt. Es geht um einige interessante Fragen hinsichtlich des Umfangs des Auskunftsrechts nach Art. 15 DSGVO. Daneben wird auch kurz auf die Rolle von Mitarbeitern nach der DSGVO bei einem Verantwortlichen eingegangen.

Sachverhalt

In dem Verfahren geht es um einen Betroffenen, der davon Kenntnis erlangte, dass seine personenbezogenen Daten als Kunde des Verantwortlichen abgefragt worden waren. Während dieser Zeit war der Betroffene nicht nur Kunde, sondern auch beim Verantwortlichen beschäftigt.

Der Betroffene forderte den Verantwortlichen auf, ihn über die Identität derjenigen bei ihm Beschäftigten, die im genannten Zeitraum Zugang zu seinen Daten hatten, sowie über den Zweck der Datenverarbeitung zu informieren. Diesen Anspruch begründete er mit Art. 15 DSGVO und damit, dass er mittlerweile von dem Verantwortlichen gekündigt worden war und u. a. die Gründe für seine Kündigung klären wollte.

Der Verantwortliche weigerte sich Auskunft über die Namen der bei Beschäftigten zu erteilen, die personenbezogene Daten des Betroffenen verarbeitet hatten. Nach seiner Ansicht gilt das Recht aus Art. 15 DSGVO nicht für interne Verzeichnisse oder Tagesprotokolle, aus denen hervorgeht, welche Beschäftigten zu welchem Zeitpunkt Zugang zu dem die Kundendaten enthaltenden Datenverarbeitungssystem hatten.

Unterschied zwischen „personenbezogenen Daten“ und „Informationen“

Zunächst befasst sich der GA generell mit der Struktur und dem Inhalt des Art. 15 DSGVO. Er weist darauf hin, dass die Bestimmung zwischen „personenbezogenen Daten“ zum einen und „Informationen“ im Sinne von Abs. 1 Buchst. a bis h zum anderen klar unterscheide. Hieraus folgert er, dass „Informationen“ keine personenbezogenen Daten sind.

Die Informationen, die der betroffenen Person nach Art. 15 Abs. 1 Buchst. a bis h DSGVO zur Verfügung zu stellen sind, dürfen daher nicht mit den personenbezogenen Daten der betroffenen Person im Sinne von Art. 4 Abs. 1 DSGVO verwechselt werden.“

Der Zweck der Erteilung der Informationen liegt in dem Hinweis auf bestimmte Rechte der betroffenen Person oder insbesondere auf Aspekte, die mit der durchgeführten Verarbeitung zusammenhängen, wie z. B. auf ihren Zweck (d. h. den Grund der Verarbeitung) und ihren Gegenstand (die Kategorien der verarbeiteten Daten).

Aus diesem Grund, so der GA, hat der Betroffene im vorliegenden Fall auch keinen Anspruch auf seine personenbezogenen Daten über das Merkmal der „Informationen“, auch wenn nach den Informationen nach Art. 15 Abs. 1 lit. c DSGVO Empfänger zu benennen sind und hierunter eventuell (siehe dazu sogleich) Angaben dazu fallen, welche Mitarbeiter auf Daten des Betroffenen zugegriffen haben.

Der Betroffene hat einen Anspruch auf die „Informationen“ nach Abs. 1, aber nicht, weil diese Informationen an sich „personenbezogene Daten“ darstellten, sondern aufgrund der ausdrücklichen Vorgabe in Art. 15 Abs. 1 DSGVO.

Mitarbeiter als „Empfänger“ im Sinne der DSGVO?

Sodann widmet sich der GA der Frage, ob Mitarbeiter des Verantwortlichen, die mit personenbezogenen Daten umgehen, als „Empfänger“ nach Art. 15 Abs. 1 lit. c DSGVO zu benennen sind.

Das vorlegende Gericht möchte wissen, ob der Betroffene, selbst wenn es sich nicht um seine personenbezogenen Daten handelt, im Licht von Art. 15 Abs. 1 lit. a und c DSGVO berechtigt ist, Auskunft über die beim Verantwortlichen Beschäftigten, die seine personenbezogenen Daten verarbeitet haben, zu erlangen.

Dem Betroffenen geht es hier gerade um die Identität der Beschäftigten, die seine Kundendaten abgefragt haben, sowie um den Zeitpunkt der Verarbeitung und den Verarbeitungszweck.

Der GA betrachtet zunächst die Definition des „Empfängers“ nach Art. 4 Nr. 9 DSGVO. Dies ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Eine extensive Auslegung, wonach auch Mitarbeiter hierunter fallen, lehnt der GA ausdrücklich ab.

