VG Schleswig: DSGVO erfordert keine öffentliche Stellenausschreibung für das Amt des Landesdatenschutzbeauftragten

Das VG Schleswig hat im Verfahren des einstweiligen Rechtschutzes entschieden (Beschl. v. 19.08.2020 – 12 B 36/20), dass die Wiederwahl der Landesbeauftragten in Schleswig-Holstein mit der DSGVO vereinbar war.

Sachverhalt

Der Antragsteller, ein Volljurist und seit 2016 bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen tätig, bewarb sich am 7.6.2020 für das Amt des Landesbeauftragten für Datenschutz. Zuvor (am 4.6.2020) beantragten die Fraktionen im Landtag die bisherige Landesbeauftragte wiederzuwählen.

Der Antragsteller begründete sein Vorbringen u.a. damit, dass die beabsichtigte Ernennung gegen Art. 53 DSGVO verstoße, da die Besetzung der Leitungsposition nicht „im Wege eines transparenten Verfahrens“ erfolge. Nach Art. 53 Abs. 1 DSGVO sehen die Mitgliedstaaten vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird.

Entscheidung

Direkt vorab: die Wiederwahl von Frau Hansen zur Landesbeauftragten halte ich im Ergebnis für gut, denn Frau Hansen ist eine sehr kompetente und geschätzte Landesbeauftragte.

Kritisieren möchte ich daher hier auch nicht diese spezielle Wiederwahl, sondern die Begründung und Ansicht des Verwaltungsgerichts zur Auslegung von Art. 53 DSGVO.

Das Verwaltungsgericht begründet seine Ablehnung des Antrags damit, dass das in § 5 Abs. 1 S. 1 ULDErrG SH geregelte Wahlverfahren nicht gegen das Transparenzgebot verstoße.

Einer öffentlichen Ausschreibung des Postens des Landesdatenschutzbeauftragten bedarf es – anders als bei der Ernennung des Europäischen Datenschutzbeauftragten (Art. 42 Abs. 1 der Verordnung (EG) Nr. 45/20019 – nicht“.

Das ist die gesamte Begründung des Gerichts zu seiner Ansicht. Mehr nicht. Das Gericht verweist, zur Untermauerung dieser Ansicht, noch auf zwei Literaturansichten (Boehm, in: Kühling/Buchner, DSGVO, BDSG, 2. Aufl., Art. 53 DSGVO Rn. 6; Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 53 Rn. 8).

Das Gericht lässt hierbei aber völlig die gegenteiligen Ansichten außer Betracht. Vgl. etwa:

-          Selmayr, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 53 Rn. 5.

-          Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 53 Rn. 4.

-          Tendenziell wohl auch Römer, in Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, 2. Aufl. 2020, Art. 53 Rn. 19.

Zudem ist meines Erachtens auch der Verweis auf die Ansicht von Prof. Boehm zum Beleg, dass eine Ausschreibung nicht erfolgen muss, nicht richtig. Prof. Boehm legt nur dar, dass diese Ausschreibung in Deutschland nicht vorgesehen ist, was aber nicht bedeutet, dass dies nach der DSGVO nicht erforderlich wäre. Im Gegenteil verlangt Prof. Boehm für das Verfahren, dass dieses für die Bürger überprüfbar und nachvollziehbar erfolgen muss.

Nach Ansicht des Verwaltungsgerichts war öffentlich bekannt, wen die Fraktionen des schleswig-holsteinischen Landtags für das Amt vorschlugen. Zudem geht das Gericht davon aus, dass es einer öffentlichen Debatte über mögliche Kandidaten nicht bedurfte.

Die Ansicht des Verwaltungsgerichts zur Anwendung von Art. 53 Abs. 1 DSGVO halte ich für mindestens diskutabel und im Ergebnis dem Datenschutzrecht wenig zuträglich. Denn ich möchte vermuten, dass eine öffentliche Kenntnis von Anträgen in Landesparlamenten nicht unbedingt so an die Öffentlichkeit gelangen, wie eine öffentliche Ausschreibung mit einer Bewerbungsfrist. Ich persönlich sehe keinen Grund, warum man eine öffentliche Ausschreibung und ein Bewerbungsverfahren nicht durchführen sollte. Je weniger die Öffentlichkeit an diesem Prozess beteiligt ist, desto eher kann bei externen Beobachtern der Eindruck entstehen, dass man sich vorab intern auf einen Kandidaten geeinigt hat, der für die Position „passt“.

Zudem eine Anmerkung zu dem Verweis auf die Verordnung (EG) 45/2001. Diese ist überhaupt nicht mehr anwendbar. Und zwar seit dem 11.12.2018 (!). Denn es gibt eine Nachfolgeverordnung (Verordnung (EU) 2018/1725), in der die Aufhebung der alten Verordnung in Art. 99 VO 2018/1725 angeordnet wird. Das Verwaltungsgericht stützt seine Ansicht mithin u.a. auf eine nicht mehr anwendbare Verordnung. Freilich muss beachtet werden, dass in Art. 53 Abs. 1 VO 2018/1725 eine entsprechende Regelung für eine öffentliche Ausschreibung für das Amts des Europäischen Datenschutzbeauftragten geschaffen wurde.

Meines Erachtens muss aber nicht aus dieser Regelung geschlossen werden, dass im Rahmen der DSGVO das geforderte „transparente Verfahren“ gerade keine Ausschreibung verlangt. Der Unterschied beider Verordnungen liegt u.a. darin, dass sich VO 2018/1725 nicht an verschiedene Staaten mit unterschiedlichen nationalen Regelungen im Bereich des Beamten- oder Verwaltungsrechts richtet. VO 2018/1725 bezieht sich allein auf die EU-Ebene und die Regelung zur Ausschreibung konnte (bzw. musste sogar) in der VO 2018/1725 erfolgen.

Dass die Anforderungen an das transparente Verfahren wohl auch in Deutschland unterschiedlich interpretiert werden, zeigt beispielhaft die letzte öffentliche Stellenausschreibung für das Amt des Landesbeauftragten in Sachsen-Anhalt.

Die Auslegung und Anwendung von Art. 53 DSGVO ist aus meiner Sicht auf jeden Fall ein spannendes Thema, zu dem sicher noch diskutiert werden kann.

Die Rolle von „Übereinkommen Nr. 108+“ im Rahmen der Prüfung des Datenschutzniveaus in Drittländern nach der DSGVO

Nach der Entscheidung des EuGH in der Rechtssache Schrems II (C-311/18) wird vermehrt deutlich, dass der Inhalt dieses Urteils bei weitem nicht nur Auswirkungen auf Datenübermittlungen in die USA hat. Wenn kein Angemessenheitsbeschluss der Europäischen Kommission existiert, fordert der EuGH von datenexportierenden Verantwortlichen, dass sie vor der Übermittlung prüfen, ob in dem jeweiligen Drittland ein gleichwertiges Schutzniveau für personenbezogene Daten existiert.

Es stellt sich die Frage, welche Bedeutung das Übereinkommen Nr. 108+ (man spricht von „Nr. 108+“, da das alte Übereinkommen im Jahre 2018 angepasst wurde) des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr. 108) bei der Prüfung des Schutzniveaus in Drittländer spielt, die Vertragspartei dieses völkerrechtlichen Übereinkommens sind. Mein Kollege Philipp Quiel und ich haben uns hierzu ein paar tiefergehende Gedanken gemacht und die Vorgaben der DSGVO für ein “gleichwertiges Schutzniveau” den Regelungen des Übereinkommen Nr. 108+ gegenübergestellt. Den Beitrag kann man hier herunterladen (PDF).

Ergänzung vom 31.8.2020: aufgrund des Feedbacks auf Twitter haben wir die gegenüberstellende Analyse um die Regelungen des Übereinkommens 108 und Informationen zum Gültigkeitsstatus ergänzt. Danke.

Bundesländer schließen Vereinbarung zur gemeinsamen Verantwortlichkeit nach DSGVO – Blaupause für die Praxis?

Die Rechtsfigur der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) hat seit den EuGH Urteilen in Sachen Wirtschaftsakademie (C-210/16) und FashionID (C-40/17) Hochkonjunktur. Das Problem in der Praxis: niemand weiß, wie genau eine von der DSGVO geforderte Vereinbarung aussehen muss. Art. 26 DSGVO gibt hierzu nur rudimentäre Anhaltspunkte; ganz anders etwa als Art. 28 DSGVO für die Auftragsverarbeitung. Für die Praxis ist dies positiv und negativ zugleich. Positiv, da man einen gewissen Gestaltungsspielraum hat; negativ, da man diesen Gestaltungsspielraum nicht sicher definieren kann.

Daher freue ich mich immer, wenn ich Beispiele für Vereinbarungen nach Art. 26 DSGVO sehe.

