Category Archives: Gesetze

Oberlandesgericht Dresden: Gesetzliche Aufbewahrungspflichten müssen für das einzelne Datum in Dokumenten geprüft werden

Posted on by

In seinem Urteil vom 14.12.2021 (Az 4 U 1278/21) befasst sich das Gericht u.a. mit der Frage, ob nationale Pflichten zur Aufbewahrung von Dokumenten als Rechtsgrundlage für eine weitere Speicherung jeglicher in den Dokumenten enthaltenen Daten dienen können.

Nach Auffassung des Gerichts stellen gesetzliche Aufbewahrungspflichten keine Rechtfertigung dar, um nicht rechtmäßig erhobene Daten dauerhaft speichern zu dürfen.

es ist Aufgabe des Aufbewahrungspflichtigen, seinen Datenbestand so zu organisieren, dass der Zugriff auf rechtswidrig erlangte Daten des Betroffenen nicht möglich ist.“

Konkret befasst sich das Gericht auch mit einer möglichen Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der nationalen Regelung des § 147 AO. Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Die Datenverarbeitung könne zwar erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen.

Die Erlaubnis zur Datenverarbeitung ist jedoch nach Ansicht des OLG auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt. Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen.

Das OLG verweist hier darauf, dass es auf die Form der Korrespondenz nicht ankommt, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind.

Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Nach Ansicht des OLG sind im vorliegenden Fall die Beklagten nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. HIer wird deutlich, dass das Gericht die Löschpflicht (und damit im Gegensatz dazu die legitimierende Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO) datumsbezogen versteht.

Das Gericht betrachtet folglich nicht das Dokument an sich (mit allen dort enthaltenen Daten) und knüpft daran eine mögliche Pflicht zur weiteren Speicherung der enthaltenen Daten. Sondern das Gericht verlangt wohl eine Prüfung der Rechtsgrundlge für jedes in dem Dokument enthaltene Datum.

Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige – und aufbewahrungspflichtige Daten zugreifen kann“.

Dies könne in der Praxis z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen.

Die Entscheidung des Gerichts ist praktisch relevant, da sie datenverarbeitende Stellen vor die Herausforderung stellt, Aufbewahrungspflichten nicht allein anhand von Dokumenten zu prüfen, sondern in dem Dokument jedes Datum näher zu betrachten und ggfs. entsprechene Maßnahmen zur Löschung, zB als Schwärzung, zu ergreifen.

Bundesinnenministerium: DSGVO-Bußgelder müssen nach den Vorgaben des deutschen OWiG verhängt werden

Posted on by

Das Bundesministerium des Innern (BMI) hat das neue BDSG evaluiert und den entsprechenden Bericht nun veröffentlicht (abrufbar auf der Webseite, PDF). Für die Evaluation wurden u.a. öffentliche als auch private Stellen sowie Datenschutzaufsichtsbehörden befragt.

Von besonderer Praxisrelevanz ist das Ergebnis des Berichts zu der umstrittenen Anwendung der Vorgaben der §§ 30, 130 OWiG im Rahmen der Verhängung von Bußgeldern nach Art. 83 DSGVO.

Hintergrund

Nach § 41 Abs. 1 S. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO, soweit das BDSG nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Nach § 41 Abs. 2 S. 1 BDSG gelten auch für Verfahren wegen eines Verstoßes nach Art. 83 Abs. 4 bis 6 DSGVO die Vorschriften des OWiG.

Zu beachten ist, dass das OWiG keine unmittelbare bußgeldrechtliche Haftung von Unternehmen kennt. Bei einer Verhängung von Geldbußen müssen die Voraussetzungen des § 30 Abs. 1 OWiG erfüllt sein. Hierfür bedarf es einer Tat, die der juristischen Person zugerechnet werden kann. Der Täter dieser Tat muss zu dem in § 30 Abs. 1 Nr. 1 – 5 OWiG genannten Personenkreis stammen; erfasst sind sog. Leitungsperson.

Das bedeutet, dass Täter nach dem System des OWiG eine natürliche Person und gerade nicht das Unternehmen selbst sein kann.

In der Vergangenheit haben das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) einerseits und das LG Berlin (Beschl v. 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20)) andererseits unterschiedliche Auffassung dazu vertreten, ob dieser Verweis in § 41 BDSG auf die Vorgaben des deutschen OWiG europarechtskonform ist. Es wird darüber gestritten, ob nicht die DSGVO (insb. wegen des ErwG 150 DSGVO) eine unmittelbare Unternehmenshaftung (Verbandshaftung) vorschreibe und daher eine Anknüpfung an das Verhalten einer natürlichen Person (entsprechend § 30 OWiG) gegen die DSGVO verstoßen würde.

Einschätzung des BMI

Zunächst verweist das BMI in Bezug auf den Kontext der Schaffung von § 41 Abs. 1 BDSG darauf, dass sich der Gesetzgeber seinerzeit bewusst („und in Kenntnis der Rechtsauffassung der Datenschutzaufsichtsbehörden“) zu dieser Thematik dafür entschieden habe, die §§ 30, 130 OWiG nicht aus den nach § 41 Abs. 1 BDSG anwendbaren Vorschriften des OWiG auszunehmen.

Das BMI gibt also im Grunde den Hinweis, dass die Erklärung der Anwendbarkeit der §§ 30, 130 OWiG bewusst vom Gesetzgeber gewollt war, in Kenntnis der kritischen Stimmen.

Sodann begründet das BMI diese Entscheidung des Gesetzgebers. Diese basiere auf der Erwägung, dass Art. 83 Abs. 8 DSGVO es gerade den Mitgliedstaaten überlasse, die Einzelheiten des Bußgeldverfahrens zu regeln. Und dann führt das BMI aus (S. 62):


Etwas anderes ergibt sich im Übrigen auch nicht aus Erwägungsgrund 150 zur DSGVO; dieser ist insgesamt und in seinem systematischen Kontext zu lesen. Er bezieht sich auf Artikel 83 DSGVO und konkret auf die dortigen Regelungen der Bußgeldhöhe, enthält aber keine Vorgaben zu den Voraussetzungen, unter denen Verstöße von natürlichen Personen eine bußgeldrechtliche Verantwortlichkeit von juristischer Person und Personenvereinigung auslösen.“

Das BMI geht von der Zulässigkeit des Verweises auf die §§ 30, 130 OWiG auch vor dem Hintergrund der Vorgaben des ErwG 150 DSGVO aus, da dieser (und auch Art. 83 DSGVO) gerade keine Regelungen zum Adressaten des Bußgeldes machen, sondern allein zur Berechnung bzw. zum finanziellen Rahmen.

