EuGH-Urteil zur Einwilligung: Voraussetzungen der Wirksamkeit und Anforderungen an den Nachweis

Mit Urteil vom 11.11.2020 (Rechtssache C?61/19) hat der EuGH einige relevante Aussagen rund um die Wirksamkeitsanforderungen und Nachweispflichten von Verantwortlichen bei der Einholung von Einwilligungen nach der DSGVO getroffen. Zum Teil wurde das Urteil mit der Information kommentiert, dass der EuGH nur wieder einmal festgestellt habe, dass vorangekreuzte Kästchen nicht als Einwilligung taugen. Meines Erachtens enthält das Urteil jedoch durchaus mehr datenschutzrechtlichen Sprengstoff und damit Praxisauswirkungen.

Sachverhalt

Dem Urteil lag ein Verwaltungsverfahren zwischen Orange Romania und der rumänischen Datenschutzbehörde zugrunde.  Diese stellte fest, dass Orange Romania im Zeitraum vom 1. März 2018 bis zum 26. März 2018 mit natürlichen Personen Verträge über Mobiltelekommunikationsdienste in Papierform geschlossen habe, wobei diesen Verträgen Kopien der Ausweisdokumente dieser Personen angeheftet worden seien. Orange Romania habe nicht nachgewiesen, dass ihre Kunden, deren Verträgen Kopien ihrer Ausweisdokumente angeheftet gewesen seien, eine gültige Einwilligung zur Sammlung und Aufbewahrung von Kopien dieser Dokumente erteilt hätten.

Wichtig zur Einordnung des Urteils, ist die Darstellung des damaligen Verkaufsverfahrens. Es gibt zum einen Verträge, in denen das Kästchen, das die Klausel in Bezug auf die Aufbewahrung der Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthielten, betroffen habe, angekreuzt worden sei, und zum anderen Verträge, bei denen ein solches Kreuz fehle. Orange Romania habe den Abschluss von Abonnementverträgen mit Kunden, die es abgelehnt hätten, in die Einbehaltung einer Kopie ihrer Ausweisdokumente einzuwilligen, nicht abgelehnt.

Interne Verfahren von Orange Romania zum Verkauf haben vorgesehen, dass diese Weigerung der Kunden in einem speziellen Vordruck zu dokumentieren sei, der von diesen Kunden vor Vertragsabschluss zu unterzeichnen sei.

Die Verkäufer haben die betroffenen Kunden während der Verfahren zum Abschluss Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet, bevor sie mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten hätten. Das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten sei allein auf der Grundlage der von den Betroffenen bei Vertragsschluss erklärten Zustimmung angekreuzt worden. Dieser Umstand ist wichtig: das Kästchen war nicht etwa per se vorangekreuzt. Es wurde aber, nach mündlicher Rückfrage beim Kunden, durch den Verkäufer (quasi für den Kunden) angekreuzt. Im Anschluss haben dann die Kunden den ganzen Vertrag, inklusive des dann natürlich schon angekreuzten Kästchens und der betreffenden Klausel zur Einwilligung unterzeichnet.

Der EuGH hatte hierauf basierend zwei Fragen zu beantworten:

  • ob unter diesen Umständen davon ausgegangen werden kann, dass die betreffenden Kunden in die Sammlung ihrer Ausweisdokumente und der Anheftung von Kopien davon an ihre Verträge gültig eingewilligt haben.
  • ob mit der Unterzeichnung eines Vertrags, in dem es eine Klausel über die Aufbewahrung von Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthalten, gibt, das Vorliegen einer solchen Einwilligung nachgewiesen werden kann.

Entscheidung des EuGH

Wirksamkeit der Einwilligung

Zunächst stellte sich die Frage, ob die Einwilligung zur Verarbeitung der Daten in den Ausweiskopien in der hier durchgeführten Form wirksam erteilt wurde. Der EuGH prüft die Wirksamkeit sowohl anhand der alten EU Datenschutz-Richtlinie, als auch der DSGVO.

Der EuGH verweist zunächst auf ErwG 32 und auch sein Urteil in Planet 49 (C-673/17). Danach wird ausdrücklich ausgeschlossen, dass bei „Stillschweigen, bereits angekreuzte[n] Kästchen oder Untätigkeit“ eine Einwilligung vorliegt. In einem solchen Fall ist es nämlich praktisch unmöglich, objektiv zu bestimmen, ob der Nutzer einer Website tatsächlich seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten gegeben hat, indem er die voreingestellte Markierung eines Kästchens nicht aufgehoben hat, und ob diese Einwilligung überhaupt in informierter Weise erteilt wurde. Die erforderliche Willensbekundung muss zudem „für den konkreten Fall“ erfolgen, was so zu verstehen sei, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.

Da hier die Einwilligung innerhalb des Vertragstextes enthalten war, referenziert der EuGH zudem auf Art. 7 Abs. 2 S. 1 DSGVO wonach, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, das Ersuchen um Zustimmung in einer solchen Form erfolgen muss, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Allgemein relevant ist auch die Anforderung des EuGH an das Merkmal „in informierter Weise“ (Art. 4 Nr. 11 DSGVO). Zur Ausfüllung dieser Anforderung verweist das Gericht auf die Informationspflichten nach Art. 13 DSGVO. Der für die Verarbeitung Verantwortliche muss der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lassen. Mindestinhalt der Informiertheit der Einwilligung sind danach:

  • die Art der zu verarbeitenden Daten,
  • die Identität des für die Verarbeitung Verantwortlichen,
  • die Dauer und die Modalitäten dieser Verarbeitung
  • die Zwecke, die damit verfolgt werden,

Diese Informationen müssen den Betroffenen bekannt sein. Die Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen.

Ganz entscheidend ist auch noch der Hinweis auf die erforderliche Freiwilligkeit. Nach dem EuGH muss eine echte Wahlfreiheit bestehen. Vertragsbestimmungen dürfen die Betroffenen nicht über die Möglichkeit irreführen, einen Vertrag abschließen zu können, auch wenn sich die Person weigert, in die Verarbeitung ihrer Daten einzuwilligen. Sind solche Hinweise zur Freiwilligkeit nicht vorhanden, kann die Einwilligung dieser Person in die Verarbeitung ihrer personenbezogenen Daten weder als freiwillig erteilt noch im Übrigen als in Kenntnis der Sachlage oder in informierter Weise erteilt angesehen werden.

Im konkreten Fall sah der EuGH diese Anforderungen nicht als erfüllt an.

Zum einen wurde die (durch das Verkaufspersonal) angekreuzte Klausel in Bezug auf die Verarbeitung dieser Daten nicht in einer Form präsentiert, die sie klar von anderen Vertragsklauseln unterscheidet. Zum anderen hegt das Gericht Zweifel, ob die Einwilligung in informierter Weise erteilt wurde. Kritisch sieht der EuGH den Umstand, dass sich die in Rede stehende Vertragsklausel darauf beschränkt, „ohne irgendeinen anderen Hinweis die Identifikation als Zweck für die Aufbewahrung der Kopien der Personalausweise anzugeben“. Der EuGH sieht hier wohl nicht alle Anforderungen der Informiertheit als erfüllt an. Dies muss aber das vorlegende Gericht feststellen.

Zudem sieht der EuGH wohl auch die erforderliche Freiwilligkeit hier kritisch. Das vorlegende Gericht muss prüfen, „ob die im Ausgangsverfahren in Rede stehenden Vertragsbestimmungen die betroffene Person mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten und ob damit in Frage gestellt wird, dass die in dieser Unterschrift zum Ausdruck gebrachte Einwilligung in informierter Weise und in Kenntnis der Sachlage erfolgt ist“.

Was bedeutet dies für die Praxis? Die Anforderungen an eine wirksame Einwilligung bleiben hoch. Der EuGH dekliniert hier noch einmal sehr gut die wichtigsten Anforderungen an eine Einwilligung nach der DSGVO durch. Besonderes Augenmerk muss in der Praxis in jedem Fall auf eine transparente und klare Erteilung der Einwilligung, umfassende Informationen und die Sicherstellung der Freiwilligkeit und der Hinweis auf eben diese gelegt werden.

Nachweis der Einwilligung

Spannend sind sodann die Ausführungen des EuGH zu der Nachweispflicht des Verantwortlichen. Der EuGH verweist zunächst auf die Datenschutzgrundsätze. Der Verantwortliche hat nach Art. 5 Abs. 1 lit. a DSGVO u. a. die Rechtmäßigkeit der Verarbeitung dieser Daten zu gewährleisten. Zudem muss er, wie Art. 5 Abs. 2 DSGVO klarstellt, in der Lage sein, diese Rechtmäßigkeit nachzuweisen. Nach Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf einer Einwilligung beruht.

