LAG Sachsen: Abberufung eines Datenschutzbeauftragten allein wegen Anwendbarkeit der DSGVO?

In einem Urteil vom 08.10.2019 (Az. 7 Sa 128/19; aktuell leider noch nicht frei zugänglich) hat das Sächsische Landesarbeitsgericht (LAG) die Auflösung der Rechtsstellung eines betrieblichen Datenschutzbeauftragten einer öffentlichen Stelle, wegen eines Interessenkonflikts nach Art. 38 Abs. 6 DSGVO, für zulässig erklärt. Die Beschwerde wurde beim Bundesarbeitsgericht unter dem Az. 10 AZR 621/19 eingelegt. Das Gericht hat über die Revision des Klägers gegen die frühere Entscheidung des ArbG Dresden (03.04.2019 – 3 Ca 1978/18) entschieden.

Sachverhalt

Der Kläger ist seit dem 01.01.2002 auf der Grundlage eines schriftlichen Dienstvertrages bei der Beklagten als Mitarbeiterin beschäftigt. Bei der Beklagten handelt es sich um eine öffentliche Stelle des Landes, die – als Dienstleister für Kommunen – personenbezogene Daten verarbeitet. In seiner Tätigkeit obliegt dem Kläger für die Beklagte, die Kommunen des Freistaates Sachsen mit der Bereitstellung und Wartung sowie Beratung über Datenverarbeitungsprogramme betreut, eine Tätigkeit als Anwendungsberater. Mit Schreiben vom 27.02.2004 wurde der Kläger auf der Grundlage von § 11 Sächsisches Datenschutzgesetz (aF) zum Datenschutzbeauftragten bei der Beklagten bestellt.

Aufgrund von Handlungsempfehlungen des Sächsischen Landesdatenschutzbeauftragten anlässlich des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) entschloss sich die Beklagte, den Kläger mit Schreiben vom 15.08.2018 von der Funktion als Datenschutzbeauftragten zum 31.08.2018 abzubestellen. Mit der vor dem ArbG Dresden zuvor erhobenen Klage hat der Kläger die Feststellung des Fortbestandes seiner Rechtsstellung als behördlicher Datenschutzbeauftragter über den 31.08.2018 hinaus gerichtlich geltend gemacht.

Nach Ansicht des Klägers bestand kein Interessenkonflikt. Beide Tätigkeiten wurden seit 15 Jahren unverändert nebeneinander ausgeübt. Es gäbe daher keinen triftigen Grund für die Abberufung. Die Rechtsstellung des Klägers sei darüber hinaus nicht durch die in Kraft getretene DSGVO beendet worden und daher verstoße die Abbestellung gegen Art. 38 Abs. 3 S. 2 DSGVO.

Die Beklagte trägt hingegen vor, dass mit Anwendbarkeit der DSGVO die im Jahre 2004 erfolgte Bestellung zum Datenschutzbeauftragten von Rechts wegen geendet habe. Die Fortführung des Amtes sei dem Kläger aber auch wegen eines Interessenkonflikts mit seiner beruflichen Tätigkeit unmöglich gewesen. Der Interessenkonflikt zwischen den fachlichen Tätigkeiten und seiner Funktion als Datenschutzbeauftragter liege im Wesentlichen darin, dass der Kläger Finanzdaten von Bürgern zu verarbeiten habe sowie in seinen fachlichen Aufgaben und Pflichten als Anwendungsbetreuer und als Auftragsverarbeiter tätig werde. Maßgeblich sei der Interessenkonflikt im Einsatz des Klägers als Kundenbetreuer und dem Umfang der von ihm geschuldeten Tätigkeit bei der Datenverarbeitung selbst. Der Kläger müsse die Einhaltung der Vorschriften während seiner Arbeit sicherstellen und kontrolliere sich praktisch selbst.

Entscheidung

Im Ergebnis wies das Gericht die Berufung des Klägers gegen das erstinstanzliche Urteil ab.

Das Gericht teilte jedoch nicht die Auffassung der Beklagten, dass die Tätigkeit des Datenschutzbeauftragten allein aufgrund der Anwendbarkeit (Anm: das LAG nennt zwar das „Inkrafttreten“, meint aber offensichtlich die Anwendbarkeit, da auf den 25.5.18 verwiesen wird) der DSGVO beendet werden sollte. So finde die Auflösung der Rechtsstellung des Datenschutzbeauftragten keine gesetzliche Grundlage in der DSGVO oder nicht allein in deren Anwendbarkeit. Diese mag die Rechtsstellung des Datenschutzbeauftragten anders regeln als im zuvor allein anwendbaren Recht. Eine Regelung, wonach das Amt des Datenschutzbeauftragten – allein wegen der Anwendbarkeit der DSGVO am 25.05.2018 – von Gesetzes wegen endet, enthalte sie aber nicht.

Nach § 11 Abs. 2 SächsLDSG (aktuelle Fassung) dürfe zum Datenschutzbeauftragten (einer öffentlichen Stelle) nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt mit seinen sonstigen beruflichen Aufgaben ausgesetzt wird. Er ist bei der Erfüllung seiner Aufgaben dem Leiter der öffentlichen Stelle unmittelbar zu unterstellen und weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Diese nach dem SächsLDSG im Verhältnis zu § 6 Abs. 4 S. 1 BDSG geringeren Schutz-Anforderungen entsprechen Art. 38 Abs. 3 DSGVO, wonach der Verantwortliche und der Auftragsverarbeiter sicherstellen muss, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Die DSGVO und auch das SächsLDSG kennen keinen besonderen Kündigungs- bzw. Abberufungsschutz, wie er im BDSG geregelt ist.

(Gemäß § 6 Abs. 4 BDSG ist die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten unzulässig, es sei denn, es liegen Tatsachen vor, die die öffentliche Stelle zur Kündigung des Arbeitsverhältnisses aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen).

Insbesondere darf der Datenschutzbeauftragte nach Auffassung des Gerichts nicht deshalb von seiner Funktion entbunden werden oder sonstige Nachteile erleiden, weil er sich in bestimmter Weise und mit einem Ergebnis seiner datenschutzrechtlichen Prüfung positioniert hat, die der Geschäftsleitung, dem Betriebs- oder Personalrat oder anderen Stellen im Unternehmen oder der Behörde nicht genehm sind. Eine solche Benachteiligung des Klägers wegen der von ihm ausgeübten Tätigkeit als Datenschutzbeauftragter sei im Streitfall aber nicht feststellbar und wird vom Kläger im Ergebnis auch nicht behauptet. Vielmehr macht der Beklagte geltend, dass nach der Anwendbarkeit der DSGVO der behauptete Interessenkonflikt zwischen der beruflichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragter neu beurteilt worden sei.

Die Zuverlässigkeit eines Datenschutzbeauftragten könne infrage gestellt werden, wenn die Gefahr von Interessenkonflikten bestehe. So könne ein Eingriff in die Interessensphären die vom Gesetz geforderte Zuverlässigkeit beeinträchtigen. Nach Ansicht des Gerichts ist unter Berücksichtigung von Art. 38 Abs. 6 DSGVO, wonach der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann und der Verantwortliche oder der Auftragsverarbeiter sicherstellt, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, die Abbestellung jedenfalls nachzuvollziehen. Die Tatsache, dass der Kläger möglicherweise seit mehr als 15 Jahren denselben Interessenkonflikt zwischen seiner dienstlichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragter hat, verpflichte den Beklagten hingegen nicht, den Interessenkonflikt aufrechtzuerhalten. Der Kläger sei auch nicht wegen der Ausübung seiner Tätigkeit als Datenschutzbeauftragter in der Vergangenheit oder wegen einzelner Handlungen im Zusammenhang mit dieser von seiner Funktion abbestellt worden, sondern weil die Beklagte einen Interessenkonflikt in der von ihm auszuübenden Tätigkeit des Anwendungsberaters bei der Datenverarbeitung für öffentliche Stellen, die personenbezogene Daten verarbeiten, sehe.