Rechenschaftspflichten der DSGVO: Rechtmäßigkeit der Verarbeitung personenbezogener Daten in Dokumenten und Aufbewahrungsdauer

Posted on by

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) (zuständig für öffentliche Stellen) hat kürzlich eine neue Orientierungshilfe (PDF) zur Einwilligung nach der DSGVO veröffentlicht.

Eine abstrakt relevante Ansicht findet sich dort zu der Frage, ob und wenn ja, auf welcher Grundlage Verantwortliche personenbezogene Daten verarbeiten dürfen bzw. müssen, um ihren Rechenschaftspflichten, etwa Art. 5 Abs. 2 oder Art. 7 Abs. 1 DSGVO, nachzukommen.

Es geht mithin um die Frage, ob die in Dokumenten enthaltenen personenbezogenen Daten von Betroffenen verarbeitet werden dürfen, auch wenn die eigentliche Verarbeitung der Daten schon beendet ist. Beispiel: Aufbewahrung der einmal erteilten Einwilligung im Fall des Widerrufs. Nach Ansicht der Behörde weist der Verantwortliche damit nach, dass mit der Einwilligung eine Rechtsgrundlage bestand und die darauf beruhende Verarbeitung personenbezogener Daten bis zum  Widerruf der Einwilligung rechtmäßig war.

Diese Gedanke, dass der Nachweis zu einer in der Vergangenheit zulässigen Verarbeitung auch nach deren Beendigung aufbewahrt werden muss, lässt sich auch auf andere Konstellationen und Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO übertragen.

Konkret auf den Fall der Einwilligung führt die Behörde aus:

„Die in der Einwilligungserklärung und dem Widerruf enthaltenen personenbezogenen Daten unterliegen ihrerseits auch dem Recht auf Löschung“.

Diese personenbezogenen Daten werden durch den Verantwortlichen aber nach Art. 6 Abs. 1 lit. c, Abs. 3 lit. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO. Diese Begründung lässt sich verallgemeinert auf die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO übertragen.

Die in den Nachweisen enthaltenen Daten sind gemäß Art. 17 Abs. 1 lit. a DSGVO zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, wenn also Nachweis- und Rechenschaftspflichten eine weitere Aufbewahrung nicht mehr erfordern.

Und wann enden solche Aufbewahrungsfristen? Die DSGVO macht hierzu keine spezifischen Vorgaben.

Nach Ansicht des BayLfD enden sie dann, wenn die Verarbeitung vollständig abgeschlossen ist, die aufgrund der Einwilligung verarbeiteten personenbezogenen Daten beim Verantwortlichen nicht mehr vorhanden sind

und der Verantwortliche kein rechtliches Interesse (etwa mit Blick auf Schadensersatzprozesse, vgl. Art. 17 Abs. 3 lit. e DSGVO) mehr daran hat, den Nachweis noch führen zu können.“

Die Behörde akzeptiert hiermit als wohl auch auch eine Orientierung an Verjährungsvorschriften für Schadensersatzansprüche nach Zivilrecht. Ergänzend würde ich zudem auch noch Verjährungsvorschriften für eine Verhängung von Bußgeldern durch eine Aufsichtsbehörde (§ 31 Abs. 2 OwiG) erwähnen.

Gerade im Bereich der Einwilligung ist zudem eine Änderung im UWG für Telefonwerbung zu beachten. Am 1.10.2021 tritt ein neuer § 7a UWG in Kraft. In Abs. 1 wird vorgegeben, dass Einwilligungen für Telefonwerbung gegenüber einem Verbraucher zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Abs. 2 S. 1 aufzubewahren. Und Abs. 2 S. 1 gibt vor: „Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren„.

Brandenburg: Datenschutzrechtliche Regelung für den Einsatz digitaler Lern- und Lehrmittel sowie Videokonferenz-Tools in Schulen geplant

Posted on by

Seit der Corona-Pandemie ist in der Öffentlichkeit oft darüber diskutiert worden, dass Schulen nicht ausreichend auf diese besondere Situation vorbereitet waren. Stichwort: Digitalisierung. Mittlerweile gehört es zum Alltag vieler Schüler, Unterricht per Videokonferenz-Tools durchzuführen.

In diesem Zusammenhang spielen natürlich auch Fragen des Datenschutzes eine Rolle. Insbesondere, auf welcher Rechtsgrundlage die Schulen personenbezogene Daten von Schülern und Lehrern für die Durchführung des Remote-Unterrichts, bei dem Einsatz von Videokonferenz-Tools oder auch der Bereitstellung von Lernplattformen verwenden dürfen.

In Brandenburg haben die Regierungsfraktionen nun einen Gesetzentwurf vorgelegt, der speziell dieses Thema adressiert (LT Drs. 7/3503, PDF).

Hierfür wird vorgeschlagen, den § 65 Abs. 2 des Brandenburgischen Schulgesetzes anzupassen.

Nach Satz 1 soll folgender Satz eingefügt werden:

Dies gilt auch für den Einsatz digitaler Lehr- und Lernmittel zur pädagogischen Kommunikation mit den Schülerinnen und Schülern und ihren Eltern oder zur Durchführung schulorganisatorischer Maßnahmen.“

Mit diesem Zusatz soll die Schule eine rechtliche Befugnis im Sinne von Art. 6 Abs. 1 Satz 1 lit. e), Abs. 3 DSGVO erhalten, die die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern, deren Eltern, den Lehrkräften und dem sonstigen Schulpersonal beim Einsatz datenschutzkonformer digitaler Lern- und Lehrmittel zur pädagogischen Kommunikation, insbesondere durch Online-Lernplattformen, Tools für Videokonferenzen und schuleigene E-Mail-Adressen legitimiert.

