Verwaltungsgericht Stade: Kein Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO bei unsubstantiierten Angaben

Mit Beschluss vom 9.10.2018 (Az. 1 B 1918/18) hat das Verwaltungsgericht Stade eine interessante Entscheidung zum „Recht auf Einschränkung der Verarbeitung“ nach Art. 18 DSGVO getroffen.

Sachverhalt

In dem Fall ging es um den Antrag eines abgelehnten Asylbewerbers gegen eine Behörde. Der Antragsteller begehrte die Einschränkung der Verarbeitung ihn betreffender personenbezogener Daten. Konkret ging es dem Antragsteller darum, dass die Behörde die Angabe „Staatsangehörigkeit: Guinea“ entweder berichtigen oder zumindest sperren sollte. Der Antragsteller stamme nämlich aus Sierra Leone.

Entscheidung

Das VG Stade lehnte den Antrag auf Erlass einer einstweiligen Anordnung ab. Als Anspruchsgrundlage für die begehrte Einschränkung der Verarbeitung der die Staatsangehörigkeit des Antragstellers betreffenden personenbezogenen Daten komme nur Art. 18 DSGVO in Betracht.

Diese Voraussetzungen lagen (bei der gebotenen summarischen Prüfung) jedoch nicht vor.

Im Folgenden prüft das VG Stade die verschiedenen Voraussetzungen der Tatbestände des Art. 18 Abs. 1 DSGVO ab. Ein Anspruch auf Einschränkung der Verarbeitung folge zunächst nicht aus Art. 18 Abs. 1 lit. a) DSGVO. Der Antragsteller habe die Richtigkeit der ihn betreffenden Daten nämlich nicht i.S.d. Art. 18 Abs. 1 lit. a) DSGVO „bestritten“.

Das „Bestreiten“ der Richtigkeit der personenbezogenen Daten setze voraus,

dass der Betroffene gegenüber dem Verantwortlichen substantiierte Angaben zur angeblichen Unrichtigkeit der verarbeiteten Daten macht (sog. qualifiziertes Bestreiten). Ein Bestreiten ohne Anhaltspunkte, mit dem die betroffene Person eine Verarbeitung möglicherweise richtiger, aber für sie nachteiliger Daten verhindern möchte, reicht nicht aus.

Diesen Anforderungen wurde der Antragsteller nicht gerecht. Der Antragsteller gab lediglich an, aus Sierra Leone zu stammen, bestreitet die Richtigkeit des Datums „Staatsangehörigkeit: Guinea“ und verweist darauf, dass ein Passersatzpapier für Guinea vom Antragsgegner rechtswidrig erlangt worden sei.

Dies reicht dem VG Stade jedoch nicht aus, um ein „Bestreiten“ anzunehmen. Insbesondere wird darauf verwiesen, dass etwaige Nachweise, aus denen sich die Staatsangehörigkeit ergibt, nicht vorgelegt wurden.

So dann stellt das VG Stade fest, dass ab Mitteilung einer Ablehnung einer auf Art. 18 Abs. 1 lit. a) DSGVO fußenden Berichtigung Art. 18 Abs. 1 lit. a) DSGVO grundsätzlich nicht mehr eingreife. Stattdessen kann die betroffene Person, wenn die Verarbeitung unrichtiger Daten rechtswidrig ist, ab der Ablehnung das Einschränkungsrecht nach Art. 18 Abs. 1 lit. b) DSGVO geltend machen.

Jedoch lehnt das VG Stade auch hier das Vorliegen der Voraussetzungen ab. Art. 18 Abs. 1 lit. b) DSGVO eröffne dem Betroffenen im Falle einer rechtswidrigen Verarbeitung ein Wahlrecht zwischen dem Löschungsrecht nach Art. 17 DSGVO und dem Einschränkungsrecht nach Art. 18 Abs. 1 lit. b) DSGVO. Der Betroffene kann die Löschung ablehnen und stattdessen, also nur alternativ die Einschränkung verlangen.

Jedoch verweist das VG Stade auch hier darauf, dass der Antragsteller nicht substantiiert geltend gemacht habe, dass die Datenverarbeitung durch den Antragsgegner i.S.d. Art. 18 Abs. 1 lit. b) DSGVO „unrechtmäßig“ erfolgt. Insbesondere sei nicht ersichtlich, dass der Antragsgegner im Hinblick auf den Antragsteller entgegen Art. 5 Abs. 1 lit. d) DSGVO sachlich unrichtige Daten zu seiner Staatsangehörigkeit verarbeite. Das VG Stade geht also auch nicht von einem Verstoß gegen Datenschutzgrundsätze aus.

Zuletzt lehnt das VG Stade den Anspruch auf Einschränkung auch auf der Grundlage von Art. 18 Abs. 1 lit. d) DSGVO ab.

Das darin angelegte Einschränkungsrecht setzt tatbestandlich voraus, dass ein Widerspruchsrecht nach Art. 21 DSGVO besteht. Das ist hier jedoch nicht der Fall. Ein Widerspruchsrecht existiert nach Art. 21 Abs. 1 Satz 1 DSGVO nur gegen die Verarbeitung personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt. Im Falle des Antragstellers erfolgt die Verarbeitung seiner personenbezogenen Daten allerdings zur Erfüllung einer rechtlichen Verpflichtung und damit nach Art. 6 Abs. 1 lit. c) DSGVO. Die rechtliche Verpflichtung des Antragsgegners zur Verarbeitung der personenbezogenen Daten des Antragstellers, insbesondere des Datums der Staatsangehörigkeit folge u.a. aus §§ 62, 63, 64 Abs. 1 Nr. 7 der – auf der Grundlage von § 99 Abs. 2 AufenthG erlassenen – Aufenthaltsverordnung (AufenthV).

Die Entscheidung des VG Stade befasst sich mit einem der eher „unspektakulären“ Betroffenenrecht. Gerade aus diesem Grund ist die inhaltliche Prüfung der Voraussetzungen und auch die Auslegung der Anforderungen er DSGVO durch das Gericht so relevant.

Update zu Fanpages: Facebook stellt erforderliche Vereinbarung zur Verfügung

Gestern habe ich über den aktuellen Beschluss der deutschen Datenschutzbehörden zum Betrieb von Fanpages berichtet. Die deutschen Behörden haben darin u.a. festgestellt, dass der Betrieb einer Fanpage rechtswidrig ist, wenn nicht mit Facebook die erforderliche Vereinbarung nach Art. 26 DSGVO zur gemeinsamen Verantwortlichkeit geschlossen wird.

