Bundesregierung plant neue Dokumentationspflicht für Werbeeinwilligungen

In dem „Entwurf eines Gesetzes für faire Verbraucherverträge“ (BR Drs 18/21, PDF) vom 1.1.2021 schlägt die Bundesregierung in Artikel 3 die Schaffung eines neuen § 7a UWG vor. Es geht um die Einführung einer ausdrücklichen Aufbewahrungspflicht für Einwilligung im Bereich Telefonwerbung. In der Begründung wird u.a. auch mit den Vorgaben der DSGVO argumentiert.

Hier der Vorschlag:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Zuständige Behörde wäre hier die BNetzA.

Nach der Gesetzesbegründung (S. 8) sieht die Bundesregierung das Problem, dass in zivilrechtlichen Verfahren und auch nach Art. 7 Abs. 1 DSGVO der Werbende die Darlegungs- und Beweislast für das Vorliegen einer Einwilligung trage. Jedoch müsse im Ordnungswidrigkeitenverfahren zunächst die Behörde den Nachweis der Tatbestandsverwirklichung erbringen, zum Beispiel durch Zeugenbefragungen. Dies gestalte die Verfahren umfangreich und kompliziert.

Interessant ist auch der Hinweis auf die Argumente der werbenden Unternehmen. Diese

versuchen sich dabei zum Teil zu entlasten, indem sie behaupten, die Einwilligungserklärung habe aus Gründen des Datenschutzes nicht länger aufbewahrt werden dürfen und sei daher vernichtet worden“.

Diese Begründung würde ich aus datenschutzrechtlicher Sicht tatsächlich auch nicht verstehen. Denn als Verantwortlicher bin ich sowohl nach Art. 7 Abs. 1 DSGVO als auch allgemein nach Art. 5 Abs. 2 DSGVO zum Nachweis der Zulässigkeit der Datenverarbeitung verpflichtet. Selbst von Datenschutzbehörden ist akzeptiert, dass ich zum Nachweis einer einmal erteilten Einwilligung die erforderliche Dokumentation länger aufbewahren darf. Personenbezogene Daten (in der Einwilligung) dürfen auf der Grundlage von Artt. 6 Abs. 1 lit. c, 7 Abs. 1 DSGVO aufbewahrt werden, so etwa der BayLfD (28. TB, Ziff. 2.3):


Diese personenbezogenen Daten werden durch den Verantwortlichen freilich nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO“.

Zurück zum Gesetzesentwurf. Durch Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher soll die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden.

Fraglich ist jedoch, ob der neu vorgesehene § 7a UWG mit der DSGVO, konkret mit Art. 7 Abs.1 DSGVO, vereinbar ist. Denn das UWG kennt ja keinen eigenen Einwilligungsbegriff, sondern die relevante RL 2002/58/EG verweist auf die alte RL 95/46/EG, die nun durch die DSGVO ersetzt wurde. Nun sollen aber im UWG spezifische Anforderungen an die Dokumentation der Einwilligung aufgenommen werden, die so nicht in der unmittelbar anwendbaren DSGVO festgelegt sind (insbesondere etwa die Dauer von 5 Jahren).

Die Bundesregierung sieht in § 7a UWG-E kein Problem. In der Gesetzesbegründung (S. 13) geht sie davon aus, dass die neue Norm „Artikel 7 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vereinbar“ ist.

Nach Ansicht der Bundesregierung stellt die Regelung „eine spezielle Ausfüllung der Beweislastverteilung der in Artikel 7 Absatz 1 DSGVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar“. Hinsichtlich des § 7a Abs. 1 UWG-E, mag man dies noch verstehen. Denn es wird tatsächlich keine bestimmte Form für die Einwilligung selbst oder den Nachweis vorgegeben. Auch die DSGVO kennt keine Formanforderungen der Einwilligung. Fraglich könnte aber sein, ob die Pflicht zur Aufbewahrung für 5 Jahre nach Abs. 2 so von Art. 7 Abs. 1 DSGVO gedeckt ist. Die DSGVO sieht keine konkreten Zeiträume vor, wie lange Dokumente aufzubewahren sind, um der Rechenschaftspflicht zu genügen. Dies wird man dann sowohl als Pro- als auch als Contra-Argument nutzen können. Diskutabel ist der Punkt meines Erachtens aber schon.

Klar ist aber aus Unternehmenssicht auch, wenn § 7a UWG-E in dieser Form kommt, dass dann § 7a Abs. 2 UWG-E iVm Art. 6 Abs. 1 lit. c DSGVO eine Rechtsgrundlage für die Aufbewahrung der Einwilligungsdokumente und darin enthaltener personenbezogener Daten darstellt.

Berliner Senat: Datenschutzrechtliche Rechtsgrundlage für Einsatz von digitalen Lernplattformen und Videokonferenzdiensten in Schulen

Das Thema „Schulen und Datenschutz“ ist gerade in der aktuellen Situation ein vieldiskutiertes Thema. Schwerpunkt der öffentlichen Diskussion ist vor allem der Einsatz von Videokonferenzdiensten durch Schulen, mit denen der Unterricht außerhalb der Schulen durchgeführt werden soll.

Wohl auch aus diesem Grund hat im Abgeordnetenhaus von Berlin der Abgeordnete Freymark (CDU) eine schriftliche Anfrage mit dem Titel „Voraussetzungen des digitalen Schulunterrichts in Berlin“ gestellt, auf die nun die Senatsverwaltung für Bildung, Jugend und Familie geantwortet hat (Drs. 18/25974, PDF). U.a. geht es in den Fragen auch um den Datenschutz und die Zulässigkeit des Einsatzes von Videokonferenzdiensten durch Schulen, wenn hierbei personenbezogene Daten von Schülern verarbeitet werden (was rein faktisch zwangsläufig der Fall ist).

Auf die Frage, bis wann der Senat vorsieht, „eine verbindliche Rechtsgrundlage für den digitalen Schulunterricht, inklusive der dafür nötigen Einverständniserklärungen, zu schaffen“ antwortet die Senatsverwaltung wie folgt.

Es steht mit den datenschutzrechtlichen Regelungen des Schulgesetzes (§ 64 Absatz 1 SchulG) eine ausreichende Rechtsgrundlage für Schulen zur Verarbeitung von personenbezogenen Daten der Schülerinnen und Schüler beim Einsatz von Lernplattformen sowie zur Nutzung von Videokonferenzdiensten in der derzeitigen COVID-19 Pandemiesituation zur Verfügung“.

§ 64 Abs. 1 SchulG sieht vor: Die Schulen einschließlich der Einrichtungen des Zweiten Bildungswegs, die Schulbehörden und die Schulaufsichtsbehörde dürfen personenbezogene Daten von Schülerinnen und Schülern, ihren Erziehungsberechtigten, Lehrkräften und sonstigen schulischen Mitarbeiterinnen und Mitarbeitern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen schulbezogenen Aufgaben erforderlich ist.

Die Senatsverwaltung geht also offensichtlich davon aus, dass das Angebot und die Durchführung von Fernunterricht über Lernplattformen bzw. auch der Einsatz von Videokonferenzdiensten Teil der schulbezogenen Aufgaben ist. Daher ist eine hierfür erforderliche Datenverarbeitung von dem allgemeinen Erlaubnistatbestand des Abs. 1 gedeckt.