Vorliegend sind die Kunden nach Aussage von Orange Romania während der Verfahren zum Abschluss der Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet worden. Danach hätten die Mitarbeiter mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten und das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten angekreuzt.

Dies genügt dem EuGH offensichtlich nicht.

Da die betroffenen Kunden das Kästchen, das diese Klausel betrifft, anscheinend

nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden in die Sammlung und Aufbewahrung einer Kopie ihrer Personalausweise nachzuweisen“.

Nach Ansicht des EuGH reicht der Umstand, dass die Kunden die Verträge mit dem angekreuzten Kästchen unterzeichnet haben,

„für sich genommen nicht aus, um eine solche Einwilligung nachzuweisen, sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“.

Meines Erachtens bedeutet dies für die Praxis, dass etwa allein der interne Vermerk „Kunde hat zugestimmt“ durch einen Mitarbeiter im Rahmen von Kundengesprächen nicht als Nachweis einer erteilten Einwilligung ausreicht. Dies dürfte vor allem für Telefongespräche oder auch allgemein Verkaufsgespräche relevant sein, in denen der Mitarbeiter des Unternehmens während des Gesprächs parallel zB einen Vertrag ausfüllt. Man denke hier insbesondere auch an Call-Center. Im Grunde ist das Urteil für jegliche Situation relevant, in der die Einwilligung mündlich erteilt wird.

Der EuGH sieht diese Art der Nachweisführung jedoch nicht per se als ungeeignet an. Er ergänzt ausdrücklich „sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“. Das bedeutet, dass Unternehmen in der Praxis durchaus das Häkchen für den Kunden setzen dürfen, dies jedoch nur dann der Nachweispflicht genügt, wenn zusätzlich (prozessuale) Maßnahmen vorgesehen sind, die belegen können, dass der Betroffene die Einwilligung selbst und die dazugehörigen Informationen auch zur Kenntnis genommen hat. Der Nachweis, dass der Vertrag mit der entsprechenden Klausel unterzeichnet wurde, reicht nicht aus.

Die Anforderung des EuGH, dass der Kunde die Klausel wirklich auch gelesen haben muss, ist meines Erachtens eher im Sinne einer „Kenntnisnahme“ zu verstehen. Denn wir soll man als Verantwortlicher in der Praxis sicherstellen, dass ein Betroffener wirklich den Text liest? Selbst wenn man ihm die Klausel zum Lesen vorlegt, könnte er ja (salopp formuliert) nur auf das Blatt starren. In diesem Fall zu fordern, dass das Unternehmen den Nachweis des Lesens erbringt, halte ich persönlich für überspitzt.

Bundesdatenschutzbeauftragter: Prüfschema für Datentransfers in Drittländer

Die Auswirkungen des EuGH-Urteils in Schrems II (C-311/18) sind in der Praxis weiterhin ein wichtiges Thema. Viele Unternehmen versuchen (Anm: viel mehr geht aktuell wohl auch nicht), ihre eigenen Datentransfers zu prüfen und, wo möglich, zusätzliche Garantien mit Datenempfängern zu vereinbaren. Wie diese vom EuGH angesprochenen „zusätzlichen Maßnahmen“ (Rz. 133) konkret aussehen, wissen wir immer noch nicht. Der EDSA soll hierzu wohl noch Leitlinien veröffentlichen.

Bis es soweit ist, könnte für Unternehmen eventuell auch eine Veröffentlichung des Bundesbeauftragten für Datenschutz (BfDI) interessant sein. Der BfDI veröffentlicht auf seiner Webseite ein „Prüfschema Drittländertransfer“ (PDF). Laut den Angaben auf der Webseite dient das Prüfschema „der strukturierten Überprüfung zum Datentransfer in Drittländer“. Zudem verlangt der BfDI, dass das Ergebnis dieser Prüfung nachvollziehbar und überprüfbar dokumentiert wird. Zwar ist der BfDI vor allem für die öffentlichen Stellen des Bundes und im privatwirtschaftlichen Bereich für Unternehmen aus den Branchen Post und Telekommunikation zuständig. Nichts desto trotz kann ein Blick in das Prüfschema meines Erachtens auch für Unternehmen, die nicht direkt der Aufsicht des BfDI unterliegen, sinnvoll sein. Denn wie sagt ein von mir sehr geschätzter Landesbeauftragter immer (frei zitiert): „Kein Unternehmen muss schlauer als die Aufsichtsbehörde sein“.

Das Prüfschema enthält verschiedene Prüfschritte:

  • Datentransfers prüfen
  • Vorliegen Angemessenheitsbeschluss
  • Schutzniveau im Drittland: Einzelfallanalyse
  • Prüfung Schutzmechanimus
  • Definierung zusätzlicher Maßnahmen
  • Implementierung zusätzlicher Maßnahmen
  • Ausnahmen nach Art. 49 DSGVO
  • Dokumentation
  • Meldung an die Aufsichtsbehörde

Ganz interessant in Bezug auf die Frage, ob Standardvertragsklauseln (SCC) genehmigungsfrei angepasst werden dürfen (hier meine Meinung zu dieser Frage), finde ich die folgende Aussage des BfDI:

Hinweis: Eigenständige vertragliche Lösungen bedürfen als ad-hoc-Klauseln einer Genehmigung durch die zuständige Aufsichtsbehörde. Änderungen an Standard-Datenschutzklauseln behalten ihre Gemehmigungsfreiheit nur, solange diese weder mittelbar noch unmittelbar im Widerspruch zum Inhalt der erlassenen Standard-Datenschutzklauseln stehen“.

Der BfDI geht also meiner Ansicht davon aus, dass 1) eine Anpassung der SCC nicht per se zur Genehmigungspflicht führt und 2), dass die Genehmigungsfreiheit dann besteht, wenn die Anpassungen nicht im „Widerspruch“ zu den Klauseln stehen. Dies ist aus praktischer Sicht auf jeden Fall begrüßenswert. Natürlich wird in der Praxis dann immer die entscheidende Frage sein, wann denn ein solcher Widerspruch vorliegt.

Europäischer Datenschutzbeauftragter: Strategie für EU-Institutionen zur Einhaltung des “Schrems II”-Urteils

Der Europäische Datenschutzbeauftragte (EDPS), also die Aufsichtsbehörde für die Institutionen der EU, hat gestern ein interessantes Papier für eine Stratege zur Einhaltung der Vorgaben des Schrems II Urteils des EuGH veröffentlicht (pdf). Dort wird dargelegt, wie nach Ansicht der Aufsichtsbehörde die EU-Institutionen nun kurz- und mittelfristig mit Datentransfers in Drittländer (insbesondere die USA) umgehen sollten.

Die Vorgaben und Empfehlungen des EDPS sind meines Erachtens auch eine gute Arbeitshilfe für Unternehmen im privatwirtschaftlichen Bereich, die ja vor derselben Herausforderung stehen.

Ziel der Strategie

Nach Aussage des EDPS zielen die Strategie und darin enthaltende Empfehlungen darauf ab, die Einhaltung des Urteils durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union zu gewährleisten und zu überwachen. Das Dokument befasst sich sowohl mit kurz- als auch mit mittelfristigen Maßnahmen für die EU-Institutionen und den EDPS.

Inhalt der Strategie

Die Vorgaben unterscheiden zwischen kurzfristigen und mittelfristigen Einhaltungsmaßnahmen wurde. Als kurzfristige Maßnahme erließ der EDPS am 5. Oktober 2020 eine Anweisung an die EU-Institutionen, eine Bestandsaufnahme durchzuführen, um festzustellen, bei welchen laufenden Verträgen, Beschaffungsverfahren und anderen Arten der Zusammenarbeit Daten übertragen werden. Als mittelfristige Maßnahme wird der EDPS Leitlinien bereitstellen und von Fall zu Fall Maßnahmen zur Einhaltung und/oder Durchsetzung der Datenschutzvorschriften bei Übermittlungen in die Vereinigten Staaten oder andere Drittländer verfolgen. Zudem sollen die EU-Institutionen aufgefordert werden, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um für den jeweiligen Transfer zu ermitteln, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau, wie es in der EU/EWR vorgesehen ist, gewährleistet ist.

Nachfolgend eine Übersicht zu den Vorgaben mit einer eigenen Übersetzung. Ich denke, dass man aus Sicht eines Unternehmens nicht alle Vorgaben direkt übernehmen kann. Jedoch ist dieser Umsetzungsplan des EDPS ein guter Anhaltspunkt, wie man im Unternehmen sein eigenes „Schrems II-Projekt“ aufsetzen könnte.