Facebook hat, praktisch über Nacht, reagiert und stellt nun ein Dokument mit dem Titel „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ zur Verfügung. Zwar wird nicht ausdrücklich darauf verwiesen, dass es sich hierbei um die Vereinbarung zur gemeinsamen Verantwortlichkeit nach der DSGVO handelt. Jedoch ergibt sich dies aus dem Text. Art. 26 DSGVO verlangt auch per se keine spezielle Benennung der Vereinbarung.

Das Addendum gilt für den Fall, dass ein Seitenbetreiber die Funktion „Seiten-Insights“ nutzt. Hierbei handelt es sich um die Möglichkeit, statistische Auswertungen der Nutzung der Fanpage anzuzeigen.

Viel wichtiger für Seitenbetreiber ist natürlich, ob die Vereinbarung nun genutzt werden kann, um damit den Anforderungen der DSGVO gerecht zu werden. Die gesetzlichen Anforderungen an die Vereinbarung stellt Art. 26 Abs. 1 DSGVO auf. In der Vereinbarung muss

  • in transparenter Form festgelegt werden,
  • wer von den gemeinsam Verantwortlichen welche Verpflichtung gemäß der DSGVO erfüllt.

Insbesondere, was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13 und 14 DSGVO nachkommt. Zudem kann in der Vereinbarung eine Anlaufstelle für die betroffenen Personen angegeben werden.

Laut der Vereinbarung sind der Seitenbetreiber mit Facebook Ireland gemeinsam Verantwortliche für die Verarbeitung von Insights-Daten. Das Addendum bezieht sich also nicht auf jegliche Datenverarbeitung über eine Fanpage, sondern nur auf jene Daten, die zur statistischen Auswertung genutzt werden.

Zudem wird festgelegt, dass Facebook Ireland die primäre Verantwortung gemäß der DSGVO für die Verarbeitung von Insights-Daten übernimmt.

Im Hinblick auf die nach der DSGVO zu erfüllenden Pflichten, insbesondere der Rechte der Betroffenen nach den Art. 12 bis 22 DSGVO, stimmt Facebook Ireland zu

sämtliche ihr gemäß DSGVO obliegenden Pflichten im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO)“.

Facebook wird sich also um die Erfüllung der Rechte der Betroffenen kümmern, soweit es die Insights Daten betrifft. Meines Erachtens ist dieser Passus aber leider noch nicht ganz deutlich. Denn es wird auf die „ihr…obliegenden Pflichten“ verwiesen, also die Pflichten der Facebook Ireland. Dann stellt sich natürlich unweigerlich die Frage, was mit den gesetzlichen Pflichten der Seitenbetreiber nach den Art. 12 bis 22 DSGVO passiert? Denn Informationspflichten obliegen den Seitenbetreibern auch. In der Vereinbarung nach Art. 26 DSGVO kann geregelt werden, wer sich um die Erfüllung dieser Pflichten für beide Verantwortliche kümmert. Den obigen Passus kann man wohl einerseits so lesen, dass er sich nur auf die Pflichten bezieht, die Facebook treffen, oder doch auch die Pflichten umfasst, die für die Seitenbetreiber gelten und im Innenverhältnis dann von Facebook erfüllt werden. Sinn macht für dieses Addendum eigentlich nur die letztgenannte Auslegung. Eine etwas klarere Formulierung wäre hier sicher hilfreich. UPDATE: Facebook hat das Addendum in genau diesem Punkt angepasst. Es wird nun auf “sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten” verwiesen, also nicht mehr nur auf die Facebook Ireland treffenden Pflichten.

Zu beachten ist, dass jeder Seitenbetreiber daneben selbst dafür Sorge tragen muss, dass die Verarbeitung der Insights-Daten auf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO beruht. Unternehmen müssen sich also Gedanken dazu machen, welcher Erlaubnistatbestand für die Erhebung personenbezogener Daten für den Zweck der statistischen Auswertung genutzt werden kann. In Betracht dürfte hier vor allem die Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO kommen.

Nach Art. 26 Abs. 2 DSGVO muss die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung muss der betroffenen Person zur Verfügung gestellt werden.

In dem Addendum verpflichtet sich Facebook dazu, das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen. Damit ist die gesetzliche Vorgabe auch erfüllt. Jedoch ist aktuell noch kein Link oder Hinweis vorhanden, wo man als betroffene Person diese Informationen findet.

Das Addendum enthält keine Regelungen zur Haftung im Innenverhältnis zwischen Seitenbetreiber und Facebook. Eine solche Regelung ist auch nicht zwingend in Art. 26 DSGVO vorgesehen, wäre aber zwischen den Parteien durchaus möglich.

Interessant an der Ergänzung ist, dass in dem Addendum vereinbart wird, dass Facebook Ireland in der EU die Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche ist. Diese Formulierung bezieht sich auf die in Art. 4 Nr. 16 DSGVO definierte „Hauptniederlassung“ von der im Rahmen des One-Stop-Shop Prinzips der DSGVO abhängig gemacht wird, welche Datenschutzbehörde in Europa bei grenzüberschreitenden Verarbeitungen als „federführende Behörde“ agiert (Art. 56 DSGVO). Für die Datenverarbeitung der Insights-Daten ist, nach der vorliegenden Regelung, dann die Datenschutzbehörde in Irland europaweit zuständig.

Wie dieses Addendum Bestandteil von Verträgen zwischen Facebook und Seitenbetreibern wird, ist in der Ergänzung nicht konkret beschrieben. Im Grunde kann man sich folgende Szenarien vorstellen:

  • Existierende Kunden (Unternehmen mit Fanpages) werden über die Ergänzung informiert und diese wird, durch weitere Nutzung, Teil des Vertrages (so wohl auch die Information von Facebook im Unternehmensblog).
  • Neue Kunden schließen dieses Addendum bei der Registrierung der Fanpage mit ab.

Jetzt muss man sehen, wie und ob die Aufsichtsbehörden reagieren werden. Unternehmen sollten auf jeden Fall beachten, dass der in dem neuen Beschluss der DSK enthaltene Fragenkatalog noch weitere Fragen enthält, die ein Seitenbetreiber im Zweifel beantworten können sollte.

Verordnung über den freien Verkehr nicht personenbezogener Daten in der Europäischen Union kurz vor Verabschiedung – Abgrenzungsfragen zur DSGVO

Durch die Arbeiten an der DSGVO und vor allem auch der Umsetzung ihrer Vorgaben in der Praxis, wurde in den letzten Monaten recht wenig über ein anderes, für das Datenschutzrecht aber durchaus relevantes, Gesetzgebungsverfahren auf europäischer Ebene berichtet. Die im September 2017 von der Europäischen Kommission vorgeschlagene Verordnung über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union (COM(2017) 495, pdf).