Kurz zu der Vorschrift des § 64 Abs. 1 SchulG. Dieser wurde im Rahmen des Entwurfs eines Schulgesetzes für das Land Berlin (Dr. 15/1842, PDF) im Jahre 2003 eingeführt. In der Begründung zu der Norm heißt es: „Absatz 1 benennt die Stellen, die im Hinblick auf ihre gesetzlichen Aufgabenzuweisungen im Schulwesen das Recht und die Pflicht zu der jeweils notwendigen Verarbeitung personenbezogener Daten haben. Die Verarbeitung ist zweckgebunden zur Erfüllung der den zuständigen Stellen zugewiesenen schulbezogenen Aufgaben“.

Die Rechtsgrundlage wurde auch nach Anpassung anderer Landesgesetze an die Vorgaben der DSGVO nicht verändert. Auch aus der Begründung zu dem damaligen Gesetz ergibt sich, dass die Datenverarbeitung aufgabenbezogen zu verstehen ist. In Kombination mit der Antwort der Senatsverwaltung wird deutlich, dass das Angebot und der Einsatz von Videokonferenzdiensten als Teil der gesetzlichen Aufgabenzuweisung zu verstehen ist. In diesem Zusammenhang dürfen Schulen daher auch personenbezogene Daten der Schüler/innen verarbeiten.

Interessant und gleichzeitig verwirrend ist dann aus meiner Sicht aber die weitere Antwort der Senatsverwaltung: „Als datenschutzrechtliche Rechtsgrundlage beim Einsatz von Lernplattformen kommt auch eine freiwillige Einwilligungserklärung der betroffenen Personen in Betracht“.

Man geht hier also davon aus, dass (wohl alternativ) auch eine datenschutzrechtliche Einwilligung als Rechtsgrundlage dienen kann. Positiv aus Sicht der Schulen ist hieran sicher die Aussage, dass auch in einem Verhältnis zwischen Schule – Schüler nicht per se ausgeschlossen ist, dass eine freiwillige Einwilligung erteilt werden kann. Wenn jedoch die Einwilligung wirklich eine Einwilligung nach der DSGVO sein soll, dann müsste sie auch widerrufbar sein (für die Zukunft). Diese Möglichkeit passt meines Erachtens nicht mit der Ansicht der Senatsverwaltung zusammen, dass es hier um die gesetzliche Aufgabenerfüllung der Schulen geht. Denn wie soll (im schlimmsten Fall) eine Schule ihre Aufgabe erfüllen, wenn Schüler ihre Einwilligungen widerrufen. Dann würde es an der datenschutzrechtlichen Rechtsgrundlage für die Verarbeitung fehlen. Besser wäre hier, auch im Sinne der Rechtssicherheit für Schulen, direkt und nur die gesetzliche Aufgabenerfüllung als Rechtsgrundlage zu nutzen.

Leider wird in der Anfrage und auch in der Antwort nicht auf das umstrittene Thema der Zulässigkeit von Datentransfers in Länder außerhalb der Europäischen Union bei dem Einsatz von Videokonferenzdiensten eingegangen. Dazu ein kleiner Gedanke von mir: wenn die Senatsverwaltung von der Möglichkeit der Einwilligung durch Schüler ausgeht, dürfte es eigentlich kein Problem sein, auch für Datentransfers in Drittstaaten eine Einwilligung einzuholen und so die Anforderungen der Ausnahmeregelung des Art. 49 Abs. 1 lit. a DSGVO zu erfüllen. Natürlich besteht dann aber auch die Möglichkeit des Widerrufs.

Referentenwurf zum TTDSG – Cookies, Einwilligungsmanagement und Registrierungspflicht im Internet?

Heute das das BMWi einen neuen Referentenentwurf für ein Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien veröffentlicht (pdf). Bis zum 22.1.2021 können Stellungnahmen an das BMWi abgegeben werden.

Ziel des Entwurfs ist es, ein abgeschlossenes Spezialgesetz zum Datenschutz und zum Schutz der Privatsphäre im Bereich der Telekommunikation und den Telemedien (also zB Apps und Webseiten) zu schaffen. Man möchte vor allem auch Rechtssicherheit für Unternehmen schaffen, die aktuell mit verschiedensten Datenschutzvorgaben aus mehreren Gesetzen (DSGVO, TMG und TKG) umgehen müssen. Europarechtlich spielen hierbei vor allem die RL 2002/58/EG (inkl. der Änderungen durch die RL 2009/136/EG) sowie die RL 2018/1972/EG eine wichtige Rolle.

Nachfolgend möchte ich keine allgemeine Stellungnahme abgeben, sondern nur auf ein paar interessante Aspekte des Entwurfs eingehen, die zum Teil aber noch gar nicht im Entwurf selbst enthalten sind.

Vorgaben für den Einsatz von Cookies

Mit § 22 TTDSG möchte das BMWi die Vorgaben des Art. 5 Abs. 3 RL 2002/58/EG umsetzen. Dieser verlangt von den Mitgliedstaaten, sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Endnutzer seine Einwilligung gegeben hat. Diese Regelung begegnet uns in der Praxis immer im Zusammenhang mit dem Einsatz von Cookies und anderen Trackingtechnologien. Kürzlich haben sich zur deutschen Rechtslage auch der EuGH (C-673/17) und der BGH (I ZR 7/16) geäußert.

Der Entwurf sieht vor, dass der aktuell geltende § 15 TMG komplett aufgehoben wird. Hierfür soll der neue § 22 TTDSG geschaffen werden, der sich sehr stark an der europäischen Vorgabe orientiert:

Abs. 1: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer klar und umfassend unter anderem über die Zwecke der Verarbeitung informiert wurde und er seine Einwilligung erteilt hat“.

Wie auch Art. 5 Abs. 3 RL 2002/58/EG sieht § 22 in Abs. 2 und 3 Ausnahmen vom Einwilligungserfordernis vor. Die Begründung hierzu: § 22 TTDSG stellt klar, dass der Endnutzer davor geschützt ist, dass Dritte unbefugt auf seiner Endeinrichtung Informationen speichern oder auslesen und dadurch seine Privatsphäre verletzen (S. 32).

Besonders relevant für den Einsatz von Trackingtechnologien ist § 22 Abs. 3 TTDSG:

Absatz 1 gilt nicht, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können“.

Für uns würde dies bedeuten, dass mit § 22 Abs. 1 TTDSG generell eine Einwilligungspflicht vorgeschrieben wird, die in den in Abs. 2 und 3 benannten Ausnahmefällen nicht greift. Dann dürfen zB Cookies auch ohne Einwilligung gesetzt werden.

In der Praxis wird die Diskussion sich dann vor allem um die Frage drehen, wann ein Zugriff auf Daten in einem Endgerät unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können. Bespiele hierfür sind der klassische Warenkorb-Cookie oder auch Authentifzierung-Cookies. Es gibt aber noch einige andere relevante Fallgruppe, die u.a. auch von europäischen Datenschutzbehörden als solche anerkannt sind (kleiner Spoiler: in einem der nächsten Hefte der Zeitschrift ZD wird es hierzu einen Aufsatz von Jasmin Kühner und mir geben).

Einwilligungsmanagement

Neu und daher besonders spannend ist die Idee des BMWi, Vorschriften zum Einsatz sog. Personal Information Management Services – PIMS zu schaffen. Im aktuellen Entwurf ist hierzu noch keine Regelung enthalten. Daher ist die Begründung auf S. 23 des Entwurfs leider nicht korrekt: „Es wird eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) geschaffen.“

Auf der Webseite des BMWi zu Anhörung findet sich jedoch die Aufforderung, genau zu diesem Thema Stellungnahmen abzugeben.