Schlussendlich kenne weder das Sächsische Datenschutzgesetz noch die DSGVO einen besonderen Abbestellungs- oder Abberufungsschutz. Es muss lediglich sichergestellt sein, dass der Kläger nicht wegen der von ihm ausgeübten Tätigkeit benachteiligt und insbesondere nicht deswegen abberufen oder abbestellt wird, so das Gericht.

Amtsgericht: 15.000 EUR Zwangsgeld wegen unzureichender Auskunft nach der DSGVO

Was passiert, wenn eine betroffene Person keine bzw. keine aus ihrer Sicht richtige Auskunft nach Art. 15 DSGVO erhält? Man mag initial an ein Bußgeld durch eine Datenschutzbehörde denken. Das ist sicher ein Risiko. Daneben besteht für Betroffene aber auch noch die Möglichkeit, die datenverarbeitende Stelle vor einem Zivilgericht in Anspruch zu nehmen. Diesen Fall hatte das Amtsgericht Wertheim zu entscheiden.

Und das Ergebnis (Beschluss vom 12.12.2019 – 1 C 66/19; aktuell noch nicht öffentlich abrufbar, bei BeckOnline unter BeckRS 2019, 33192; dejure wird informiert): die Verhängung eines Zwangsgeldes in Höhe von 15.000 EUR (ersatzweise für je 500 EUR ein Tag Zwangshaft) gegen das auskunftspflichtige Unternehmen.

Sachverhalt

Dem nun veröffentlichten Beschluss ging ein Klageverfahren voraus, welches mit einem Anerkenntnisurteil endete (Anerkenntnisurteil vom 27.05.2019 – 1 C 66/19). Dort wurde die Beklagte verurteilt, Auskunft über die personenbezogenen Daten des Klägers bei der Beklagten zu erteilen und die Informationen nach Art. 15 Abs. 1 DSGVO mitzuteilen.

Dieser Pflicht scheint das Beklagte Unternehmerin als Schuldnerin nicht nachgekommen zu sein. Die Handlung (=Auskunft) konnte nicht durch einen Dritten vorgenommen werden, so dass die vorzunehmende Handlung ausschließlich vom Willen der Schuldnerin abhängig ist.

Entscheidung

Nach Ansicht des AG hat die Schuldnerin diese Handlung nicht vollständig ausgeführt. Sie habe insbesondere die Auskunft hinsichtlich Art. 15 Abs. 1 lit. g) DSGVO („wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten“) nicht vollständig erteilt. Die Schuldnerin habe dem Antragsteller nicht alle verfügbaren Informationen über die Herkunft der bei ihr verarbeiteten Daten mitgeteilt.

Das AG begründet seinen Beschluss im Grunde mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO.

Die Auskunft Art. 15 DSGVO ist gemäß Art. 12 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Es war wohl umstritten, ob eine solche Auskunft bereits erteilt wurde bzw. als Schriftstück übergeben wurde. Jedenfalls erfüllte dieses Schriftstück nicht die Erfordernisse des Art. 15 DSGVO. Zum einen sei es offensichtlich nicht vollständig, darüber hinaus sei es inhaltlich falsch.

Das AG befasst sich sodann mit Art. 15 Abs. 1 lit. g DSGVO. Die Frage nach der Herkunft der Daten, werde hier nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ beantwortet. Das AG verweist hierzu auch auf die Anforderungen des Art. 12 Abs. 1 DSGVO. In dem Schriftstück wurde eine „Firma U. P. GmbH“ lediglich in Klammern und mit Zusatz „z.B.“ genannt. Der Leser des Schriftstücks könne daraus die Schlussfolgerung ziehen, dass die Daten des Beklagten von der Fa. U. P. GmbH übermittelt wurden, muss das jedoch nicht. Das bedeutet, dass das AG durch den Zusatz „z.B.“ eine unklare Auskunftserteilung annimmt. Der Betroffene wisse daher nicht, ob Daten wirklich von diesem Unternehmen übermittelt wurden.

Dies ist meines Erachtens die erste praxisrelevante Aussage des Gerichts.

Zweitens geht das AG davon aus, dass eine Auskunft über personenbezogene Daten grundsätzlich auch die Auskunft darüber umfasst,

welche konkreten personenbezogenen Daten (also nicht nur die Auskunft, dass ein Name und dass ein Geburtsdatum gespeichert wurde, sondern auch welcher Name, welches Geburtsdatum, etc.) gespeichert sind bzw. verarbeitet werden.

Die Mitteilung aller verfügbaren Informationen über die Herkunft der Daten umfasse daher – soll sie vollständig sein – nicht nur die Mitteilung von wem die Daten übermittelt wurden,

sondern auch wann und mit welchem Inhalt personenbezogene Daten übermittelt wurden. Dies ergibt sich nicht aus dem genannten Schriftstück.

Zum einen verlangt das AG also, dass im Rahmen der Auskunft nach Art. 15 Abs. 1 DSGVO nicht nur Datenarten oder -kategorien genannt werden. Sondern die konkret verarbeiteten Daten selbst. Diese Ansicht ist meines Erachtens ebenfalls praxisrelevant, wenn auch nicht besonders überraschend.

Sehr streng ist aber die Auffassung des AG, dass die Auskunft dann auch Angaben dazu enthalten muss, „wann“ personenbezogene Daten an das auskunftspflichtige Unternehmen übermittelt wurden und welchen Inhalt diese konkret hatten. Dies würde für die Praxis und ein internes Datenschutz-Management bedeuten, dass nicht nur nachvollzogen werden können muss, welche Daten von wem an das Unternehmen gingen, sondern auch wann dies konkret erfolgte. Man müsste also zusätzlich Datumsangaben zu jedem personenbezogenen Datum hinzuspeichern.

Daneben wurde wohl in dem Schriftstück auch mitgeteilt, dass „zum Namen Ihres Mandanten weitere personenbezogenen Daten gespeichert sind, die sich jedoch nicht auf ihn beziehen, sondern denen ein Betrugsfall zugrunde liegt.“ Diese weiteren Daten enthielten aber wohl auch ein Geburtsdatum, womit es sich auch bei diesen Daten um personenbezogene Daten, nicht lediglich um Daten, die sich auf eine Bestellung bzw. einen Betrugsfall beziehen, handelte.

Fazit

Die Entscheidung des AG ist zum Teil sehr streng und man kann sicherlich diskutieren, ob etwa die Anforderung, dass auch Zeitangaben zu speichern und zu beauskunften sind, wann Daten bei einem Unternehmen eingegangen sind. Eventuell kann man dies an dem Merkmal “alle verfügbaren Informationen” festmachen. Dazu müsste das Datum aber ja schon verfügbar sein (also gespeichert sein). Ob diese Anforderung aber als Grundlage der Speicherung des Datums (Tag, Uhrzeit oö) dienen kann, erscheint meines Erachtens fraglich.

Wo darf die Datenschutzbehörde verklagt werden? VG Gera gegen Zuständigkeitskonzentration.

