Verwaltungsgericht Ansbach: Betroffene haben keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen der Datenschutzbehörden

In dieser Woche hatte ich über eine Entscheidung des SG Frankfurt (Oder) berichtet, in der es um die Frage ging, inwiefern eine betroffene Person einen Anspruch gegen die Datenschutzbehörde auf Vornahme von aufsichtsbehördlichen Maßnahmen hat und diesen gerichtlich einklagen kann.

Nun wurde ein weiteres Urteil zu diesem Themenkomplex veröffentlicht. Diesmal eine ausführlich begründete Entscheidung des Verwaltungsgerichts (VG) Ansbach (Urt. v. 8.8.2019, Az. AN 14 K 19.00272). Auch das VG lehnt einen Anspruch von Betroffenen auf die Vornahme bestimmter behördlicher Maßnahmen ab. Jedoch gesteht das VG zu, dass ein Anspruch auf ermessensfehlerfreie Entscheidung der Behörde bestehe.

Sachverhalt

Die Beteiligten stritten um das Einschreiten des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) in einer Datenschutzaufsichtsangelegenheit. Der Kläger bat eine Kreissparkasse mehrfach, ihm seine bei ihr verarbeiteten personenbezogenen Daten von ihm zu übermitteln. Die Sparkasse übermittle dem Kläger dann seine Daten unter Beachtung von Art. 15 Abs. 1 und 2 DSGVO.

Daraufhin wandte sich der Kläger erneut an die Kreissparkasse dahingehend, dass er die übermittelten Daten für nicht vollständig halte. Er bat um eine Vervollständigung der Auskunft. Die Kreissparkasse antwortete ihm, dass die Auskunft alle gesetzlichen Anforderungen erfülle. Daraufhin beschwerte sich der Kläger per E-Mail vom 30. Oktober 2018 bei dem BayLDA über die Kreissparkasse.

Das BayLDA antwortete mit Schreiben vom 21. Januar 2019 und teilte mit, dass gegen die Kreissparkasse keine Maßnahmen ergriffen würden, weil kein Datenschutzverstoß vorliege. Weitergehende Ansprüche gegen die Sparkasse auf Auskunftserteilung müsse der Kläger vor den Zivilgerichten verfolgen. Das Schreiben enthielt eine Rechtsbehelfsbelehrung, derzufolge gegen diese Entscheidung innerhalb eines Monats nach Bekanntgabe Klage erhoben werden kann.

Daraufhin wandte der Kläger an das Verwaltungsgericht. Die Auskunft der Kreissparkasse sei unvollständig und teilweise unverständlich gewesen, so dass er weiter bei der Kreissparkasse nachgefragt habe, worauf die Kreissparkasse auch geantwortet habe. Bei ihm seien dennoch Restzweifel verblieben.

Die kurze und pauschale Zurückweisung seiner Beschwerde vom BayLDA verstoße gegen wesentliche Aufsichtsziele der DSGVO.

Entscheidung

Das VG wies die Klage gegen das BayLDA ab.

Die Klage sei zwar zulässig, aber nicht begründet. Der Verwaltungsrechtsweg war aufgrund § 20 Abs. 1 S. 1 BDSG gegeben, da es sich hier um eine Klage gegen den rechtsverbindlichen Beschluss einer Aufsichtsbehörde handelt, und zwar die Abschlussmitteilung des BayDLA vom 21. Januar 2019.

Interessant ist, dass das VG davon ausgeht, dass hier keine Anfechtungsklage gegen einen Verwaltungsakt, sondern eine Leistungsklage statthaft ist.

Beim streitgegenständlichen Schreiben des BayLDA handelt es sich um eine vom Verwaltungsgericht gemäß Art. 78 DSGVO überprüfbare Maßnahme mit Außenwirkung,

jedoch nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG mit Regelungscharakter, so dass nicht die Anfechtungsklage, sondern die allgemeine Leistungsklage statthaft ist.

Vorliegend fehle es am Regelungscharakter der Abschlussmitteilung. Das Schreiben des BayLDA sei auch kein sog. feststellender Verwaltungsakt, also ein Bescheid mit der verbindlichen Feststellung eines Rechtsverhältnisses oder sich daraus ergebender Rechte und Pflichten, die mit Rechtsbeständigkeit festgestellt werden sollen. Hier sollte eine Rechtsauskunft erteilt werden, es sollten aber nicht mit verbindlicher Feststellung i.S. des Art. 35 BayVwVfG strittige Rechte oder Pflichten geregelt werden.