Der Gesetzesentwurf wurde im letzten halben Jahr im Rat der Europäischen Union und auch im Europäischen Parlament geprüft und bearbeitet. Am 6. Juni 2018 hat der federführende Ausschuss für Binnenmarkt und Verbraucherschutz im EU-Parlament seinen Bericht vorgelegt (pdf). Mit Datum vom 25. Juni 2018 hat die Ratspräsidentschaft einen Kompromisstext der Verordnung an die ständigen Vertreter im Rat übersendet (pdf). Dieser Text ist das Ergebnis der Trilogverhandlungen zwischen Kommission, Parlament und Rat, auf den sich die Parteien am 19. Juni 2018 geeinigt haben.

Ziel des Vorschlags ist es, durch Maßnahmen zur Verbesserung der grenzüberschreitenden Mobilität nicht personenbezogener Daten im Binnenmarkt und zur Erleichterung des Anbieterwechsels und der Übertragung von Daten für die beruflichen Nutzer von Datenspeicherungs- und sonstigen Datenverarbeitungsdiensten einen stärker vom Wettbewerb geprägten und integrierten Binnenmarkt für Datenspeicherungs- und sonstige Datenverarbeitungsdienste und -tätigkeiten aufzubauen. Es sollen Datenverarbeitung in unterschiedlichen Intensitätsstufen erfasst werden, von der Datenspeicherung (Infrastructure-as-a-Service – IaaS) bis zur Verarbeitung von Daten auf Plattformen (Platform-as-a-Service – PaaS) oder in Anwendungen (Software-as-a-Service – SaaS).

Die Verordnung soll sich, in Abgrenzung zur DSGVO und auch der noch geltenden ePrivacy Richtlinie, nur auf elektronischen Daten beziehen, die keine personenbezogenen Daten sind. Aus Sicht der Praxis kann der so umrissene Anwendungsbereich bereits kritisch hinterfragt werden, denn inwiefern Unternehmen heutzutage noch (umfangreich) mit nicht personenbezogenen Daten umgehen, ist fraglich. Gerade aufgrund der extensiven Auslegung des Begriffs, sei es durch die DSGVO selbst oder auch die Rechtsprechung des EuGH und die Ansichten der Datenschutzaufsichtsbehörden.

Gerade diese Abgrenzungsfrage stellt dann aber gleichzeitig auch aus datenschutzrechtlicher Sicht, also dem Blickwinkel der personenbezogenen Daten, einen relevanten Aspekt dar. Denn für die Praxis wird es von Relevanz sein, wie sich die Anwendungsbereiche der beiden Verordnungen, DSVGO auf der einen, Verordnung zum freien Verkehr nicht personenbezogener Daten auf der anderen Seite, abgrenzen und ob es trennscharfe Grenzlinien gibt. Die Frage der Abgrenzung der Anwendungsbereich soll daher nachfolgend kurz beleuchtet werden (ich beziehe mich hierbei auf die aktuelle Fassung der „free flow“ Verordnung aus dem Trilog).

Nach ErwG 9 werden die gesetzlichen Rahmenbedingungen zum Schutz personenbezogener Daten nach der DSGVO als auch hinsichtlich des Schutzes personenbezogener Daten im Rahmen der elektronischen Kommunikation (ePrivacy Richtlinie) von dieser Verordnung nicht berührt. Nach ErwG 10 sollen die DSGVO und diese Verordnung quasi als gemeinsames Regelwerk zum freien Verkehr von Daten (personenbezogene und solche ohne Personenbezug) nebeneinander wirken. Die Anwendungsbereiche unterscheiden sich mithin anhand der Datenarten.

Doch was sieht der EU Gesetzgeber überhaupt als Datenarten an, die von der free flow Verordnung umfasst sind. In ErwG 10a gibt er hierzu ein paar Hinweise in der Form von Beispielen. Danach sei eine große Quelle nicht personenbezogener Daten das Internet der Dinge, künstliche Intelligenz und Maschinenlernen, etwa wenn diese im Rahmen industrieller Fertigungsprozesse eingesetzt werden. Dort erwähnte Beispiele: anonymisierte Datensätze für Big Data Analysen, Daten für die Präzisierungslandwirtschaft, um etwa den Einsatz von Pestiziden oder Wasser zu optimieren oder Daten zur Instandhaltung von Industriemaschinen.

Und dann kommt bereits eine der wichtigen Aussagen des Gesetzgebers: Sofern es technologische Entwicklungen ermöglichen sollte, anonymisierte Datensätze in personenbezogene Daten umzuwandeln, sollten diese Daten (der Gesetzgeber bezieht sich hierbei auf die zuvor erwähnten anonymisierten Daten) als personenbezogene Daten angesehen werden und die DSGVO gilt. Diese Aussage ist insofern bedeutend, da bereits die Möglichkeit der Re-Identifizierung ausreicht, um anonymisierte Daten als personenbezogene Daten anzusehen. Einziger Faktor, von dem diese Re-Identifizierung abhängig gemacht wird, sind die technologischen Entwicklungen. Leider definiert der Gesetzgeber weder, was mit „technologischen Entwicklungen“ gemeint ist, noch, wann den konkret „anonymisierte Daten“ vorliegen. Die Klarstellung in ErwG 10a zeigt jedoch, dass bereits die Möglichkeit der Re-Identifizierung genügt, um den Anwendungsbereich der free flow Verordnung zu verlassen und die DSGVO für anwendbar zu erklären.

Diese Klarstellung ist meines Erachtens auch im Rahmen der Anwendung der DSGVO zu beachten. Auch dort wird ja (leider) nicht definiert, was genau „anonymisierte Daten“ sind. Der Gesetzgeber geht aber davon aus, dass diese nicht vorliegen, wenn allein aufgrund technologischer Entwicklungen die Möglichkeit (!) der Re-Identifizierung gegeben ist. Auch dies fügt sich in die oben erwähnte weite Auslegung des Begriffs der personenbezogenen Daten ein, schmälert aber zugleich den Anwendungsbereich der free flow Verordnung.