Ein solches Beispiel habe ich nun in der Parlamentsdokumentation des Landtages NRW entdeckt. Dort ist der „Entwurf einer Vereinbarung gemäß Artikel 26 Datenschutz-Grundverordnung (DS-GVO) über die Verarbeitung personenbezogener Daten der Händler und Hersteller von Waffen und wesentlichen Waffenteilen in der Kopfstelle des Nationalen Waffenregisters“ (pdf) abrufbar.

Hintergrund der Vereinbarung (die ab dem 1.9.2020 gelten soll) ist das Inkrafttreten neuer Vorschriften zum Nationalen Waffenregister (NWR). Diese beinhalten eine Registrierungspflicht der Händler und Hersteller von Waffen. In der Form einer „Kopfstelle“ beauftragen alle Bundesländer die Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH (DVZ M-V GmbH) mit Datenverarbeitungen.

Die Vereinbarung nach Art. 26 DSGVO wird hier also von alles Bundesländern getroffen.

Aus Sicht der Praxis lohnt sich sicher ein Blick in die Vereinbarung. Sei es, um in eigenen Ansichten bestätigt zu werden oder auch, um neue Anregungen zu erhalten. Nach dem Motto: wie machen das eigentlich die Bundesländer?

Einige Anmerkungen zu der Vereinbarung selbst.

In § 1 wird der Hintergrund der Vereinbarung erläutert. Zudem wird in Abs. 3 in Form einer detaillierten Aufzählung festgelegt, worauf sich die gemeinsame Verantwortlichkeit bezieht. Es werden nacheinander einzelne Verarbeitungstätigkeiten beschrieben. Dies in einer beschreiben Form auf faktischer Ebene. Das halte ich für sinnvoll.

§ 2 enthält dann eine Beschreibung der Datenkategorien und auch einen Hinweis auf den Erlaubnistatbestand der Verarbeitung.

§ 3 befasst sich mit der Erfüllung von Betroffenenrechten. Ein für die Praxis sehr relevantes Thema. Hinsichtlich der Informationspflichten wird (sinnigerweise) intern festgelegt, welche Partei sich um die Erteilung der Informationen nach Art. 13, 14 DSGVO und auch des Wesentlichen der Vereinbarung (Art. 26 Abs. 2 DSGVO) kümmert. Achtung: dies soll die Betreiberin der Kopfstelle sein; also nicht eine Partei der Vereinbarung selbst. Daher ist hier auch nur geregelt, dass die Betreiberin der Kopfstelle damit beauftragt wird. Sie kann aber nicht in der Vereinbarung selbst verpflichtet werden (Stichwort: Vertrag zu Lasten Dritter).

Interessant ist zB noch, dass in Abs. 4 Regelungen zur Identifizierung von Betroffenen festgelegt sind, wenn diese Auskunftsansprüche geltend machen.

In § 5 geht es um Meldungen nach Datenschutzverletzungen. Hier ist jede Partei selbst für die Meldung an die für sie zuständige Behörde verantwortlich.

In § 8 geht es um die Beauftragung und Einbindung der Betreiberin der Kopfstelle. Die DVZ M-V GmbH wird als Betreiberin der Kopfstelle als „Auftragsverarbeiterin der Parteien im Sinne von Artikel 28 DS-GVO“ betrachtet.

Nach Abs. 2 muss Partei 8 (das ist das Land Mecklenburg-Vorpommern) „im Namen aller Parteien einen Vertrag nach Art. 28 DS-GVO im Hinblick auf die Verarbeitung der von ihnen zu verantwortenden personenbezogenen Daten“ mit der DVZ M-V GmbH abschließen. Bedeutet: nicht jede Partei muss einzeln mit dem AVler kontrahieren. Das geht auch durch eine beauftragte Partei, im Namen aller. Zudem sehen die Abs. 3 und 4 einen Mechanismus zur Aufnahme weiterer AVler vor. Es muss eine vorherige schriftliche Zustimmung aller Parteien eingeholt werden. So ein Mechanismus kann in Unternehmensgruppen natürlich wahnsinnig aufwendig sein. Hier könnte man überlegen, ob denn diese Zustimmung (ähnlich wie bei Art. 28 DSGVO) nicht schon vorab erteilt wird und die übrigen Parteien informiert werden und ggfs. widersprechen können.

§ 10 enthält Regelungen zur Haftung. Diese sind jedoch wenig spektakulär und geben im Grunde die Vorgaben der DSGVO wieder. Interessant ist aber, dass die Bundesländer davon ausgehen, dass sie nach außen für Schäden gesamtschuldnerisch haften und zwar nach Maßgabe der Regelungen zum Schadensersatz (Art. 82 DSGVO). Zu einer Haftung bzgl. der Nichterfüllung von Betroffenenrechten (Art. 26 Abs. 3 DSGVO) oder im Fall von Bußgeldern, wird dort nichts geregelt.

Das SchremsII-Urteil des EuGH: Folgen für die Praxis des Einsatzes von Standarddatenschutzklauseln

Was sind die Konsequenzen des Schrems II-Urteils des EuGH (C-311/18)? Was ist bei Datentransfers in die USA und auch andere Drittländer zu beachten? Diese Fragen stellen sich aktuell natürlich viele Unternehmen und allgemein datenverarbeitende Stellen. Ich habe nicht den Anspruch, hierauf abschließende Antworten zu geben.

Gerne möchte ich aber in diesem Beitrag versuchen, das Urteil zum einen systematisch einzuordnen und etwas „aufzudröseln“. Zum anderen auch mögliche (!) praktische Konsequenzen für datenverarbeitende Stellen abzuleiten. Im Blick sollen hierbei die Standardvertragsklauseln (jetzt: Standarddatenschutzklauseln, „SDK“) stehen. Das andere Interpretation des Urteils sicherlich ebenso vertretbar sind, versteht sich meines Erachtens von selbst.

Ich verzichte hier bewusst auf eine Darstellung, was Hintergrund des Verfahrens war und auch auf Erläuterungen, was das EU US Privacy Shield oder die SDK sind.

Da dieser Beitrag relativ lang ist, stelle ich ihn auch in einem PDF-Dokument zum Download bereit.

A. Systematik des Urteils

Meines Erachtens bietet sich zunächst an, den Prüfaufbau des EuGH in den Blick zu nehmen. Dies ist, gerade aufgrund der Länge des Urteils relevant. Denn man kann sich gut in der Begründung verlieren, nur um dann die Frage zu stellen, was denn eigentlich gerade geprüft wird. Hierzu habe ich eine kleine Gliederung erstellt:

1. Das erforderliche Schutzniveau nach Art. 46 Abs. 1 und Art. 46 Abs. 2 lit. c DSGVO, wenn Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden? (ab Rz. 90)

2. Aussetzungspflicht der Datenschutzbehörde, wenn die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können? (ab Rz. 106)

3. Gültigkeit des Standarddatenschutzklausel-Beschlusses im Hinblick auf die Art. 7, 8 und 47 der Charta („angemessenes Schutzniveau“)? (ab Rz. 122)

4. Ob und inwieweit eine Datenschutzbehörde („DSB“) eines Mitgliedstaats an die Feststellungen im Privacy Shield-Beschluss gebunden ist // ob die auf die Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in die USA die durch die Art. 7, 8 und 47 der Charta verbürgten Rechte verletzt? (ab Rz. 150)

a. Zum Inhalt des Privacy Shield-Beschlusses (ab Rz. 163)

b. Zur Feststellung eines angemessenen Schutzniveaus (ab Rz. 168)

B. Einheitliches Schutzniveau für Kapitel V der DSGVO

Aus der Gliederung wird bereits deutlich, dass der EuGH in dem Urteil zunächst prüft, was denn überhaupt für ein Schutzniveau zu erreichen ist, wenn Daten auf der Grundlage von Art. 46 DSGVO übermittelt werden. In der Prüfung im ersten Abschnitt befasst sich der EuGH ganz allgemein mit der Frage, welches Schutzniveau „geeignete Garantien“ erreichen müssen.

Also ganz abstrakt: gibt es einen Unterschied des zu erreichenden Schutzniveaus bei den Transfermechanismen nach Kapitel V DSGVO?

Nein. Nach dem EuGH gilt für die ganze DSGVO und damit auch Kapitel V ein einheitliches Schutzniveau. Das bedeutet, dass die in Art. 46 Abs. 1 DSGVO genannten „geeigneten Garantien“ so beschaffen sein müssen, dass sie für Personen, deren personenbezogene Daten auf der Grundlage von SDK in ein Drittland übermittelt werden – wie im Rahmen einer auf einen Angemessenheitsbeschluss gestützten Übermittlung – ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist (Rz. 96).

In den Rz. 90-105 geht es noch gar nicht spezifisch um die aktuell geltenden SDK, sondern allgemein um dieses Transferinstrument an sich. Das Gericht betrachtet den allgemeinen Prüfungsmaßstab, der an Datentransfers nach Art. 46 DSGVO zu stellen ist. Die SDK stellen dabei ein Beispiel dar.