Das BMWi überlegt, evtl. doch noch eine Regelung zu „Regelungen zu Datenmanagementsystemen und „Personal Information Management-Services“ (PIMS)“ aufzunehmen. Die Idee ist nicht komplett neu, wie sich etwa aus ErwG 21 des Entwurfs der Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz) der EU-Kommission ergibt: „Solche Strukturen können die Dateninhaber beim Einwilligungsmanagement unterstützen, wenn beispielsweise für bestimmte Bereiche der wissenschaftlichen Forschung die Einwilligung unter der Voraussetzung gegeben wird, dass anerkannte Standards der Ethik für die wissenschaftliche Forschung eingehalten werden.“

Meiner Ansicht nach ist die Aufnahme einer Regelung hierzu im TTDSG deswegen aber nicht per se ausgeschlossen. Denn das Daten-Governance-Gesetz zielt vor allem auf Daten im öffentlichen Sektor. Daneben werden zwar auch Regelungen für den C2B Kontext geschaffen (also, wenn Nutzer ihre Daten an Unternehmen weitergeben wollen). Relevant ist hier die Tätigkeit sog. „Vermittlungsdienste“ nach Art. 9 Abs. 1 lit. b und die Bedingungen für die Erbringung solcher Vermittlungsdienste in Art. 11.

Ob und wie dieser Entwurf am Ende aber verabschiedet wird, ist derzeit aber nicht klar. Da wäre man auch nationaler Ebene sicher schneller. Natürlich käme es am Ende auf die konkreten Vorgaben im TTDSG an. Aber ein Novum wären solche Vorgaben für die Tätigkeit von Diensten zur Verwaltung persönlicher Informationen schon.

Registrierungspflicht im Internet?

Ein „heißes Eisen“ fasst das BMWi auf seiner Webseite ebenfalls an. Nach aktueller Gesetzeslage (§ 13 Abs. 6 TMG) müssen Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonymen ermöglichen, soweit dies technisch möglich und zumutbar ist. Diese Regelung würde man im Grundsatz übernehmen.

Nun verweist das BMWi aber auf die Forderungen des BMI und auch der Innenministerkonferenz. Diese sprechen sich für gesetzliche Vorgaben zur Identifizierung zur Verifikation des Nutzers aus (Beschlussniederschrift der Frühjahrskonferenz, Juni 2020, zu Tagesordnungspunkt 24, PDF). Dort wurde beschlossen, dass das BMI sich innerhalb der Bundesregierung für eine Gesetzesinitiative mit dem Ziel der eindeutigen Identifizierbarkeit strafrechtlich Verantwortlicher im Bereich der (Hass-)Kriminalität im Internet einzusetzen“ soll. Es wird zudem auf eine Initiative der Ländern Niedersachsen und Mecklenburg-Vorpommern im Bundesrat verwiesen (BR Drs. 70/20, PDF). Dieser Antrag wurde jedoch nicht weiterverfolgt.

Nun stellt das BMWi folgende Möglichkeit auf regulatorischer Ebene in den Raum:

Möglich wäre die Einführung einer entsprechenden Verpflichtung von Anbietern von Telemedien zur Erhebung und Verifizierung von Name, Adresse und Geburtsdatum nach dem Vorbild der bereits für Telekommunikationsdiensteanbieter geregelten entsprechenden Pflicht bei Prepaid-Mobilfunkdiensten (§ 111 Absatz 1 Satz 3, § 171 Absatz 2 TKG-Entwurf). Dabei würde jeder Nutzer weiterhin selbst entscheiden können, ob er unter einem Pseudonym oder unter seinem Namen im Internet auftritt“.

Meines Erachtens muss man den Vorschlag scheibchenweise analysieren.

Zum einen denkt das BMWi an eine Verpflichtung für „Telemedienanbieter“. Das bedeutet gleichzeitig auch, dass der Zugang zum Internet an sich nicht betroffen wäre, aber natürlich die dortigen Angebote.

Zum anderen ist die hier angedachte Pflicht aber sogar umfassender als damals der Vorschlag im Bundesrat. Dort ging es um „Anbieter sozialer Netzwerke und Anbieter von Spieleplattformen“.

Zuletzt sieht das BMWi aber vor, dass die Kommunikation nach außen, also das Auftreten im virtuellen Raum, weiterhin pseudonym erfolgen könnte. Die Identifizierung soll also „nur“ gegenüber dem Diensteanbieter erfolgen, der diese Daten dann quasi intern vorhält. Ein Nutzerprofil oder einen Account, sollen Nutzer aber weiterhin unter Pseudonym führen können. Eventuell könnte man die angedachte Identifizierungspflicht daher auch als „Identifizierung light“ bezeichnen. So wie ich den Diskussionsvorschlag des BMWi verstehe, geht es um eine Identifizierung durch das Unternehmen (und dann wohl sicher auch um eine mögliche Weitergabe der Daten für Strafverfolgungszwecke).

DSGVO-Bußgeld ohne Sachverhaltsermittlung?

Heute hat die Niedersächsische Datenschutzbehörde bekannt gegeben, dass sie ein Bußgeld in Höhe von über 10 Mio Euro gegen die notebooksbilliger.de AG verhängt hat. Inhaltlich soll es um eine länger andauernde Videoüberwachung von Mitarbeitern gehen, die nach Ansicht der Behörde unzulässig erfolgte.

Das Unternehmen hat sich ebenfalls öffentlich zu dem Bußgeld geäußert und wird gegen den Bescheid vorgehen.

Ich möchte mich hier zu diesem konkreten Verfahren gar nicht äußern. Wir werden (sollte die LfD den Bescheid nicht aufheben) wohl sicher noch eine gerichtliche Entscheidung in dieser Sache erleben.

Auf welchen praxisrelevanten Aspekt ich hinweisen möchte, ist der Vorwurf von notebooksbilliger.de an die LfD, dass die Behörde nicht selbst vor Ort war und die Kamerasysteme in Augenschein genommen hat. Auf der Webseite des Unternehmens heißt es:

Zu keinem Zeitpunkt war das Videosystem darauf ausgerichtet, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Das von der Datenschutzbeauftragten suggerierte Klima der Furcht ist eine haltlose Unterstellung und gefährdet unseren Ruf.

Außerdem hat trotz mehrmaliger Einladung durch NBB kein Mitarbeiter der Behörde in den Lagern oder Versandzentren des Unternehmens mit Mitarbeitern gesprochen. Es wurde sich also weder ein Bild von den Kameras gemacht noch über Arbeitsprozesse und die Unternehmenskultur informiert“.

Untersuchungsgrundsatz nach VwVfG

Im Kern steht hier also der Vorwurf im Raum, dass die Aufsichtsbehörde ihre Pflicht zu Ermittlung des entscheidungserheblichen Sachverhalts (Untersuchungsgrundsatz, § 24 VwVfG) verletzt hat. Diese verwaltungsrechtliche Anforderung entstammt nicht dem Datenschutzrecht, aber ist selbstverständlich von den Datenschutzbehörden zu beachten. Daher ist dieser Aspekt (des möglicherweise anstehenden gerichtlichen Verfahrens) auch generell für Unternehmen von Bedeutung, wenn sie sich einer Untersuchung durch Datenschutzbehörden ausgesetzt sehen.

Es wird davon ausgegangen, dass die Ermittlung des entscheidungserheblichen Sachverhalts eine originäre Pflicht der zuständigen Behörde ist. Hierzu kann sie sich auch der Hilfe Dritter bedienen.

Speziell datenschutzrechtlich sieht die DSGVO eine Befugnis der Datenschutzbehörden vor, die mit der Pflicht zur Sachverhaltsermittlung korreliert. Nach Art. 58 Abs. 1 lit. f DSGVO ist die Datenschutzbehörde etwa befugt, nach dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. Diese Befugnis dient gerade dazu, eine Prüfung der Einhaltung der DSGVO vornehmen zu können.