Der EDPS hält einen zweigleisigen Ansatz für den geeignetsten:

(1) Ermittlung dringender Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften durch einen risikobasierten Ansatz für Übermittlungen in die USA, die für die betroffenen Personen mit hohen Risiken verbunden sind, und parallel dazu

(2) Bereitstellung von Leitlinien und Verfolgung mittelfristiger fallweiser Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften des EDPS für alle Übermittlungen in die USA oder in andere Drittländer.

Die Strategie des EDPS zur Gewährleistung und Überwachung der Einhaltung des Urteils ist im Wesentlichen in zwei Phasen mit kurz- und mittelfristigen Maßnahmen unterteilt.

1. Kurzfristig – Bestandsaufnahme (mapping) und unmittelbare Einhaltungsprioritäten

Bestandsaufnahme

Der EDPS erteile EU-Institutionen die Anweisung, eine Bestandsaufnahme aller laufenden Verarbeitungsvorgänge und Verträge durchzuführen, die Übermittlungen in Drittländer beinhalten. Die Institutionen werden aufgefordert, bis Ende Oktober eine Bestandsaufnahme durchzuführen, um Datenübermittlungen für laufende Verträge, Beschaffungsverfahren und andere Arten der Zusammenarbeit zu ermitteln. Die Bestandsaufnahme der EU-Institutionen sollte folgend Daten enthalten:

  • die Verarbeitungsvorgänge,
  • die Bestimmungsorte,
  • die Empfänger,
  • die verwendeten Übertragungsinstrumente,
  • die Arten der übertragenen personenbezogenen Daten,
  • die Kategorien der betroffenen Personen sowie
  • Informationen über Weiterleitungen beschreiben.

Rückmeldung an den EDPS

Bis spätestens 15. November 2020 sollen die EU-Institutionen dem EDPS über spezifische Risiken und Lücken berichten, die sie bei dieser Bestandsaufnahme ermittelt haben. Darüber hinaus müssen sie dem EDPS spezifische und transparente Informationen über drei Hauptkategorien von Datenübermittlungen vorlegen, die wahrscheinlich höhere Risiken für die Rechte und Freiheiten natürlicher Personen bergen und vom EDPS vor Ende 2020 als Aufsichtsprioritäten ermittelt wurden:

  • illegale Übermittlungen, die nicht auf einem Übermittlungsinstrument beruhen;
  • Übermittlungen, die auf einer Ausnahmeregelung nach Artikel 50 der Verordnung beruhen; und
  • “risikoreiche Übermittlungen” in die USA an Stellen, die eindeutig unter Abschnitt 702 FISA oder E.O. 1233319 fallen und bei denen es sich entweder um groß angelegte Verarbeitungsvorgänge oder komplexe Verarbeitungsvorgänge oder um die Verarbeitung sensibler Daten oder Daten sehr persönlicher Art handelt.

Auf der Grundlage dieser ersten Berichterstattung kann der EDPS Durchsetzungsmaßnahmen ergreifen, um diese Übermittlungen mit der Verordnung in Einklang zu bringen oder diese Übermittlungen gegebenenfalls auszusetzen.

2. Mittelfristig – Leitlinie des EDSA und Transfer Impact Assessments

Transfer Impact Assessments (TIAs)

Die EU-Institutionen werden aufgefordert, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um festzustellen, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/EWR gewährleistet ist.

Im Anschluss an die erwartete Leitlinie des Europäischen Datenschutzausschusses zu geeigneten ergänzenden Maßnahmen wird der EDPS eine Liste von Vorfragen für Verantwortliche zur Verfügung stellen, damit diese TIAs mit Datenimporteuren einleiten können.

Auf der Grundlage dieser Bewertungen, die mit Hilfe von Datenimporteuren durchgeführt werden, sollten die EU-Institutionen eine Entscheidung darüber treffen, ob es möglich ist, die in der Bestandsaufnahme ermittelten Transfers fortzusetzen.

Rückmeldung an den EDPS

Abhängig vom Ergebnis der TIAs sollen die EU-Institutionen dem EDPS im Laufe des Frühjahrs 2021 über die folgenden drei Kategorien von Datentransfers Bericht zu erstatten:

  • Übermittlungen in ein Drittland, die kein im Wesentlichen gleichwertiges Schutzniveau gewährleisten;
  • Übermittlungen, die ausgesetzt oder beendet werden, sind gemäß Art. 47 Abs. 2 der Verordnung 2018/1725 zu melden, wenn die EU-Institution der Auffassung ist, dass das Drittland kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet;
  • Bei Übertragungen, die auf Ausnahmeregelungen beruhen, sind Kategorien von Fällen, in denen Art. 50 der Verordnung 2018/1725 angewandt wurde, gemäß Art. 50 Abs. 6 der Verordnung zu melden.

Verwaltungsgericht Berlin: wann bestehen „begründete Zweifel“ an der Identität des Betroffenen im Rahmen einer Auskunft?

Das Verwaltungsgericht Berlin (VG) hatte mit Urteil vom 31.8.2020 (1 K 90.19) in einem Fall zu entscheiden, in dem es um die Frage ging, wann ein datenschutzrechtlich Verantwortlicher (hier: das Amtsgericht Tiergarten) „begründete Zweifel“ an der Identität eines Betroffenen gegen einen Auskunftsanspruch vorbringen kann.

Sachverhalt

Der Kläger begehrte schriftliche Auskunft über die beim Amtsgericht Tiergarten zu seiner Person gespeicherten persönlichen Daten. Diesen Auskunftsantrag lehnte der Präsident des Amtsgerichts Tiergarten mit Bescheid vom 17. Januar 2019 ab, weil der Kläger seine Identität nicht in der erforderlichen Form nachgewiesen habe. Der Präsident des Amtsgerichts Tiergarten verlangte hierzu die Vorlage einer Kopie des Personalausweises des Klägers. Der Widerspruch des Klägers hatte keinen Erfolg und er klagte schließlich gegen die Ablehnung.

Entscheidung

Das VG gab der Klage statt. Nach Ansicht des Gerichts konnte sich das Amtsgericht hier nicht auf die Ausnahmeregelung in § 59 Abs. 4 BDSG berufen. Dort ist geregelt, dass der Verantwortliche, wenn er begründete Zweifel an der Identität einer betroffenen Person hat, er von ihr zusätzliche Informationen anfordern kann, die zur Bestätigung ihrer Identität erforderlich sind. Die Vorschrift geht auf Art. 12 der Richtlinie 2016/680 zurück, die für Datenverarbeitungen im Bereich Polizei und Justiz.

Eine ähnliche Regelung findet sich praktisch wortgleich auch in Art. 12 Abs. 5 DSGVO. Aus diesem Grund ist die Begründung des VG in seiner Entscheidung meines Erachtens auch für Unternehmen im Anwendungsberiech der DSGVO interessant.

Strittig war hier also allein die Frage, ob der Kläger sich in der vom Beklagten verlangten qualifizierten Form legitimieren muss, um die beantragte schriftliche Auskunft erhalten zu können. Dies sieht das VG nicht so.

Zunächst interpretiert das VG den Begriff der „begründeten Zweifel“. Es geht davon aus, dass der auskunftspflichtige Verantwortliche ohne besonderen keinen Identitätsnachweis von einem Antragsteller verlangen darf.

Fraglich war dann, ob ein solcher besonderer Anlass oder besondere Umstände vorlagen. Auch dies lehnt das Gericht ab. Der Kläger als Betroffener begehrte Auskunft (wohl) auf postalischem Weg. Die Anschrift des Klägers war dem Amtsgericht aber schon seit längerem bekannt. Das Amtsgericht Tiergarten hatte dem Kläger schon in der Vergangenheit verschiedene Entscheidungen unter seiner gegenwärtigen Adresse übersandt.

Zudem, und dies ist auch ein interessanter Punkt in der Begründung, fehlt nach Ansicht des VG jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte.

Das VG argumentiert also wie folgt: wenn die postalische Adresse schon bisher genutzt wurde, um mit dem Betroffenen zu kommunizieren und keine Anhaltspunkte für unzulässiges Handeln Dritter erkennbar sind, kann man nicht von „begründeten Zweifeln“ ausgehen.

Zuletzt führt das VG aus, dass das Amtsgericht als Verantwortlicher durch eine förmliche Zustellung seines Auskunftsschreibens dessen Fehlleitung unterbinden kann. Auch dieser Hinweis ist für den Anwendungsbereich der DSGVO relevant und meines Erachtens auch in der Praxis dringend anzuraten. Der Versand von Auskunftsschreiben sollte nachweisbar erfolgen (allein um auch die Fristen einzuhalten). Also etwa per Einschreiben.