C. Anforderungen an Datentransfers ohne Angemessenheitsbeschluss

Nach dem EuGH (und der Vorgaben in Art. 46 Abs. 1 DSGVO) dürfen, bei fehlendem Angemessenheitsbeschluss, personenbezogene Daten an ein Drittland übermitteln werden, wenn der Exporteur folgende drei Ziele erreicht:

  • er „geeignete Garantien“ vorgesehen hat (diese können u.a. in den SDK bestehen)
  • den betroffenen Personen „durchsetzbare Rechte“ und
  • wirksame Rechtsbehelfe“ zur Verfügung stehen (Rz. 91)

Dies sind, für Art. 46 DSGVO, die maßgeblichen drei Kriterien des angemessenen Schutzniveaus.

Wichtig: im Rahmen des Art. 46 DSGVO (und damit auch der SDK) muss aber nicht das Zielland und die dortige Rechtsordnung ein der Sache nach gleichwertiges Schutzniveau aufweisen. Sondern die „geeigneten Garantien“ selbst, also zB die SDK, sollen für Personen ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig (Rz. 96).

Das bedeutet dann auch, dass der Prüfungsmaßstab für das Schutzniveau inhaltlich ein anderer ist, als im Fall des Angemessenheitsbeschlusses nach Art. 45 DSGVO (vgl. auch Rz. 129 und 130). Das zu erreichende Ziel (Gleichwertigkeit) ist aber dasselbe.

Meine verbildlichte Darstellung: im Fall des Angemessenheitsbeschlusses ist das ganze Drittland eine schöne grüne Datenschutzwiese. Im Fall des Art. 46 DGSVO (also etwa des Einsatzes von SDK) ist das Drittland aber eine böse Vulkanlandschaft, in der Daten nicht sicher sind und mit den SDK wollen wir nun einen Tunnel zu einem bestimmten Empfänger schaffen. Es existiert also, quasi als Voraussetzung, ein Mangel an Datenschutz, der durch den Tunnel für eine Übermittlung ausgeglichen werden muss (Rz. 95). Dieser Tunnel muss die Daten entsprechend den Anforderungen des Art. 46 DSGVO gegen die Vulkanlandschaft schützen.

D. Schutzniveau beim Einsatz von SDK

Das vorlegende Gericht wollte vom EuGH auch wissen, welche Gesichtspunkte denn konkret zu berücksichtigen sind, um festzustellen, ob ein angemessenes Schutzniveau besteht, wenn personenbezogene Daten auf der Grundlage der SDK übermittelt werden (Rz. 102).

Die Antwort des EuGH hierauf ist wenig spezifisch und praxistauglich. Er orientiert sich natürlich an dem oben aufgestellten Schutzniveau für Art. 46 DSGVO. Hinsichtlich seiner bereits zuvor herausgestellten drei Kriterien, erläutert er aber in Rz. 104 zusätzlich, dass in Bezug auf eine Übermittlung auf Grundlage der SDK folgende Punkte zu berücksichtigen sind:

  • insbesondere die vertraglichen Regelungen, die zwischen dem in der Union ansässigen Verantwortlichen und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie,
  • was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes.

Und hier vollzieht der EuGH einen wichtigen vergleichenden Schwenk zu den Voraussetzungen für einen Angemessenheitsbeschluss: hinsichtlich des Zugriffs von Behörden des Drittlands auf die übermittelten personenbezogenen Daten entsprechen die Elemente, die im Kontext von Art. 46 DSGVO zu berücksichtigen sind, jenen, die in Art. 45 Abs. 2 DSGVO in nicht abschließender Weise aufgezählt werden.

E. Bewertung der aktuell geltenden SDK (2010/87/EU)

Erfüllen die aktuell geltenden SDK diese Anforderungen? Und was ist konkret bei ihrem Einsatz zu beachten? Mit den aktuell geltenden SDK (bzw. genauer, mit dem zugrundliegenden Beschluss der Kommission) befasst sich der EuGH ab Rz. 122.

Die erste wichtig Feststellung des EuGH ist, dass es Situationen geben kann, in denen die SDK unverändert genutzt werden können, da sie selbst das angemessene Schutzniveau schaffen. Der EuGH unterscheidet zwei Szenarien (Rz. 126):

  • Szenario 1: Der Empfänger einer Übermittlung kann, in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland, den erforderlichen Datenschutz allein auf der Grundlage der SDK garantieren kann.
  • Szenario 2: Situationen, in denen die in den SDK enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten.

Zu Szenario 2 nennt das Gericht ein Beispiel: wenn das Recht dieses Drittlands dessen Behörden bezüglicher dieser Daten Eingriffe in die Rechte der betroffenen Personen erlaubt.

Achtung: nur weil Eingriffe in die Rechte der Betroffenen möglich und durch die nicht angepasste Form der SDK nicht ausgeschlossen werden können, sind die SDK aber nicht untauglich. Das ist meines Erachtens wichtig zu erkennen.

Denn Art. 46 Abs. 2 DSGVO verlangt laut dem EuGH nicht, dass sämtliche Garantien zwangsläufig in einem Beschluss der Kommission wie dem SDK-Beschluss vorgesehen sind (Rz. 128). Dies ist auch gar nicht möglich, denn die SDK sind nur allgemein erstellt und gelten für alle Drittländer (Rz. 130, 133).

Ab Rz. 137 befasst sich der EuGH dann mit dem Beschluss der Kommission zu den aktuell geltenden SDK. Die Ausführungen sind also eher abstrakt wertender Natur. Jedoch geht der EuGH in seiner Prüfung der Gültigkeit des Beschlusses auch auf Pflichten ein, die für Verantwortliche gelten und er erläutert, wie diese auszuüben sind.

F. Pflichten des Verantwortlichen (Exporteur) und des Auftragsverarbeiters (Importeur)

Und nun nähern wir uns auch praktischen Vorgaben. Nach dem EuGH kann es, aufgrund dieses allgemeinen Charakters der SDK, in dem oben erwähnten Szenario 2, je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung des Schutzniveaus der SDK zu gewährleisten (Rz. 133).

Noch einmal zur Erinnerung: Schutzniveau der SDK ist nach EuGH ein der Sache nach gleichwertiges Schutzniveau wie in der EU.

Und der EuGH geht noch weiter: es obliege vor allem Verantwortlichen, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von SDK übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren (Rz. 134).

Achtung: das bedeutet, dass der exportierende Verantwortliche zumindest vor der Übermittlung validieren muss, ob die unveränderte Form der SDK zum Einsatz kommen kann, um das Schutzniveau (das sie per se schaffen) zu halten. Es geht bei dieser Prüfung nicht um das komplette Recht des Drittlandes. Der EuGH verweist klar auf die konkret übermittelten Daten: „einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet“ (Rz. 134). Zudem wäre eine Prüfung der gesamten Rechtsordnung nicht mit der vorherigen Begründung des EuGH zu dem Unterschied zwischen Angemessenheitsbeschluss und SDK vereinbar.

Kann der Exporteur oder der Empfänger der Daten keine zusätzlichen Maßnahmen ergreifen, um den Standard der SCC zu halten, ist er verpflichtet, die Übermittlung personenbezogener Daten in das betreffende Drittland auszusetzen oder zu beenden (Rz. 135). Der EuGH nennt auch ein Beispiel: wenn das Recht des Drittlands dem Empfänger Verpflichtungen auferlegt, die den SDK widersprechen und daher geeignet sind, die vertragliche Garantie zu untergraben.

1. Umfang der Prüfpflicht des Verantwortlichen

Und es stellt sich dann natürlich die Frage, was konkret der Verantwortliche vor der Übermittlung zu prüfen hat? Reicht der Nachweis durch den Importeur, dass er sich an die SDK halten kann? Muss der Verantwortliche eigene Untersuchungen anstellen?

Die Antwort hierauf ergibt sich nach dem EuGH (Rz. 141) aus den Klauseln der SDK, konkret Klausel 4 Buchst. a sowie Klausel 5 Buchst. a und b. Diese verpflichten den in der Union ansässigen Verantwortlichen und den Empfänger, sich vor der Übermittlung personenbezogener Daten in ein Drittland zu vergewissern, dass das Recht des Bestimmungsdrittlands es dem Empfänger erlaubt, die SDK einzuhalten.

Das bedeutet, dass die Prüfungsfrage hier auf erster Stufe lautet: kann der Empfänger die SDK auf Basis des für ihn geltenden Rechts einhalten?

Daraus ergeben sich direkt einige wertvolle Erkenntnisse:

  • Es geht immer um die in den SDK festgelegte Übermittlung; nicht generell um Übermittlungen in das Drittland.
  • Das bedeutet, die Einhaltung der SDK ist grundsätzlich vertragsspezifisch zu prüfen.
  • Die Einhaltung der SDK im Hinblick auf das Recht im Drittland, muss daher wohl auch konkret anhand der zu übermittelnden Daten und des spezifischen Empfängers geprüft werden (und nicht allgemein).
  • Sowohl der Verantwortliche als auch der Empfänger sind verpflichtet, sich entsprechend zu vergewissern (natürlich insbesondere in Form der Zusammenarbeit).