Folge bei unterbliebener Ermittlung

Der Vorwurf des Unternehmens lautet hier, dass die Behörde nicht vor Ort war, um die Kameraanlage zu prüfen. Nun könnte man evtl. argumentieren, dass eine Inaugenscheinnahme nicht zwingend erforderlich ist, wenn man stattdessen Kamerapläne und weitere Beschreibungen oder Fotos erhält. Gerade bei dem Einsatz von Kameras erscheint meines Erachtens aber der persönliche Eindruck vor Ort durchaus von Relevanz zu sein. Nicht umsonst gibt es ja viele Urteile, die allein die Wirkung von Kameraattrappen ausreichen lassen, um eine Verletzung von Persönlichkeitsrechten anzunehmen.

Geht man davon aus, dass die Behörde den Untersuchungsgrundsatz aus § 24 VwVfG verletzt hat, muss man auf der Rechtsfolgenseite trennen.

Per se ist die mangelhafte Sachverhaltsermittlung nicht selbstständig anfechtbar, sondern nur bei einem Vorgehen gegen die Sachentscheidung (§ 44a VwGO).

Bei fehlender oder mangelhafter Aufklärung des Sachverhalts liegt ein Verfahrensfehler in Bezug auf den jeweiligen Verwaltungsakt vor, der aber „nur“ zu einer formellen Rechtswidrigkeit führt. Eine Aufhebung kommt dann nur unter den gesteigerten Voraussetzungen des § 46 VwVfG in Betracht.

Aber, und dies ist für die materielle Rechtmäßigkeit der Entscheidung relevant: wenn der Sachverhalt mangelhaft ermittelt ist, kann sich dies bei einer Ermessensentscheidung auf die materielle Rechtmäßigkeit des Verwaltungsaktes auswirken. Aber: ein Ermessensfehler liegt grunsätzlich erst dann vor, wenn die Behörde tatsächlich vorhandene entscheidungserhebliche Gesichtspunkte außer acht gelassen oder falsch gewichtet hat.

Eine Entscheidung aus dem Datenschutzrecht (wenn auch noch zum BDSF aF) gibt es zu diesem Thema etwa vom VG Gelsenkirchen (Beschl. v. 14.10.2013 – 17 L 304/13). Dort wurde (im Eilverfahren) gegen einen Bescheid der Datenschutzbehörde NRW vorgegangen. Aus der Begründung des Gerichts:

Es ist anerkannt, dass die rechtsfehlerfreie Ermessensausübung als Grundlage einer Entscheidung die zutreffende und vollständige Sachverhaltsermittlung voraussetzt. Denn die Verwaltung kann ihren Entscheidungsfreiraum nur sachgerecht nutzen, wenn sie den wesentlichen Sachverhalt kennt“.

Und weiter:
Ermessensfehlerhaft sind daher Entscheidungen, wenn die Behörde von unzutreffenden tatsächlichen Voraussetzungen oder einer unvollständigen Sachverhaltsvorstellung ausgeht“.

In diesem Verfahren gab das Gericht dem Antragsteller recht und erkannte den Bescheid der Datenschutzbehörde bei summarischer Prüfung als materiell rechtswidrig an. Wegen Verstoßes gegen § 24 VwVfG und dessen Auswirkung auf die Ermessenentscheidung der Behörde.

Gemessen hieran begründen bereits die vorstehend angeführten Unklarheiten hinsichtlich des rechtlich relevanten Sachverhalts die Ermessensfehlerhaftigkeit des angefochtenen Bescheides“.

Auch die Verhängung eines Bußgeldes nach Art. 59 Abs. 2 lit. i, 83 DSGVO steht im Ermessen der Datenschutzbehörde (vgl. etwa VG Ansbach, Urt. v. 16.3.2020 – AN 14 K 19.00464).

Fazit

Sollte sich in einem gerichtlichen Verfahren wirklich herausstellen, dass hier der Untersuchungsgrundsatz nicht beachtet wurde, bestehen also durchaus Chancen dafür, dass der Bescheid der Behörde wegen Ermessensfehlerhaftigkeit aufgehoben wird. Unternehmen sollten diesen, zunächst evtl. rein förmlich anmutenden Aspekt, daher stets im Rahmen von behördlichen Verfahren beachten.  

Generalanwalt am EuGH: Rechtsgrundlage für die Erlangung von IP-Adressen zur Rechteverfolgung im Internet

Am 17.12.2020 hat der Generalanwalt am EuGH (GA) Maciej Szpunar in der Rechtssache C‑597/19 seine Schlussanträge vorgelegt.

In dem Verfahren geht es um die Klage einer Lizenzinhaberin aus Zypern (Mircom), die erotische Filme öffentlich wiedergeben darf. Gleichzeitig ist Mircom auch mit der Verfolgung unzulässiger öffentlicher Wiedergaben in Peer-to-Peer-Netz beauftragt.

Mircom erhob in Antwerpen Klage, mit der sie u. a. beantragte, den Internetzugangsanbieter Telenet aufzugeben, die Daten zur Identifizierung ihrer Kunden vorzulegen, deren Internetanschlüsse dazu genutzt worden seien, in einem Peer-to-Peer-Netz mittels des BitTorrent-Protokolls Filme aus dem Repertoire von Mircom zu teilen. Die IP-Adressen dieser Verbindungen wurden für Mircom von der Media Protector GmbH mittels einer speziellen Software erhoben.

Zunächst befasst sich der GA kurz mit der Frage, ob eine IP-Adresse ein personenbezogenes Datum darstellt. Mit Verweis auf das EuGH-Urteil in der Sache Breyer (C‑582/14) bejaht dies der GA, wenn Verantwortliche über ein gesetzliches Mittel zur Identifizierung der Inhaber von Internetanschlüssen verfügen.

Sodann geht es in den Schlussanträgen um die Frage der Zulässigkeit des Umgangs mit den IP-Adressen und die Rechtsgrundlage hierfür. Das vorlegende Gericht möchte wissen, ob Art. 6 Abs. 1 lit. f DSGVO dahin auszulegen ist, dass die Speicherung der IP-Adressen der Personen, deren Internetanschlüsse für das Teilen geschützter Werke in Peer-to-Peer-Netzen verwendet wurden, wie die von Media Protector für Mircom vorgenommene, eine rechtmäßige Verarbeitung personenbezogener Daten darstellt. Es geht also um die Erhebung und Verwendung der IP-Adressen zur Verfolgung von Rechtsverletzungen.

Der Erlaubnistatbestand erfordert kumulativ:

(1) Vorliegen eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden

(2) Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses

(3) kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person

Zu (1):

Nach Ansicht des GA hängt das berechtigte Interesse im konkreten Fall auch davon ab, ob der Verantwortliche hier befugt ist, einen Antrag auf Offenlegung der IP-Adresse nach der Richtlinie 2004/48 zu stellen. Sollte dies nicht der Fall sein, bestünde auch kein berechtigtes Interesse. Oder allgemeiner: kein berechtigtes Interesse für eine Datenverarbeitung, die gegen gesetzliche Vorgaben verstößt.

Etwas allgemeiner formuliert der GA zudem, dass die ordnungsgemäße Beitreibung von Forderungen durch einen Zessionar dieser Forderungen ein berechtigtes Interesse darstellen kann, das die Verarbeitung personenbezogener Daten rechtfertigt. Damit eine solche Verarbeitung gerechtfertigt ist, muss der Zessionar jedoch anschließend diese Daten nutzen können, um die Schuldner der erworbenen Forderungen zu ermitteln. Hier kommt im konkreten Fall dann wieder die Frage ins Spiel, ob der Antrag auf Auskunft über die Namen der Inhaber der Internetanschlüsse, die durch die fraglichen IP-Adressen identifiziert wurden, zulässig ist.