Das Verwaltungsgericht (VG) Gera hat bereits Anfang des Jahres einen Beschluss (pdf) zu der Frage gefasst, welches Gericht für eine Klage gegen die Datenschutzbehörde (hier: den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI)) zuständig ist (Beschl. v. 16.01.2019, 2 K 2281/18).

Entscheidungen zur Zuständigkeit von Gerichten bei Klagen gegen Datenschutzbehörden sind sicherlich nicht an der Tagesordnung. Auch aus diesem Grund ist der Beschluss von Relevanz. Um es jedoch vorweg zu nehmen: ich halte die Entscheidung für falsch.

Sachverhalt

In dem Verfahren wandte sich die Klägerin gegen eine Entscheidung des TLfDI, mit der dieser eine Beschwerde der Klägerin als unbegründet zurückgewiesen hat. Ansonsten ist zu den Umständen des Falles wenig bekannt. Klar ist nur, dass es nicht um eine Untätigkeitssituation ging, sondern die (ablehnende) Entscheidung des TLfDI angegriffen wurde. Die Klägerin hat ihren Wohnsitz im Bezirk des VG Gera. Der TLfDI seinen Dienstsitz in Erfurt. Er ist als Aufsichtsbehörde damit für ganz Thüringen zuständig. Also ein Gebiet, das mehrere Verwaltungsgerichtsbezirke umfasst.

Entscheidung

Die Klägerin und ihr folgend das VG Gera wenden für die Zuständigkeitsfrage § 52 Ziff. 3 S. 2 VwGO an. Danach ist für die Anfechtungsklage gegen einen Verwaltungsakt, der von einer Behörde erlassen wurde, deren Zuständigkeit sich auf mehrere Verwaltungsgerichtsbezirke erstreckt, oder von einer gemeinsamen Behörde mehrerer oder aller Länder erlassen wurde, das Verwaltungsgericht zuständig, in dessen Bezirk der Beschwerte seinen Sitz oder Wohnsitz hat. Hier also der Bezirk des Wohnsitzes der Klägerin.

Das VG lehnt eine Anwendung der Zuständigkeitsregelung des § 20 Abs. 3, Abs. 1 BDSG ab, da das BDSG vorliegend gar nicht anwendbar sei.

Auch ergebe sich eine andere Zuständigkeit nicht aus § 9 Abs. 1 ThürDSG. Denn es gehe hier nicht um einen Streit zwischen einer öffentlichen Stelle und dem TLfDI. Auch § 9 Abs. 2 ThürDSG greife nicht ein, da es vorliegend nicht um die Untätigkeit der Datenschutzbehörde geht.

Diese Auffassung ist meines Erachtens aus mehreren Gründen nicht richtig.

Kompetenz beim Bund

Das Gericht lehnt die Anwendbarkeit von § 20 Abs. 3, Abs. 1 BDSG mit der Begründung ab, dass der Anwendungsbereich nicht eröffnet sei, da nach § 1 Abs. 1 S. 1 Nr. 2 BDSG das BDSG nur für die Verarbeitung personenbezogener Daten durch öffentliche Stellen der Länder gelte, soweit der Datenschutz  nicht durch Landesrecht geregelt sei. Nach Ansicht des VG beinhalte das ThürDSG aber eine Vollregelung des Datenschutzes, wie sich aus § 2 Abs. 1 ThürDSG ergebe.

Meines Erachtens verkennt das VG hier die bundesgesetzlich festgeschriebene Zuständigkeitskonzentration in § 20 BDSG und den Anwendungsanspruch des BDSG.

Grundsätzlich hat der Bundesgesetzgeber mit § 52 VwGO eine abschließende Regelung zur gerichtlichen Zuständigkeit getroffen. Es ist deshalb den Ländern verwehrt, durch Gesetze abweichende Bestimmungen über den Gerichtsstand zu erlassen (vgl. etwa: Schoch/Schneider/Bier/Schenk, 37. EL Juli 2019, VwGO § 52 Rn. 3a).

So hat etwa auch das BVerfG mit Beschluss 07.05.1974, Az. 2 BvL 17/73 entschieden: „Da der Bundesgesetzgeber von seiner Kompetenz, die örtliche Zuständigkeit des Verwaltungsgerichts zu regeln, mit § 52 VwGO rechtswirksam, vollständig und ohne entsprechenden Vorbehalt Gebrauch gemacht hat, hatte das Land Bayern keine Kompetenz(…)“.

Die Gesetzgebungskompetenz für die gerichtliche Zuständigkeit liegt im Wege der konkurrierenden Gesetzgebung nach Art. 72, 74 Abs. 1 Nr. 1 Var. 3 GG beim Bund. In Art. 74 Abs. 1 Nr. 1 Var. 3 GG wird von „Gerichtsverfassung“ gesprochen. Dies befähigt im Einzelnen den Bund den hierarchischen Aufbau der Gerichtsbarkeiten sowie die Maßstäbe der sachlichen, funktionellen und örtlichen Zuständigkeit zu definieren (vgl. BeckOK Grundgesetz/Seiler, 41. Ed. 15.2.2019, GG Art. 74 Rn. 9). Gerichtlich festgestellt ist die erschöpfende Regelung für die örtliche Zuständigkeit der Verwaltungsgerichte (BVerfGE 37, 191) (Ausnahme: § 187 Abs. 1 VwGO).

Konzentrationen bleiben bundesrechtlich möglich

Dem Bundesgesetzgeber (aber nicht dem Landesgesetzgeber) steht es frei, speziellere Regelungen zu erlassen, die § 52 VWGO vorgehen. Dazu zählt ausweislich der Gesetzesbegründung auch § 20 Abs. 3 BDSG.

Damit ist es meines Erachtens schon ein Fehler des Gerichts, überhaupt auf das ThürDSG abstellen zu wollen, weil dies die gerichtliche Zuständigkeit gar nicht regeln kann.

Anwendbarkeit des BDSG

Zudem geht die Begründung des VG Gera fehl, wenn es das BDSG nicht für anwendbar hält.

Es heißt in § 1 Abs. 1 Nr. 2 BDSGsoweit der Datenschutz nicht durch Landesrecht geregelt“ ist. Es geht um den Datenschutz, nicht die gerichtliche Zuständigkeit der Verwaltungsgerichte. Das VG stellt für seine Begründung zur Frage der gerichtlichen Zuständigkeit (die der Bundeskompetenz unterliegt) darauf ab, dass das ThürDSG hierzu eine „Vollregelung des Datenschutzes“ geschaffen habe. Eine solche Regelung in Bezug auf die Gerichtszuständigkeit ist aber nicht möglich.

Im Übrigen regelt § 9 ThürDSG auch gar nicht die örtliche Zuständigkeit, sondern stellt nur eine Rechtswegeröffnung bei Untätigkeit der Aufsichtsbehörden dar, die ohnehin existiert.

§ 9 Abs. 1 S. 1 ThürDSG wiederholt nur die ohnehin schon bestehende Verwaltungsgerichtszuständigkeit nach § 20 Abs. 3 BDSG (aufdrängende Sonderzuweisung) und hat damit deklaratorische Wirkung. § 9 Abs. 1 S. 2 ThürDSG verweist auf § 20 Abs. 3 BDSG. Danach ist das VG zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat.