Fazit

Die Begründung des VG ist meines Erachtens schlüssig. Auch wenn man für den postalischen Auskunftsweg hypothetische Unsicherheitsfaktoren berücksichtigen kann (Bsp: jemand fängt den Brief ab), darf dies nicht per se dazu führen, dass eine Auskunft verweigert wird. Ist aus vergangener Korrespondenz klar, dass der Betroffene unter dieser Adresse kommuniziert, müssten besondere Anhaltspunkte hinzutreten, um „begründete Zweifel“ an der Identität annehmen zu können.

Ergänzungen der EU-Standardvertragsklauseln – ist eine Genehmigung durch die Datenschutzbehörde wirklich erforderlich?

Nach dem Schrems II Urteil des EuGH (C-311/18) wird viel darüber diskutiert, wie die vom EuGH vorgeschlagenen „zusätzlichen Maßnahmen“ (Rz. 133) in die geltenden Standardvertragsklauseln (SCC) aufgenommen oder an diese angehängt werden können, ohne Gefahr zu laufen, dass die so ergänzten Klauseln einer Genehmigung durch die Aufsichtsbehörde bedürfen. Der nachfolgenden Analyse liegt stets eine geplante Ergänzung der Klauseln zu Grunde, die sich positiv auf die Betroffenen auswirken würde (auch wenn allein schon diese Frage in der Praxis nicht immer einfach zu beantworten ist).

Zum Hintergrund

Nach Art. 46 Abs. 2 lit. c) iVm Abs. 5 DSGVO können die die bisherigen SCC als geeigneten Garantien eingesetzt werden, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre. Der Einsatz der unveränderten SCC ist mithin sicher genehmigungsfrei.

Die in dem Verfahren relevanten Standardvertragsklauseln (2010/87/EU) schreiben in Art. 10 vor: „Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.“ (Hervorhebung nur hier)

Der EuGH geht in seinem Urteil nun aber davon aus, „die in den Standarddatenschutzklauseln enthaltenen Garantien zu ergänzen“ (Hervorhebung nur hier), um die Einhaltung des unionrechtlich verlangten Schutzniveaus zu gewährleisten (Rz. 133). Als Begründung stellt der EuGH u.a. auf ErwG 109 DSGVO ab, in dem es heißt: „[d]ie dem Verantwortlichen … offenstehende Möglichkeit, auf die von der Kommission … festgelegten Standard-Datenschutzklauseln zurückzugreifen, … den Verantwortlichen [nicht] daran hindern [sollte], ihnen weitere Klauseln oder zusätzliche Garantien hinzuzufügen“ (Hervorhebung nur hier) und dass der Verantwortliche insbesondere „ermutigt werden [sollte], [durch Ergänzung der Standarddatenschutzklauseln] zusätzliche Garantien zu bieten“.

Sowohl aus dem ErwG 109 DSGVO als auch dem Urteil des EuGH ergibt sich damit klar, dass „weitere Klauseln“ oder „Ergänzungen“ der geltenden SCC möglich, ja sogar zwingend erforderlich sein können, um ein angemessenes Schutzniveau im jeweiligen Drittland gewährleisten zu können. Zu einer daraus resultierenden Genehmigungspflicht äußert sich weder der EuGH, noch verhält sich ErwG 109 hierzu.

Woraus ergibt sich also die Ansicht, dass Ergänzungen der SCC genehmigt werden müssen? Meines Erachtens sprechen ErwG 109 DSGVO also auch die Vorgabe des EuGH zumindest nicht für eine Genehmigungspflicht.

Ansichten der Datenschutzbehörden

A.

Noch zur alten Rechtslage hat sich hierzu die AG „Internationaler Datenverkehr“ der deutschen Aufsichtsbehörden geäußert.

„Bei Änderung eines Standardvertrages, die eindeutig zugunsten des Betroffenen ausfällt, besteht u. U. keine Genehmigungspflicht nach § 4 c Abs. 2 BDSG, was durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären ist“.

(Abgestimmte Positionen der Aufsichtsbehörden in der AG “Internationaler Datenverkehr” am 12./13. Februar 2007 – Bezug: Protokoll der Sitzung mit Wirtschaftsvertretern am 23. Juni 2006 Punkt II Nr. 4). Zumindest gingen die Behörden damals nicht per se von einer Genehmigungsbedürftigkeit aus. Jedoch sollte die Behörde um Rat gefragt werden.

B.

Aktueller ist die Ansicht des Landesbeauftragten für Datenschutz in Rheinland-Pfalz.

Sofern die Standardvertrags- bzw. Standarddatenschutzklauseln in unveränderter Form verwendet werden, sind die Datenübermittlungen genehmigungsfrei. Dies gilt auch noch dann, wenn ihnen weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den Standardklauseln stehen und die Grundrechte und Grundfreiheiten der betroffenen Personen nicht beschneiden (Erwägungsgrund 109). Bei solchen Hinzufügungen sollten Unternehmen jedoch eine gewisse Vorsicht walten lassen, da im Falle eines inhaltlichen Widerspruchs zu den Standardvertrags- bzw. Standarddatenschutzklauseln die Übermittlung genehmigungspflichtig wird“ (Hervorhebungen nur hier)

Der LfDI sieht also durchaus die zulässige Möglichkeit, die SCC durch zusätzliche Klauseln (etwa Pflichten für de Importeur) zu ergänzen, ohne, dass dadurch eine Genehmigungspflicht entsteht. Zudem informiert er darüber, dass eine solche Ergänzung wohl nur dann als genehmigungsfrei angesehen wird, wenn sie nicht im Widerspruch zu den Klauseln der SCC steht.

C.

Strenger, jedoch leider ohne Begründung, ist die Ansicht des Hessischen Beauftragten für Datenschutz.

Zwar ist es möglich, die Standarddatenschutzklauseln auch in umfangreichere Vertragswerke einzubauen oder um zusätzliche Klauseln zu ergänzen. Zu bedenken ist allerdings, dass die Übermittlung der Daten nur dann genehmigungsfrei ist, wenn die Standarddatenschutzklauseln unverändert verwendet werden (Hervorhebung nur hier). Die Behörde sieht wohl also gar keine Möglichkeit, die SCC zu ergänzen, ohne, dass eine Genehmigung der Behörde erforderlich wäre. Warum dies so ist, begründet die Behörde aber leider nicht.

D.

Einen Mittelweg wählt die Aufsichtsbehörde aus NRW.

Einer besonderen Genehmigung der EU-Standardvertragsklauseln durch die LDI NRW bedarf es nicht, denn die Eignung des Vertragswerks als Garantie im Sinne des Art. 46 Abs. 1 DS-GVO folgt bereits aus der Erwähnung in Art. 46 Abs. 2 lit. c) DS-GVO . Werden allerdings einzelne Klauseln individuell verändert oder Klauseln der einzelnen Verträge miteinander vermischt, entsteht grundsätzlich ein Individualvertrag, der gemäß Art. 46 Abs. 3 DS-GVO im Kohärenzverfahren auf EU-Ebene abgestimmt und durch die Aufsichtsbehörde genehmigt werden muss. Grundsätzlich können darunter auch Ergänzungen fallen, die der Anpassung an die DS-GVO dienen (etwa zur Erfüllung der Voraussetzungen des Art. 28 Abs. 3 DS-GVO durch die EU-Standardvertragsklauseln selbst). Ob im Einzelfall keine Genehmigungspflicht und/oder Abstimmungspflicht auf EU-Ebene besteht, ist in Zweifelsfällen durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären.“ (Hervorhebung nur hier). Die LDI NRW tendiert wohl zu einer Genehmigungspflicht, empfiehlt jedoch, eine entsprechende Rückfrage bei der Aufsichtsbehörde zu stellen.

Eigene Interpretation

Als ich mich dem Thema genähert habe, habe ich mich zunächst gefragt, woraus sich eigentlich ergibt, dass Ergänzungen per se genehmigungsbedürftig seien? Aus der DSGVO ergibt sich dies mE nämlich nicht. Im Gegenteil sprechen die Vorgaben des ErwG 109 DSGVO meiner Ansicht nach eher für die Möglichkeit der Ergänzung, ohne Genehmigungspflicht.

Denn ErwG 109 DSGVO geht von der Möglichkeit der Verwendung der SCC (= genehmigungsfrei) aus, was den Verantwortlichen aber gerade nicht „daran hindern“ soll, ihnen weitere Klauseln oder zusätzliche Garantien hinzuzufügen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den SCC stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Ich verstehe diese Erläuterung so, dass die Einfachheit des Einsatzes (nicht daran hindern) eben gerade nicht durch Ergänzungen aufgehoben werden soll, wenn diese Ergänzungen positiv für Betroffene sind. Denn wozu wäre sonst der letzte Teil des Satzes relevant, wenn doch jede Anpassung ohnehin genehmigt werden müsste (egal ob positiv oder negativ). Oder anders ausgedrückt: eine Genehmigungsbedürftigkeit bei positiver Anpassung würde mich als Unternehmen daran hindern, die SCC in der eigentlich vorgesehen genehmigungsfreien Form zu nutzen.