Zu (2):

Bei dem Merkmal der „Erforderlichkeit“ hat der GA kein Bedenken. Die Verwendung der IP-Adresse ist seiner Ansicht nach erforderlich, um das berechtigte Interesse zu verwirklichen. Denn die Kommunikation in einem Netz von Rechnern erfolgt zwangsläufig über IP-Adressen, die verschiedenen Routern zugeordnet sind.

Jede Feststellung einer Handlung, mit der eine Datei über ein solches Netz geteilt wird, und damit einer Verletzung von Urheberrechten und verwandten Schutzrechten, wenn die Datei ein geschütztes Werk enthält und das Teilen ohne Zustimmung der Inhaber dieser Rechte geschieht, erfolgt zwangsläufig über die Identifizierung und Speicherung der IP-Adresse, von der aus diese Handlung vorgenommen wurde“.

Interessant an der Begründung des GA ist, dass es für die „Erforderlichkeit“ ausreicht, dass der Inhaber des Anschlusses nicht unbedingt auch der Verletzter sein muss (der die Handlung begangen hat). Doch ist dieser nach Ansicht des GA in der Lage, Auskunft über die verantwortliche Person zu erteilen, oder kann für die über seinen Internetanschluss begangenen Handlungen selbst haftbar gemacht werden. Auch dies reicht also für eine datenschutzrechtliche Erforderlichkeit aus.

Zu (3):

Hinsichtlich der Abwägung des Interesses mit den Grundrechten und ‑freiheiten der betroffenen Personen, verweist der GA darauf, dass es sich um das Vorliegen etwaiger besonderer Umstände des Einzelfalls handelt. Es ist Sache des zuständigen Gerichts, zu prüfen, ob solche besonderen Umstände vorliegen.

Sächsische Datenschutzbehörde: keine Möglichkeit der Rechtsdurchsetzung gegenüber allein in Drittländern ansässigen Unternehmen

Am 22.12.2020 hat der Landesdatenschutzbeauftragte für Sachsen seinen neuesten Tätigkeitsbericht veröffentlicht (Berichtsjahr bis 31.12.2019, PDF). In einem kurzen Absatz erwähnt die Datenschutzbehörde dort auch ein praxisrelevantes und für die Durchsetzung der DSGVO seit Beginn der Arbeiten an dem Gesetz bekanntes Problem: die Durchsetzung der DSGVO gegenüber Unternehmen in Drittländern (S. 109).

Bekanntlich unterliegen sowohl Verantwortliche als auch Auftragsverarbeiter mit Sitz in Drittländern und ohne (!) Niederlassung in der EU unter gewissen Voraussetzungen der DSGVO. Meiner Meinung nach ist vielen Unternehmen, die aus Drittländern Dienstleistungen in der EU anbieten, überhaupt nicht bewusst, dass auch für sie die Regelungen der DSGVO gelten.

Die sächsische Behörde berichtet, dass bei ihr zahlreiche Beschwerden gegen Unternehmen mit Sitz außerhalb der Europäischen Union eingingen. Zwar sieht die DSGVO in einem solchen Fall, wenn also keine Niederlassung in der EU besteht, die Pflicht nach Art. 27 DSGVO vor, einen Vertreter in der EU zu benennen. Doch, ketzerisch gefragt, was passiert, wenn auch diese Pflicht nicht eingehalten wird? Wohl nichts, wie nun die Angaben der Behörde aus Sachsen zeigen.

Genau diese Miesere schildert die Behörde nämlich. Im Grunde gibt es in einer solchen Situation keine wirksame Durchsetzungsmöglichkeit europäischen Datenschutzrechts.

Soweit die Verantwortlichen kein Vertreter nach Artikel 27 DSGVO benannt haben, stellt sich die Einwirkung auf den Verantwortlichen in seiner Umsetzung als praktisch schwierig dar.“

Zwar merkt die Behörde an, dass soweit Maßnahmen gegenüber diesen Verantwortlichen ergriffen werden sollen, zwar eventuell ein Amtshilfeverfahren und ein Procedere auf dem diplomatischen Weg über die Außenvertretungen der Bundesrepublik Deutschland einzuleiten wäre.

Jedoch scheint dieser Weg für die Behörde praktisch nicht gangbar zu sein. Daher fasst die Datenschutzbehörde ihr derzeitiges Vorgehen wie folgt zusammen:

Aktuell teile ich den Beschwerdeführern mit, dass ich – in Ermangelung zwischenstaatlicher Vereinbarungen – keine Möglichkeiten sehe, meine Rechtspositionen bzw. Anordnungen durchzusetzen“.

Dieses Ergebnis ist meines Erachtens durchaus ernüchternd. Offenbart hier eine Behörde doch ungeschönt, dass sie keine Möglichkeit sieht, das europäische Recht (obwohl anwendbar) durchzusetzen. Meines Erachtens darf man in diesen Situationen aber nicht den Aufsichtsbehörden einen Vorwurf machen. Dieser Fehler einer effektiven Durchsetzung war von Angang an systematisch in der DSGVO angelegt und hängt natürlich eng mit dem (intendierten) sehr weiten räumlichen Anwendungsbereich der Verordnung zusammen.

Referentenentwurf des Bundesarbeitsministeriums: Betriebsrat nicht datenschutzrechtlich verantwortlich, aber irgendwie doch…

In dem aktuellen Referentenentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) für ein Gesetz zur Förderung der Betriebsratswahlen und zur Stärkung der Betriebsräte (Betriebsrätestärkungsgesetz) (Stand: 21.12.2020) schlägt das BMAS auch eine gesetzliche Regelung zur datenschutzrechtlichen Verantwortlichkeitsverteilung zwischen Arbeitgeber und Betriebsrat vor. Der Betriebsrat soll nicht datenschutzrechtlich verantwortlich sein. Jedoch ist der Entwurf meines Erachtens jedoch noch nicht zufriedenstellend und bringt in der Praxis sogar ggfs. noch mehr Probleme mit sich. Nachfolgend eine kurze Einordnung zu dem Vorschlag.

Zweck

Mit einem neuen § 79a BetrVG soll die datenschutzrechtliche Verantwortlichkeit nach der Datenschutz-Grundverordnung bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich klargestellt werden (S. 2).

Die Regelung soll die bislang bestehende, seit dem Inkrafttreten der DSGVO jedoch umstrittene Rechtslage fortführen und „dient der Schaffung von Rechtsklarheit“ (S. 16). Ich stelle dieses letzte Ziel bewusst heraus, da der Entwurf dieses Ziel meines Erachtens (noch) verfehlt.

Neuer § 79a BetrVG

Der vorgeschlagene § 79a BetrVG soll wie folgt lauten:

§ 79a

Datenschutz

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Begründung im Entwurf

Nach Ansicht des BMAS agieren die Betriebsräte bei der Verarbeitung personenbezogener Daten als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für die Verarbeitung personenbezogener Daten durch den Betriebsrat sei sachgerecht, weil der Betriebsrat lediglich organisationsintern, jedoch keine nach außen rechtlich verselbständigte Institution ist (S. 16).

Das BMAS stützt sich bei der Regelung auf die in Art. 4 Nr. 7 DSGVO eröffnete Möglichkeit, den für die Datenverarbeitung Verantwortlichen im mitgliedstaatlichen Recht zu bestimmen (S. 24). Die Regelung soll die seit dem Inkrafttreten der Datenschutz-Grundverordnung umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat festlegen und „weist diese dem Arbeitgeber zu (Satz 1)“ (S. 24).