Die Fraktionen stützen sich für ihren Vorschlag insbesondere auf die Einschätzung der Datenschutzbehörde Brandenburg. Nach deren Ansicht reicht die derzeitige Regelung des § 65 Abs. 2 nicht aus, „da die Nutzung digitaler Lehr- und Lernmittel für die Erfüllung des Erziehungs- und Bildungsauftrages nicht erforderlich ist“. Daher könne derzeit nur auf die Rechtsgrundlage der Einwilligung zurückgegriffen werden. Da die Einwilligung aber zwingend freiwillig zu erteilen ist und auch jederzeit für die Zukunft widerrufen werden kann, besteht das Problem, dass „Schülerinnen und Schüler nach aktuellem Gesetzesstand nicht zur Nutzung digitaler Lehr- und Lernmittel verpflichtet sind“.

Zudem ist die Abschaffung des Einwilligungserfordernisses nach Ansicht der Fraktionen notwendig, da es sich hierbei im Schulwesen um eine rechtlich unsichere Lösung handelt. Der Entwurf verweist hier auf ErwG 43 DSGVO, wonach die Einwilligung nicht als Rechtsgrundlage dienen kann, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht.

Mit der Anpassung des Brandenburgischen Schulgesetzes „wird klargestellt, dass der Einsatz digitaler Lehr- und Lernmittel für die Erfüllung des Erziehungs- und Bildungsauftrages erforderlich ist, sodass eine verpflichtende Nutzung ermöglicht und das Einholen von Einwilligungen obsolet wird“.

Können sich öffentliche Stellen auf den Erlaubnistatbestand der Interessenabwägung berufen?

Posted on by

Nach Art. 6 Abs. 1 S. 2 DSGVO gilt Abs. 1 lit. f „nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung“. Das bedeutet (mE auch unstreitig), dass Behörden nicht den Erlaubnistatbestand der Interessenabwägung (Art. 6 Abs. 1 lit. f) DSGVO) nutzen können, wenn die Verarbeitung „in Erfüllung ihrer Aufgaben“ erfolgt.

Gleichzeitig lässt der Wortlaut von Abs. 1 S. 2 aber durchaus die Interpretation zu, dass Behörden die Interessenabwägung nutzen können, wenn es um Verarbeitungen geht, die gerade nicht der Aufgabenerfüllung dienen. Nun mag man etwas ketzerisch fragen: dürfen denn Behörden überhaupt außerhalb der Aufgabenerfüllung tätig werden? Beantwortet man diese Frage mit „nein“, wäre Art. 6 Abs. 1 lit. f) DSGVO für Behörden tatsächlich per se gesperrt.

Ich halte auch die Ansicht, dass Art. 6 Abs. 1 lit. f) DSGVO für Behörden per se nicht greifen sollte, durchaus für begründbar. Zum einen dürfte sich in der Praxis wirklich die Frage stellen, welche Tätigkeiten eine Behörde außerhalb ihrer Aufgaben durchführt (bzw. nationalrechtlich überhaupt durchführen darf), die nicht gesetzlich geregelt sind; womit dann eher Art. 6 Abs. 1 lit. c) oder e) DSGVO ins Spiel kämen. Zum anderen kann man etwa auch argumentieren, dass die VO (EU) 2018/1725, die datenschutzrechtliche Vorgaben für EU Institutionen (also Behörden) enthält, gerade keinen solchen Erlaubnistatbestand kennt.

Andererseits wird man aber dem Grunde nach mit dem Wortlaut des Abs. 1 S. 2 begründen können, dass von der Norm eben nur die Aufgabenerfüllung ausgeschlossen ist. Daneben mögliche Verarbeitungen, die nicht direkt der Aufgabenerfüllung dienen, könnten daher auf Basis des Art. 6 Abs. 1 lit. f) DSGVO zulässig sein. Für diese Ansicht könnte auch ErwG 49 S. 1 DSGVO sprechen. Dort heißt es, dass die Verarbeitung von personenbezogenen Daten durch Behörden… in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen darstellt, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist. Hier scheint die DSGVO also ausdrücklich von einer Verarbeitung basierend auf einem berechtigten Interesse von Behörden auszugehen.

Zuletzt möchte ich für Interessierte noch einen kleinen Wochenendfund anführen. Im Rahmen der Sitzung vom 27.4.2017 (PDF, TOP 3) der Expertengruppe der Kommission zur DSGVO und zur JIRL, wurde unter den Mitgliedstaaten die oben beschrieben Frage diskutiert. Die EU Kommission positionierte sich hierbei sehr deutlich:

COM took the view that in line also with case-law and also based on the reading of the GDPR (in particular Recital 49) a public authority could use a CCTV system to protect its staff and property under the legitimate interest legal ground.”

Cookie-Einwilligungen nach dem TTDSG: Bald nur noch Buttons mit „Einwilligen“ und „Ablehnen“ zulässig?

Posted on by

Aktuell wird im Bundestag der Entwurf für ein Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG, BT Drs 19/27441, PDF) diskutiert. Bekanntlich sollen im TTDSG datenschutzrechtliche Regelungen aus dem TKG und dem TMG zusammengeführt werden. Zudem soll es in § 24 TTDSG eine neue Vorgabe zur Einwilligung beim Einsatz von Cookies und auch anderen Tracking-Technologien geben.

In diesem Zusammenhang ist die Stellungnahme des Bundesrats vom 26.3.2021 (BR Drs 163/21, PDF) ganz interessant.