Das ThürDSG trifft also gar keine abweichenden Reglungen. Damit ist der Anwendungsbereich des BDSG auch nicht verschlossen, da § 1 Abs. 2 Nr. 2 BDSG nicht erfüllt ist und zweitens das ThürDSG nach der obigen Erwägung ohnehin nicht die gerichtliche Zuständigkeit regeln kann.

Fazit

Es gilt also in Bezug auf die gerichtliche örtliche Zuständigkeit von vornherein nur § 52 VwGO, außer es liegt eine speziellere Regelung, wie hier, auf Bundesebene vor.

Verwaltungsgericht Ansbach: Betroffene haben keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen der Datenschutzbehörden

In dieser Woche hatte ich über eine Entscheidung des SG Frankfurt (Oder) berichtet, in der es um die Frage ging, inwiefern eine betroffene Person einen Anspruch gegen die Datenschutzbehörde auf Vornahme von aufsichtsbehördlichen Maßnahmen hat und diesen gerichtlich einklagen kann.

Nun wurde ein weiteres Urteil zu diesem Themenkomplex veröffentlicht. Diesmal eine ausführlich begründete Entscheidung des Verwaltungsgerichts (VG) Ansbach (Urt. v. 8.8.2019, Az. AN 14 K 19.00272). Auch das VG lehnt einen Anspruch von Betroffenen auf die Vornahme bestimmter behördlicher Maßnahmen ab. Jedoch gesteht das VG zu, dass ein Anspruch auf ermessensfehlerfreie Entscheidung der Behörde bestehe.

Sachverhalt

Die Beteiligten stritten um das Einschreiten des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) in einer Datenschutzaufsichtsangelegenheit. Der Kläger bat eine Kreissparkasse mehrfach, ihm seine bei ihr verarbeiteten personenbezogenen Daten von ihm zu übermitteln. Die Sparkasse übermittle dem Kläger dann seine Daten unter Beachtung von Art. 15 Abs. 1 und 2 DSGVO.

Daraufhin wandte sich der Kläger erneut an die Kreissparkasse dahingehend, dass er die übermittelten Daten für nicht vollständig halte. Er bat um eine Vervollständigung der Auskunft. Die Kreissparkasse antwortete ihm, dass die Auskunft alle gesetzlichen Anforderungen erfülle. Daraufhin beschwerte sich der Kläger per E-Mail vom 30. Oktober 2018 bei dem BayLDA über die Kreissparkasse.

Das BayLDA antwortete mit Schreiben vom 21. Januar 2019 und teilte mit, dass gegen die Kreissparkasse keine Maßnahmen ergriffen würden, weil kein Datenschutzverstoß vorliege. Weitergehende Ansprüche gegen die Sparkasse auf Auskunftserteilung müsse der Kläger vor den Zivilgerichten verfolgen. Das Schreiben enthielt eine Rechtsbehelfsbelehrung, derzufolge gegen diese Entscheidung innerhalb eines Monats nach Bekanntgabe Klage erhoben werden kann.

Daraufhin wandte der Kläger an das Verwaltungsgericht. Die Auskunft der Kreissparkasse sei unvollständig und teilweise unverständlich gewesen, so dass er weiter bei der Kreissparkasse nachgefragt habe, worauf die Kreissparkasse auch geantwortet habe. Bei ihm seien dennoch Restzweifel verblieben.

Die kurze und pauschale Zurückweisung seiner Beschwerde vom BayLDA verstoße gegen wesentliche Aufsichtsziele der DSGVO.

Entscheidung

Das VG wies die Klage gegen das BayLDA ab.

Die Klage sei zwar zulässig, aber nicht begründet. Der Verwaltungsrechtsweg war aufgrund § 20 Abs. 1 S. 1 BDSG gegeben, da es sich hier um eine Klage gegen den rechtsverbindlichen Beschluss einer Aufsichtsbehörde handelt, und zwar die Abschlussmitteilung des BayDLA vom 21. Januar 2019.

Interessant ist, dass das VG davon ausgeht, dass hier keine Anfechtungsklage gegen einen Verwaltungsakt, sondern eine Leistungsklage statthaft ist.

Beim streitgegenständlichen Schreiben des BayLDA handelt es sich um eine vom Verwaltungsgericht gemäß Art. 78 DSGVO überprüfbare Maßnahme mit Außenwirkung,

jedoch nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG mit Regelungscharakter, so dass nicht die Anfechtungsklage, sondern die allgemeine Leistungsklage statthaft ist.

Vorliegend fehle es am Regelungscharakter der Abschlussmitteilung. Das Schreiben des BayLDA sei auch kein sog. feststellender Verwaltungsakt, also ein Bescheid mit der verbindlichen Feststellung eines Rechtsverhältnisses oder sich daraus ergebender Rechte und Pflichten, die mit Rechtsbeständigkeit festgestellt werden sollen. Hier sollte eine Rechtsauskunft erteilt werden, es sollten aber nicht mit verbindlicher Feststellung i.S. des Art. 35 BayVwVfG strittige Rechte oder Pflichten geregelt werden.

Der Antrag des Klägers ist nicht auf einen bestimmten Verwaltungsakt des BayLDA, sondern auf ein allgemein aufsichtliches Einschreiten gerichtet. Dies sei kennzeichnend für eine Leistungsklage. Jedoch gibt das VG auch zu bedenken, dass, wenn der Kläger eine ganz konkrete Maßnahme im Sinne eines Verwaltungsaktes vom Beklagten verlangt hätte, und das BayLDA diese so gestaltete Beschwerde abgelehnt hätte, wäre die Verpflichtungsklage in Form der Versagungsgegenklage in Frage gekommen. Dann wäre die Ablehnung der Beschwerde als ein Verwaltungsakt zu qualifizieren, der den Erlass eines Verwaltungsaktes ablehnen würde.

Das Klagerecht aus Art. 78 Abs. 1 DSGVO erfasst umfassend auch die Ablehnung oder Zurückweisung einer Beschwerde nach Art. 77 DSGVO. Wird eine Maßnahme von der Aufsichtsbehörde erbeten, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, ist die allgemeine Leistungsklage die statthafte Klageart.

Gleichzeitig lehnt das VG die Rechtsansicht des VG Berlin vom 28. Januar 2019 (AZ. VG 1 L 1.19) ab, wonach es sich bei Beschwerden nach der DSGVO um Petitionen handeln soll.

Nach der DSGVO indes hat der Bürger nicht nur einen Anspruch auf Verbescheidung, sondern ggf. einen Anspruch auf Einschreiten der Aufsichtsbehörde (bei Ermessenreduzierung auf Null, sonst Anspruch auf fehlerfreie Ermessensausübung), die aufgrund Art. 58 DSGVO umfassende Eingriffskompetenzen hat (i.d.R. im Gegensatz zum Petitionsadressaten).

Bereits hier macht das VG deutlich, dass es davon ausgeht, dass im Grunde schon ein Anspruch auf Tätigwerden der Behörde besteht, jedoch im Normalfall nicht auf eine konkrete Maßnahme.

Die Klage ist jedoch unbegründet, da der Kläger weder einen Anspruch gegen den Beklagten auf weitere Befassung und Überprüfung seiner Beschwerde nach Art. 78 Abs. 2 DSGVO i.V.m. Art. 57 DSGVO hat noch einen Anspruch auf aufsichtliches Einschreiten des Beklagten gegenüber der Kreissparkasse gemäß Art. 58 DSGVO.

Das BayLDA hat gemäß Art. 78 Abs. 2 DSGVO in Verbindung mit Art. 57 Abs. 1 lit. f DSGVO die Beschwerde des Klägers in angemessenem Umfang geprüft und dem Kläger rechtzeitig Bescheid gegeben.