Dies ist nach Ansicht des BMAS sachgerecht, da der Betriebsrat keine nach außen rechtlich verselbständigte Institution ist. Bei der Verarbeitung personenbezogener Daten agiere der Betriebsrat daher als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers (S. 24).

Einschätzung

Und hier möchte ich dann in die Kommentierung des Entwurfs übergehen. Denn meines Erachtens erfolgt ab hier in der Gesetzesbegründung ein Bruch der Argumentation. Noch einmal zusammengefasst: das BMAS möchte den Arbeitgeber als gesetzlich Verantwortlichen nach DSGVO und BDSG festlegen. Das ist möglich, auch wenn manche sich evtl. eine andere Festlegung gewünscht hätten.

Wenn man aber den Arbeitgeber (das Unternehmen) als „Verantwortlichen“ nach der DSGVO festlegt, dann muss dies meines Erachtens auch konsequent für alle datenschutzrechtlichen Rechte und Pflichten gelten. Es gibt keinen „Verantwortlichen“ nach der DSGVO, der nur selektiv einer Pflichtenerfüllung unterliegt.

Die Begründung im Referentenentwurf führt aus: „Bei der Verarbeitung personenbezogener, teils sensibler, Beschäftigtendaten hat auch der Betriebsrat die datenschutzrechtlichen Vorschriften einzuhalten. Diese ergeben sich insbesondere aus der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und dem Bundesdatenschutzgesetz“ (S. 24).

Die Ansicht des BMAS ist hier meines Erachtens mindestes missverständlich. Denn zur Einhaltung der Pflichten nach DSGVO ist nicht ein Teil eines Verantwortlichen oder Auftragsverarbeiters verpflichtet, sondern der Verantwortliche an sich. Natürlich bedeutet dies, dass ein Unternehmen dafür sorgen muss, dass innerorganisatorisch gesetzliche Regelungen beachtet werden (also zB Mitarbeiter den Datenschutz einhalten). Gesetzlich verpflichtet ist aber nicht der einzelne Mitarbeiter oder eine Abteilung oder ein Fachbereich, sondern das Unternehmen an sich (als „Verantwortlicher“; in der Sondersituation des Exzesses mag dies anders sein). Die Begründung des BMAS eröffnet hier bereits Raum für Unsicherheiten, ob nicht der Betriebsrat doch noch irgendwie selbst verantwortlich bzw. verpflichtet ist. Allein die Möglichkeit dieser Interpretation der Begründung steht aber dem begrüßenswerten Ziel der Rechtsklarheit der Regelung entgegen.

§ 79a sieht auch beiderseitige Unterstützungspflicht von Arbeitgeber und Betriebsrat bei der Einhaltung der datenschutzrechtlichen Vorschriften vor (Satz 2). Nach der Begründung beruht dies auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits (S. 24).

Daher, so die Begründung, „sind Arbeitgeber und Betriebsrat bei der Erfüllung der datenschutzrechtlichen Pflichten in vielfacher Weise auf gegenseitige Unterstützung angewiesen: So hat der Betriebsrat z.B. keine Pflicht, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 der Datenschutz-Grundverordnung) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten“ (S. 24).

Der Entwurf nennt als weiteres Beispiel den datenschutzrechtlichen Auskunftsanspruch. Bei des Erfüllung ist der Arbeitgeber, wenn der Auskunftsanspruch sich auf die durch den Betriebsrat verarbeiteten Daten bezieht, auf die Unterstützung durch den Betriebsrat angewiesen (S. 24).

Die Begründung des BMAS verdeutlicht meines Erachtens die künstliche, einseitige Bestimmung der Verantwortlichkeit, die rein faktisch aber selbst nach Ansicht des BMAS gar nicht besteht bzw. durch den Arbeitgeber voll ausgeübt werden kann, ohne dass er durch den Betriebsrat unterstützt wird. Es schießen sich bei dieser Regelung in Satz 2 ganz entscheidende Praxisfragen an: was geschieht, wenn der Betriebsrat nicht unterstützt? Wie weit muss der Betriebsrat unterstützen? Gelten Antwortfristen nach der DSGVO an Betroffene auch für den Betriebsrat? Was geschieht, wenn aufgrund unterbliebener oder ungenügender Unterstützung ein Bußgeld gegen den Arbeitgeber verhängt wird?

Offensichtlich möchte das BMAS dem Betriebsrat eine Sonderstellung zukommen lassen, die natürlich arbeits- und betriebsverfassungsrechtlich besteht, jedoch datenschutzrechtlich für erheblich Unsicherheit in der Praxis führen kann.

Der worst case wäre hier sicher ein datenschutzrechtlich verantwortlicher Arbeitgeber (qua Gesetz), der aber zum Teil seine DSGVO-Pflichten nicht erfüllen kann. Bereits dieses mögliche Ergebnis (welches auch das BMAS sieht und daher die Unterstützungspflicht aufnimmt) macht meines Erachtens deutlich, dass die Festlegung der Verantwortlichkeit hier kein einfaches Unterfangen ist. Nicht zuletzt aufgrund der Schnittmenge zwischen europäischem Datenschutzrechts und nationalem Arbeits/Betriebsverfassungsrecht. Wenn jedoch eine Verantwortlichkeit festgelegt wird, dann kann und muss dies meines Erachtens umfassend erfolgen. Dies sehe ich in dem Entwurf noch nicht.

Dieses (problematische) Ergebnis wird in der Entwurfsbegründung in dem nächsten Absatz besonders deutlich.

Schließlich hat der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Artikel 24 und 32 der Datenschutz-Grundverordnung sicherzustellen.“

Hier bricht dann das datenschutzrechtlich angedachte Konzept der Verantwortlichkeit des Arbeitgebers vollends. Denn der Betriebsrat soll selbst und „eigenverantwortlich“ Pflichten der Datensicherheit umsetzen. Die dort benannten Pflichten, etwa Art. 32 DSGVO, treffen aber entweder den Verantwortlichen und/oder den Auftragsverarbeiter. Es ist nicht vorgesehen, dass national gesetzliche Pflichten auf innerbetriebliche Einheiten delegiert werden. Meines Erachtens schafft diese Regelung und ihre Begründung daher Unsicherheit darüber, wie andere relevanten Datenschutzpflichten in der Praxis zu erfüllen sind.

Zuletzt noch ein Hinweis auf die Vorgaben des Art. 4 Nr. 7 DSGVO selbst. Der Verantwortliche kann nach nationalem Recht bestimmt werden, wenn (!) die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind. Zu dieser Anforderung der DSGVO verhakte sich die Begründung überhaupt nicht. Man fragt sich also, welche Zwecke und Mittel das BMAS als auschlaggebend erachtet, um dem Arbeitgeber die Verantwortlichkeit aufzuerlegen.

Fazit

Das Ziel der Rechtssicherheit erfüllt der Vorschlag leider noch nicht. Meines Erachtens sollte im Rahmen der Verbändeanhörung und einer möglichen Anpassung des Entwurfs darüber nachgedacht werden, ob die Festlegung der Verantwortlichkeit in dieser Form wirklich rechtssicher umzusetzen ist. Auf jeden Fall sollte diese Festlegung, wenn sie erfolgt, konsequent gelten und nicht vereinzelt Ausnahmen vorsehen.

Referentenentwurf zum 2. IT-Sicherheitsgesetz – Datenverarbeitung in Systemen der Angriffserkennung

Letzte Woche hat das Bundesinnenministerium einen neuen Referentenentwurf für das Zweite Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) veröffentlicht (pdf).

Mit dem Vorschlag sollen unter anderem auch Anpassungen an dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vorgenommen werden (Artikel 1 des Referentenentwurfs).