In Art. 1a der Verordnung wird dann die ebenso wichtige Frage der gemischten Datensätze angesprochen, also Datensätze, die sowohl personenbezogene als auch nicht personenbezogene Daten enthalten. Eigentlich würden wohl die Meinungen im Datenschutzrecht in einer solchen Situation ohne viel Diskussion vom Vorliegen personenbezogener Daten in Gänze ausgehen (Stichwort: Infektion nicht personengezogener Daten). Nicht so aber der EU Gesetzgeber. In Art. 1a gibt er vor, dass im Fall des Vorliegens gemischter Datensätze die free flow Verordnung auf jene Daten im Datensatz Anwendung findet, die nicht personenbezogen sind. Der Gesetzgeber splittet also die gesetzlichen Regularien innerhalb eines gemischten Datensatzes. Dies gilt jedoch nach Art. 1a nicht für den Fall, wenn die personenbezogenen und nicht personenbezogenen Daten untrennbar miteinander verbunden sind. In diesem Fall soll die Anwendung der DSGVO nicht beeinträchtigt werden. Dies soll wohl bedeuten, dass dann nur die DSGVO eingreift. Interessant an Art. 1a ist in jedem Fall die gesetzgeberisch vorgesehen Zersplitterung regulatorischer Bedingungen innerhalb eines Datensatzes, zumindest wenn die Daten nicht untrennbar verbunden sind. Unklar bleibt, wann von einer „untrennbaren“ Verbundenheit auszugehen ist. Dies dürfte, wenn der Text so beschlossen wird, in der Praxis für Unsicherheiten bei der Anwendung der Gesetze sorgen.

OLG Frankfurt a.M.: Kaufvertrag über Daten wegen fehlender Einwilligung nach dem BDSG unwirksam

Das OLG Frankfurt hat ein recht interessantes Urteil zu der Frage gefällt, wie sich ein Verstoß gegen datenschutzrechtliche Bestimmungen des Gesetzes auf der vertraglichen Ebene im Rahmen eines Kaufvertrages über Daten auswirkt.

Mir Urteil vom 24.1.2018, Az. 13 U 165/16 (bisher liegt nur die Pressemitteilung vor) entschied das OLG, dass der Kaufvertrag über Adressdaten

insgesamt nichtig

sei,

da die Adressinhaber in den Verkauf ihrer Daten nicht wirksam eingewilligt hätten. Der Vertrag verstoße gegen die Vorgaben des BDSG.

Es lag zwar eine Einwilligung der Betroffenen vor. Diese erfüllte jedoch nicht die gesetzlichen Vorgaben. In der Einwilligungserklärung waren weder die betroffenen Daten noch Kategorien etwaiger Datenempfänger oder der Nutzungszweck – Adresshandel – konkret genug bezeichnet worden.

Zur vollständigen Einordnung es Urteiles wird man sicherlich die Urteilsgründe abwarten müssen. Dennoch lässt sich aus der Pressemitteilung ableiten, dass das OLG bei einem Verstoß gegen Vorgaben des BDSG nicht etwa nur von einem Mangel der Kaufsache (Daten) ausgeht, sondern den gesamten Vertrag als unwirksam erachtet. Eventuell geht das OLG hier von einem Verstoß gegen ein gesetzliches Verbot aus (§ 134 BGB).

Zu beachten ist, dass die vorliegende Konstellation durchaus eine spezielle war. So ging es in dem Kaufvertrag tatsächlich um nichts anderes als den Kauf der Daten, die dann für werbliche Zwecke genutzt werden sollten. Dies scheint mir ein wichtiger Aspekt zu sein. Die Übergabe der Daten war also die einzige und alleine Hauptpflicht des Verkäufers.

Zudem begründet das OLG sein Urteil auf einem weiteren Argument:

Der Vertrag verpflichte die Parteien darüber hinaus „systematisch“ zu einem unlauteren wettbewerbswidrigen Verhalten, so dass auch deshalb von einer Gesamtnichtigkeit auszugehen sei.

Hier bezieht sich das OLG auf die Vorgaben des § 7 Abs. 2 Nr. 3 UWG für eine Zusendung von Werbe-E-Mails. Die dafür erforderliche Einwilligung lag nicht vor.

Aufgrund dieser Begründung kann man z.B. darüber nachdenken, ob allein ein Verstoß gegen das BDSG auch zu demselben Ergebnis geführt hätte.

Zuletzt verweigert das OLG den Vertragsparteien dann auch Rückabwicklung bzw. die Rückzahlung des Kaufpreises. Zwar sei der Verkäufer durch den Kaufpreis bereichert. Es bestehe aber kein Rückzahlungsanspruch, da beide Vertragsparteien vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.

Zumindest für Unternehmen, die ebenfalls mit Adressdaten agieren oder diese generieren und veräußern, ist dieses Urteil von hoher Relevanz. Denn wenn der Käufer Pech hat, bleibt er auf nicht nutzbaren Daten sitzen und erhält den gezahlten Preis nicht zurück. Welche konkreten Folgen jedoch im Ergebnis aus dem Urteil auch auf andere Fälle, neben jenen des Adresshandels, übertragbar erscheint, ist, dass Verstöße gegen gesetzliche Datenschutzvorgaben das Risiko einer Unwirksamkeit des Vertrages über Daten bergen. Es lässt sich durchaus darüber nachdenken, diese Auffassung auch auf andere Vertragskonstellationen, bei denen es gerade nicht allein um den Kauf von Adressdaten geht, zu übertragen. So kann man etwa an Verträge über den Kauf von Daten für interne Analysezwecke oder zur Effektivierung eigener Produkte oder Dienstleistungen denken.

Klage gegen das EU US Privacy Shield gescheitert: Digital Rights Ireland verliert vor dem Europäischen Gerichtshof

Verschnaufpause für Datentransfers an Unternehmen in die USA. Digital Rights Ireland, eine Gesellschaft aus Irland, die sich mit der Förderung und dem Schutz der Bürger- und Menschenrechte, insbesondere in der Welt der modernen Kommunikationstechnologien, befasst, ist mit ihrer Nichtigkeitsklage (Art. 263 AEUV) vor dem Gerichtshof der Europäischen Union (hier das „Gericht“) in der Rechtssache T-670/16 gegen den Beschluss der EU Kommission zum EU US Privacy Shield gescheitert. Das Gericht entschied am 22.11.2017 per Beschluss, dass die Klage unzulässig ist, da es der Klägerin an der Klagebefugnis mangelt.

Bereits in meinem ersten Beitrag zu der Klage (hier im Blog), habe ich Zweifel an der Zulässigkeit der Klage geäußert.

Im Fall der hier eingelegten Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV ist im Rahmen der Zulässigkeit, konkret bei der Klagebefugnis, zu berücksichtigen, dass zwar natürliche oder juristische Person eine solche Klage erheben können. Jedoch nur dann, wenn es sich um an sie gerichteten oder sie unmittelbar und individuell betreffenden Handlungen sowie gegen Rechtsakte mit Verordnungscharakter, die sie unmittelbar betreffen und keine Durchführungsmaßnahmen nach sich ziehen, handelt. Die 1. Alternative schallt im Fall der Angemessenheitsentscheidung der Europäischen Kommission aus. Denn der Beschluss ist nicht an natürliche oder juristische Person in den Mitgliedstaaten gerichtet, sondern an die Mitgliedstaaten selbst (vgl. Art. 6 des Beschlusses). Digital Rights Ireland Ltd wird also vor allem darlegen müssen, dass sich bei dem Beschluss um eine sie „unmittelbar und individuell betreffende Handlung“ der Europäischen Kommission handelt.