In Ziff. 4 d) bittet der Bundesrat darum, dass im weiteren Gesetzgebungsverfahren im TTDSG eine Ermächtigungsgrundlage geschaffen wird

um damit für Nutzerinnen und Nutzer eine einfachere und standardisierte Handhabung in Bezug  auf die Ausgestaltung ihrer Einwilligung nach § 24 TTDSG-E zu ermöglichen.“

Diese Forderung klingt zunächst recht unverfänglich. Zumal ich mich frage, welche Art von „Ermächtigungsgrundlage“ der Bundesrat hier anspricht. Aus Sicht des Bundesrates mag es evtl. um eine Ermächtigung für die Bundesländer gehen; was aber im Ergebnis wieder die Gefahr unterschiedlicher Ansätze in der Praxis birgt.

In der Begründung zu der Forderung erläutert der Bundesrat:

Mit der zunehmenden Umsetzung dieser Regelung wird der Besuch von Internetseiten für Endnutzerinnen und Endnutzer jedoch zunehmend beschwerlicher. Um eine für Endnutzerinnen und Endnutzer einfache und schnelle Handhabe zu ermöglichen, erscheint eine einfache Gestaltung beispielsweise mithilfe von nur zwei Buttons („Einwilligen“, „Ablehnen“) zielführend.“

Die Begründung referenziert hier auf die in der Praxis zu beobachtenden Cookie-Banner bzw. Consent-Management-Tools, die von Nutzern die Wahl hinsichtlich des Einsatzes von Cookies und anderer Tracker verlangen. Dies scheint aus Sicht des Bundesrates für die Nutzer kaum noch verständlich und evtl. auch zu beschwerlich zu sein. Als Lösung („einfache und schnelle Handhabe“) schlägt der Bundesrat daher wohl eine für Unternehmen verpflichtende Gestaltung des Frontends vor. Es soll nur zwei Buttons geben: „Einwilligen“, „Ablehnen“.

Eine solch spezifische Vorgabe existiert in der ePrivacy Richtlinie und auch in der DSGVO derzeit nicht.

In der Praxis sind die Einwilligungsabfragen auf Webseiten und Apps sehr unterschiedlich gestaltet. Viele der aktuell verwendeten Pop-ups und Cookie-Banner würden die hier angedachte verpflichtende Vorgabe zur Darstellung bei der Einwilligungsabfrage wohl nicht erfüllen.

Daneben regt der Bundesrat übrigens auch die Schaffung der Möglichkeit an, dass Einwilligungen über Browsereinstellungen erteilt werden können. Neu ist diese Idee nicht. So sieht bereits ErwG 66 der RL 2009/136/ EG (mit der Art. 5 Abs. 3 RL 2002/58/EG angepasst wurde) vor: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“. Ergänzend schlägt der Bundesrat aber vor, dass solche Einstellungen im Browser jedoch  Einzeleinwilligungen als Ausnahme berücksichtigen müssten. Also, wenn ein Nutzer zB das Tracking ablehnt, für bestimmte Seiten aber doch zustimmen möchte. Dann dürfe, nach Ansicht des Bundesrats, die Browsereinstellung dies nicht unterbinden. Ganz ähnliche Themen werden im Übrigen aktuell im Rahmen der Verhandlungen zur ePrivacy Verordnung diskutiert.

Bundesregierung plant neue Dokumentationspflicht für Werbeeinwilligungen

Posted on by

In dem „Entwurf eines Gesetzes für faire Verbraucherverträge“ (BR Drs 18/21, PDF) vom 1.1.2021 schlägt die Bundesregierung in Artikel 3 die Schaffung eines neuen § 7a UWG vor. Es geht um die Einführung einer ausdrücklichen Aufbewahrungspflicht für Einwilligung im Bereich Telefonwerbung. In der Begründung wird u.a. auch mit den Vorgaben der DSGVO argumentiert.

Hier der Vorschlag:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Zuständige Behörde wäre hier die BNetzA.

Nach der Gesetzesbegründung (S. 8) sieht die Bundesregierung das Problem, dass in zivilrechtlichen Verfahren und auch nach Art. 7 Abs. 1 DSGVO der Werbende die Darlegungs- und Beweislast für das Vorliegen einer Einwilligung trage. Jedoch müsse im Ordnungswidrigkeitenverfahren zunächst die Behörde den Nachweis der Tatbestandsverwirklichung erbringen, zum Beispiel durch Zeugenbefragungen. Dies gestalte die Verfahren umfangreich und kompliziert.

Interessant ist auch der Hinweis auf die Argumente der werbenden Unternehmen. Diese

versuchen sich dabei zum Teil zu entlasten, indem sie behaupten, die Einwilligungserklärung habe aus Gründen des Datenschutzes nicht länger aufbewahrt werden dürfen und sei daher vernichtet worden“.

Diese Begründung würde ich aus datenschutzrechtlicher Sicht tatsächlich auch nicht verstehen. Denn als Verantwortlicher bin ich sowohl nach Art. 7 Abs. 1 DSGVO als auch allgemein nach Art. 5 Abs. 2 DSGVO zum Nachweis der Zulässigkeit der Datenverarbeitung verpflichtet. Selbst von Datenschutzbehörden ist akzeptiert, dass ich zum Nachweis einer einmal erteilten Einwilligung die erforderliche Dokumentation länger aufbewahren darf. Personenbezogene Daten (in der Einwilligung) dürfen auf der Grundlage von Artt. 6 Abs. 1 lit. c, 7 Abs. 1 DSGVO aufbewahrt werden, so etwa der BayLfD (28. TB, Ziff. 2.3):


Diese personenbezogenen Daten werden durch den Verantwortlichen freilich nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO“.

Zurück zum Gesetzesentwurf. Durch Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher soll die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden.

Fraglich ist jedoch, ob der neu vorgesehene § 7a UWG mit der DSGVO, konkret mit Art. 7 Abs.1 DSGVO, vereinbar ist. Denn das UWG kennt ja keinen eigenen Einwilligungsbegriff, sondern die relevante RL 2002/58/EG verweist auf die alte RL 95/46/EG, die nun durch die DSGVO ersetzt wurde. Nun sollen aber im UWG spezifische Anforderungen an die Dokumentation der Einwilligung aufgenommen werden, die so nicht in der unmittelbar anwendbaren DSGVO festgelegt sind (insbesondere etwa die Dauer von 5 Jahren).