Einziger Anhaltspunkt dafür, dass Änderungen zu einer Genehmigungspflicht führen, wäre meines Erachtens die Klausel 10 der SCC selbst. Dieser Klausel steht aber derzeit ErwG 109 DSGVO und die Vorgabe des EuGH entgegen.

Klar für eine genehmigungsfreie Anpassung der SCC sprechen auch die FAQ der EU-Kommission zu internationalen Datentransfers (pdf). Auf die Frage „9. CAN COMPANIES INCLUDE THE STANDARD CONTRACTUAL CLAUSES IN A WIDER CONTRACT AND ADD SPECIFIC CLAUSES?” wird dort geantwortet (B.1.9):

Yes. Parties are free to agree to add other clauses as long as they do not contradict, directly or indirectly, the standard contractual clauses approved by the Commission or prejudice fundamental rights or freedoms of the data subjects. It is possible, for example, to include additional guarantees or procedural safeguards for the individuals (e.g. online procedures or relevant provisions contained in a privacy policy).”

Unter B.1.10 gibt die Kommission dann zu Bedenken: „Once they change the standard contractual clauses these are no longer “standard”. The companies will consequently not benefit from the specific favourable treatment attached to the standard contractual clauses”.

Fazit

Für mich ergibt sich hieraus folgendes Bild: sowohl der EuGH als auch ErwG 109 DSGVO gestatten (ja fordern) ausdrücklich die Ergänzung der Klauseln um zusätzliche Garantien bzw. Klauseln. Damit die SCC ihren genehmigungsfreien Charakter nicht verlieren, muss wohl (so verstehe ich die FAQ der Kommission) darauf geachtet werden, dass die Klauseln der SCC selbst nicht angefasst werden, sondern quasi on top noch Pflichten oder mehr Rechte vereinbart werden. In der Praxis wird es sicher nicht immer einfach sein, klar eine Trennlinie zu ziehen, ob eine neue Pflicht oder neue Klausel auch wirklich keine Änderung der SCC-Klauseln darstellt. Meines Erachtens sprechen aber gute Gründe dafür, dass bei entsprechender Ergänzung der SCC um weitere (!) und zusätzliche (!) Garantien, eine Genehmigungsbedürftigkeit nicht besteht.

VG Schleswig: DSGVO erfordert keine öffentliche Stellenausschreibung für das Amt des Landesdatenschutzbeauftragten

Das VG Schleswig hat im Verfahren des einstweiligen Rechtschutzes entschieden (Beschl. v. 19.08.2020 – 12 B 36/20), dass die Wiederwahl der Landesbeauftragten in Schleswig-Holstein mit der DSGVO vereinbar war.

Sachverhalt

Der Antragsteller, ein Volljurist und seit 2016 bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen tätig, bewarb sich am 7.6.2020 für das Amt des Landesbeauftragten für Datenschutz. Zuvor (am 4.6.2020) beantragten die Fraktionen im Landtag die bisherige Landesbeauftragte wiederzuwählen.

Der Antragsteller begründete sein Vorbringen u.a. damit, dass die beabsichtigte Ernennung gegen Art. 53 DSGVO verstoße, da die Besetzung der Leitungsposition nicht „im Wege eines transparenten Verfahrens“ erfolge. Nach Art. 53 Abs. 1 DSGVO sehen die Mitgliedstaaten vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird.

Entscheidung

Direkt vorab: die Wiederwahl von Frau Hansen zur Landesbeauftragten halte ich im Ergebnis für gut, denn Frau Hansen ist eine sehr kompetente und geschätzte Landesbeauftragte.

Kritisieren möchte ich daher hier auch nicht diese spezielle Wiederwahl, sondern die Begründung und Ansicht des Verwaltungsgerichts zur Auslegung von Art. 53 DSGVO.

Das Verwaltungsgericht begründet seine Ablehnung des Antrags damit, dass das in § 5 Abs. 1 S. 1 ULDErrG SH geregelte Wahlverfahren nicht gegen das Transparenzgebot verstoße.

Einer öffentlichen Ausschreibung des Postens des Landesdatenschutzbeauftragten bedarf es – anders als bei der Ernennung des Europäischen Datenschutzbeauftragten (Art. 42 Abs. 1 der Verordnung (EG) Nr. 45/20019 – nicht“.

Das ist die gesamte Begründung des Gerichts zu seiner Ansicht. Mehr nicht. Das Gericht verweist, zur Untermauerung dieser Ansicht, noch auf zwei Literaturansichten (Boehm, in: Kühling/Buchner, DSGVO, BDSG, 2. Aufl., Art. 53 DSGVO Rn. 6; Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 53 Rn. 8).

Das Gericht lässt hierbei aber völlig die gegenteiligen Ansichten außer Betracht. Vgl. etwa:

-          Selmayr, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 53 Rn. 5.

-          Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 53 Rn. 4.

-          Tendenziell wohl auch Römer, in Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, 2. Aufl. 2020, Art. 53 Rn. 19.

Zudem ist meines Erachtens auch der Verweis auf die Ansicht von Prof. Boehm zum Beleg, dass eine Ausschreibung nicht erfolgen muss, nicht richtig. Prof. Boehm legt nur dar, dass diese Ausschreibung in Deutschland nicht vorgesehen ist, was aber nicht bedeutet, dass dies nach der DSGVO nicht erforderlich wäre. Im Gegenteil verlangt Prof. Boehm für das Verfahren, dass dieses für die Bürger überprüfbar und nachvollziehbar erfolgen muss.

Nach Ansicht des Verwaltungsgerichts war öffentlich bekannt, wen die Fraktionen des schleswig-holsteinischen Landtags für das Amt vorschlugen. Zudem geht das Gericht davon aus, dass es einer öffentlichen Debatte über mögliche Kandidaten nicht bedurfte.

Die Ansicht des Verwaltungsgerichts zur Anwendung von Art. 53 Abs. 1 DSGVO halte ich für mindestens diskutabel und im Ergebnis dem Datenschutzrecht wenig zuträglich. Denn ich möchte vermuten, dass eine öffentliche Kenntnis von Anträgen in Landesparlamenten nicht unbedingt so an die Öffentlichkeit gelangen, wie eine öffentliche Ausschreibung mit einer Bewerbungsfrist. Ich persönlich sehe keinen Grund, warum man eine öffentliche Ausschreibung und ein Bewerbungsverfahren nicht durchführen sollte. Je weniger die Öffentlichkeit an diesem Prozess beteiligt ist, desto eher kann bei externen Beobachtern der Eindruck entstehen, dass man sich vorab intern auf einen Kandidaten geeinigt hat, der für die Position „passt“.

Zudem eine Anmerkung zu dem Verweis auf die Verordnung (EG) 45/2001. Diese ist überhaupt nicht mehr anwendbar. Und zwar seit dem 11.12.2018 (!). Denn es gibt eine Nachfolgeverordnung (Verordnung (EU) 2018/1725), in der die Aufhebung der alten Verordnung in Art. 99 VO 2018/1725 angeordnet wird. Das Verwaltungsgericht stützt seine Ansicht mithin u.a. auf eine nicht mehr anwendbare Verordnung. Freilich muss beachtet werden, dass in Art. 53 Abs. 1 VO 2018/1725 eine entsprechende Regelung für eine öffentliche Ausschreibung für das Amts des Europäischen Datenschutzbeauftragten geschaffen wurde.

Meines Erachtens muss aber nicht aus dieser Regelung geschlossen werden, dass im Rahmen der DSGVO das geforderte „transparente Verfahren“ gerade keine Ausschreibung verlangt. Der Unterschied beider Verordnungen liegt u.a. darin, dass sich VO 2018/1725 nicht an verschiedene Staaten mit unterschiedlichen nationalen Regelungen im Bereich des Beamten- oder Verwaltungsrechts richtet. VO 2018/1725 bezieht sich allein auf die EU-Ebene und die Regelung zur Ausschreibung konnte (bzw. musste sogar) in der VO 2018/1725 erfolgen.

Dass die Anforderungen an das transparente Verfahren wohl auch in Deutschland unterschiedlich interpretiert werden, zeigt beispielhaft die letzte öffentliche Stellenausschreibung für das Amt des Landesbeauftragten in Sachsen-Anhalt.

Die Auslegung und Anwendung von Art. 53 DSGVO ist aus meiner Sicht auf jeden Fall ein spannendes Thema, zu dem sicher noch diskutiert werden kann.