Er vertritt die Ansicht,

dass der Begriff des Empfängers nicht die bei einer juristischen Person Beschäftigten einschließt, die unter Nutzung des Datenverarbeitungssystems der juristischen Person und im Auftrag ihrer leitenden Organe die personenbezogenen Daten eines Kunden abfragen.“

Wenn die Beschäftigten unter der unmittelbaren Verantwortung des Verantwortlichen tätig werden, so werden sie schon aufgrund dessen nicht zum „Empfänger“ der Daten. Diese Hinweis des GA ist wichtig, da er danach auch die Situation betrachtet, in der Beschäftigte gerade nicht innerhalb ihrer Weisungen agieren.

Offenlegung gegenüber Behörde

Seinen Standpunkt begründet der GA unter anderem auch mit dem Zweck des Art. 15 DSGVO. Dieser liegt vor allem darin, die Rechtmäßigkeit des Umgangs mit den Daten zu prüfen. Hierfür ist aber, soweit Beschäftigte innerhalb ihrer festgelegten Aufgaben agieren, nicht erforderlich, diese Beschäftigten zu benennen. Denn sie sind in diesem Fall nicht die Verantwortlichen, sondern ihr Arbeitgeber.

Der GA weist zudem darauf hin, dass von dem Anspruch nach Art. 15 DSGVO die Situation zu unterscheiden ist,

dass gegenüber den Aufsichtsbehörden die Beschäftigten namhaft zu machen sind und der Zeitpunkt anzugeben ist, zu dem einer von ihnen auf die personenbezogenen Daten des Kunden zugegriffen hat (d. h. auf den Inhalt dieser Angaben in den Verzeichnissen oder Dateisystemen, auf die ich nachstehend eingehen werde), damit diese Behörden die Rechtmäßigkeit der Handlungen überprüfen können.“

Über die Prüfmöglichkeit der Aufsichtsbehörden ist der Betroffene also abgesichert und nach Ansicht des GA bedarf es daher keiner Benennung von Mitarbeitern schon im Rahmen des Art. 15 DSGVO.

Sollte der Betroffene, basierend auf den Angaben nach einem Auskunftsbegehren nach Art. 15 DSGVO, noch Zweifel an der Rechtmäßigkeit der Datenverarbeitung haben, kann er (wie u.a. auch die Kommission in der mündlichen Verhandlung hervorgehoben hat), an den Datenschutzbeauftragten wenden (Art. 38 Abs. 4 DSGVO) oder bei der Aufsichtsbehörde eine Beschwerde einreichen (Art. 15 Abs. 1 Buchst. f und Art. 77 DSGVO).

Der Betroffene ist

jedoch nicht berechtigt, unmittelbar Auskunft über die personenbezogenen Daten (die Identität) eines Beschäftigten zu erhalten, der dem Verantwortlichen oder Auftragsverarbeiter unterstellt ist und grundsätzlich in Übereinstimmung mit dessen Anweisungen handelt.“

Für diese Ansicht spricht zudem Art. 29 DSGVO, der sich auf „jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat“, bezieht. Diese Personen dürfen die Daten nur auf Anweisung ihres Arbeitgebers verarbeiten, der der eigentliche Verantwortliche (oder Auftragsverarbeiter) ist.

Ausnahme: Mitarbeiterexzess

Wie oben angemerkt, macht der GA aber auch eine Ausnahme von dem Grundsatz, dass Mitarbeiter nicht als Empfänger zu benennen sind. Es könne vorkommen, dass sich ein Beschäftigter nicht an die vom Verantwortlichen festgelegten Verfahren hält und auf eigene Initiative unrechtmäßig die Daten von Kunden oder anderen Beschäftigten abfragt.

In einem solchen Fall handelt der unredlich handelnde Beschäftigte jedoch nicht im Auftrag und im Namen des Verantwortlichen.“

Dies sind also jene Fälle, in denen Mitarbeiter eigenmächtig und außerhalb ihrer vertraglich festgelegten Tätigkeiten auf Daten zugreifen oder mit diesen umgehen. Oft werden diese Situationen auch als sog. Mitarbeiterexzess bezeichnet.

Der GA ist der Ansicht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann,

da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Hiermit bestätigt der GA zudem, dass Mitarbeiter zu eigenen Verantwortlichen nach der DSGVO werden können, wenn sie sich über ihre arbeitsvertraglich festgelegten Aufgaben hinwegsetzen. Mit allen möglichen Konsequenzen, wie etwa die Erfüllung der DSGVO-Pflichten, dem Risiko eines Bußgeldes gegen sie selbst nach Art. 83 DSGVO oder Schadenersatzansprüche von Betroffenen nach Art. 82 DSGVO.

Fazit

Sollte der EuGH den Argumenten des GA folgen, wird damit höchstgerichtlich bestätigt, dass Mitarbeiter innerhalb eines Verantwortlicheren nicht als „Empfänger“ nach der DSGVO gelten und daher etwa nicht im Rahmen einer Auskunft nach Art. 15 DSGVO zu nennen sind.