Zum einen weist das Gericht hier nun darauf hin, dass die noch geltende Datenschutz-Richtlinie 95/46/EG nur die personenbezogenen Daten natürlicher Personen erfasst; nicht jedoch Daten von juristischen Personen, wie hier Digital Rights Ireland. Die Klägerin kann daher schon keine Rechtsverletzung geltend machen.

Zum anderen schränke der Beschluss der EU Kommission zum EU US Privacy Shield nicht die Rechte der Klägerin als juristische Person und datenschutzrechtlich verantwortliche Stelle ein. Das Privacy Shield verpflichtet vielmehr amerikanische Unternehmen, an die Daten übermittelt werden sollen. Europäische datenverarbeitende Stellen erhalten vielmehr die Befugnis, auf der Grundlage des EU US Privacy Shield Daten an diese Unternehmen zu versenden.

Soweit es die Rechte der Unterstützter der Klägerin betrifft, weist das Gericht darauf hin, dass Art. 263 AEUV und das EU Recht keine Möglichkeit für Klagen im Namen des öffentlichen Interesses vorsieht.

Zuletzt berief sich Digital Rights Ireland unverständlicherweise auf die erst ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung und den Art. 80 DSGVO. Dieser sieht die Möglichkeit für Mitgliedstaaten vor, eine Verbandsklagebefugnis zu schaffen. Das Gericht macht es hier kurz: die DSGVO ist noch nicht anwendbar.

Der Beschluss des Gerichts kommt nicht völlig überraschend. Zu beachten ist, dass eine ähnliche Klage im Verfahren T-738/16 anhängig ist. Auch dort klagen Vereinigungen und nicht einzelne Personen. Daher dürfte auch dort die Frage der Unzulässigkeit aufkommen.

Das EU US Privacy Shield wird also zunächst einmal weiter Bestand haben.

Complaint against the EU US Privacy Shield failed: Digital Rights Ireland loses in front of the European General Court

Breather for data transfers to companies in the US. Digital Rights Ireland, an Irish company concerned with the promotion and protection of civil and human rights, particularly in the world of modern communication technologies, which has brought an action for annulment (Article 263 TFEU) before the Court of Justice of the European Union (here the General Court) in the case T-670/16 against the decision of the EU Commission for the EU US Privacy Shield, lost the battle, before it even really started.

The Court rules (Order) that the applicant does not have an interest in bringing proceedings. The annulment of the contested decision is not capable of having, in itself, legal consequences for the applicant or of procuring for it an advantage in regard to personal data.

Furthermore, according to the Court, the contested decision by the EU Commission has the effect of entitling the applicant as a controller of personal data to carry out transfers under certain conditions. It does not restrict its rights or impose obligations on it.

Additionally, the Court clarifies that it follows from the existence of specific conditions governing the admissibility of actions for annulment brought by individuals, provided for in Article 263 TFEU, that EU law does not, in principle, allow for the possibility of an applicant to bring an actio popularis in the public interest.

The action is therefore inadmissible.

The decision of the Court is not completely surprising, since the Article 263 TFEU and also the case law of the court stipulate quite high demands for the admissibility of an action for annulment. It should be noted that a similar claim is pending in case T-738/16. Also there complaining associations are not individuals. Therefore, the issue of inadmissibility might probably also arise there.

Landesarbeitsgericht: Weitergabe von Entgeltlisten an den Betriebsrat auch unter der DSGVO zulässig

Das Landesarbeitsgericht (LAG) Hamm hat in einer Entscheidung (Beschl. v. 19.9.2017 – 7 TaBV 43/17) zum Einsichtsrecht des Betriebsrates in Bruttoentgeltlisten in einem Nebensatz auch Feststellungen zur Zulässigkeit der Weitergabe personenbezogener Daten vom Arbeitsgeber an den Betriebsrat gemacht.

In dem Fall stritt der Betriebsrat in einem Klinikum mit der Arbeitgeberin über den Umfang des Einsichtsrechts in Bruttoentgeltlisten. Die Arbeitgeberin stellte nur anonymisierte Listen zur Verfügung, da der Betriebsrat ihrer Ansicht nach für die Wahrnehmung seiner Aufgaben nicht die Angabe der Namen der Beschäftigten benötigte. Maßgeblich ging es um die Vorschrift des § 80 Abs. 2 S. 2 2. HS BetrVG. Dieser lautet:

Dem Betriebsrat sind auf Verlangen jederzeit die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen; in diesem Rahmen ist der Betriebsausschuss oder ein nach § 28 gebildeter Ausschuss berechtigt, in die Listen über die Bruttolöhne und -gehälter Einblick zu nehmen.

Das LAG stellte, nach Ausführungen zur Reichweite und dem Inhalt des § 80 Abs. 2 S. 2 2. HS BetrVG fest, dass dem Anspruch des Betriebsrates zur Einsichtnahme durch den Betriebsausschuss gemäß § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG auch datenschutzrechtliche Belange nicht entgegenstünden. Das LAG verwies dazu auf die Entscheidung des Bundesarbeitsgerichts vom 14.01.2014 (1 ABR 54/12),

wonach es sich bei dem Einsichtsrecht in die Bruttogehaltslisten um eine nach § 32 Abs. 1 BDSG zulässige Form der Datennutzung handelt.

Dort entscheid das BAG, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten nach § 32 Abs. 3 BDSG durch die nach § 32 Abs. 1 BDSG erlaubte Datennutzung nicht berührt werden. Das BAG bezieht sich hier auf die Datennutzung innerhalb einer verantwortlichen Stelle (dem Arbeitgeber). Nach der Respr. des BAG und der hM in der Literatur ist der Betriebsrat nämlich Teil der verantwortlichen Stelle und vor allem nicht Dritter. Das BAG:

Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar.