Ein darüber hinaus gehender Anspruch des Klägers ist nicht ersichtlich.

Das VG befasst sich dann mit der Frage, ob das BayLDA hier seinen gesetzlichen Aufgaben nachgekommen ist. Art. 57 Abs. 1 lit. a und f DSGVO wurden hier durch das BayLDA beachtet. Interessant an der Begründung des VG ist, dass es davon ausgeht, dass sich zwar sich aus Art. 57 DSGVO allein, einer reinen Aufgabennorm, keine subjektivöffentlichen Rechte des Betroffenen ergeben können. Art. 57 Abs. 1 lit. f DSGVO enthalte Vorgaben zum Verfahren und dessen Umfang, die über Art. 78 Abs. 2 DSGVO zu einem Rechtsanspruch des Betroffenen führen können.

Die Behandlung von individuellen Beschwerden sei unionsrechtlich jedoch restriktiv geregelt. Zwar sei es eine der vorrangigsten Aufgaben des BayLDA, Beschwerden von Betroffenen nach Art. 77 DSGVO zu bearbeiten. Allerdings nehme Art. 57 Abs. 1 lit. f DSGVO unzweifelhaft mit der Formulierung „in angemessenem Umfang“ auf die Ressourcen und Möglichkeiten der Aufsichtsbehörden Rücksicht. Die Angemessenheit der Untersuchung richte sich daher auch nach der Schwere des Eingriffs in Rechte des Betroffenen.

Hinsichtlich der behördlichen Maßnahmen nach Art. 58 DSGVO stellt das VG fest, dass dieser Artikel das Verhältnis zwischen Aufsichtsbehörde zu Verantwortlichen regele.

Ein Anspruch auf aufsichtliches Einschreiten des Betroffenen ist ähnlich wie im Sicherheits- und Polizeirecht (vgl. BVerwGE 11, 95, 97) grundsätzlich anzuerkennen, jedoch nur im Falle einer (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Reduktion des Ermessens auf Null, so dass mithin allenfalls regelmäßig nur ein subjektivöffentliches Recht auf fehlerfreie Ermessensausübung besteht.

Das VG geht davon aus, dass neben dem Auswahlermessen für die Behörde auch hinsichtlich des Entschlusses zum Tätigwerden ein Entschließungsermessen („gestattet“ in Art. 58 Abs. 1 und 2 DSGVO) bestehe. Der Kläger habe daher selbst bei Vorliegen eines festgestellten oder wahrscheinlichen Verstoßes gegen die DSGVO (der hier nicht gegeben war) indes

nur einen Anspruch auf fehlerfreie Ermessensausübung hinsichtlich einer Maßnahme des Beklagten nach Art. 58 DSGVO, aber keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen gegen die Kreissparkasse.

Dann habe im Rahmen des Art. 58 DSGVO die Aufsichtsbehörde ein weites Entschließungs- und Auswahlermessen hat. Dies gelte jedoch nicht, bei einer Ermessensreduktion auf Null. Diese komme nur in Betracht,

wenn ein Datenschutzrechtsverstoß naheliegt bzw. sich aufdrängen muss, d.h. es müssen Tatsachen vorliegen, die einen Verstoß gegen datenschutzrechtliche Vorschriften als wahrscheinlich erscheinen lassen und wenn dieser Verstoß von einer Schwere ist, die ein Einschreiten der Aufsichtsbehörde als erforderlich erscheinen lässt.

Vorliegend waren diese Voraussetzungen aber nicht erfüllt.

Thüringer Fragebogen zur Prüfung von Webseiten: verschiedene Handlungsoptionen für Unternehmen

Der Thüringer Landesbeauftragt für Datenschutz und Informationsfreiheit (TLfDI) hat wohl in großer Zahl Fragebögen an Thüringer Unternehmen versandt. Thema ist der Einsatz von Analysesoftware auf den jeweiligen Websites der angeschriebenen Unternehmen.

Das Schreiben selbst ist offiziell, soweit ich weiß, noch nicht abrufbar. Der Kollege André Stämmler berichtet zu dem Anschreiben in seinem Blog.

Hintergrund der Befragung dürfte auch das Urteil des Europäischen Gerichtshofs sein, in dem sich das Gericht mit der Frage der Voraussetzungen einer wirksamen Einwilligung bei dem Einsatz von Cookies befasst hat (Aktenzeichen C-673/17 – Planet 49; Achtung: der EuGH hat hier nicht entschieden, dass beim Einsatz von Cookies oder gar Google Analytics, per se immer eine Einwilligung einzuholen wäre). Gefragt wird in dem Schreiben der Behörde unter anderem, ob und welche Analysetools eingesetzt werden und ob und auf welchem Wege eine Einwilligung dazu eingeholt wird. Wie gesagt: ob beim Einsatz von Google Analytics oder anderen Tools eine Einwilligung zwingend erforderlich ist, hat der EuGH nicht entschieden. Die deutschen Behörden gehen jedoch laut mehreren Pressemitteilungen davon aus.

Unternehmen könnten verunsichert sein, ob die Beantwortung der übersandten Fragen verpflichtend ist oder nicht, da zwar betont werde, dass das Schreiben keinen verpflichtenden Charakter habe, gleichzeitig aber darauf hingewiesen wird, dass ein verpflichtender Bescheid (also ein Verwaltungsakt) bei Nicht-Beantwortung der Fragen die Folge sein kann.

Zusätzliche Irritation ruft das Schreiben dadurch hervor, da es als „Auskunftsersuchen nach Art. 58 Abs. 1 lit. a) DSGVO Anhörung nach 28 ThürVwfG“ überschrieben ist. Die Behörde möchte damit wahrscheinlich zum Ausdruck bringen, dass der momentan versandte Fragebogen eine Anhörung nach § 28 VwVfG zu einem Auskunftsersuchen nach Art. 58 Abs.1 lit a) DSGVO darstellt. Zumindest nach ihrer Ansicht. Dann läge in der Beantwortung des Fragebogens eine freiwillige Mitwirkung im Rahmen des Verwaltungsverfahrens an dessen Ende, wahrscheinlich abhängig davon, ob und wie die Fragen beantwortet werden, ein formelles Auskunftsersuchen nach Art. 58 Abs. 1 lit a) DSGVO stehen.

Man kann aber schon aktuell fragen, wie unverbindlich die Beantwortung der Fragen aus Sicht der Unternehmen überhaupt sein kann, wenn im gleichen Schreiben bei Nichtbeantwortung mit einem verbindlichen Auskunftsersuchen „gedroht“ wird. Erscheint die Beantwortung des jetzigen Fragebogens dadurch als verpflichtend, kann man auch darin schon einen Verwaltungsakt sehen. Gegen diesen stünde dann selbstverständlich schon jetzt der Rechtsweg offen. Meine persönliche Meinung: oft stellen diese Anschreiben mit Fragen an Unternehmen Verwaltungsakte dar. Es ist für eine Einordnung als Verwaltungsakt auch unerheblich, ob einem solchen Schreiben eine Rechtsbehelfsbelehrung beigefügt ist oder nicht.

Abseits der, evtl. etwas wissenschaftlichen Diskussion über die juristische Einordnung solcher Fragebögen, stellt sich für Unternehmen vordergründig die Frage, wie auf solche Schreiben reagiert werden sollte. Man kann den Fragenbogen natürlich einfach beantworten, wenn man weiß oder zumindest vermutet, dass man die Anforderungen der DSGVO ordnungsgemäß umsetzt. Andererseits lässt sich fragen, warum man etwas beantworten soll, was man eigentlich gar nicht muss?