Die Bundesregierung sieht in § 7a UWG-E kein Problem. In der Gesetzesbegründung (S. 13) geht sie davon aus, dass die neue Norm „Artikel 7 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vereinbar“ ist.

Nach Ansicht der Bundesregierung stellt die Regelung „eine spezielle Ausfüllung der Beweislastverteilung der in Artikel 7 Absatz 1 DSGVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar“. Hinsichtlich des § 7a Abs. 1 UWG-E, mag man dies noch verstehen. Denn es wird tatsächlich keine bestimmte Form für die Einwilligung selbst oder den Nachweis vorgegeben. Auch die DSGVO kennt keine Formanforderungen der Einwilligung. Fraglich könnte aber sein, ob die Pflicht zur Aufbewahrung für 5 Jahre nach Abs. 2 so von Art. 7 Abs. 1 DSGVO gedeckt ist. Die DSGVO sieht keine konkreten Zeiträume vor, wie lange Dokumente aufzubewahren sind, um der Rechenschaftspflicht zu genügen. Dies wird man dann sowohl als Pro- als auch als Contra-Argument nutzen können. Diskutabel ist der Punkt meines Erachtens aber schon.

Klar ist aber aus Unternehmenssicht auch, wenn § 7a UWG-E in dieser Form kommt, dass dann § 7a Abs. 2 UWG-E iVm Art. 6 Abs. 1 lit. c DSGVO eine Rechtsgrundlage für die Aufbewahrung der Einwilligungsdokumente und darin enthaltener personenbezogener Daten darstellt.

Berliner Senat: Datenschutzrechtliche Rechtsgrundlage für Einsatz von digitalen Lernplattformen und Videokonferenzdiensten in Schulen

Posted on by

Das Thema „Schulen und Datenschutz“ ist gerade in der aktuellen Situation ein vieldiskutiertes Thema. Schwerpunkt der öffentlichen Diskussion ist vor allem der Einsatz von Videokonferenzdiensten durch Schulen, mit denen der Unterricht außerhalb der Schulen durchgeführt werden soll.

Wohl auch aus diesem Grund hat im Abgeordnetenhaus von Berlin der Abgeordnete Freymark (CDU) eine schriftliche Anfrage mit dem Titel „Voraussetzungen des digitalen Schulunterrichts in Berlin“ gestellt, auf die nun die Senatsverwaltung für Bildung, Jugend und Familie geantwortet hat (Drs. 18/25974, PDF). U.a. geht es in den Fragen auch um den Datenschutz und die Zulässigkeit des Einsatzes von Videokonferenzdiensten durch Schulen, wenn hierbei personenbezogene Daten von Schülern verarbeitet werden (was rein faktisch zwangsläufig der Fall ist).

Auf die Frage, bis wann der Senat vorsieht, „eine verbindliche Rechtsgrundlage für den digitalen Schulunterricht, inklusive der dafür nötigen Einverständniserklärungen, zu schaffen“ antwortet die Senatsverwaltung wie folgt.

Es steht mit den datenschutzrechtlichen Regelungen des Schulgesetzes (§ 64 Absatz 1 SchulG) eine ausreichende Rechtsgrundlage für Schulen zur Verarbeitung von personenbezogenen Daten der Schülerinnen und Schüler beim Einsatz von Lernplattformen sowie zur Nutzung von Videokonferenzdiensten in der derzeitigen COVID-19 Pandemiesituation zur Verfügung“.

§ 64 Abs. 1 SchulG sieht vor: Die Schulen einschließlich der Einrichtungen des Zweiten Bildungswegs, die Schulbehörden und die Schulaufsichtsbehörde dürfen personenbezogene Daten von Schülerinnen und Schülern, ihren Erziehungsberechtigten, Lehrkräften und sonstigen schulischen Mitarbeiterinnen und Mitarbeitern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen schulbezogenen Aufgaben erforderlich ist.

Die Senatsverwaltung geht also offensichtlich davon aus, dass das Angebot und die Durchführung von Fernunterricht über Lernplattformen bzw. auch der Einsatz von Videokonferenzdiensten Teil der schulbezogenen Aufgaben ist. Daher ist eine hierfür erforderliche Datenverarbeitung von dem allgemeinen Erlaubnistatbestand des Abs. 1 gedeckt.

Kurz zu der Vorschrift des § 64 Abs. 1 SchulG. Dieser wurde im Rahmen des Entwurfs eines Schulgesetzes für das Land Berlin (Dr. 15/1842, PDF) im Jahre 2003 eingeführt. In der Begründung zu der Norm heißt es: „Absatz 1 benennt die Stellen, die im Hinblick auf ihre gesetzlichen Aufgabenzuweisungen im Schulwesen das Recht und die Pflicht zu der jeweils notwendigen Verarbeitung personenbezogener Daten haben. Die Verarbeitung ist zweckgebunden zur Erfüllung der den zuständigen Stellen zugewiesenen schulbezogenen Aufgaben“.

Die Rechtsgrundlage wurde auch nach Anpassung anderer Landesgesetze an die Vorgaben der DSGVO nicht verändert. Auch aus der Begründung zu dem damaligen Gesetz ergibt sich, dass die Datenverarbeitung aufgabenbezogen zu verstehen ist. In Kombination mit der Antwort der Senatsverwaltung wird deutlich, dass das Angebot und der Einsatz von Videokonferenzdiensten als Teil der gesetzlichen Aufgabenzuweisung zu verstehen ist. In diesem Zusammenhang dürfen Schulen daher auch personenbezogene Daten der Schüler/innen verarbeiten.

Interessant und gleichzeitig verwirrend ist dann aus meiner Sicht aber die weitere Antwort der Senatsverwaltung: „Als datenschutzrechtliche Rechtsgrundlage beim Einsatz von Lernplattformen kommt auch eine freiwillige Einwilligungserklärung der betroffenen Personen in Betracht“.