Sehrwohl stellt die Weitergabe aber eine Nutzung von personenbezogenen Daten dar. Ob diese Auffassung zur Einordnung des Betriebsrates auch unter Geltung der Datenschutz-Grundverordnung (DSGVO) ab dem 25.5.2018 so beibehalten werden kann, wird derzeit diskutiert. Zum Teil wird davon ausgegangen, dass der Betriebsrat als eigener Verantwortlicher anzusehen ist und daher auch selbst rechtlichen Pflichten der DSGVO nachkommen muss (Gola, in: Gola, DS-GVO, 2017, Art. 4 Rn. 55; Selk, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 88 Rn. 166 ff.). Im neuen § 26 Abs. 1 BDSG 2018 sieht der deutsche Gesetzgeber ausdrücklich vor, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Bislang fehlte eine ausdrückliche Regelung für die Frage der Zulässigkeit der Übermittlung von Daten an die Interessenvertretung der Beschäftigten. Der Verantwortliche darf in Zukunft auf der Grundlage von § 26 Abs. 1 S. 1 BDSG 2018 Daten an Betriebs- oder Personalräte weitergeben, soweit dies gesetzlich vorgesehen und erforderlich ist (Piltz, BDSG, 2018, § 26 Rn. 49 ff.). Meines Erachtens spricht diese Regelung klar dafür, dass der Gesetzgeber den Betriebsrat selbst als Verantwortlichen ansieht.

Im vorliegenden Beschluss bezog sich das LAG auch noch direkt auf die DSGVO. Das LAG geht davon aus, dass sich bei der Frage der Zulässigkeit der Weitergabe der Daten an den Betriebsrat

auch aus den Erwägungen und dem Wortlaut zur Datenschutzgrundverordnung…keine abweichende Beurteilung ergeben kann, da Art. 6 DSGVO insofern beschreibt, dass eine Datenverarbeitung rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Datenverarbeitung Verantwortliche unterliegt. Dies ist der Fall, wie oben ausgeführt.

Zu beachten, dass das LAG hier leider etwas vage bleibt, welche Verarbeitungsphase denn konkret gemeint ist. Da es sich jedoch auf eine rechtliche Pflicht (und damit Art. 6 Abs. 1 lit. c) DSGVO) bezieht, dürfte es die Phase der Bereitstellung und Weitergabe der Arbeitgeberin avisiert haben. Denn diese ist nach § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG rechtlich verpflichtet. Der Betriebsrat selbst hat ein Recht auf Einsicht. Auf den Umgang mit den Daten durch den Betriebsrat selbst scheint sich das LAG hier nicht zu beziehen.

Ist die Datenschutz-Grundverordnung doch schon anwendbar? Zwei Gerichte sagen: ja.

Liest man sich den Art. 99 Abs. 2 DSGVO durch, ist eigentlich dem ersten Anschein nach klar, dass der Gesetzgeber den datenverarbeitenden Stellen (mögen diese nun öffentliche oder nichtöffentliche Stellen sein) und auch den nationalen Gesetzgebern eine Frist von 2 Jahren einräumen wollte, um den Anforderungen der DSGVO gerecht zu werden.

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Sie gilt ab dem 25. Mai 2018.

Die DSGVO und ihre Vorgaben sind also erst ab dem 25.5.2018 anwendbar. Im Sommer diesen Jahres hob genau aus diesem Grund das Verwaltungsgericht Karlsruhe eine Verfügung der Datenschutzbehörde in Baden-Württemberg auf (hierzu mein Blogbeitrag). Das Verwaltungsgericht (VG) Karlsruhe entschied (Urt. v. 6.7.2017 – 10 K 7698/16), dass die DSGVO

erst ab 25.5.2018 Gültigkeit beanspruchen wird.

Doch zwei weitere Entscheidungen von deutschen Gerichten machen nun stutzig. Sowohl das VG Wiesbaden (Beschluss v. 21.9.2017 – 6 L 3805/17.WI.A) als auch das Finanzgericht (FG) Düsseldorf (Beschluss v. 9.8.2017 – 4 K 1404/17) gehen davon aus, dass die DSGVO bereits jetzt durch deutsche Behörden anzuwenden und zu beachten ist. In beiden Fällen gehen die Gerichte ausdrücklich von Datenschutzverstößen von Behörden gegen die Vorgaben der DSGVO aus.

Das VG Wiesbaden entschied, dass das Bundesamt für Migration und Flüchtlinge (BAMF) unzulässigerweise eine Markierung zu einer Person zum Zwecke eines Asylbescheides nutzte. Die Datenmarkierung ist ein technischer Vorgang zur Sicherung der Datenqualität. Die Markierung ist aber kein Datum, welches zu speichern und zu übermitteln ist. Das VG stellt hier auf einen Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO ab. Die Nutzung der Markierung durch das BAMF bedürfte gemäß Art. 6 Abs. 3 lit. a) DSGVO einer Rechtsgrundlage, die die Zwecke, für die die personenbezogenen Daten verarbeitet werden dürfen, festlegt. Eine solche existiere nicht.

Doch wie kommt das VG hier überhaupt dazu, die DSGVO als anwendbar anzusehen und Verstöße des BAMF gegen die Artikel der DSGVO festzustellen?

Das VG verweist hierfür auf eine Entscheidung des FG Düsseldorf und damit auch auf eine dort ebenfalls zitierte Entscheidung des EuGH (Urteil v. 18.12.1997, C-129/96).

Die DSGVO ist am 25.05.2016 in Kraft getreten und gilt ab dem 25.05.2018 (Art. 99 Abs. 2 DSGVO. Die Verordnung ist daher auf das vorliegende Verfahren anzuwenden. Denn der Gesetzgebungsakt entfaltet vom Zeitpunkt seiner Bekanntgabe an Rechtswirkungen (EuGH, Urteil v. 18.12.1997, Az. C-129/96 – zur Richtlinienumsetzung, was im Falle einer Verordnung jedoch erst recht gelten muss; so FG Düsseldorf, Beschluss vom 09.08.2017, Az. 4 K 1404/17.Z – nach Juris).

Da die für das BMAF maßgebliche EURODAC-VO (VO (EU) 603/2013) auf die noch gültige RL 95/46/EG verweist, die DSGVO in Art. 94 Abs. 2 wiederum aber vorschreibt, dass Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, so dass die EURODAC-VO im Einklang mit den Vorgaben der DSGVO stehen muss.

Dies mit der Folge, dass die Datenschutzgrundverordnung insoweit immer ergänzend heranzuziehen ist.

Im Ergebnis dieselbe Argumentation verfolgt das FG Düsseldorf in seiner Entscheidung. Das FG Düsseldorf verweist auch auf das obige Urteil des EuGH. Die referenzierte Randnummer 41 lautet:

Sodann werden nach Artikel 191 Absatz 2 EWG-Vertrag, der auf den im Ausgangsverfahren maßgebenden Zeitraum Anwendung findet, die “Richtlinien und Entscheidungen … denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam”. Aus dieser Vorschrift ergibt sich, daß eine Richtlinie gegenüber dem Mitgliedstaat, an den sie gerichtet ist, schon vom Zeitpunkt ihrer Bekanntgabe an Rechtswirkungen entfaltet.