2. Inhalt der Prüfpflicht

Und der EuGH gibt zudem noch einen Hinweis darauf, was die Vertragsparteien bei dieser Prüfung als Bewertungskriterien zu berücksichtigen haben, wovon sie sich also „vergewissern“ müssen.

In der Fußnote zu Klausel 5 der SDK wird klargestellt, dass zwingende Erfordernisse des Rechts im Drittland, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Gewährleistung u. a. der Sicherheit des Staates, der Landesverteidigung und der öffentlichen Sicherheit erforderlich ist, nicht den Standarddatenschutzklauseln widersprechen.

Das heißt: ein angemessenes Schutzniveau kann auf Basis der SDK auch dann bestehen, wenn Behörden des Drittlandes Zugriff auf die übermittelnden Daten nehmen. Das ist eine wichtige Klarstellung des EuGH, die auch in der Praxis Relevanz hat.

Nur muss dieser Zugriff legislativ so ausgestaltet sein, dass er den Anforderungen des vormaligen Art. 13 Abs. 1 RL 95/46/EG genügt. Dort wurden Ziele aufgeführt, die einschränkende Gesetzesmaßnahmen verfolgen müssen, damit sie zulässig sind.

Art. 13 RL 95/46/EG existiert jedoch nicht mehr. Da nach Art. 94 Abs. 2 DSGVO Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, muss man hier meines Erachtens an die Stelle des Art. 13 Abs. 1 RL 95/46/EG nun Art. 23 Abs. 1 DSGVO und die dort benannten Ziele setzen (die jenen des Art. 13 Abs. 1 RL 95/46/EG sehr ähnlich sind. Hierzu gehören:

  • die nationale Sicherheit;
  • die Landesverteidigung;
  • die öffentliche Sicherheit;
  • die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
  • den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
  • den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
  • die Durchsetzung zivilrechtlicher Ansprüche.

Aber: es reicht nicht, dass das Recht des Drittlandes bei dem Zugriff auf die Daten ein solches Ziel verfolgt. Der Zugriff muss auch zur Verfolgung dieses Ziels erforderlich sein. Verlangt wird also eine Verhältnismäßigkeitsprüfung. Und hier wird es meines Erachtens für europäische Unternehmen alleine sehr schwer, diese Prüfung valide vornehmen zu können. Insbesondere sollten hierbei daher die Empfänger im Drittland unterstützen.

Der EuGH stellt klar, dass es als Verstoß gegen die SDK anzusehen ist, wenn einer aus dem Recht des Bestimmungsdrittlands folgenden Verpflichtung nachgekommen wird, die über das hinausgeht, was für Zwecke wie die oben genannten erforderlich ist.

3. Umsetzung in der Praxis?

In der Praxis könnte der Verantwortliche etwa über einen vorgefertigten Fragenkatalog an den Empfänger validieren, ob Zugriffe möglich sind und wenn ja, zu welchem Zweck. Sind Zugriffe auf die Daten möglich, so muss dieser Zugriff auf seine Erforderlichkeit hin geprüft werden. Meines Erachtens ergibt sich aus dem Urteil nicht, dass der Verantwortliche selbst diese Prüfung vorzunehmen hat. Es dürfte auch in Ordnung sein, wenn der Importeur (etwa über ein rechtliches Gutachten) dem Verantwortlichen nachweisen kann, dass die Zugriffe durch Behörden die europäischen Anforderungen erfüllen.

Die Prüfung erfolgt also grob wie folgt:

Stufe 1: Einsatz der unveränderten SDK. Kann der Empfänger alle SDK Pflichten einhalten?

  • Verantwortlicher muss sich hiervon „vergewissern“ (ggfs. in Zusammenarbeit mit dem Empfänger).
  • „Vergewissern“ umfasst die Prüfung, ob Zugriffe von Behörden auf die Daten möglich sind.
  • Wenn ja, dann muss geprüft werden, ob die Zugriffe erforderlich sind, um einem in Art. 23 Abs. 1 DSGVO erwähnten Ziel zu dienen und erforderlich sind.

Stufe 2: Pflichten der SDK reichen allein nicht aus. Zusätzliche Maßnahmen sind umzusetzen (Rz. 146).

  • Diese Maßnahmen können sowohl vertraglicher als auch technischer Natur sein.
  • Achtung: Risiko für den Importeur, gegen nationales Recht zu verstoßen.

Meines Erachtens ist noch einmal wichtig klarzustellen, dass die fehlende Möglichkeit, die SDK Pflichten einzuhalten, nach Ansicht des EuGH nicht direkt zur Unzulässigkeit der Übermittlung führt. Nur wenn dann auch zusätzliche Mittel bzw. Garantien nicht helfen, muss die Aufsichtsbehörde den Transfer untersagen bzw. vorher schon der Exporteur. Dies ergibt sich aus Rz. 146: „…,dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann“.

Der EuGH endet dann in Rz. 149 mit der Feststellung, dass die SDK in ihrer aktuellen Fassung und durch die dort enthaltenen Garantien grundsätzlich das erforderliche Schutzniveau (Rz. 96, „gleichwertig“) bieten. Ist die Einhaltung der SDK nicht möglich, müsste man mit der oben genannten Stufe 2 der Prüfung und Umsetzung weiterer Garantien fortfahren.

Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung

Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).

Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.

LAG Nürnberg: Nationaler Kündigungs- und Abberufungsschutz für Datenschutzbeauftragte ist mit DSGVO vereinbar

Mit Urteil vom 19.2.2020 (Az. 2 Sa 274/19, pdf) hat das Landesarbeitsgericht Nürnberg den im BDSG geregelten besonderen Kündigungs- und Abberufungsschutz für Datenschutzbeauftragte als europarechtskonform angesehen. Die Regelungen verstoßen nach Ansicht des LAG nicht gegen die Vorgaben der DSGVO.

Sachverhalt

Die Klägerin wurde mit Schreiben vom 15.1.2018 von der Beklagten zur betrieblichen Datenschutzbeauftragten bestellt. Mit weiteren späteren Schreiben wurde die Klägerin zur betrieblichen Datenschutzbeauftragten von Tochterunternehmen bestellt

Mit Schreiben vom 13.7.2018 wurde das Arbeitsverhältnis der Klägerin durch die Beklagte mit Wirkung zum 15.08.2018 gekündigt. Im Kündigungsschreiben wurde der Klägerin mitgeteilt, dass ihre bisherige Stellung als Datenschutzbeauftragte – vorsorglich auch im Auftrag der Tochterunternehmen – spätestens zum 15.08.2018 enden und hilfsweise aus wichtigem Grund widerrufen wird.

Die Klägerin begehrt gegenüber der Beklagten u.a. die Feststellung der Unwirksamkeit einer Kündigung des zwischen beiden bestehenden Arbeitsverhältnisses und die Feststellung des Bestehens einer Rechtsstellung der Klägerin als interne Beauftragte für den Datenschutz.

Das Arbeitsgericht hatte festgestellt, dass das Arbeitsverhältnis der Klägerin zur Beklagten nicht durch die Kündigung vom 13.7.2018 mit Ablauf des 15.8.2018 beendet wurde, und dass die Rechtsstellung der Klägerin als Beauftragte für den Datenschutz der Beklagten nicht durch den Widerruf der Beklagten vom 13.7.2018 beendet wurde. Hiergegen wendeten sich die Beklagten mit einer Berufung.

Urteil

Besonderer Kündigungs- und Abberufungsschutz

Nach Ansicht des LAG genoss die Klägerin zum Zeitpunkt der Kündigung den besonderen Kündigungsschutz für Datenschutzbeauftragte nach §§ 38 Abs. 2, 6 Abs. 4 S. 2 BDSG.

Nach § 6 Abs. 4 S. 1 BDSG ist die Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB zulässig. Nach S. 2 ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.

Nach Ansicht des LAG gilt dieser Sonderkündigungsschutz auch bereits in der Probezeit.

Nationale Regelung zum Kündigungsschutz verstößt nicht gegen DSGVO

Fraglich war sodann, ob der nationale Gesetzgeber überhaupt befugt ist, entsprechende Regelungen im BDSG zur Stellung und Abberufung bzw. Kündigung des Datenschutzbeauftragten zu treffen.

Nach Ansicht des LAG verstößt der besondere Kündigungsschutz auf nationaler Ebene nicht gegen Art. 38 Abs. 3 S. 2 DSGVO. Nach dieser Vorschrift darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Zwar ist davon auszugehen, dass die DSGVO als EU-Verordnung unmittelbar und zwingend im Sinne einer Vollharmonisierung gilt und nicht lediglich Mindeststandards setzt („Mindestharmonisierung“). Die Mitgliedstaaten dürfen somit von ausdrücklichen Vorgaben der DSGVO nur insoweit abweichen, wie dies die DSGVO ausdrücklich oder durch Auslegung ermittelbar zulässt, und im Übrigen die Vorgaben der DSGVO lediglich konkretisieren.