Der Antrag des Klägers ist nicht auf einen bestimmten Verwaltungsakt des BayLDA, sondern auf ein allgemein aufsichtliches Einschreiten gerichtet. Dies sei kennzeichnend für eine Leistungsklage. Jedoch gibt das VG auch zu bedenken, dass, wenn der Kläger eine ganz konkrete Maßnahme im Sinne eines Verwaltungsaktes vom Beklagten verlangt hätte, und das BayLDA diese so gestaltete Beschwerde abgelehnt hätte, wäre die Verpflichtungsklage in Form der Versagungsgegenklage in Frage gekommen. Dann wäre die Ablehnung der Beschwerde als ein Verwaltungsakt zu qualifizieren, der den Erlass eines Verwaltungsaktes ablehnen würde.

Das Klagerecht aus Art. 78 Abs. 1 DSGVO erfasst umfassend auch die Ablehnung oder Zurückweisung einer Beschwerde nach Art. 77 DSGVO. Wird eine Maßnahme von der Aufsichtsbehörde erbeten, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, ist die allgemeine Leistungsklage die statthafte Klageart.

Gleichzeitig lehnt das VG die Rechtsansicht des VG Berlin vom 28. Januar 2019 (AZ. VG 1 L 1.19) ab, wonach es sich bei Beschwerden nach der DSGVO um Petitionen handeln soll.

Nach der DSGVO indes hat der Bürger nicht nur einen Anspruch auf Verbescheidung, sondern ggf. einen Anspruch auf Einschreiten der Aufsichtsbehörde (bei Ermessenreduzierung auf Null, sonst Anspruch auf fehlerfreie Ermessensausübung), die aufgrund Art. 58 DSGVO umfassende Eingriffskompetenzen hat (i.d.R. im Gegensatz zum Petitionsadressaten).

Bereits hier macht das VG deutlich, dass es davon ausgeht, dass im Grunde schon ein Anspruch auf Tätigwerden der Behörde besteht, jedoch im Normalfall nicht auf eine konkrete Maßnahme.

Die Klage ist jedoch unbegründet, da der Kläger weder einen Anspruch gegen den Beklagten auf weitere Befassung und Überprüfung seiner Beschwerde nach Art. 78 Abs. 2 DSGVO i.V.m. Art. 57 DSGVO hat noch einen Anspruch auf aufsichtliches Einschreiten des Beklagten gegenüber der Kreissparkasse gemäß Art. 58 DSGVO.

Das BayLDA hat gemäß Art. 78 Abs. 2 DSGVO in Verbindung mit Art. 57 Abs. 1 lit. f DSGVO die Beschwerde des Klägers in angemessenem Umfang geprüft und dem Kläger rechtzeitig Bescheid gegeben.

Ein darüber hinaus gehender Anspruch des Klägers ist nicht ersichtlich.

Das VG befasst sich dann mit der Frage, ob das BayLDA hier seinen gesetzlichen Aufgaben nachgekommen ist. Art. 57 Abs. 1 lit. a und f DSGVO wurden hier durch das BayLDA beachtet. Interessant an der Begründung des VG ist, dass es davon ausgeht, dass sich zwar sich aus Art. 57 DSGVO allein, einer reinen Aufgabennorm, keine subjektivöffentlichen Rechte des Betroffenen ergeben können. Art. 57 Abs. 1 lit. f DSGVO enthalte Vorgaben zum Verfahren und dessen Umfang, die über Art. 78 Abs. 2 DSGVO zu einem Rechtsanspruch des Betroffenen führen können.

Die Behandlung von individuellen Beschwerden sei unionsrechtlich jedoch restriktiv geregelt. Zwar sei es eine der vorrangigsten Aufgaben des BayLDA, Beschwerden von Betroffenen nach Art. 77 DSGVO zu bearbeiten. Allerdings nehme Art. 57 Abs. 1 lit. f DSGVO unzweifelhaft mit der Formulierung „in angemessenem Umfang“ auf die Ressourcen und Möglichkeiten der Aufsichtsbehörden Rücksicht. Die Angemessenheit der Untersuchung richte sich daher auch nach der Schwere des Eingriffs in Rechte des Betroffenen.

Hinsichtlich der behördlichen Maßnahmen nach Art. 58 DSGVO stellt das VG fest, dass dieser Artikel das Verhältnis zwischen Aufsichtsbehörde zu Verantwortlichen regele.