Eine von vielen interessanten und praktisch relevanten Schnittmengen zum Datenschutzrecht findet man in dem Vorschlag, eine Pflicht zum Einsatz von Systemen zur Angriffserkennung (§ 8a Abs. 1a und 1b BSIG-E) einzuführen.

Nach § 2 Abs. 9b BSIG-E handelt es sich bei „Systemen zur Angriffserkennung“ um durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten. Der Entwurf sieht also eine Legaldefinition dieser Systeme vor.

Die eigentliche Pflicht zum Einsatz solcher Systeme findet sich in § 8a Abs. 1a BSIG-E:

Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst spätestens ein Jahr nach Inkrafttreten dieses Gesetzes auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.“

Der Referentenentwurf sieht die Systeme zur Angriffserkennung damit als Teil der allgemein umzusetzenden organisatorische und technische Vorkehrungen. Hieraus lässt sich bereits ein erster Brückenschlag zum Datenschutzrecht, konkret Art. 32 DSGVO, vornehmen. Auch dort wird allgemein die Pflicht zur Umsetzung von technischen und organisatorischen Schutzmaßnahmen vorgesehen. Eine solche allgemeine Pflicht findet sich in dem aktuellen § 8a Abs. 1 BSIG, wonach Betreiber Kritischer Infrastrukturen verpflichtet sind, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

Mit dem Vorschlag zu § 8a Abs. 1a und 1b BSIG-E werden Betreiber Kritischer Infrastrukturen konkretisierend dazu verpflichtet, in Kritischen Infrastrukturen Systeme zur Angriffserkennung einzusetzen und bestimmte Daten für mindestens vier Jahre zu speichern (dies ergibt sich aus dem vorgeschlagenen Abs. 1b).

Der Referentenwurf ordnet § 8a Abs. 1a BSIG-E als Ergänzung der Verpflichtung der Betreiber Kritischer Infrastrukturen ein, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Diese Pflicht umfasst mit der Ergänzung nach der Begründung nun auch ausdrücklich Systeme zur Angriffserkennung (S. 67 des Entwurfs).

Bereits aus der vorgeschlagenen Legaldefinition (§ 2 Abs. 9b BSIG-E) ergibt sich, dass eine solche Angriffserkennung dabei meist durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten, erfolgt. Das System basiert also quasi auf einer Datenverarbeitung und einem Datenabgleich.

Nach der Begründung in dem Referentenwurf (S. 68) können sich darunter natürlich auch personenbezogene Daten befinden. Beispiele werden nicht genannt, man kann aber etwa an IP-Adressen, MAC-Adressen oder auch Geräte-IDs denken. Das BSIG-E lässt die Vorgaben der DSGVO zum Umgang mit personenbezogenen Daten selbstverständlich unangetastet. Daher verweist das BMI in der Begründung, für die Frage der rechtlichen Zulässigkeit des Datenabgleichs, auch auf die DSGVO.

Soweit die Verarbeitung personenbezogener Daten für die Angriffserkennung erforderlich ist, sind Betreiber Kritischer Infrastrukturen nach § 8a Absatz 1a nun auch ausdrücklich dazu verpflichtet. Die Regelung enthält daher eine rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c DSGVO zur Verarbeitung personenbezogener Daten.“

Mit dem vorgeschlagenen § 8a Abs. 1a BDSIG-E möchte das BMI also eine rechtliche Verpflichtung zur Datenverarbeitung schaffen. Diese Begründung ist unter zwei Gesichtspunkten interessant:

  • Zum einen geht die Begründung (zumindest nicht ausdrücklich) näher auf die Anforderungen nach Art. 6 Abs. 3 und 4 DSGVO ein. Danach muss der Zweck der Verarbeitung in der Rechtsgrundlage festgelegt sein. Jedoch lässt sich der Zweck der hier durchgeführten Datenverarbeitung aber mE auch aus dem Text des Abs. 1a entnehmen. Es müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfasst und ausgewertet werden können; zudem ist Ziel, dass die Systeme dazu in der Lage sind, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.
  • Mit diesem Vorschlag und der begründenden Verweisung auf Art. 6 Abs. 1 lit. c DSGVO ist mE gleichzeitig die Tendenz erkennbar, gesetzliche Pflichten zur Umsetzung von technischen und organisatorischen Schutzmaßnahmen als Rechtsgrundlage einer dafür erforderlichen Datenverarbeitung anzusehen. Ich vertrete und begründe diese Auffassung mit Blick auf Art. 32 DSGVO etwa in meinem Beitrag („Sicherheit der Verarbeitung“ als gesetzlicher Erlaubnistatbestand) in der Festschrift für Prof. Jürgen Taeger.

Rein praktisch stellen sich für Betreiber von Kritischen Infrastrukturen dann noch nachfolgende datenschutzrechtliche Fragen, wie etwa die Aufnahme der Verarbeitung (also des Systems zur Angriffserkennung ins Verzeichnis der Verarbeitungstätigkeiten) oder auch die Erfüllung von Informationspflichten nach Art. 13/14 DSGVO. Insbesondere hinsichtlich der Informationspflichten kann ggfs. die Ausnahme nach Art. 13 Abs. 4 DSGVO einschlägig sein. Eventuell sollte das BMI oder der Gesetzgeber insgesamt aber auch noch klarstellend eine ausdrückliche gesetzliche Ausnahme vorsehen. Zu denken ist hier auch an die Situation der Dritterhebung (Art. 14 DSGVO), wenn die in dem System der Angriffserkennung also nicht direkt bei den Betroffenen erhoben werden. Dann könnten sich Unternehmen eventuell auf die Ausnahme nach Art. 14 Abs. 5 b DSGVO berufen.

Vereinheitlichung der Datenschutzaufsicht – Keine finale Entscheidung der Wirtschaftsminister

Auf ihrer Sitzung am 30.11.hat sich die Wirtschaftsministerkonferenz bekanntlich auch mit dem Thema der Zentralisierung der deutschen Datenschutzaufsicht befasst. Ein Beschluss auf die Frage, ob eine solche Zentralisierung umgesetzt werden sollte, wurde jedoch nicht gefasst. Jedoch regen die Wirtschaftsminister eine nähere Untersuchung der aktuellen Regelungen und Prüfung auf Verbesserungen an (Beschluss vom 30.11.2020, Punkt 8.3., pdf).

Die Wirtschaftsminister stellen heraus, dass sie die Notwendigkeit einer einheitlichen und verbindlichen Auslegung von datenschutzrechtlichen Anforderungen und Vollzugspraxis erkennen. Ich denke, dass diese Feststellung sowohl von Gegnern und Befürwortern einer Zentralisierung geteilt wird. Die Frage wird am Ende sein, wie man zu diesem Ziel gelangt? Über eine Zentralisierung bei einer Behörde oder zB über eine klarere Verrechtlichung der Zusammenarbeit der deutschen Behörden untereinander (etwa in der DSK).

Die Wirtschaftsministerkonferenz bittet die Bundesregierung,

gemeinsam mit den Ländern und den  Datenschutzaufsichtsbehörden die bestehenden Regelungen in §§ 17ff. BDSG auf praktische Durchführbarkeit, sowie die für eine Verbesserung der Zusammenarbeit der Datenschutzaufsicht erforderlichen Gesetzesänderungen zu prüfen und der Wirtschaftsministerkonferenz hierüber zu berichten“.

Für mich liest sich dieser Beschluss nicht so sehr pro Zentralisierung, sondern eher offen für eine Anpassung der gesetzlichen Rahmenbedingungen, um die einheitliche Anwendung des Datenschutzrechts in Deutschland zu ermöglichen.