Zwar existiere eine ausdrückliche Öffnungsklausel für den nationalen Gesetzgeber, einen besonderen Kündigungsschutz für Datenschutzbeauftragte zu regeln, in der DSGVO nicht.

Allerdings ergibt die Auslegung, dass die DSGVO spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten zulässt, soweit der Schutz nicht hinter des DSGVO zurückbleibt.

Das LAG betrachtet für seine Begründung zunächst die Kompetenzgrundlagen des europäischen Gesetzgebers. Die DSGVO regele den Datenschutz als Querschnittsmaterie mit Art. 16 Abs. 2 AEUV als Kompetenzgrundlage. Das LAG weist dann darauf hin, dass die Kompetenznorm für spezifisch arbeitsrechtliche Regelungen hingegen in Art. 153 AEUV und hier insbesondere für Arbeitsbedingungen in Abs. 1 lit. b und für den Schutz der Arbeitnehmer bei Beendigung des Arbeitsvertrags in Abs. 1 lit. d. zu finden sei.

Im Bereich der arbeitsrechtlichen Regelungen handelt die EU nach Art. 153 Abs. 2 AEUV in diesem Bereich jedoch durch Richtlinien, nicht durch Verordnung. Dies spricht aus Sicht des LAG dafür, dass die DSGVO keine genuinen abschließenden arbeitsrechtlichen Regelungen trifft,

jedenfalls nicht für das Arbeitsverhältnis, das der Tätigkeit als Datenschutzbeauftragtem zu Grunde liegt.

Zudem argumentiert das LAG mit der DSGVO selbst. Für seine Sicht spreche auch der Wortlaut des Art. 38 Abs. 3 S. 2 DSGVO. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Das LAG geht daher davon aus, dass er deshalb auch nicht gekündigt werden darf.

Jedoch, so das LAG, enthält Art. 38 Abs. 3 S. 2 DSGVO keine spezifischen Regeln des Kündigungsschutzes für Datenschutzbeauftragte und

verbietet somit auch vom Wortlaut her keinen darüber hinaus gehenden Kündigungsschutz, um die Unabhängigkeit des im Übrigen abhängig beschäftigten Arbeitnehmers von der Einflussnahme seines Arbeitgebers auf die Arbeit als Datenschutzbeauftragten zu gewährleisten.

Der Ausschluss der ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten während seiner Bestellung und ein Jahr danach steht daher mit der DSGVO in Einklang

Nationale Regelung zur Abberufung des Datenschutzbeauftragten ist DSGVO-konform

Neben der Frage der Zulässigkeit der Kündigung, musste sich das LAG auch mit der Abberufung als Datenschutzbeauftragte befassen.

Nach Ansicht des LAG bedurfte die Beklagte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Auch diese, in §§ 38 Abs. 2 iVm § 6 Abs. 4 S. 1 BDSG enthaltene nationale Regelung, verstoße nicht gegen Art. 38 Abs. 3 S. 2 DSGVO.

Zunächst stellt das LAG fest, dass auch die Modalitäten der Abberufung des Datenschutzbeauftragten in der DSGVO nicht abschließend geregelt sind. Nach Art. 38 Abs. 3 S. 2 DSGVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden.

Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann.

Unter Verweis auf die Rechtsprechung des BAG (Urt. v. 23.3.2011, Az. 10 AZR 652/09; mit Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten) legt das LAG dar, dass auch die Abberufung als interner Datenschutzbeauftragter damit im Umkehrschluss ebenfalls auf eine Änderung der arbeitsvertraglichen Pflichten ziele. Damit handele es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 S. 1 BDSG im Kern um eine arbeitsrechtliche Regelung.

Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel.

Denn wie der Kündigungsschutz diene auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann. Das LAG geht zudem davon aus, dass es sich auch

bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DSGVO auch im BDSG n. F. beibehalten werden kann.

Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag hier nach Ansicht des LAG gerade nicht vor.

Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen.

Fazit

Das LAG legt, meines Erachtens durchaus überzeugend, dar, warum im nationalen Recht die spezifische Ausgestaltung des Beschäftigungsverhältnisses des Datenschutzbeauftragten noch näher ausgestaltet werden kann. Hinsichtlich der Kündigung des zugrundeliegenden Arbeitsverhältnisses, dürfte dies auch recht klar sein. Allenfalls bei dem Thema der Abberufung könnte man ggfs. überlegen, ob der vom LAG eröffnete Konnex zur Kündigung (da auch durch die Abberufung nach der Respr. des BAG das Arbeitsverhältnis geändert wird) so eindeutig ist.

Da insbesondere die Frage, ob § 6 Abs. 4 S. 1 iVm § 38 Abs. 2 BDSG mit Art. 38 Abs. 3 S. 2 DSGVO vereinbar ist, höchstrichterlich noch nicht geklärt ist, hat das LAG die Revision zugelassen.

Die Revision wurde beim BAG am 16.04.2020 unter dem Az 2 AZR 225/20 eingelegt.

Verwaltungsgericht Schleswig: Interne Übertragung der Aufgabe zur Erstellung eines Verarbeitungsverzeichnisses ist zulässig

Das Verwaltungsgericht (VG) Schleswig hat am 31.3.2020 entschieden (Beschl. v. 31.03.202012 B 79/19), dass die Übertagung der von einer öffentlichen Stelle nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation zulässig ist.

(Ja, mir ist bekannt, dass es unter der DSGVO nicht mehr „Verarbeitungsverzeichnis“ heißt; wenn ich aber stattdessen „Verzeichnis der Verarbeitungstätigkeiten“ in die Überschrift aufnehme, wird diese zu lang)

Sachverhalt

In dem Verfahren im Rahmen des vorläufigen Rechtsschutzes (Antrag auf Erlass einer einstweiligen Anordnung) ging ein Justizamtmann gegen die dienstliche Weisung an ihn vor, an einem Arbeitskreis zur DSGVO, der bei der Generalstaatsanwaltschaft eingerichtet wurde, teilzunehmen und die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO zu übernehmen. Zuvor war der Antragsteller gegenüber dem Generalstaatsanwalt als „Datenschutzverantwortlicher“ benannt worden.

Der Antragsteller ging davon aus, dass diese Weisung rechtswidrig sei, weil eine Tätigkeit als „Datenschutzverantwortlicher“ mit seiner Tätigkeit als Personalratsmitglied und als ständiger Vertreter der Personalratsvorsitzenden nicht vereinbar sei. Zudem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein.

Entscheidung

Das VG lehnte den Antrag als unbegründet ab.

Zunächst stellte das VG zurecht ein paar datenschutzrechtliche Begrifflichkeiten klar.

Die anfängliche Formulierung der Antragsgegnerin, nach der dem Antragsteller die Position als „Datenschutzverantwortlicher“ (vollumfänglich) übertragen werden sollte, dürfte schon aufgrund der Unbestimmtheit nicht zulässig sein.

Sodann führt das VG zu den rechtlichen Möglichkeiten der Übertragung von Pflichten nach der DSGVO aus.

Außerdem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein, wie der Personalrat mit seinem Schreiben vom 19. Dezember 2019 zutreffend ausführte.

Nach zutreffender Ansicht des VG ist „Datenschutzverantwortlicher“ (nicht gemeint war hier der Datenschutzbeauftragte) nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die Letztverantwortung muss damit bei Behörde selbst als juristischer Person bleiben und kann nicht etwa zur Gänze wie die Position des Datenschutzbeauftragten i.S.v. Art. 37 DSGVO einem Beamten übertragen werden.

Jedoch konkretisierte die Antragsgegnerin die dem Antragsteller übertragenen Aufgaben nachträglich dahingehend, dass mit den übertragenen Aufgaben

  • die Teilnahme an einem Arbeitskreis bei der Generalstaatsanwaltschaft und
  • die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO gemeint seien.

Die Antragsgegnerin bezog sich hierbei anscheinend auch auf einen Beschluss der DSK, in dem die Empfehlung ausgesprochen wurde, „durch eine allgemeine Aufbauorganisation sicherzustellen, dass im Innenverhältnis die Anwendung des Datenschutzrechts in der Behörde organisiert und gewährleistet wird“.

Aus Sicht des VG bleibt daher die Antragsgegnerin (also die öffentliche Stelle) die eigentliche Verantwortliche, da sie die Verfügungsgewalt über die erhobenen Daten besitzt.

Die Übertagung der von der Antragsgegnerin nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation ist dagegen zulässig.