Meines Erachtens sind beide Entscheidungen des VG Wiesbaden und des FG Düsseldorf nicht richtig.

Beide Gerichte referenzieren auf ein Urteil des EuGH vom 18.12.1997. Ebenfalls begründen beide deutschen Gerichte ihre Entscheidung damit, dass zwar der EuGH zu einer Richtlinie entschied, aber dies müsse ja erst recht für eine Verordnung wie die DSGVO gelten.

Beide Gerichte verkennen jedoch, dass der EuGH sich hier auf eine Vorschrift stützt (Art. 191 EWG-Vertrag), die so nicht mehr existiert. Dort hieß es:

Die Richtlinien und Entscheidungen werden denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam.

Die Nachfolgevorschrift ist Art. 297 AEUV. Diese ist inhaltlich viel detaillierter und anders aufgebaut. Art. 297 AEUV regelt die Unterzeichnung, Veröffentlichung, Bekanntgabe und das Inkrafttreten der Gesetzgebungsakte sowie der Rechtsakte ohne Gesetzescharakter. Die Vorschrift geht zwar u.a. auf Art. 191 EWG-Vertrag zurück, der jedoch erheblich ausgedehnt wurden. Die ursprüngliche Fassung des Art. 191 EWG-Vertrag sah lediglich eine Veröffentlichungspflicht für Verordnungen und eine Bekanntgabepflicht für Richtlinien und Entscheidungen vor (GHN/Krajewski/Rösslein AEUV Art. 297 Rn. 1).

Art. 297 AEUV unterscheidet aber nun zwischen Rechtsakten mit und ohne Gesetzescharakter. Diese Unterscheidung traf Art. 191 EWG-Vertrag nicht. Für die DSGVO, als Verordnung und damit Gesetzgebungsakt, sieht Art. 297 Abs. 1 AEUV keine Bekanntgabepflicht vor. Für die DSGVO hat die Frage der Bekanntgabe also gar keine Relevanz. Der Verweis der deutschen Gerichte geht hier fehl.  Die DSGVO entfaltet also gerade noch keine unmittelbare Rechtswirkung, auf die sich Betroffene, Unternehmen oder auch wie hier Behörden stützten könnten. Mit Inkrafttreten wird die DSGVO zwar Bestandteil des Unionsrechts. Nach Art. 92 Abs. 2 DSGVO darf die Europäische Kommission ab dem Inkrafttreten etwa auch ihre Befugnis zum Erlass delegierter Rechtsakte ausüben. Die DSGVO ist aber eben noch nicht unmittelbar im Mitgliedstaat anwendbar.

Dies ergibt sich auch aus der Systematik der DSGVO selbst. Nach Art. 94 Abs. 1 DSGVO wird die Richtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Würde die DSGVO jetzt für datenverarbeitende Stellen schon Vorgaben machen, hätte diese Regelung keinen Sinn. Denn dann würden derzeit dem Grunde nach zwei europäische Regelungssysteme parallel und im Anwendungsbereich überlappend den Schutz personenbezogener Daten regeln. Im Ergebnis würde auch die in Art. 99 DSGVO etablierte Übergangsfrist von zwei Jahren keinen Sinn machen, wenn man davon ausgeht, dass die DSGVO bereits jetzt unmittelbar anwendbar wäre.

Die Entscheidungen des VG Wiesbaden und des FG Düsseldorf sind kritisch zu sehen und abzulehnen.

Keine starren Löschfristen unter der EU Datenschutz-Grundverordnung

Anders als derzeit in § 35 Abs. 2 S. 2 Nr. 4 BDSG vorgeschrieben, wird es im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) zumindest dem Grunde nach keine starren Löschfristen mehr für personenbezogene Daten geben. Auch das neue, ab dem 25.5.2018 anwendbare, BDSG sieht keine fixen Löschfristen vor.

Nach § 35 Abs. 2 S. 2 Nr. 4 BDSG sind personenbezogene Daten zu löschen, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. Diese Vorgaben betreffen vor allem Auskunfteien.

Bereits im Juli dieses Jahres entschied das VG Karlsruhe (Urt. v. 6.7.2017 – 10 K 7698/16) in einem Verfahren zwischen der Aufsichtsbehörde in Baden-Württemberg und einer Auskunftei, dass sich die künftige Prüf- und Löschpraxis der Auskunfteien am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e DSGVO messen lassen muss, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet (hierzu mein Beitrag). Innerhalb des vorhandenen Spielraums sei eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig.

Auch das Bayerische Staatsministerium des Inneren geht in einer nun veröffentlichen Antwort auf eine schriftliche Anfrage im Landtag davon aus, dass unter der DSGVO die Frage der Löschung von Daten nicht mit starren Fristen, sondern vom Ergebnis einer Interessenabwägung und Erforderlichkeitsbewertung abhängt (LT Drs. 17/17777, pdf).

Das Staatsministerium geht davon aus, dass mit Geltung der DSGVO keine unmittelbar aus dem Gesetz bzw. der Verordnung ableitbare starre Frist mehr gilt.

Die zulässige Speicherdauer ist damit künftig im Rahmen einer Interessenabwägung nach Art. 6 Abs.1 Buchst. f DSGVO zu bestimmen.

Diese Ansicht stützt die Regierung zudem auf eine Einschätzung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Das BayLDA teilte auf Nachfrage mit, dass es die geltende dreijährige Löschfrist auch unter Geltung der DSGVO für sachgerecht halte und allenfalls anstrebe, ihren Ablauf künftig taggenau berechnen zu lassen.

Hinzuweisen ist darauf, dass Löschfristen in Zukunft aber vor allem noch im öffentlichen Sektor eine Rolle spielen können; insbesondere wenn die Löschung in bereichsspezifischen Datenschutzregelungen und auf der Grundlage der Öffnungsklauseln der DSGVO vorgesehen ist. Solche Neuregelungen in spezifischen Bereichen hat der Bundestag bereits im Sommer 2017, relativ unbemerkt von der Öffentlichkeit, beschlossen (hierzu mein Blogbeitrag). So wird etwa in § 29c Abs. 1 AO vorgesehen, dass Daten nach Beendigung einer bestimmten Maßnahme innerhalb eines Jahres gelöscht werden müssen. Diese Änderung tritt am 25.5.2018 in Kraft.

DSGVO: Zerschießt die „gemeinsame Verantwortlichkeit“ das Konzept der „federführenden Behörde“?