Die Rolle von „Übereinkommen Nr. 108+“ im Rahmen der Prüfung des Datenschutzniveaus in Drittländern nach der DSGVO

Nach der Entscheidung des EuGH in der Rechtssache Schrems II (C-311/18) wird vermehrt deutlich, dass der Inhalt dieses Urteils bei weitem nicht nur Auswirkungen auf Datenübermittlungen in die USA hat. Wenn kein Angemessenheitsbeschluss der Europäischen Kommission existiert, fordert der EuGH von datenexportierenden Verantwortlichen, dass sie vor der Übermittlung prüfen, ob in dem jeweiligen Drittland ein gleichwertiges Schutzniveau für personenbezogene Daten existiert.

Es stellt sich die Frage, welche Bedeutung das Übereinkommen Nr. 108+ (man spricht von „Nr. 108+“, da das alte Übereinkommen im Jahre 2018 angepasst wurde) des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr. 108) bei der Prüfung des Schutzniveaus in Drittländer spielt, die Vertragspartei dieses völkerrechtlichen Übereinkommens sind. Mein Kollege Philipp Quiel und ich haben uns hierzu ein paar tiefergehende Gedanken gemacht und die Vorgaben der DSGVO für ein “gleichwertiges Schutzniveau” den Regelungen des Übereinkommen Nr. 108+ gegenübergestellt. Den Beitrag kann man hier herunterladen (PDF).

Ergänzung vom 31.8.2020: aufgrund des Feedbacks auf Twitter haben wir die gegenüberstellende Analyse um die Regelungen des Übereinkommens 108 und Informationen zum Gültigkeitsstatus ergänzt. Danke.

Bundesländer schließen Vereinbarung zur gemeinsamen Verantwortlichkeit nach DSGVO – Blaupause für die Praxis?

Die Rechtsfigur der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) hat seit den EuGH Urteilen in Sachen Wirtschaftsakademie (C-210/16) und FashionID (C-40/17) Hochkonjunktur. Das Problem in der Praxis: niemand weiß, wie genau eine von der DSGVO geforderte Vereinbarung aussehen muss. Art. 26 DSGVO gibt hierzu nur rudimentäre Anhaltspunkte; ganz anders etwa als Art. 28 DSGVO für die Auftragsverarbeitung. Für die Praxis ist dies positiv und negativ zugleich. Positiv, da man einen gewissen Gestaltungsspielraum hat; negativ, da man diesen Gestaltungsspielraum nicht sicher definieren kann.

Daher freue ich mich immer, wenn ich Beispiele für Vereinbarungen nach Art. 26 DSGVO sehe.

Ein solches Beispiel habe ich nun in der Parlamentsdokumentation des Landtages NRW entdeckt. Dort ist der „Entwurf einer Vereinbarung gemäß Artikel 26 Datenschutz-Grundverordnung (DS-GVO) über die Verarbeitung personenbezogener Daten der Händler und Hersteller von Waffen und wesentlichen Waffenteilen in der Kopfstelle des Nationalen Waffenregisters“ (pdf) abrufbar.

Hintergrund der Vereinbarung (die ab dem 1.9.2020 gelten soll) ist das Inkrafttreten neuer Vorschriften zum Nationalen Waffenregister (NWR). Diese beinhalten eine Registrierungspflicht der Händler und Hersteller von Waffen. In der Form einer „Kopfstelle“ beauftragen alle Bundesländer die Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH (DVZ M-V GmbH) mit Datenverarbeitungen.

Die Vereinbarung nach Art. 26 DSGVO wird hier also von alles Bundesländern getroffen.

Aus Sicht der Praxis lohnt sich sicher ein Blick in die Vereinbarung. Sei es, um in eigenen Ansichten bestätigt zu werden oder auch, um neue Anregungen zu erhalten. Nach dem Motto: wie machen das eigentlich die Bundesländer?

Einige Anmerkungen zu der Vereinbarung selbst.

In § 1 wird der Hintergrund der Vereinbarung erläutert. Zudem wird in Abs. 3 in Form einer detaillierten Aufzählung festgelegt, worauf sich die gemeinsame Verantwortlichkeit bezieht. Es werden nacheinander einzelne Verarbeitungstätigkeiten beschrieben. Dies in einer beschreiben Form auf faktischer Ebene. Das halte ich für sinnvoll.

§ 2 enthält dann eine Beschreibung der Datenkategorien und auch einen Hinweis auf den Erlaubnistatbestand der Verarbeitung.

§ 3 befasst sich mit der Erfüllung von Betroffenenrechten. Ein für die Praxis sehr relevantes Thema. Hinsichtlich der Informationspflichten wird (sinnigerweise) intern festgelegt, welche Partei sich um die Erteilung der Informationen nach Art. 13, 14 DSGVO und auch des Wesentlichen der Vereinbarung (Art. 26 Abs. 2 DSGVO) kümmert. Achtung: dies soll die Betreiberin der Kopfstelle sein; also nicht eine Partei der Vereinbarung selbst. Daher ist hier auch nur geregelt, dass die Betreiberin der Kopfstelle damit beauftragt wird. Sie kann aber nicht in der Vereinbarung selbst verpflichtet werden (Stichwort: Vertrag zu Lasten Dritter).

Interessant ist zB noch, dass in Abs. 4 Regelungen zur Identifizierung von Betroffenen festgelegt sind, wenn diese Auskunftsansprüche geltend machen.

In § 5 geht es um Meldungen nach Datenschutzverletzungen. Hier ist jede Partei selbst für die Meldung an die für sie zuständige Behörde verantwortlich.

In § 8 geht es um die Beauftragung und Einbindung der Betreiberin der Kopfstelle. Die DVZ M-V GmbH wird als Betreiberin der Kopfstelle als „Auftragsverarbeiterin der Parteien im Sinne von Artikel 28 DS-GVO“ betrachtet.

Nach Abs. 2 muss Partei 8 (das ist das Land Mecklenburg-Vorpommern) „im Namen aller Parteien einen Vertrag nach Art. 28 DS-GVO im Hinblick auf die Verarbeitung der von ihnen zu verantwortenden personenbezogenen Daten“ mit der DVZ M-V GmbH abschließen. Bedeutet: nicht jede Partei muss einzeln mit dem AVler kontrahieren. Das geht auch durch eine beauftragte Partei, im Namen aller. Zudem sehen die Abs. 3 und 4 einen Mechanismus zur Aufnahme weiterer AVler vor. Es muss eine vorherige schriftliche Zustimmung aller Parteien eingeholt werden. So ein Mechanismus kann in Unternehmensgruppen natürlich wahnsinnig aufwendig sein. Hier könnte man überlegen, ob denn diese Zustimmung (ähnlich wie bei Art. 28 DSGVO) nicht schon vorab erteilt wird und die übrigen Parteien informiert werden und ggfs. widersprechen können.

§ 10 enthält Regelungen zur Haftung. Diese sind jedoch wenig spektakulär und geben im Grunde die Vorgaben der DSGVO wieder. Interessant ist aber, dass die Bundesländer davon ausgehen, dass sie nach außen für Schäden gesamtschuldnerisch haften und zwar nach Maßgabe der Regelungen zum Schadensersatz (Art. 82 DSGVO). Zu einer Haftung bzgl. der Nichterfüllung von Betroffenenrechten (Art. 26 Abs. 3 DSGVO) oder im Fall von Bußgeldern, wird dort nichts geregelt.

Das SchremsII-Urteil des EuGH: Folgen für die Praxis des Einsatzes von Standarddatenschutzklauseln

Was sind die Konsequenzen des Schrems II-Urteils des EuGH (C-311/18)? Was ist bei Datentransfers in die USA und auch andere Drittländer zu beachten? Diese Fragen stellen sich aktuell natürlich viele Unternehmen und allgemein datenverarbeitende Stellen. Ich habe nicht den Anspruch, hierauf abschließende Antworten zu geben.

Gerne möchte ich aber in diesem Beitrag versuchen, das Urteil zum einen systematisch einzuordnen und etwas „aufzudröseln“. Zum anderen auch mögliche (!) praktische Konsequenzen für datenverarbeitende Stellen abzuleiten. Im Blick sollen hierbei die Standardvertragsklauseln (jetzt: Standarddatenschutzklauseln, „SDK“) stehen. Das andere Interpretation des Urteils sicherlich ebenso vertretbar sind, versteht sich meines Erachtens von selbst.

Ich verzichte hier bewusst auf eine Darstellung, was Hintergrund des Verfahrens war und auch auf Erläuterungen, was das EU US Privacy Shield oder die SDK sind.

Da dieser Beitrag relativ lang ist, stelle ich ihn auch in einem PDF-Dokument zum Download bereit.