Gerade diese letzte Einschätzung des VG ist meines Erachtens auch für den privatwirtschaftlichen Bereich relevant. Es ist innerbetrieblich möglich (und rein faktisch oft anders gar nicht handhabbar), dass die Aufgabenerfüllung von der Führungsebene nach unten delegiert und bestimmten Personen übertragen wird. Wichtig zu beachten ist, dass nicht die gesetzliche Pflicht an sich übertragen werden kann, sondern nur die Aufgabe, bei der Erfüllung dieser Pflicht zu unterstützen.

Fazit

Die Entscheidung des VG ist meines Erachtens richtig und spiegelt auch die tatsächlichen Gegebenheiten in der Praxis wider, wenn man DSGVO-Anforderungen in größeren Einheiten umsetzen möchte. Dies erfordert eine arbeitsteilige Erledigung der verschiedenen Aufgaben. Intern kann eine solche Aufgabe dann im Rahmen des Weisungsrechts auch an Angestellte übertragen werden. Datenschutzrechtlich verpflichtet bleibt aber allein der Verantwortliche (oder Auftragsverarbeiter).

Rechtsanwaltskammer Berlin: Tätigkeit als Datenschutzbeauftragter ist für den Rechtsanwalt grundsätzlich kein Nebenberuf, sondern ein Mandat

Anwälte als externe Datenschutzbeauftragte. Ein schon länger berufs- und steuerrechtlich diskutiertes Thema.

In beiden genannten Rechtsgebieten existieren nun auch höchstrichterliche Entscheidungen. Im Oktober 2018 entschied bereits der BGH (Urt. v. 15.10.2018 – AnwZ (Brfg) 20/18) u.a., dass die Tätigkeit als interner Datenschutzbeauftragter grundsätzlich die für eine Zulassung als Syndikusrechtsanwalt erforderlichen Tätigkeitsmerkmale erfülle und das Arbeitsverhältnis von diesen Merkmalen auch geprägt sein kann. Grund war insbesondere die gestiegene Komplexität des Datenschutzrechts auch im Zuge der Einführung der DSGVO. Das Amt des Datenschutzbeauftragten umfasse Tätigkeiten, welche die Merkmale anwaltlicher Tätigkeit nach § 46 Abs. 3 Nr. 1 bis 4 BRAO erfüllen.

Der Bundesfinanzhof (BFH) hat nun Anfang dieses Jahres zu der Frage entschieden (Urt. v. 14.1.2020 – VIII R 27/17), wie Umsätze eines als Datenschutzbeauftragter tätigen Rechtsanwalts steuerrechtlich einzuordnen sind. Nach Ansicht des BFH ist der Rechtsanwalt in Bezug auf seine Tätigkeit als externer Datenschutzbeauftragter gewerblicher Unternehmer i.S. des § 141 Abs. 1 AO. Der BFH geht davon aus, dass die Tätigkeit als Datenschutzbeauftragter weder eine dem Beruf des Rechtsanwalts vorbehaltene noch eine berufstypische Tätigkeit sei. Der BFH nimmt hierbei auch Bezug zum Urteil des BGH, verweist aber darauf, dass die Tätigkeit des (internen) Datenschutzbeauftragten zwar mit den für Rechtsanwälte geltenden berufsrechtlichen Vorschriften in Einklang steht. Dies aber für die steuerliche Qualifizierung der Tätigkeit als solche iSd § 18 EStG nicht maßgebend sei, wie der Umstand, dass eine Zulassung als Syndikusrechtsanwalt im Einzelfall möglich ist.

Man kann daher wohl aktuell folgendes Resümee ziehen: berufsrechtlich ist die Tätigkeit als Datenschutzbeauftragter zulässig. Die steuerrechtliche Beurteilung scheint, nach Ansicht des BFH, jedoch nicht zwingend gleichlaufen zu müssen. Umsätze können daher, auch bei der Tätigkeit als Anwalt, der Gewerbesteuer unterliegen. Insgesamt ist das, mit Blick auf die Rechtssicherheit, natürlich immer noch keine letztlich befriedigende Situation.

Besonders interessant ist vor diesem Hintergrund ein Beschluss des Vorstandes der Rechtsanwaltskammer Berlin vom 8. Mai 2019. Die RAK überträgt die vom BGH aufgestellten Grundsätze zur Einordnung des internen Datenschutzbeauftragten folgerichtig auf die des externen Datenschutzbeauftragten.

Nach Ansicht der RAK Berlin unterscheidet die BRAO

nicht zwischen einer anwaltlichen Tätigkeit des Syndikusrechtsanwalts und einer solchen des Rechtsanwalts. Der Gesetzgeber verfolgt ein einheitliches Berufsbild des Rechtsanwalts. Daher ist schon nach dem Wortlaut des Gesetzes zu schlussfolgern, dass Tätigkeiten, die für den Syndikusrechtsanwalt als anwaltliche gelten, auch anwaltliche Tätigkeiten für den Rechtsanwalt sind.

Daher geht die RAK (meines Erachtens zutreffend) davon aus, dass die Tätigkeit als Datenschutzbeauftragter für den Rechtsanwalt regelmäßig kein Nebenberuf ist, wenn er zugleich als Rechtsanwalt auftritt. Dieser Zusatz ist meines Erachtens wichtig. Diese Feststellung ist insbesondere für ein in der Vergangenheit diskutiertes Tätigkeitsverbot nach § 45 Abs. 1 Nr. 4 BRAO relevant, was, nach dem Beschluss der RAK Berlin, nicht vorliegen dürfte. Auch das Risiko eines Widerrufs der Zulassung nach § 14 Abs. 2 Nr. 8 BRAO besteht vor diesem Hintergrund wohl nicht mehr.

Es handelt sich grundsätzlich um ein Mandat, auf das das Berufsrecht Anwendung findet.

Die RAK weist auf das damals noch anhängige Verfahren am BFH und evtl. folgende steuer- und versicherungsrechtliche Auswirkungen hin.

Sehr aufschlussreich, mit weiterem Inhalt und Begründungen zu dem Beschluss, ist das Protokoll (PDF) zur Sitzung des Vorstandes der RAK. Unter anderem wird dort auch ausgeführt, dass ein Vorstandsmitglied die Auffassung des Berichterstatters bestätigt, dass auch bei einer abweichenden Entscheidung des BFH die Arbeit des externen Datenschutzbeauftragten als  anwaltliche Tätigkeit gewertet werden könne.

Eigentlich wäre diese Situation, dass zwei oberste Gerichtshöfe in einer Rechtsfrage unterschiedlicher Auffassung sind, nun ein Fall für den Gemeinsamen Senat der obersten Gerichtshöfe des Bundes. Dieser existiert, um die Einheitlichkeit der Rechtsprechung zu gewährleisten. Er entscheidet, wenn ein Senat eines obersten Gerichtshofs in einer Rechtsfrage von der Entscheidung eines Senats eines anderen obersten Gerichtshofs abweichen will. Dass der BFH, in Kenntnis der Entscheidung des BGH, jedoch keinen entsprechenden Vorlegungsbeschluss gefasst hat, wird man wohl so interpretieren können, dass der BFH gerade nicht von der Auffassung des BGH in berufsrechtlicher Sicht abweichen wollte.

Covid-19 als „höhere Gewalt“ im Datenschutzrecht? Unternehmen sind nicht in der Haftung

In mehreren europäischen Ländern wurden aufgrund des sich verbreitenden Corona-Virus bereits Ausgangssperren verhängt. In Bayern wurde der Katastrophenfall ausgerufen. Bürger sind zudem angehalten, im Home-Office zu arbeiten. Für viele Unternehmen bedeutet dies, dass interne (Verwaltungs)Prozesse nicht mehr uneingeschränkt oder, bei einer Schließung des Unternehmens, sogar gar nicht mehr funktionieren.

Die Folge im Datenschutzrecht ist, dass Betroffenenanfragen nach der DSGVO, etwa auf Auskunft nach Art. 15 DSGVO, entweder nur stark verzögert oder in nächster Zeit gar nicht adäquat bearbeitet werden können. So kann es sein, dass aufgrund von Home-Office nicht alle internen Dokumente auf personenbezogene Daten geprüft werden können. Eventuell ist Unternehmen auch generell die Erfüllung von Pflichten nach der DSGVO aufgrund der aktuellen Umstände nicht (mehr) vollumfänglich möglich.

Aus Sicht der Praxis stellt sich für datenverarbeitende Stellen die Frage, wie sie mit dieser Situation umgehen können. Gestattet es die DSGVO etwa, dass vorgegebene Fristen nach Art. 12 Abs. 3 DSGVO (max. 3 Monate zur Beantwortung von Betroffenenanfragen) noch weiter verlängert oder nicht beachtet werden müssen? Kann sich ein Unternehmen im Fall eines Verstoßes gegen die DSGVO, der auf der aktuellen Ausnahmesituation beruht, irgendwie entlasten oder besteht die Gefahr, dass Verwaltungsverfahren oder Bußgelder durch Behörden verhängt (Art. 83 DSGVO) oder Schadensersatzansprüche von Betroffenen geltende gemacht (Art. 82 DSGVO) werden?