Man geht hier also davon aus, dass (wohl alternativ) auch eine datenschutzrechtliche Einwilligung als Rechtsgrundlage dienen kann. Positiv aus Sicht der Schulen ist hieran sicher die Aussage, dass auch in einem Verhältnis zwischen Schule – Schüler nicht per se ausgeschlossen ist, dass eine freiwillige Einwilligung erteilt werden kann. Wenn jedoch die Einwilligung wirklich eine Einwilligung nach der DSGVO sein soll, dann müsste sie auch widerrufbar sein (für die Zukunft). Diese Möglichkeit passt meines Erachtens nicht mit der Ansicht der Senatsverwaltung zusammen, dass es hier um die gesetzliche Aufgabenerfüllung der Schulen geht. Denn wie soll (im schlimmsten Fall) eine Schule ihre Aufgabe erfüllen, wenn Schüler ihre Einwilligungen widerrufen. Dann würde es an der datenschutzrechtlichen Rechtsgrundlage für die Verarbeitung fehlen. Besser wäre hier, auch im Sinne der Rechtssicherheit für Schulen, direkt und nur die gesetzliche Aufgabenerfüllung als Rechtsgrundlage zu nutzen.

Leider wird in der Anfrage und auch in der Antwort nicht auf das umstrittene Thema der Zulässigkeit von Datentransfers in Länder außerhalb der Europäischen Union bei dem Einsatz von Videokonferenzdiensten eingegangen. Dazu ein kleiner Gedanke von mir: wenn die Senatsverwaltung von der Möglichkeit der Einwilligung durch Schüler ausgeht, dürfte es eigentlich kein Problem sein, auch für Datentransfers in Drittstaaten eine Einwilligung einzuholen und so die Anforderungen der Ausnahmeregelung des Art. 49 Abs. 1 lit. a DSGVO zu erfüllen. Natürlich besteht dann aber auch die Möglichkeit des Widerrufs.

Referentenwurf zum TTDSG – Cookies, Einwilligungsmanagement und Registrierungspflicht im Internet?

Posted on by

Heute das das BMWi einen neuen Referentenentwurf für ein Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien veröffentlicht (pdf). Bis zum 22.1.2021 können Stellungnahmen an das BMWi abgegeben werden.

Ziel des Entwurfs ist es, ein abgeschlossenes Spezialgesetz zum Datenschutz und zum Schutz der Privatsphäre im Bereich der Telekommunikation und den Telemedien (also zB Apps und Webseiten) zu schaffen. Man möchte vor allem auch Rechtssicherheit für Unternehmen schaffen, die aktuell mit verschiedensten Datenschutzvorgaben aus mehreren Gesetzen (DSGVO, TMG und TKG) umgehen müssen. Europarechtlich spielen hierbei vor allem die RL 2002/58/EG (inkl. der Änderungen durch die RL 2009/136/EG) sowie die RL 2018/1972/EG eine wichtige Rolle.

Nachfolgend möchte ich keine allgemeine Stellungnahme abgeben, sondern nur auf ein paar interessante Aspekte des Entwurfs eingehen, die zum Teil aber noch gar nicht im Entwurf selbst enthalten sind.

Vorgaben für den Einsatz von Cookies

Mit § 22 TTDSG möchte das BMWi die Vorgaben des Art. 5 Abs. 3 RL 2002/58/EG umsetzen. Dieser verlangt von den Mitgliedstaaten, sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Endnutzer seine Einwilligung gegeben hat. Diese Regelung begegnet uns in der Praxis immer im Zusammenhang mit dem Einsatz von Cookies und anderen Trackingtechnologien. Kürzlich haben sich zur deutschen Rechtslage auch der EuGH (C-673/17) und der BGH (I ZR 7/16) geäußert.

Der Entwurf sieht vor, dass der aktuell geltende § 15 TMG komplett aufgehoben wird. Hierfür soll der neue § 22 TTDSG geschaffen werden, der sich sehr stark an der europäischen Vorgabe orientiert:

Abs. 1: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer klar und umfassend unter anderem über die Zwecke der Verarbeitung informiert wurde und er seine Einwilligung erteilt hat“.

Wie auch Art. 5 Abs. 3 RL 2002/58/EG sieht § 22 in Abs. 2 und 3 Ausnahmen vom Einwilligungserfordernis vor. Die Begründung hierzu: § 22 TTDSG stellt klar, dass der Endnutzer davor geschützt ist, dass Dritte unbefugt auf seiner Endeinrichtung Informationen speichern oder auslesen und dadurch seine Privatsphäre verletzen (S. 32).

Besonders relevant für den Einsatz von Trackingtechnologien ist § 22 Abs. 3 TTDSG:

Absatz 1 gilt nicht, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können“.

Für uns würde dies bedeuten, dass mit § 22 Abs. 1 TTDSG generell eine Einwilligungspflicht vorgeschrieben wird, die in den in Abs. 2 und 3 benannten Ausnahmefällen nicht greift. Dann dürfen zB Cookies auch ohne Einwilligung gesetzt werden.

In der Praxis wird die Diskussion sich dann vor allem um die Frage drehen, wann ein Zugriff auf Daten in einem Endgerät unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können. Bespiele hierfür sind der klassische Warenkorb-Cookie oder auch Authentifzierung-Cookies. Es gibt aber noch einige andere relevante Fallgruppe, die u.a. auch von europäischen Datenschutzbehörden als solche anerkannt sind (kleiner Spoiler: in einem der nächsten Hefte der Zeitschrift ZD wird es hierzu einen Aufsatz von Jasmin Kühner und mir geben).

Einwilligungsmanagement

Neu und daher besonders spannend ist die Idee des BMWi, Vorschriften zum Einsatz sog. Personal Information Management Services – PIMS zu schaffen. Im aktuellen Entwurf ist hierzu noch keine Regelung enthalten. Daher ist die Begründung auf S. 23 des Entwurfs leider nicht korrekt: „Es wird eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) geschaffen.“

Auf der Webseite des BMWi zu Anhörung findet sich jedoch die Aufforderung, genau zu diesem Thema Stellungnahmen abzugeben.