A. Systematik des Urteils

Meines Erachtens bietet sich zunächst an, den Prüfaufbau des EuGH in den Blick zu nehmen. Dies ist, gerade aufgrund der Länge des Urteils relevant. Denn man kann sich gut in der Begründung verlieren, nur um dann die Frage zu stellen, was denn eigentlich gerade geprüft wird. Hierzu habe ich eine kleine Gliederung erstellt:

1. Das erforderliche Schutzniveau nach Art. 46 Abs. 1 und Art. 46 Abs. 2 lit. c DSGVO, wenn Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden? (ab Rz. 90)

2. Aussetzungspflicht der Datenschutzbehörde, wenn die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können? (ab Rz. 106)

3. Gültigkeit des Standarddatenschutzklausel-Beschlusses im Hinblick auf die Art. 7, 8 und 47 der Charta („angemessenes Schutzniveau“)? (ab Rz. 122)

4. Ob und inwieweit eine Datenschutzbehörde („DSB“) eines Mitgliedstaats an die Feststellungen im Privacy Shield-Beschluss gebunden ist // ob die auf die Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in die USA die durch die Art. 7, 8 und 47 der Charta verbürgten Rechte verletzt? (ab Rz. 150)

a. Zum Inhalt des Privacy Shield-Beschlusses (ab Rz. 163)

b. Zur Feststellung eines angemessenen Schutzniveaus (ab Rz. 168)

B. Einheitliches Schutzniveau für Kapitel V der DSGVO

Aus der Gliederung wird bereits deutlich, dass der EuGH in dem Urteil zunächst prüft, was denn überhaupt für ein Schutzniveau zu erreichen ist, wenn Daten auf der Grundlage von Art. 46 DSGVO übermittelt werden. In der Prüfung im ersten Abschnitt befasst sich der EuGH ganz allgemein mit der Frage, welches Schutzniveau „geeignete Garantien“ erreichen müssen.

Also ganz abstrakt: gibt es einen Unterschied des zu erreichenden Schutzniveaus bei den Transfermechanismen nach Kapitel V DSGVO?

Nein. Nach dem EuGH gilt für die ganze DSGVO und damit auch Kapitel V ein einheitliches Schutzniveau. Das bedeutet, dass die in Art. 46 Abs. 1 DSGVO genannten „geeigneten Garantien“ so beschaffen sein müssen, dass sie für Personen, deren personenbezogene Daten auf der Grundlage von SDK in ein Drittland übermittelt werden – wie im Rahmen einer auf einen Angemessenheitsbeschluss gestützten Übermittlung – ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist (Rz. 96).

In den Rz. 90-105 geht es noch gar nicht spezifisch um die aktuell geltenden SDK, sondern allgemein um dieses Transferinstrument an sich. Das Gericht betrachtet den allgemeinen Prüfungsmaßstab, der an Datentransfers nach Art. 46 DSGVO zu stellen ist. Die SDK stellen dabei ein Beispiel dar.

C. Anforderungen an Datentransfers ohne Angemessenheitsbeschluss

Nach dem EuGH (und der Vorgaben in Art. 46 Abs. 1 DSGVO) dürfen, bei fehlendem Angemessenheitsbeschluss, personenbezogene Daten an ein Drittland übermitteln werden, wenn der Exporteur folgende drei Ziele erreicht:

  • er „geeignete Garantien“ vorgesehen hat (diese können u.a. in den SDK bestehen)
  • den betroffenen Personen „durchsetzbare Rechte“ und
  • wirksame Rechtsbehelfe“ zur Verfügung stehen (Rz. 91)

Dies sind, für Art. 46 DSGVO, die maßgeblichen drei Kriterien des angemessenen Schutzniveaus.

Wichtig: im Rahmen des Art. 46 DSGVO (und damit auch der SDK) muss aber nicht das Zielland und die dortige Rechtsordnung ein der Sache nach gleichwertiges Schutzniveau aufweisen. Sondern die „geeigneten Garantien“ selbst, also zB die SDK, sollen für Personen ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig (Rz. 96).

Das bedeutet dann auch, dass der Prüfungsmaßstab für das Schutzniveau inhaltlich ein anderer ist, als im Fall des Angemessenheitsbeschlusses nach Art. 45 DSGVO (vgl. auch Rz. 129 und 130). Das zu erreichende Ziel (Gleichwertigkeit) ist aber dasselbe.

Meine verbildlichte Darstellung: im Fall des Angemessenheitsbeschlusses ist das ganze Drittland eine schöne grüne Datenschutzwiese. Im Fall des Art. 46 DGSVO (also etwa des Einsatzes von SDK) ist das Drittland aber eine böse Vulkanlandschaft, in der Daten nicht sicher sind und mit den SDK wollen wir nun einen Tunnel zu einem bestimmten Empfänger schaffen. Es existiert also, quasi als Voraussetzung, ein Mangel an Datenschutz, der durch den Tunnel für eine Übermittlung ausgeglichen werden muss (Rz. 95). Dieser Tunnel muss die Daten entsprechend den Anforderungen des Art. 46 DSGVO gegen die Vulkanlandschaft schützen.

D. Schutzniveau beim Einsatz von SDK

Das vorlegende Gericht wollte vom EuGH auch wissen, welche Gesichtspunkte denn konkret zu berücksichtigen sind, um festzustellen, ob ein angemessenes Schutzniveau besteht, wenn personenbezogene Daten auf der Grundlage der SDK übermittelt werden (Rz. 102).

Die Antwort des EuGH hierauf ist wenig spezifisch und praxistauglich. Er orientiert sich natürlich an dem oben aufgestellten Schutzniveau für Art. 46 DSGVO. Hinsichtlich seiner bereits zuvor herausgestellten drei Kriterien, erläutert er aber in Rz. 104 zusätzlich, dass in Bezug auf eine Übermittlung auf Grundlage der SDK folgende Punkte zu berücksichtigen sind:

  • insbesondere die vertraglichen Regelungen, die zwischen dem in der Union ansässigen Verantwortlichen und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie,
  • was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes.

Und hier vollzieht der EuGH einen wichtigen vergleichenden Schwenk zu den Voraussetzungen für einen Angemessenheitsbeschluss: hinsichtlich des Zugriffs von Behörden des Drittlands auf die übermittelten personenbezogenen Daten entsprechen die Elemente, die im Kontext von Art. 46 DSGVO zu berücksichtigen sind, jenen, die in Art. 45 Abs. 2 DSGVO in nicht abschließender Weise aufgezählt werden.

E. Bewertung der aktuell geltenden SDK (2010/87/EU)

Erfüllen die aktuell geltenden SDK diese Anforderungen? Und was ist konkret bei ihrem Einsatz zu beachten? Mit den aktuell geltenden SDK (bzw. genauer, mit dem zugrundliegenden Beschluss der Kommission) befasst sich der EuGH ab Rz. 122.

Die erste wichtig Feststellung des EuGH ist, dass es Situationen geben kann, in denen die SDK unverändert genutzt werden können, da sie selbst das angemessene Schutzniveau schaffen. Der EuGH unterscheidet zwei Szenarien (Rz. 126):

  • Szenario 1: Der Empfänger einer Übermittlung kann, in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland, den erforderlichen Datenschutz allein auf der Grundlage der SDK garantieren kann.
  • Szenario 2: Situationen, in denen die in den SDK enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten.

Zu Szenario 2 nennt das Gericht ein Beispiel: wenn das Recht dieses Drittlands dessen Behörden bezüglicher dieser Daten Eingriffe in die Rechte der betroffenen Personen erlaubt.

Achtung: nur weil Eingriffe in die Rechte der Betroffenen möglich und durch die nicht angepasste Form der SDK nicht ausgeschlossen werden können, sind die SDK aber nicht untauglich. Das ist meines Erachtens wichtig zu erkennen.

Denn Art. 46 Abs. 2 DSGVO verlangt laut dem EuGH nicht, dass sämtliche Garantien zwangsläufig in einem Beschluss der Kommission wie dem SDK-Beschluss vorgesehen sind (Rz. 128). Dies ist auch gar nicht möglich, denn die SDK sind nur allgemein erstellt und gelten für alle Drittländer (Rz. 130, 133).

Ab Rz. 137 befasst sich der EuGH dann mit dem Beschluss der Kommission zu den aktuell geltenden SDK. Die Ausführungen sind also eher abstrakt wertender Natur. Jedoch geht der EuGH in seiner Prüfung der Gültigkeit des Beschlusses auch auf Pflichten ein, die für Verantwortliche gelten und er erläutert, wie diese auszuüben sind.