Aktuelle Ansichten von Datenschutzbehörden

Die englische Behörde, ICO, wird nach eigenen Angaben bei Verzögerungen der Erfüllung von datenschutzrechtlichen Pflichten die derzeitigen Umstände berücksichtigen (ICO, Data protection and coronavirus: what you need to know). Insoweit nimmt die Behörde an, dass die gesetzlichen Fristen nicht verlängert werden können, aber Verzögerungen in der Bearbeitung der Betroffenenrechte aufgrund des Corona-Virus jedoch nicht geahndet würden.

Der EDSA äußert sich zur (Nicht-)Geltung der Fristen nicht. Allerdings ist der EDSA der Ansicht, dass die besonderen Umstände nichts an den bestehenden Pflichten der Verantwortlichen ändern würden (EDSA, Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak, pdf).

Nach Ansicht der irischen Datenschutzbehörde DPC ist eine Änderung der Fristenregelungen der DSGVO nicht möglich. Jedoch spricht die DPC einige praktische Empfehlungen aus (DPC, Data Protection and COVID-19). Die DPC verweist darauf, dass unter Darlegung der entsprechenden Gründe die Frist zur Bearbeitung des Betroffenenrechts um bis zu zwei Monate verlängert werden. Die Pflicht zur Information über die Fristverlängerung obliegt dabei nach Art. 12 Abs. 3 S. 3 DSGVO dem Verantwortlichen. Zudem ist auch ein gestuftes Vorgehen bei der Beantwortung von Betroffenenanfragen denkbar. So könnte der Verantwortliche elektronisch verfügbare Dokumente, auf die die Mitarbeiter auch im Home-Office zugreifen können, zuerst bearbeiten.

Ausnahmen nach der Fristen-Verordnung?

Die für die Berechnung europarechtlich vorgegebener Fristen (also auch jener nach Art. 12 Abs. 3 DSGVO oder Art. 33 Abs. 1 DSGVO) unmittelbar anwendbare Fristen-Verordnung (Verordnung (EWG, Euratom) Nr. 1182/71) sieht keine Ausnahme von bestehenden Fristen im Ausnahmefall vor.

Ausnahmen in der DSGVO?

Art. 12 DSGVO sieht keine Ausnahmen von den dort geregelten Fristen vor. Hinsichtlich der allgemeinen Pflichten nach der DSGVO finden sich in einzelnen Artikel zum Teil Ausnahmevorschriften. So etwa in Art. 14 Abs. 5 lit. b DSGVO, für den Fall, dass die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Jedoch gilt diese Ausnahme nur für die Vorgaben des Art. 14 DSGVO. Im Rahmen der Löschpflicht wird etwa in Art. 17 Abs. 3 lit. c DSGVO als Ausnahme auf Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit nach Art. 9 Abs. 2 lit. i DSGVO verwiesen. Auch hierbei handelt es sich aber nur um eine spezielle Ausnahme zu Art. 17 DSGVO.

Höhere Gewalt: keine Haftung der Unternehmen

In der aktuellen Situation ist meines Erachtens über eine, in der DSGVO zwar nicht ausdrücklich benannte, dem Sinn und Zweck nach jedoch angelegte, allgemeine Ausnahme bzw. Privilegierung nachzudenken: das Vorliegen „höherer Gewalt“.

Wichtig ist hierbei, die europarechtlichen Vorgaben zu dieser Ausnahme heranzuziehen, da die DSGVO als europäisches Recht auf europarechtsautonom anzuwenden ist.

Nach ständiger Rechtsprechung des EuGH sind unter „höherer Gewalt“ ungewöhnliche und unvorhersehbare Ereignisse zu verstehen, auf die derjenige, der sich auf höhere Gewalt beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können (vgl. etwa EuGH, Urt. v. 18.3.2010, Rs. C?218/09). Zu beachten ist, dass es ebenfalls ständiger Rechtsprechung entspricht, dass die Bedeutung des Begriffs der höheren Gewalt, da er auf den verschiedenen Anwendungsgebieten des Unionsrechts nicht den gleichen Inhalt hat, anhand des rechtlichen Rahmens zu bestimmen ist, innerhalb dessen er seine Wirkungen entfalten soll (EuGH, Urt. v. 25.1.2017, Rs. C?640/15). Maßgebend für seine Anwendung ist insofern die Zweckbestimmung der jeweiligen Verordnung (vgl. EuGH, Urt. v. 17.10.2002). Die Besonderheit des jeweiligen Rechtsgebiets beeinflusst vor allem die Auslegung des Begriffs im Einzelfall (vgl. EuGH, Urt. v. 22.1.1986).

Es ist daher zu prüfen, ob auch die DSGVO eine solche Ausnahme vorsieht, auf die sich eventuell datenverarbeitende Stellen in den aktuellen Zeiten berufen können. Bezogen auf die DSGVO fällt zunächst auf, dass diese den Begriff „höhere Gewalt“ nicht kennt. Zumindest nicht in der finalen Fassung. Betrachtet man den ersten Entwurf der EU Kommission und auch die Vorschläge des EU Parlaments im Gesetzgebungsverfahren, wird deutlich, dass der Umstand höherer Gewalt sehrwohl eine Rolle spielte: konkret im Rahmen der Haftung von Unternehmen auf Schadensersatz gegenüber Betroffenen.

ErwG 146 DSGVO lautet: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist.“ (Hervorhebung durch mich)

In den früheren Fassungen der DSGVO war dieser Erwägungsgrund aber noch mit konkretem Verweis auf „höhere Gewalt“ formuliert. ErwG 118 (Ratsdokument 9398/15, 1.6.2015, pdf):

„Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, die von ihrer Haftung befreit werden sollten, wenn sie nachweisen, dass ihnen der Schaden nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.“ (Hervorhebungen durch mich)

Die beispielhafte Aufzählung von Umständen („insbesondere“), wann keine Haftung vorliegen soll, wurde auf Vorschlag des Rates gestrichen und durch eine generelle und umfassende Formulierung („in keiner Weise…verantwortlich ist“) ersetzt.

Zwar fehlt der konkrete Begriff „höhere Gewalt“. Jedoch meiner Meinung nach nicht, weil eine Berufung hierauf nicht mehr möglich sein soll, sondern vielmehr, weil der Gesetzgeber die Möglichkeit der (Ent)Nichthaftung allgemeiner umschreiben wollte, ohne spezielle Beispiele zu nennen.

Daher halte ich es auf jeden Fall für vertretbar, dass Unternehmen sich im Rahmen von Verstößen gegen die DSGVO, die ihren nachweisbaren Grund in den aktuellen Umständen des Corona-Virus und damit einhergehenden staatlichen Maßnahmen haben, auf den Umstand „höhere Gewalt“ berufen können. In diesem Fall haften Unternehmen dann Betroffenen nicht auf Schadensersatz.

Ich würde zudem auch vertreten, dass dieser, in der DSGVO klar angelegte Gedanke der Enthaftung in Ausnahmesituationen, nicht nur in Bezug auf Schadensersatzansprüche nach Art. 82 DSGVO greift, sondern auch hinsichtlich der Einhaltung von Fristen (zB Art. 12 Abs. 3 DSGVO oder Art. 33 Abs. 1 DSGVO) oder gegebenenfalls sogar anderen Pflichten. Denn, wenn schon keine Haftung angenommen wird, wenn ein Schaden eingetreten ist, dann muss es erst recht möglich sein, mit dieser Ausnahme einer Verlängerung gesetzlicher Fristen zu begründen. Es geht Unternehmen ja aktuell nicht darum, dass man Pflichten gar nicht mehr erfüllen möchte. Man kann es derzeit nur nicht in den regulatorisch vorgegebenen Parametern. Dies ist meine (in einer etwas längeren Nachsitzung entstandene) Meinung zur Auslegung und Anwendung der DSGVO in aktuellen Zeiten ist. Das bedeutet aber auch, wie oben schon angemerkt, dass andere Rechtsauffassungen (gerade auch von Aufsichtsbehörden) möglich sind.

Für die hier gefundene Lösung spricht meines Erachtens auch das Verständnis des Bundesverwaltungsgerichts zu diesem Begriff: „Der Begriff der höheren Gewalt ist ein allgemeiner Begriff des Gemeinschaftsrechts, dessen Funktion es ist, Härten aus der Anwendung von Präklusions- und Sanktionsvorschriften in besonders gelagerten Fällen zu vermeiden und damit dem Gebot der Verhältnismäßigkeit im Einzelfall zu entsprechen“ (BVerwG, Urt. v. 29.4.2004 – BVerwG 3 C 27.03; Hervorhebung durch mich)

Zuletzt sei im Hinblick auf mögliche Bußgelder wegen Verstößen gegen die DSGVO darauf verwiesen, dass nach Art. 82 Abs. 2 lit. k DSGVO von den Aufsichtsbehörden zwingend „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ beachtet werden müssen. Hierzu zählt meines Erachtens auch ein Fall „höherer Gewalt“.