In beiden Fällen kann man Akteinsicht nach § 29 Abs. 1 VwVfG beantragen, um herauszufinden, was die Behörde an (Tatsachen)Grundlagen schon zusammengetragen hat. Und wenn man der Auffassung ist, dass solch ein Anschreiben einen Verwaltungsakt darstellt, könnte man theoretisch auch Anfechtungsklage vor dem Verwaltungsgericht erheben. Damit schöpft man dann auch die Verfahrensgarantien und Rechtbehelfe, wie sie in Art. 58 Abs. 4 DSGVO gegenüber den Maßnahmen der Aufsichtsbehörden zwingend vorgesehen sind, aus.

Oberverwaltungsgericht NRW: Entlassung eines Beamten auf Probe wegen Datenschutzverstößen

Das Oberverwaltungsgericht NRW (Beschl. v. 19.09.2019, 6 B 539/19) hat die Beschwerde eines ehemaligen Polizeikommissars gegen die Ablehnung der Wiederherstellung der aufschiebenden Wirkung seiner Klage gegen seine Entlassung aus dem Beamtenverhältnis auf Probe wegen Zweifeln an seiner charakterlichen Eignung zurückgewiesen. Der Polizeikommissar habe Datenschutzverstöße begangen (hier: Datenbankabfragen ohne dienstlichen Bezug), dadurch in einer Vielzahl von Fällen in Rechte Dritter eingegriffen und hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert.

Sachverhalt

Der ehemalige Polizeikommissar hat, in seiner Zeit als Beamter auf Probe, in einer Vielzahl von Fällen nicht dienstlich veranlasste Datenabfragen über andere Personen durchgeführt. Bei insgesamt festgestellten 3.950 getätigten Datenabfragen wurden in 2.119 Fällen keine direkten Hinweise für einen dienstlichen Anlass angenommen. Das OVG geht in seiner Begründung sogar „nur“ von – wie der Betroffene selbst vorgetragen hat – insgesamt etwa 50 „privat motivierten“ Datenabfragen aus.

Es stehe fest, dass er in einer Vielzahl von Fällen nicht dienstlich veranlasste Abfragen mit Hilfe der ihm zur Verfügung stehenden Datensysteme durchgeführt habe, die unterschiedliche Personen betroffen hätten. Hierzu hätten etwa Familienangehörige (Vater, Mutter, Ehefrau, Schwager usw.), andere Personen aus seinem privaten Umfeld (bspw. Facebook-Freunde, sonstige Bekannte) sowie Kollegen gezählt.

Begründung

Das OVG verweist darauf, dass zu den Verhaltensgeboten von Beamten die sich aus § 34 Satz 3 BeamtStG ergebende Pflicht gehört, sein Verhalten innerhalb und außerhalb des Dienstes so auszurichten, dass es der Achtung und dem Vertrauen gerecht wird, die sein Beruf erfordern.

Hierzu gehört insbesondere die Pflicht, sich gesetzestreu zu verhalten und damit unter anderem den Datenschutz betreffende gesetzliche Vorgaben zu beachten“.

Durch die Durchführung nicht dienstlich veranlasste Datenabfragen über andere Personen in einer Vielzahl von Fällen habe für den Dienstherren ein berechtigter Anlass bestanden, die charakterliche Eignung des Antragstellers ernsthaft anzuzweifeln.

Nach § 23 Abs. 3 Satz 1 Nr. 2 BeamtStG können Beamte auf Probe entlassen werden, wenn sie sich in der Probezeit nicht bewährt haben. Der Entlassungstatbestand steht im Zusammenhang mit § 10 Satz 1 BeamtStG, wonach die Ernennung zum Beamten auf Lebenszeit nur zulässig ist, wenn der Beamte sich in der Probezeit bewährt hat.

Nach Auffassung des Gerichts stellen selbst die etwa 50 (zugestandenen) „privat motivierten“ Datenabfragen eine hinreichende Tatsachengrundlage für die Annahme ernstlicher Zweifel an der charakterlichen Eignung des Antragstellers für das Amt des Polizeikommissars dar.

Das OVG verweist für seine Begründung auch auf § 41 DSG NRW (Datengeheimnis). Danach ist es denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren. Das OVG stellt fest, dass der ehemalige Polizeikommissar zumindest in 50 Fällen jeweils eine zweckwidrige Datenverarbeitung vorgenommen habe. Er habe damit in einer Vielzahl von Fällen in Rechte Dritter eingegriffen.

“Dass hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert ist, drängt sich auf”.

Hieran ändere auch der Umstand nichts, dass es nicht zur unbefugten Weitergabe der abgefragten Daten gekommen ist.

Lohnbuchhaltung durch Steuerberater: Bundesrat möchte gesetzliche Klarheit zur Einordnung nach der DSGVO schaffen

Seit einiger Zeit ist zwischen den deutschen Datenschutzbehörden umstritten, wie die Tätigkeiten von Steuerberater datenschutzrechtlich einzuordnen sind, wenn diese „nur“ Tätigkeiten der Lohnbuchhaltung durchführen.

Ist der Steuerberater in diesem Fall Auftragsverarbeiter oder (als Berufsgeheimnisträger) eigener Verantwortlicher?

Hier einige Positionen:

LfDI Baden-Württemberg: „Danach kommt für die Beauftragung des Steuerberaters mit der laufenden Lohn- und Gehaltsabrechnung datenschutzrechtlich nur eine Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO in Betracht“.

LDA Bayern (pdf): „Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen“.

LDI NRW: „Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen  – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung  gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung“.

Aktuell liegt im Bundesrat zur Verhandlung der Entwurf eines Dritten Gesetzes zur Entlastung insbesondere der mittelständischen Wirtschaft von Bürokratie (Drittes Bürokratieentlastungsgesetz) (BR Drs 454/19). Im Rahmen dieses Entwurfs soll auch das Steuerberatungsgesetz (StBerG) angepasst werden.

Die Ausschüsse im Bundesrat schlagen nun mit Empfehlungen (pdf) vom 27.09.2019 eine zusätzliche Anpassung des § 11 StBerG „Verarbeitung personenbezogener Daten“ vor.

§ 11 Abs. 2 StBerG soll wie folgt gefasst werden:

(2) Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72).

Die Ausschüsse begründen diesen Vorschlag unter anderem mit der unklaren Rechtsage und den verschiedenen Ansichten der Datenschutzbehörden. Die Ausschüsse im Bundesrat stellen sich gegen die Ansichten jener Aufsichtsbehörden, die von einer Auftragsverarbeitung durch Steuerberater ausgehen, wenn diese Tätigkeiten im Rahmen der Lohnbuchhaltung anbieten.

Vereinzelt gehen die Landesbeauftragten für den Datenschutz und Informationsfreiheit davon aus, dass es sich bei den in § 6 Nummer 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, nicht um Tätigkeiten der Hilfeleistung in Steuersachen im Sinne von § 1, § 33 StBerG handelt. Dieser Auffassung kann nicht gefolgt werden.“ (Hervorhebung durch mich)

Die Ausschüsse gehen davon aus, dass Steuerberater bzw. die in § 3 StBerG aufgeführten Personen und Gesellschaften eigenverantwortlich tätig sind. Die in § 6 Nr. 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“ seien gerade nicht vom Anwendungsbereich des Steuerberatungsgesetzes ausgenommen.