Zudem bittet die Wirtschaftsministerkonferenz um Beratung mit der Innenministerkonferenz  und auch der Datenschutzkonferenz

über eine Stärkung der Zusammenarbeit der Datenschutzaufsichtsbehörden von Bund und Ländern mit dem Ziel einer Vereinheitlichung der Auslegung und Anwendung des Datenschutzrechts im Markt“.

Auch dieser Teil des Beschlusses spricht eher gegen eine Zentralisierung bei einer einzigen Behörde. Zumindest scheint diese aktuell nicht die bevorzugte Lösung zu sein. Der Beschluss spricht schließlich ausdrücklich von einer „Stärkung der Zusammenarbeit der Datenschutzaufsichtsbehörden“. Einer solchen Stärkung bedürfte es bei der Zusammenlegung zu einer einzigen Aufsichtsbehörde jedoch nicht.

Man wird nun abwarten müssen, ob und wann die Bundesregierung der Bitte der Wirtschaftsministerkonferenz nachkommt und ggfs. sogar Vorschläge für eine einheitliche und verbindliche Auslegung des Datenschutzrecht und der Vollzugspraxis macht.

Justizministerium veröffentlicht Referentenentwurf zur Umsetzung der Richtlinie über digitale Inhalte – Vom „Zahlen mit Daten“ und der Vertragsnichtigkeit bei DSGVO-Verstößen

Am 3. November hat das BMJV den lang erwarteten Referentenentwurf zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen veröffentlicht (pdf). Dieser soll die Vorgaben der Richtlinie 2019/770 in das deutsche Recht umsetzen.

Ganz allgemein bietet der Referentenentwurf eine Fülle an spannenden Themen rund um die Digitalisierung, insbesondere etwa eine Updatepflicht (inkl. der Frage, inwieweit Verbraucher hierbei mitwirken müssen) (§ 327 f BGB) für Unternehmen und auch Vorschriften zu Mängelrechten, wenn digitale Produkte (dies umfasst digitale Inhalte und Dienstleistungen) nicht frei von Produkt- und Rechtsmängeln sind (§ 327e BGB).

Daneben bietet der Entwurf spannende Überschneidungen zum Datenschutzrecht. Auf einige solcher Themenkomplex möchte ich hier kurz eingehen. Weitere Beiträge zu dem Vorhaben folgen sicherlich noch.

Verträge, bei denen „mit Daten bezahlt“ wird

Der Referentenentwurf schlägt einen neuen § 312 Abs. 1a BGB vor, mit dem nun auch ausdrücklich geregelt werden soll, dass die Verbraucherschutzvorschriften auf Verträge Anwendung finden, die ein „Bezahlen mit Daten“ zum Gegenstand haben. Der neue Abs. 1a lautet:

Die Vorschriften der Kapitel 1 und 2 dieses Untertitels sind auch auf Verbrauchervertra?ge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet.“

Zunächst ist festzustellen, dass sich die Vorschrift nur auf personenbezogene Daten bezieht; also nicht auf technische Informationen. Was personenbezogene Daten sind, ergibt sich aus der Legaldefinition des Art. 4 Nr. 1 DSGVO.

Nach Satz 2 ausgenommen sein sollen jene Verarbeitungen, die zur Erfüllung des Vertrages oder auch gesetzlicher Pflichten erforderlich sind. Nach der Begründung dürfte dies etwa einschlägig sein bei der „Erhebung personenbezogener Daten des Verbrauchers wie Name, Postanschrift oder E-Mail-Adresse, die der Unternehmer benötigt, um seinem Vertragspartner die vereinbarte Leistung zukommen zu lassen“. Eine weitere Ausnahme betrifft Datenverarbeitungen, zu denen der Unternehmer aufgrund gesetzlicher Anforderungen, laut der Begründung „etwa nach Steuer- oder Ordnungsrecht, verpflichtet ist“. Es geht bei den für den Anwendungsbereich relevanten Daten also stets um ein „Mehr“ an Zwecken bzw. Datenverarbeitungen. Auch eine Zweckänderung von Daten kann zur Anwendung der neuen Vorschriften führen.

Datenschutzverstoß führt nicht zur Nichtigkeit des Vertrages

Interessant ist die folgende Begründung im Entwurf: „Auf die Frage der datenschutzrechtlichen Rechtma?ßigkeit der Datenverarbeitung kommt es für die Anwendbarkeit der §§ 312 ff. BGB-E nicht an“. Dies wird damit begründet, dass es aus Sicht des Verbrauchers nicht nachteilig sein darf (er also nicht auf die Einhaltung verbraucherschützender Vorschriften vertrauen darf), wenn die Datenverarbeitung unzulässig ist.

Ganz abstrakt relevant ist die Ansicht des BMJV, dass Verstöße gegen die Vorgaben der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO keine Regelungen betreffen, die sich gegen den Abschluss eines mit der Datenerhebung verbundenen Rechtsgeschäfts wenden. In der Begründung wird etwa auf Art. 6 Abs. 1 lit. a, b und f DSGVO verwiesen. Das bedeutet nach Ansicht des BMJV auch, dass „ein Verstoß gegen die entsprechenden Vorschriften der Datenschutz-Grundverordnung die Wirksamkeit des Vertrags mit Blick auf § 134 BGB unberührt“ lässt.

Diese Ansicht ist deshalb ganz allgemein von praktischer Relevanz, da es in der Vergangenheit bereits anderslautende Rechtsprechung gab, etwa im Fall des OLG Frankfurt a.?M., Urteil vom 24.1.2018 – 13 U 165/16. Dort ging das Gericht (noch zum alten Datenschutzrecht, konkret zu § 28 Abs. 3 BDSG aF) davon aus, dass sowohl ein Verstoß gegen § 28 Abs. 3 S. 1 BDSG aF als auch ein Verstoß gegen § 7 Abs. 3 Nr. 3 UWG zu einer Nichtigkeit des gesamten Vertrags gemäß § 134 BGB führt.

Schon die „Bereitstellung“ genügt

Beachtenswert ist, dass Verträge bereits dann erfasst werden, wenn personenbezogene Daten bereitgestellt werden oder sich der Verbraucher hierzu auch nur verpflichtet.

Nach der Begründung ist der „Begriff der Bereitstellung personenbezogener Daten ist im weitest möglichen Sinne zu verstehen und umfasst alle Verarbeitungen von personenbezogenen Daten des Verbrauchers durch den Unternehmer, unabhängig von der Art und Weise der Verarbeitung“.

Ausdrücklich nicht erforderlich ist daher, dass der Verbraucher dem Unternehmer seine personenbezogenen Daten aktiv übermittelt. Ausreichend soll vielmehr sein, dass der Verbraucher die Verarbeitung seiner personenbezogenen Daten durch den Unternehmer zulässt.

Und hier nennt das BMJV einige interessante Fälle für die Praxis:

Dies kann bereits im Zeitpunkt des Vertragsschlusses geschehen sein oder auch im weiteren Verlauf erfolgen. Eine Bereitstellung liegt auch vor, wenn der Unternehmer Cookies setzt oder Metadaten wie Informationen zum Gerät des Verbrauchers oder zum Browserverlauf erhebt, soweit der betreffende Sachverhalt als Vertrag anzusehen ist“.

Dies bedeutet, dass das BMJV von einem „Bereitstellen“ und damit der Anwendung der Verbraucherschutzvorschriften ausgeht, wenn Unternehmen Cookies auf Geräten der Nutzer setzen, um hierüber personenbezogene Daten zu erheben. Man darf davon ausgehen, dass Cookies nur ein möglicher Anwendungsfall sind und dies etwa auch für Pixel oder Scripte gelten wird.