Nach den Schlussanträgen des Generalanwalts am EuGH in der Sache C-210/16 zur datenschutzrechtlichen Verantwortlichkeit bei der Datenverarbeitung von Besuchern von Webseiten (hier mein Beitrag dazu) ist der Begriff der „gemeinsamen Verantwortlichkeit“ (siehe Art 26 DSGVO) wieder etwas mehr ins Bewusstsein der Datenschutzpraxis gerückt. Die Rechtsfigur ist, europarechtlich betrachtet, nicht komplett neu, für uns BDSGler aber doch eine Umstellung und in Art 26 DSGVO umfassender ausgeformt als derzeit in der Europäischen Datenschutzrichtlinie.

Wie bekannt, stellen nach Ansicht des Generalanwalts am EuGH sowohl die in Schleswig-Holstein ansässige Wirtschaftsakademie und die Facebook Inc. aus den USA und die Facebook Ltd. aus Irland zumindest für die Erhebung von Nutzerdaten über die Facebook-Seite (Fanpage) der Wirtschaftsakademie gemeinsam Verantwortliche dar. Bereits diese Feststellung, sollte sie auch vom EuGH getroffen werden, bringt Fragen in der praktischen Umsetzung der DSGVO-Pflichten mit sich.

Mir ist in diesem Zusammenhang jedoch noch eine andere Thematik in den Sinn gekommen. Nämlich die Frage danach, welche europäische Aufsichtsbehörde denn dann in diesem konkreten Fall oder auch allgemein bei Vorliegen von gemeinsam Verantwortlichen die sog. „federführende Aufsichtsbehörde“ (Art. 56 DSGVO) ist. Der federführenden Aufsichtsbehörde kommt in dem durch die DSGVO etablierten System des one-stop-shop eine wichtige Bedeutung zu. Nach Art. 56 Abs. 6 DSGVO ist sie der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung. Gerne umschreibe ich sie salopp auch als den „Chef im Ring“ der anderen Aufsichtsbehörden.

Die Grundkonzeption der DSGVO kennt nur eine (!) federführende Aufsichtsbehörde. Es wird nicht die Situation vorgesehen, dass es nebeneinander mehrere federführende Aufsichtsbehörden gibt. Das würde freilich auch das Prinzip der zentralen Anlaufstelle konterkarieren. Der Gesetzgeber wollte gerade, im Vergleich zur aktuellen Situation, ein System schaffen, in dem es nur eine in Europa zuständige, letztlich entscheidende Aufsichtsbehörde gibt. Zumindest soweit es um „grenzüberschreitende Verarbeitungen“ geht. Eine solche grenzüberschreitende Verarbeitung liegt in den in Art. 4 Nr. 23 DSGVO benannten Fällen vor. Entweder die Verarbeitung erfolgt über Landesgrenzen hinweg in mehreren Niederlassungen oder sie erfolgt im Rahmen der Tätigkeiten einer einzigen Niederlassung, kann aber erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben.

Nun mag man in dem vor dem EuGH liegenden Fall zu Fanpages noch gut diskutieren, ob die Wirtschaftsakademie, als (Mit)Verantwortlicher für die Datenerhebung überhaupt eine grenzüberschreitende Verarbeitung vornimmt. Denn sie hat nur eine Niederlassung in Schleswig-Holstein und man könnte eventuell argumentieren, dass die Erhebung der Daten der Besucher ihrer Fanpage keine erheblichen Auswirkungen auf betroffene Personen in anderen Mitgliedstaaten hat.

Man wird jedoch schnell Beispiele finden können, bei denen entweder gemeinsam Verantwortliche tatsächlich Datenverarbeitungen durchführen, die mehrere Niederlassungen betreffen oder die zumindest auch Auswirkungen auf Personen in anderen Mitgliedstaaten haben. Den aktuellen Fall der Wirtschaftsakademie müsste man nur um eine Niederlassung in Holland oder Belgien ergänzen, die ebenfalls von der Fanpage und den durch Facebook generierten Statistiken profitiert. Dann lägen gemeinsam Verantwortliche für eine Verarbeitung vor, jedoch würde es für diese konkrete Phase der Verarbeitung, z. B. die Erhebung, gleichzeitig mehrere (!) federführende Aufsichtsbehörden geben. Für Facebook Inc. und Facebook Ltd. wäre dies wohl die irische Behörde, für (in dem von mir gebildeten Beispiel) die Wirtschaftsakademie das ULD in Schleswig-Holstein.

Es würde also eine Situation bestehen, die der Gesetzgeber gerade verhindern wollte und auch in der DSGVO nicht vorgesehen hat. Die DSVGO spricht stets nur von einer federführenden Aufsichtsbehörde.

Die Art. 29 Gruppe hat diese Gefahr wohl auch erkannt, bietet dafür in ihrem Arbeitspapier zur „federführenden Behörde“ (WP 244, pdf) auch keine finale Lösung. Die Art. 29 Gruppe schlägt vor, dass gemeinsam Verantwortliche, wenn sie überhaupt vom one-stop-shop profitieren möchten, einen allein für die betreffende Verarbeitung zuständige Niederlassung festlegen sollen, die die Entscheidungsbefugnis hinsichtlich der Verarbeitung gegenüber allen anderen Niederlassungen der gemeinsam Verantwortlichen hat.

Diese Vereinbarung mag man theoretisch andenken. Gerade in dem hier benannten Beispiel kann ich mir aber nur schwer eine Vereinbarung zwischen der Wirtschaftsakademie und Facebook Inc. und Facebook Ltd. bezüglich der Entscheidungsbefugnis mit Blick auf die Erhebung vorstellen. Man könnte freilich an eine Vereinbarung durch AGB, die z. B. Facebook vorgibt, denken, in denen Facebook Ltd. als Niederlassung mit alleiniger Entscheidungsbefugnis festgelegt wird; diese Befugnis müsste sich dann aber auch auf die Wirtschaftsakademie erstrecken. Diese dürfte dann selbst auch gar nicht mehr über Möglichkeiten verfügen, Entscheidungen in Bezug auf die Erhebung zu treffen. Doch könnte man argumentieren, dass (in dem hier gebildeten Beispiel) die Wirtschaftsakademie am Ende ja immer noch eine Entscheidungsbefugnis besitzt, nämlich ob sie die Erhebung stoppt, indem die Fanpage gelöscht wird.

Zumal auch die Art. 29 Gruppe davon auszugehen scheint, dass das one-stop-shop Prinzip mit der federführenden Behörde in diesen Situationen überhaupt nur so wirksam beibehalten werden könnte, womit andererseits bei fehlender interner Festlegung zwischen den Verantwortlichen dann eben mehrere federführende Behörden existieren.

Ein aus meiner Sicht sehr interessantes und praxisrelevantes Problem. Insbesondere wenn der EuGH der Linie des Generalanwalts folgt und die Voraussetzungen für eine gemeinsame Verantwortlichkeit nicht besonders hoch ansetzt.