Das BMWi überlegt, evtl. doch noch eine Regelung zu „Regelungen zu Datenmanagementsystemen und „Personal Information Management-Services“ (PIMS)“ aufzunehmen. Die Idee ist nicht komplett neu, wie sich etwa aus ErwG 21 des Entwurfs der Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz) der EU-Kommission ergibt: „Solche Strukturen können die Dateninhaber beim Einwilligungsmanagement unterstützen, wenn beispielsweise für bestimmte Bereiche der wissenschaftlichen Forschung die Einwilligung unter der Voraussetzung gegeben wird, dass anerkannte Standards der Ethik für die wissenschaftliche Forschung eingehalten werden.“

Meiner Ansicht nach ist die Aufnahme einer Regelung hierzu im TTDSG deswegen aber nicht per se ausgeschlossen. Denn das Daten-Governance-Gesetz zielt vor allem auf Daten im öffentlichen Sektor. Daneben werden zwar auch Regelungen für den C2B Kontext geschaffen (also, wenn Nutzer ihre Daten an Unternehmen weitergeben wollen). Relevant ist hier die Tätigkeit sog. „Vermittlungsdienste“ nach Art. 9 Abs. 1 lit. b und die Bedingungen für die Erbringung solcher Vermittlungsdienste in Art. 11.

Ob und wie dieser Entwurf am Ende aber verabschiedet wird, ist derzeit aber nicht klar. Da wäre man auch nationaler Ebene sicher schneller. Natürlich käme es am Ende auf die konkreten Vorgaben im TTDSG an. Aber ein Novum wären solche Vorgaben für die Tätigkeit von Diensten zur Verwaltung persönlicher Informationen schon.

Registrierungspflicht im Internet?

Ein „heißes Eisen“ fasst das BMWi auf seiner Webseite ebenfalls an. Nach aktueller Gesetzeslage (§ 13 Abs. 6 TMG) müssen Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonymen ermöglichen, soweit dies technisch möglich und zumutbar ist. Diese Regelung würde man im Grundsatz übernehmen.

Nun verweist das BMWi aber auf die Forderungen des BMI und auch der Innenministerkonferenz. Diese sprechen sich für gesetzliche Vorgaben zur Identifizierung zur Verifikation des Nutzers aus (Beschlussniederschrift der Frühjahrskonferenz, Juni 2020, zu Tagesordnungspunkt 24, PDF). Dort wurde beschlossen, dass das BMI sich innerhalb der Bundesregierung für eine Gesetzesinitiative mit dem Ziel der eindeutigen Identifizierbarkeit strafrechtlich Verantwortlicher im Bereich der (Hass-)Kriminalität im Internet einzusetzen“ soll. Es wird zudem auf eine Initiative der Ländern Niedersachsen und Mecklenburg-Vorpommern im Bundesrat verwiesen (BR Drs. 70/20, PDF). Dieser Antrag wurde jedoch nicht weiterverfolgt.

Nun stellt das BMWi folgende Möglichkeit auf regulatorischer Ebene in den Raum:

Möglich wäre die Einführung einer entsprechenden Verpflichtung von Anbietern von Telemedien zur Erhebung und Verifizierung von Name, Adresse und Geburtsdatum nach dem Vorbild der bereits für Telekommunikationsdiensteanbieter geregelten entsprechenden Pflicht bei Prepaid-Mobilfunkdiensten (§ 111 Absatz 1 Satz 3, § 171 Absatz 2 TKG-Entwurf). Dabei würde jeder Nutzer weiterhin selbst entscheiden können, ob er unter einem Pseudonym oder unter seinem Namen im Internet auftritt“.

Meines Erachtens muss man den Vorschlag scheibchenweise analysieren.

Zum einen denkt das BMWi an eine Verpflichtung für „Telemedienanbieter“. Das bedeutet gleichzeitig auch, dass der Zugang zum Internet an sich nicht betroffen wäre, aber natürlich die dortigen Angebote.

Zum anderen ist die hier angedachte Pflicht aber sogar umfassender als damals der Vorschlag im Bundesrat. Dort ging es um „Anbieter sozialer Netzwerke und Anbieter von Spieleplattformen“.

Zuletzt sieht das BMWi aber vor, dass die Kommunikation nach außen, also das Auftreten im virtuellen Raum, weiterhin pseudonym erfolgen könnte. Die Identifizierung soll also „nur“ gegenüber dem Diensteanbieter erfolgen, der diese Daten dann quasi intern vorhält. Ein Nutzerprofil oder einen Account, sollen Nutzer aber weiterhin unter Pseudonym führen können. Eventuell könnte man die angedachte Identifizierungspflicht daher auch als „Identifizierung light“ bezeichnen. So wie ich den Diskussionsvorschlag des BMWi verstehe, geht es um eine Identifizierung durch das Unternehmen (und dann wohl sicher auch um eine mögliche Weitergabe der Daten für Strafverfolgungszwecke).

DSGVO-Bußgeld ohne Sachverhaltsermittlung?

Posted on by

Heute hat die Niedersächsische Datenschutzbehörde bekannt gegeben, dass sie ein Bußgeld in Höhe von über 10 Mio Euro gegen die notebooksbilliger.de AG verhängt hat. Inhaltlich soll es um eine länger andauernde Videoüberwachung von Mitarbeitern gehen, die nach Ansicht der Behörde unzulässig erfolgte.

Das Unternehmen hat sich ebenfalls öffentlich zu dem Bußgeld geäußert und wird gegen den Bescheid vorgehen.

Ich möchte mich hier zu diesem konkreten Verfahren gar nicht äußern. Wir werden (sollte die LfD den Bescheid nicht aufheben) wohl sicher noch eine gerichtliche Entscheidung in dieser Sache erleben.

Auf welchen praxisrelevanten Aspekt ich hinweisen möchte, ist der Vorwurf von notebooksbilliger.de an die LfD, dass die Behörde nicht selbst vor Ort war und die Kamerasysteme in Augenschein genommen hat. Auf der Webseite des Unternehmens heißt es:

Zu keinem Zeitpunkt war das Videosystem darauf ausgerichtet, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Das von der Datenschutzbeauftragten suggerierte Klima der Furcht ist eine haltlose Unterstellung und gefährdet unseren Ruf.