F. Pflichten des Verantwortlichen (Exporteur) und des Auftragsverarbeiters (Importeur)

Und nun nähern wir uns auch praktischen Vorgaben. Nach dem EuGH kann es, aufgrund dieses allgemeinen Charakters der SDK, in dem oben erwähnten Szenario 2, je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung des Schutzniveaus der SDK zu gewährleisten (Rz. 133).

Noch einmal zur Erinnerung: Schutzniveau der SDK ist nach EuGH ein der Sache nach gleichwertiges Schutzniveau wie in der EU.

Und der EuGH geht noch weiter: es obliege vor allem Verantwortlichen, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von SDK übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren (Rz. 134).

Achtung: das bedeutet, dass der exportierende Verantwortliche zumindest vor der Übermittlung validieren muss, ob die unveränderte Form der SDK zum Einsatz kommen kann, um das Schutzniveau (das sie per se schaffen) zu halten. Es geht bei dieser Prüfung nicht um das komplette Recht des Drittlandes. Der EuGH verweist klar auf die konkret übermittelten Daten: „einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet“ (Rz. 134). Zudem wäre eine Prüfung der gesamten Rechtsordnung nicht mit der vorherigen Begründung des EuGH zu dem Unterschied zwischen Angemessenheitsbeschluss und SDK vereinbar.

Kann der Exporteur oder der Empfänger der Daten keine zusätzlichen Maßnahmen ergreifen, um den Standard der SCC zu halten, ist er verpflichtet, die Übermittlung personenbezogener Daten in das betreffende Drittland auszusetzen oder zu beenden (Rz. 135). Der EuGH nennt auch ein Beispiel: wenn das Recht des Drittlands dem Empfänger Verpflichtungen auferlegt, die den SDK widersprechen und daher geeignet sind, die vertragliche Garantie zu untergraben.

1. Umfang der Prüfpflicht des Verantwortlichen

Und es stellt sich dann natürlich die Frage, was konkret der Verantwortliche vor der Übermittlung zu prüfen hat? Reicht der Nachweis durch den Importeur, dass er sich an die SDK halten kann? Muss der Verantwortliche eigene Untersuchungen anstellen?

Die Antwort hierauf ergibt sich nach dem EuGH (Rz. 141) aus den Klauseln der SDK, konkret Klausel 4 Buchst. a sowie Klausel 5 Buchst. a und b. Diese verpflichten den in der Union ansässigen Verantwortlichen und den Empfänger, sich vor der Übermittlung personenbezogener Daten in ein Drittland zu vergewissern, dass das Recht des Bestimmungsdrittlands es dem Empfänger erlaubt, die SDK einzuhalten.

Das bedeutet, dass die Prüfungsfrage hier auf erster Stufe lautet: kann der Empfänger die SDK auf Basis des für ihn geltenden Rechts einhalten?

Daraus ergeben sich direkt einige wertvolle Erkenntnisse:

  • Es geht immer um die in den SDK festgelegte Übermittlung; nicht generell um Übermittlungen in das Drittland.
  • Das bedeutet, die Einhaltung der SDK ist grundsätzlich vertragsspezifisch zu prüfen.
  • Die Einhaltung der SDK im Hinblick auf das Recht im Drittland, muss daher wohl auch konkret anhand der zu übermittelnden Daten und des spezifischen Empfängers geprüft werden (und nicht allgemein).
  • Sowohl der Verantwortliche als auch der Empfänger sind verpflichtet, sich entsprechend zu vergewissern (natürlich insbesondere in Form der Zusammenarbeit).

2. Inhalt der Prüfpflicht

Und der EuGH gibt zudem noch einen Hinweis darauf, was die Vertragsparteien bei dieser Prüfung als Bewertungskriterien zu berücksichtigen haben, wovon sie sich also „vergewissern“ müssen.

In der Fußnote zu Klausel 5 der SDK wird klargestellt, dass zwingende Erfordernisse des Rechts im Drittland, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Gewährleistung u. a. der Sicherheit des Staates, der Landesverteidigung und der öffentlichen Sicherheit erforderlich ist, nicht den Standarddatenschutzklauseln widersprechen.

Das heißt: ein angemessenes Schutzniveau kann auf Basis der SDK auch dann bestehen, wenn Behörden des Drittlandes Zugriff auf die übermittelnden Daten nehmen. Das ist eine wichtige Klarstellung des EuGH, die auch in der Praxis Relevanz hat.

Nur muss dieser Zugriff legislativ so ausgestaltet sein, dass er den Anforderungen des vormaligen Art. 13 Abs. 1 RL 95/46/EG genügt. Dort wurden Ziele aufgeführt, die einschränkende Gesetzesmaßnahmen verfolgen müssen, damit sie zulässig sind.

Art. 13 RL 95/46/EG existiert jedoch nicht mehr. Da nach Art. 94 Abs. 2 DSGVO Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, muss man hier meines Erachtens an die Stelle des Art. 13 Abs. 1 RL 95/46/EG nun Art. 23 Abs. 1 DSGVO und die dort benannten Ziele setzen (die jenen des Art. 13 Abs. 1 RL 95/46/EG sehr ähnlich sind. Hierzu gehören:

  • die nationale Sicherheit;
  • die Landesverteidigung;
  • die öffentliche Sicherheit;
  • die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
  • den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
  • den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
  • die Durchsetzung zivilrechtlicher Ansprüche.

Aber: es reicht nicht, dass das Recht des Drittlandes bei dem Zugriff auf die Daten ein solches Ziel verfolgt. Der Zugriff muss auch zur Verfolgung dieses Ziels erforderlich sein. Verlangt wird also eine Verhältnismäßigkeitsprüfung. Und hier wird es meines Erachtens für europäische Unternehmen alleine sehr schwer, diese Prüfung valide vornehmen zu können. Insbesondere sollten hierbei daher die Empfänger im Drittland unterstützen.

Der EuGH stellt klar, dass es als Verstoß gegen die SDK anzusehen ist, wenn einer aus dem Recht des Bestimmungsdrittlands folgenden Verpflichtung nachgekommen wird, die über das hinausgeht, was für Zwecke wie die oben genannten erforderlich ist.

3. Umsetzung in der Praxis?

In der Praxis könnte der Verantwortliche etwa über einen vorgefertigten Fragenkatalog an den Empfänger validieren, ob Zugriffe möglich sind und wenn ja, zu welchem Zweck. Sind Zugriffe auf die Daten möglich, so muss dieser Zugriff auf seine Erforderlichkeit hin geprüft werden. Meines Erachtens ergibt sich aus dem Urteil nicht, dass der Verantwortliche selbst diese Prüfung vorzunehmen hat. Es dürfte auch in Ordnung sein, wenn der Importeur (etwa über ein rechtliches Gutachten) dem Verantwortlichen nachweisen kann, dass die Zugriffe durch Behörden die europäischen Anforderungen erfüllen.

Die Prüfung erfolgt also grob wie folgt:

Stufe 1: Einsatz der unveränderten SDK. Kann der Empfänger alle SDK Pflichten einhalten?

  • Verantwortlicher muss sich hiervon „vergewissern“ (ggfs. in Zusammenarbeit mit dem Empfänger).
  • „Vergewissern“ umfasst die Prüfung, ob Zugriffe von Behörden auf die Daten möglich sind.
  • Wenn ja, dann muss geprüft werden, ob die Zugriffe erforderlich sind, um einem in Art. 23 Abs. 1 DSGVO erwähnten Ziel zu dienen und erforderlich sind.

Stufe 2: Pflichten der SDK reichen allein nicht aus. Zusätzliche Maßnahmen sind umzusetzen (Rz. 146).

  • Diese Maßnahmen können sowohl vertraglicher als auch technischer Natur sein.
  • Achtung: Risiko für den Importeur, gegen nationales Recht zu verstoßen.

Meines Erachtens ist noch einmal wichtig klarzustellen, dass die fehlende Möglichkeit, die SDK Pflichten einzuhalten, nach Ansicht des EuGH nicht direkt zur Unzulässigkeit der Übermittlung führt. Nur wenn dann auch zusätzliche Mittel bzw. Garantien nicht helfen, muss die Aufsichtsbehörde den Transfer untersagen bzw. vorher schon der Exporteur. Dies ergibt sich aus Rz. 146: „…,dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann“.

Der EuGH endet dann in Rz. 149 mit der Feststellung, dass die SDK in ihrer aktuellen Fassung und durch die dort enthaltenen Garantien grundsätzlich das erforderliche Schutzniveau (Rz. 96, „gleichwertig“) bieten. Ist die Einhaltung der SDK nicht möglich, müsste man mit der oben genannten Stufe 2 der Prüfung und Umsetzung weiterer Garantien fortfahren.

Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung

Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).

Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.