Die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst regelmäßig vielmehr die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen“.

Die Ausschüsse empfehlen mithin eine gesetzliche Vorgabe zur Einordnung von wirtschaftlichen Tätigkeiten und damit umfassten Datenverarbeitungen innerhalb des Verantwortlichkeitsgefüges der DSGVO. Die Ausschüsse nennen dies in der Begründung eine „klarstellende Ergänzung“.

Jedoch wird man auch fragen können, ob der nationale Gesetzgeber Vorgaben dazu machen darf, wie datenschutzrechtliche Verantwortlichkeiten zu verteilen sind und vor allem wie bestimmte Tätigkeiten innerhalb der DSGVO einzuordnen sind? Als Verantwortlicher oder als Auftragsverarbeitung? Auf eine Öffnungsklausel der DSGVO wird in der Begründung nicht verwiesen und es gilt natürlich zu beachten, dass die legal definierten Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ unmittelbar bindend sind. Spinnt man diese Idee hypothetisch weiter, könnte der nationale Gesetzgeber dazu übergeben, Festlegungen zur Rollenverteilung nach der DSGVO zu treffen, was wiederum dem Harmonisierungsgedanken der DSGVO entgegenstehen könnte.

Verwendung von Meldungen zu Datenschutzverletzungen für Bußgeldverfahren? Ein Stimmungsbild.

Art. 33 Abs. 1 DSVGO schreibt vor, dass im Falle einer Verletzung des Schutzes personenbezogener Daten der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden muss (es sei denn, dass voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht).

Art. 33 Abs. 3 DSVGO gibt einen Katalog an Informationen vor, die Inhalt der Meldung an die Aufsichtsbehörde sein müssen. U.a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze sowie eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Der Verantwortliche muss in der Meldung nach Art. 33 DSGVO mithin darlegen, wie es zu der Datenschutzverletzung kam.

Doch die Aufsichtsbehörden sind nicht nur für die Entgegennahme der Meldungen zuständig. Gleichzeitig besteht für sie nach Art. 58 Abs. 2 lit. i DSGVO die Befugnis, eine Geldbuße nach Art. 83 DSVGO zu verhängen. Im Falle von Datenschutzverletzungen, die sich (nach der Legaldefinition in Art. 4 Nr. 12 DSVGO) auf die Vernichtung, den Verlust, die Veränderung, oder die unbefugte Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten bezieht, steht zumeist ein Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung im Raum).

Nun stellt sich für Verantwortliche oft die Frage: kann ich bedenkenlos die Meldung absetzen, ohne befürchten zu müssen, dass die übermittelten Informationen im Rahmen eines Bußgeldes gegen mich verwendet werden? Muss ich mich also selbst belasten?

Der deutsche Gesetzgeber hat diese Situation im Rahmen der Anpassung des DSGVO erkannt und eine klare Regelung in § 43 Abs. 4 BDSG getroffen: „Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden“. (Hervorhebung durch mich).

Eigentlich dürften also deutsche Aufsichtsbehörden die Informationen aus der Meldung nicht für die Einleitung eines Bußgeldverfahrens nutzen, ohne, dass die Zustimmung des meldenden Verantwortlichen vorliegt.

Doch wie interpretieren die (deutschen) Aufsichtsbehörden diese Vorschrift? Nachfolgend habe ich in einer Tabelle die Ansichten oder zumindest entsprechende Andeutungen verschiedener Datenschutzbehörden zusammengetragen.

Aufsichtsbehörde

Aussage

Quelle

Art. 29 Gruppe „… hat die Aufsichtsbehörde auch die Möglichkeit, Sanktionen wegen der versäumten Meldung oder Benachrichtigung (Artikel 33 und 34) einerseits sowie wegen fehlender (angemessener) Sicherheitsmaßnahmen (Artikel 32) andererseits zu verhängen, da es sich um zwei separate Verstöße handelt“. Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU)2016/679, WP 250 rev.01, S. 11
BlnBDI „Dagegen dürfen die durch die Meldung erhaltenen Informationen nicht dazu genutzt werden, die der Meldung zugrunde liegende Datenschutzverletzung zu sanktionieren.“ Jahresbericht 2018, S. 24
HessBDI § 43 Abs. 4 BDSG schränkt die Konsequenzen einer Meldung nach Art. 33 DS-GVO für ein Bußgeldverfahren ein.“ 47. Tätigkeitsbericht, S. 178
LfDI BaWü „Gemeldete Datenschutzverletzungen    können demnach grundsätzlich auch im Rahmen von Ordnungswidrigkeitsverfahren und Strafverfahren gegen den die Verletzung meldenden verwendet werden.“ 33. Tätigkeitsbericht 2016/2017, S. 17
HmbBfDI „Eine Sanktionierung kam gemäß § 43 Abs. 4 BDSG aufgrund der ordnungsgemäßen Meldung nicht in Betracht.“ 27. Tätigkeitsbericht Datenschutz 2018, S. 52
TLfDI „Dabei stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu   einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“ Pressemitteilung, Datenpanne –Bußgeld bei Meldung? Erfurt, 23.08.2019
BayLDA „Was macht BayLDA mit den Meldungen? Z.Zt. keine Geldbuße bei mitgeteilten Verstößen geplant“ Vortragsfolien von Thomas Kranig, Die DS-GVO in der Praxis – Erfahrungsbericht nach knapp einem Jahr, S. 34
LfD Sachsen-Anhalt Information auf der Webseite zur Meldung einer Datenschutzverletzung:„Die Verarbeitung dient ausschließlich den Zwecken der Überprüfung der Einhaltung der Artikel 33 und 34 DS-?GVO“. Online-Formular, Meldung einer Datenschutzverletzung,

Man sieht, dass unter den deutschen Behörden uneinheitliche Auffassungen zu bestehen scheinen, ob Informationen aus einer Meldung für ein Bußgeldverfahren genutzt werden können.

Über weitere Hinweise freue ich mich und nehme sie gerne auf.

Niedersachsen schlägt Anpassungen der DSGVO und des BDSG im Bundesrat vor

Das Land Niedersachsen hat am 3.4.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht (BR Drs 144/19, pdf). Hintergrund des Antrages ist die Forderung, dass „über die DSGVO hinausgehende zusätzliche Auflagen für Unternehmen in Deutschland mittelstandsfreundlicher und im Sinne ehrenamtlich Tätiger in Vereinen nachgebessert werden sollten“. Die niedersächsische Landesregierung sieht, sicherlich nicht unbegründet, in der Praxis das Problem, dass das Ziel der DSGVO, den Schutz personenbezogener Daten sicherzustellen, nicht erreicht werden kann, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen nicht anwenden (können). Der Entwurf des Antrages beruht also auf der Erkenntnis, dass die Regelungen der DSGVO, die ohne Zweifel in großen Teilen im Sinne eines „one size fits all“-Ansatzes, gerade für kleinere Einheiten einigen Umseztungs- und Anpassungsbedarf mit sich bringen.

Zu der vollen Wahrheit, die in dem Entwurf nicht erwähnt wird, gehört aber auch die Tatsache, dass dieser hohe Umsetzungs- und Anpassungsaufwand für kleinere Einheiten schlicht darin begründet liegt, dass sie vor dem 25.5.2018 das schon damals geltende Datenschutzrecht nicht (voll) eingehalten haben. Es macht in der Praxis natürlich einen Unterschied, ob man als Unternehmen von null startet oder aber schon auf vorhandene Datenschutzdokumentation und -prozesse aufbauen kann.