Außerdem hat trotz mehrmaliger Einladung durch NBB kein Mitarbeiter der Behörde in den Lagern oder Versandzentren des Unternehmens mit Mitarbeitern gesprochen. Es wurde sich also weder ein Bild von den Kameras gemacht noch über Arbeitsprozesse und die Unternehmenskultur informiert“.

Untersuchungsgrundsatz nach VwVfG

Im Kern steht hier also der Vorwurf im Raum, dass die Aufsichtsbehörde ihre Pflicht zu Ermittlung des entscheidungserheblichen Sachverhalts (Untersuchungsgrundsatz, § 24 VwVfG) verletzt hat. Diese verwaltungsrechtliche Anforderung entstammt nicht dem Datenschutzrecht, aber ist selbstverständlich von den Datenschutzbehörden zu beachten. Daher ist dieser Aspekt (des möglicherweise anstehenden gerichtlichen Verfahrens) auch generell für Unternehmen von Bedeutung, wenn sie sich einer Untersuchung durch Datenschutzbehörden ausgesetzt sehen.

Es wird davon ausgegangen, dass die Ermittlung des entscheidungserheblichen Sachverhalts eine originäre Pflicht der zuständigen Behörde ist. Hierzu kann sie sich auch der Hilfe Dritter bedienen.

Speziell datenschutzrechtlich sieht die DSGVO eine Befugnis der Datenschutzbehörden vor, die mit der Pflicht zur Sachverhaltsermittlung korreliert. Nach Art. 58 Abs. 1 lit. f DSGVO ist die Datenschutzbehörde etwa befugt, nach dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. Diese Befugnis dient gerade dazu, eine Prüfung der Einhaltung der DSGVO vornehmen zu können.

Folge bei unterbliebener Ermittlung

Der Vorwurf des Unternehmens lautet hier, dass die Behörde nicht vor Ort war, um die Kameraanlage zu prüfen. Nun könnte man evtl. argumentieren, dass eine Inaugenscheinnahme nicht zwingend erforderlich ist, wenn man stattdessen Kamerapläne und weitere Beschreibungen oder Fotos erhält. Gerade bei dem Einsatz von Kameras erscheint meines Erachtens aber der persönliche Eindruck vor Ort durchaus von Relevanz zu sein. Nicht umsonst gibt es ja viele Urteile, die allein die Wirkung von Kameraattrappen ausreichen lassen, um eine Verletzung von Persönlichkeitsrechten anzunehmen.

Geht man davon aus, dass die Behörde den Untersuchungsgrundsatz aus § 24 VwVfG verletzt hat, muss man auf der Rechtsfolgenseite trennen.

Per se ist die mangelhafte Sachverhaltsermittlung nicht selbstständig anfechtbar, sondern nur bei einem Vorgehen gegen die Sachentscheidung (§ 44a VwGO).

Bei fehlender oder mangelhafter Aufklärung des Sachverhalts liegt ein Verfahrensfehler in Bezug auf den jeweiligen Verwaltungsakt vor, der aber „nur“ zu einer formellen Rechtswidrigkeit führt. Eine Aufhebung kommt dann nur unter den gesteigerten Voraussetzungen des § 46 VwVfG in Betracht.

Aber, und dies ist für die materielle Rechtmäßigkeit der Entscheidung relevant: wenn der Sachverhalt mangelhaft ermittelt ist, kann sich dies bei einer Ermessensentscheidung auf die materielle Rechtmäßigkeit des Verwaltungsaktes auswirken. Aber: ein Ermessensfehler liegt grunsätzlich erst dann vor, wenn die Behörde tatsächlich vorhandene entscheidungserhebliche Gesichtspunkte außer acht gelassen oder falsch gewichtet hat.

Eine Entscheidung aus dem Datenschutzrecht (wenn auch noch zum BDSF aF) gibt es zu diesem Thema etwa vom VG Gelsenkirchen (Beschl. v. 14.10.2013 – 17 L 304/13). Dort wurde (im Eilverfahren) gegen einen Bescheid der Datenschutzbehörde NRW vorgegangen. Aus der Begründung des Gerichts:

Es ist anerkannt, dass die rechtsfehlerfreie Ermessensausübung als Grundlage einer Entscheidung die zutreffende und vollständige Sachverhaltsermittlung voraussetzt. Denn die Verwaltung kann ihren Entscheidungsfreiraum nur sachgerecht nutzen, wenn sie den wesentlichen Sachverhalt kennt“.

Und weiter:
Ermessensfehlerhaft sind daher Entscheidungen, wenn die Behörde von unzutreffenden tatsächlichen Voraussetzungen oder einer unvollständigen Sachverhaltsvorstellung ausgeht“.

In diesem Verfahren gab das Gericht dem Antragsteller recht und erkannte den Bescheid der Datenschutzbehörde bei summarischer Prüfung als materiell rechtswidrig an. Wegen Verstoßes gegen § 24 VwVfG und dessen Auswirkung auf die Ermessenentscheidung der Behörde.

Gemessen hieran begründen bereits die vorstehend angeführten Unklarheiten hinsichtlich des rechtlich relevanten Sachverhalts die Ermessensfehlerhaftigkeit des angefochtenen Bescheides“.

Auch die Verhängung eines Bußgeldes nach Art. 59 Abs. 2 lit. i, 83 DSGVO steht im Ermessen der Datenschutzbehörde (vgl. etwa VG Ansbach, Urt. v. 16.3.2020 – AN 14 K 19.00464).

Fazit

Sollte sich in einem gerichtlichen Verfahren wirklich herausstellen, dass hier der Untersuchungsgrundsatz nicht beachtet wurde, bestehen also durchaus Chancen dafür, dass der Bescheid der Behörde wegen Ermessensfehlerhaftigkeit aufgehoben wird. Unternehmen sollten diesen, zunächst evtl. rein förmlich anmutenden Aspekt, daher stets im Rahmen von behördlichen Verfahren beachten.