Wichtig ist jedoch, dass die Anforderungen des EuGH an die Anwendbarkeit der Ausnahme „höhere Gewalt“ beachtet werden und, dass Unternehmen nachweisbar dokumentieren, warum diese Voraussetzungen vorliegen. Es muss also ein ungewöhnliches und unvorhersehbares Ereignisse vorliegen, auf das derjenige, der sich darauf beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können.

Generalanwalt am EuGH: hohe Anforderungen an eine wirksame Einwilligung und ihre Nachweisbarkeit

Im Rahmen der am 4.3.2020 veröffentlichten Schlussanträge in der Rechtssache C?61/19, hat Generalwalt (GA) Szpunar seine Interpretation zu den Anforderungen an eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO dargelegt. Die Ausführungen des GA sind für den EuGH (wie immer) nicht bindend. Dennoch lohnt sich ein Blick in die Begründung.

Nachfolgend möchte ich auf einige „Highlights“ der Schlussanträge eingehen.

Was bedeutet der Grundsatz des Art. 5 Abs. 1 lit. a DSGVO?

Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Zu der entsprechenden Vorgängernorm in der RL 95/46/EG (Art. 6 Abs. 1 lit. a) stellt der GA fest, dass in den Erlaubnistatbeständen (jetzt in Art. 6 Abs. 1 DSGVO) der in Art. 6 Abs. 1 lit. a der Richtlinie niedergelegte Grundsatz zum Ausdruck, dass personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden müssen. Hieraus lässt sich mit Blick auf die DSGVO ableiten, dass mit der Erfüllung eines Erlaubnistatbestandes somit auch die Anforderungen der Datenschutzgrundätze „Rechtmäßigkeit sowie Verarbeitung nach Treu und Glauben“ erfüllt sind.

Freiwilligkeit der Einwilligung

Hinsichtlich des Merkmals der „Willensbekundung“ der betroffenen Person führt der GA aus, dass dies klar auf ein aktives und nicht passives Verhalten hindeute und erfordere, dass die betroffene Person über ein hohes Maß an Autonomie verfügt, wenn sie sich entscheidet, ihre Einwilligung zu erteilen oder nicht zu erteilen. Der GA verweist insoweit auf das Urteil des EuGH in Sachen Planet49.

Nach Ansicht des GA gelten die dort getroffenen Feststellungen auch gleichermaßen für die analoge Welt.

Wenn es schon zu hohe Anforderungen an den Kunden stellt, das in einem Ankreuzkästchen auf einer Website voreingestellte Häkchen zu entfernen, dann kann von einem Kunden vernünftigerweise erst recht nicht erwartet werden, dass er seine Verweigerung der Einwilligung in handschriftlicher Form erklärt.

In einer solchen Situation wisse man nämlich nicht, ob ein solcher vorformulierter Text gelesen und verstanden wurde. Die Situation sei nicht frei von Zweifeln. Der Text mag gelesen worden sein oder auch nicht. Der „Leser“ mag dies aus reiner Nachlässigkeit vergessen haben; es sei daher unmöglich, klar festzustellen, ob die Einwilligung freiwillig erteilt wurde.

„in informierter Weise“

Dieses Merkmal legt der GA so aus, dass völlig außer Zweifel stehen muss, dass die betroffene Person ausreichend informiert wurde.

Er fordert:

Die betroffene Person muss über alle die Datenverarbeitung und deren Folgen betreffenden Umstände informiert werden. Insbesondere muss sie wissen, welche Daten verarbeitet werden, wie lange die Verarbeitung andauert, in welcher Weise und zu welchem spezifischen Zweck sie erfolgt.

Leider wird nicht deutlich, ob der GA hier den Inhalt der Einwilligung selbst anspricht oder ob diese Information nicht auch über die Erfüllung der Informationspflichten entsprechend Art. 13 DSGVO erfolgen kann. Denn sollte es zu einer Dopplung von Informationen kommen, einmal in der Erklärung, einmal in den Datenschutzinformationen, dürfte man wohl die Frage stellen, welchen Sinn eine doppelte Informationserteilung hat.

Doch die Anforderungen gehen weiter:

Die betroffene Person muss außerdem wissen, wer die Daten verarbeitet und ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden.

Zudem sei entscheidend, dass der Betroffene darüber informiert wird, welche Folgen es hat, wenn er die Einwilligung verweigert, d. h., ob die Einwilligung in die Datenverarbeitung Voraussetzung für den Vertragsabschluss ist oder nicht. Dem Betroffenen wurde hier im konkreten Fall jedoch nicht unmissverständlich erklärt, dass der Vertragsabschluss dadurch, dass er die Anfertigung und Aufbewahrung einer Kopie seines Personalausweises verweigert, nicht unmöglich wird.

Wenn man die Anforderungen des GA allesamt in dem Text der Einwilligungserklärung selbst abbilden wollen würde, müsste diese folgende Informationen beinhalten:

  • alle die Datenverarbeitung betreffenden Umstände
  • deren Folgen betreffenden Umstände (Anm: was immer mit den Folgen gemeint ist)
  • welche Daten verarbeitet werden
  • wie lange die Verarbeitung andauert
  • in welcher Weise sie erfolgt
  • zu welchem spezifischen Zweck sie erfolgt
  • wer die Daten verarbeitet
  • ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden
  • welche Folgen es hat, wenn sie die Einwilligung verweigert

Ich persönlich bin auf transparente und verständliche Einwilligungserklärungen gespannt, die diesen Anforderungen gerecht werden. Zudem muss beachtet werden, dass der Text der Einwilligung ja eine statische Momentaufnahme ist. Was geschieht, wenn sich die „Folgen“ der Datenverarbeitung ändern oder Daten nun etwa nicht mehr an Dritte übermittelt werden sollen? Ist die Einwilligung dann unwirksam?

Beweislast und Nachweispflicht

Zudem geht der GA auf die praktisch sehr relevante Frage ein, was konkret durch den Verantwortlichen nachzuweisen ist, wenn er darlegen will oder muss, dass eine Einwilligung vorliegt.

Der GA bezieht sich ganz konkret auf Art. 7 Abs. 1 DSGVO. Danach muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Nach Ansicht des GA ist Art. 7 Abs. 1 DSGVO eindeutig und lässt keinen Raum für Zweifel:

Beruht die Verarbeitung auf einer Einwilligung, so muss der Verantwortliche nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese Bestimmung stellt einen besonderen Ausdruck des in Art. 5 Abs. 2 der Verordnung 2016/679 verankerten Grundsatzes der Rechenschaftspflicht dar.

Der GA verknüpft hier also die Rechenschaftspflicht, die ja ansonsten oft doch recht alleine in der DSGVO steht bzw. sich „nur“ auf die Grundsätze nach Art. 5 Abs. 1 DSGVO bezieht, nicht mit einem solchen Grundsatz, sondern mit einem anderen Artikel der DSGVO, der auf einen Nachweis abstellt.

Und nun eine entscheidende Aussage:

Meines Erachtens erfordert der Zweck dieser Bestimmung eine weite Auslegung, da der Verantwortliche nicht nur nachweisen muss, dass die betroffene Person ihre Einwilligung erteilt hat, sondern auch nachweisen muss, dass sämtliche Wirksamkeitsvoraussetzungen vorliegen.

Das bedeutet, dass Verantwortliche nicht nur das Vorliegen der Einwilligung nachweisen müssen. Also etwa den abgehakten Text. Zudem muss der Verantwortliche die Erfüllung aller gesetzlichen Anforderungen nach der DSGVO nachweisen, die sich auf die Einwilligung beziehen.

Und wenn es zum Streit kommt? Auch hier ist der GA klar.

Jegliche Zweifel an der Erteilung der Einwilligung durch die betroffene Person müssen durch vom Verantwortlichen zu erbringenden Beweis ausgeräumt werden. Die Beweislast dafür, dass die betroffene Person in die Lage versetzt wurde, ihre Einwilligung ohne Zwang, auf den konkreten Fall bezogen und in voller Kenntnis der Sachlage zu erteilen, liegt daher eindeutig bei der Stelle, die die Verarbeitung durchführt.

Meines Erachtens legt der GA hier strenge Anforderungen an. Sollte der EuGH dieser Argumentation folgen, würde dies bedeuten, dass Verantwortliche also nicht nur den einzelnen Text der Einwilligung, sondern tatsächlich alle Umstände der Abgabe bzw. Einholung der Einwilligung nachweisen können müssen. Nicht unerwähnt sollte bleiben, dass für einen solchen Nachweis wohl zusätzlich personenbezogene Daten (etwa eine Klickstrecke, Screenshots, usw.) verarbeitet werden müssen.