Vorgeschlagene Änderungen

Wie vor einigen Monaten, auch im Rahmen der Diskussionen zum Entwurf des 2. Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU), schlägt Niedersachsen vor, § 38 BDSG, also die Anforderungsschwelle zur Benennung eines Datenschutzbeauftragten, anzupassen. Der Bundesrat soll die die Bundesregierung auffordern, „hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben“. Ein Vorschlag für eine neue Schwelle, oberhalb von 10 Personen, wird nicht gemacht. Diese Forderung ist nicht neu. Jedoch sollte dem Gesetzgeber klar sein, dass viele kleinere Unternehmen denken, dass eine Pflicht zur Benennung gleichbedeutend mit der Pflicht zur Einhaltung des Datenschutzrechts an sich ist. Das ist natürlich ein Trugschluss. Sollte die Schwelle angehoben werden, besteht sicherlich die Gefahr, dass kleinere Einheiten davon ausgehen, dass, wenn sie keinen Datenschutzbeauftragten benennen müssen, auch die übrigen Anforderungen der DSGVO für sie nicht gelten.

Eventuell unterliegt auch die Landesregierung Niedersachsen selbst diesem Trugschluss. In einem weiteren Antrag wird formuliert: „Der Bundesrat fordert die Bundesregierung daher auf, zu prüfen, ob eingetragene Vereine, die überwiegend oder ausschließlich mit Ehrenamtlichen arbeiten, von der Anwendung des § 38 Abs. 1 BDSG ganz ausgenommen werden können. Mindestens jedoch sollten für Vereine weitgehende Ausnahmen in Bezug auf die verpflichtende Benennung einer/eines Datenschutzbeauftragten in das BDSG aufgenommen werden“. Die Landesregierung versteift sich hier auf ein Mini-Thema der DSGVO, die Benennung des Datenschutzbeauftragten. Jedoch bedeutet die fehlende Pflicht zur Benennung natürlich nicht, dass die übrigen Anforderungen der DGSVO nicht zu beachten wären (Bsp: Datenschutzinformationen erstellen, Verzeichnis der Verarbeitungstätigkeiten führen, Einhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 DSGVO, Abschluss von Verträgen zur Auftragsverarbeitung).

Zudem schlägt die Landesregierung vor, die Meldefrist für Datenpannen nach Art. 33 Abs. 1 DSGVO auf ihre Angemessenheit zu prüfen. „Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken“. Im Grunde soll also eine Anpassung der DSGVO auf europäischer Ebene in diesem Punkt angestoßen werden. Warum die Frist zu kurz (also unangemessen) sein könnte, begründet die Landesregierung leider nicht.

Auch verlangt die Landesregierung, gesetzlich auszuschließen, dass Datenschutzverstöße durch Wettbewerber abgemahnt werden können. Auch dieses Thema ist nicht neu und wird schon länger diskutiert. „Daher sollte in diesem Zusammenhang eine ausdrückliche Ausschlussregelung getroffen werden. Der Bundesrat fordert eine klarstellende gesetzliche Formulierung“.

Aktueller Stand der ePrivacy Verordnung – Orientierungsaussprache der Minister am 4.12.2018

In einem aktuellen Dokument aus dem Rat der Europäischen Union vom 23.11.2018 geht hervor, wie sich derzeit die Verhandlungen zum Entwurf der ePrivacy Verordnung darstellen und welche Themen zwischen den Mitgliedstaaten noch Diskussionspunkte darstellen (Ratsdokument 14491/18, pdf).

Am 4.12.2018 soll zur ePrivacy Verordnung (ePrivacyVO) eine Orientierungsaussprache im Rat stattfinden. Das oben angegebene Dokument soll dabei als Grundlage dienen.

Zu dem aktuellen Stand der Beratungen informiert die Ratspräsidentschaft auf der Grundlage besonders wichtiger Themengebiete bzw. Artikel der ePrivacyVO.

Hinsichtlich der erlaubten Verarbeitung elektronischer Kommunikationsdaten (Art. 6) wird darauf hingewiesen, dass der Vorsitz die Möglichkeit einer weitergehenden konformen Verarbeitung elektronischer Kommunikationsmetadaten eingeführt hat und zudem als neuen Grund für die Verarbeitung elektronischer Kommunikationsdaten den Schutz von Endeinrichtungen aufgenommen hat. Es bestünden jedoch weiterhin Bedenken bezüglich ausreichender Anreize für Innovation und bezüglich der Notwendigkeit einer engeren Angleichung an die DSGVO.

Mit Blick auf Art. 8 (Schutz von in Endeinrichtungen gespeicherten Informationen; also die Regelung zu Cookies) verweist der Ratsvorsitz darauf, dass bislang überwiegend über die Frage des von Bedingungen abhängigen Zugangs zu Website-Inhalten diskutiert wurde und darüber, dass Geschäftsmodelle nicht beeinträchtigt werden dürfen, wie z. B. durch Werbung finanzierte Online-Dienste, insbesondere Medien-Websites, wobei die entsprechenden Bedingungen gemäß der DSGVO zu achten sind. Zwar wurden in der Vergangenheit mehrere Vorschläge zur Anpassung des Art. 8 und der korrespondierenden Erwägungsgründe unterbreitet, jedoch, so der Ratsvorsitz, scheint es, dass einige Mitgliedstaaten noch weitere Arbeiten an diesem Teil des Textes für erforderlich halten. Auch hinsichtlich Art. 8 ist also die Meinungsfindung im Rat noch nicht abgeschlossen und es wird noch über konkrete inhaltliche Fragen diskutiert.

Nach Informationen des Ratsvorsitzes haben die Bestimmungen über Voreinstellungen zur Privatsphäre (in Art. 10) während der gesamten Beratungen erhebliche Bedenken verursacht, unter anderem aus Gründen einer möglichen Belastung für Browser und Apps und auch des Wettbewerbsaspekts. Daher ergaben sich Zweifel am Mehrwert dieser Bestimmung. Unter Berücksichtigung dieser Elemente hat der Vorsitz beschlossen, Art. 10 zu streichen. Jedoch wurde auch diese Streichung unter den Mitgliedstaaten unterschiedlich aufgenommen.

In einer Anlage II zu dem Dokument formuliert der Ratsvorsitz Fragen für die Orientierungsaussprache auf der Tagung des Rates am 4. Dezember 2018. So sollen die Minister darüber beraten, ob die jüngsten Arbeiten im Rat den Text der ePrivacyVO in eine gute Richtung bewegt haben? Zudem schlägt der Ratsvorsitz vor, dass die Minister beraten sollen, welches diesbezüglich die wichtigsten offenen Fragen sind, die noch behandelt werden müssen, bevor die Verhandlungen mit dem Europäischen Parlament beginnen können?

Im Ergebnis möchte der Ratsvorsitz hier also eine Orientierungsdebatte auf einer politisch höheren Ebene (als auf Ratsarbeitsgruppe) anstrengen. Es soll auf Ministerebene (hier weitere Informationen und die Agenda) eine grobe Richtung für die weiteren Arbeiten und möglichen Trilogverhandlungen zur ePrivacyVO vorgegeben werden. Ob es noch vor den Neuwahlen des Europäischen Parlaments im nächsten Jahr tatsächlich zu Trilogverhandlungen kommt, könnte von den Ergebnissen dieser nun anstehenden Orientierungsaussprache abhängen.