Ein Anspruch auf aufsichtliches Einschreiten des Betroffenen ist ähnlich wie im Sicherheits- und Polizeirecht (vgl. BVerwGE 11, 95, 97) grundsätzlich anzuerkennen, jedoch nur im Falle einer (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Reduktion des Ermessens auf Null, so dass mithin allenfalls regelmäßig nur ein subjektivöffentliches Recht auf fehlerfreie Ermessensausübung besteht.

Das VG geht davon aus, dass neben dem Auswahlermessen für die Behörde auch hinsichtlich des Entschlusses zum Tätigwerden ein Entschließungsermessen („gestattet“ in Art. 58 Abs. 1 und 2 DSGVO) bestehe. Der Kläger habe daher selbst bei Vorliegen eines festgestellten oder wahrscheinlichen Verstoßes gegen die DSGVO (der hier nicht gegeben war) indes

nur einen Anspruch auf fehlerfreie Ermessensausübung hinsichtlich einer Maßnahme des Beklagten nach Art. 58 DSGVO, aber keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen gegen die Kreissparkasse.

Dann habe im Rahmen des Art. 58 DSGVO die Aufsichtsbehörde ein weites Entschließungs- und Auswahlermessen hat. Dies gelte jedoch nicht, bei einer Ermessensreduktion auf Null. Diese komme nur in Betracht,

wenn ein Datenschutzrechtsverstoß naheliegt bzw. sich aufdrängen muss, d.h. es müssen Tatsachen vorliegen, die einen Verstoß gegen datenschutzrechtliche Vorschriften als wahrscheinlich erscheinen lassen und wenn dieser Verstoß von einer Schwere ist, die ein Einschreiten der Aufsichtsbehörde als erforderlich erscheinen lässt.

Vorliegend waren diese Voraussetzungen aber nicht erfüllt.

Gericht: Betroffene haben keinen Anspruch auf Vornahme bestimmter Maßnahmen durch eine Datenschutzbehörde

Kann eine betroffene Person, die von einem unzulässigen Umgang mit ihren personenbezogenen Daten ausgeht, von einer Datenschutzbehörde ein aufsichtsbehördliches Einschreiten oder sogar die Vornahme einer konkreten Maßnahme verlangen? Um diese Frage ging es in einem Fall, den das Sozialgericht Frankfurt (Oder) zu entscheiden hatte. Das Gericht lehnt einen solchen Anspruch auf Grundlage der DSGVO ab (Gerichtsbescheid v. 08.05.2019 – S 49 SF 8/19).

Sachverhalt

In dem Verfahren klagten betroffene Personen gegen den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die Kläger verlangten von dem BfDI ein Einschreiten gegen behauptete Datenrechtsverstöße des Jobcenters. U.a. begehrten die Kläger Auskunft vom Jobcenter, die sie wohl zunächst nicht erhielten. Diese wurde aber nach einem entsprechenden Hinweis des BfDI dann doch erteilt. Nach Ansicht der Kläger enthielt diese aber falsche Daten und wandten sich deswegen erneut an den BfDI. Dieser verwies die Kläger auf die Geltendmachung der Auskunft bzw. der Betroffenenrechte gegenüber dem Jobcenter.

Die Kläger beantragten, den BfDI zu verurteilen, gegen die Datenrechtsverstöße des Jobcenters einzuschreiten, um ihnen Auskunft über den Zugriff auf ihre Daten durch andere Stellen zu erteilen.

Entscheidung

Das Sozialgericht wies die Klage als unzulässig ab, da es an einer Anspruchsgrundlage fehle. Das Gericht geht also davon aus, dass eine entsprechende Klagemöglichkeit nicht besteht.

Weder aus den Vorschriften des Sozialrechts … noch insbesondere aus der Datenschutz-Grundverordnung ist ein individueller Anspruch eines Bürgers gegen den Beklagten auf die Vornahme einer bestimmten Maßnahme herleitbar.

Das Gericht verweist zunächst auf Art. 78 Abs. 2 DSGVO. Danach bestehe zwar dem Grunde nach ein Klagerecht, jedoch ist der Klagegrund auf bestimmte Fälle beschränkt.

Nach Art. 78 Abs. 2 DSGVO hat die betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DSGVO erhobenen Beschwerde in Kenntnis gesetzt hat.

Dies sei hier jedoch weder Klagegegenstand, noch liegt oder lag eine dahingehende Untätigkeit des BfDI vor.

Zudem habe nach Art. 77 Abs. 1 DSGVO jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn diese der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt.

Danach, so das Gericht, ist der BfDI als Datenschutzaufsichtsbehörde allein verpflichtet, sich mit einer Beschwerde zu befassen, soweit sie nicht offensichtlich unbegründet oder exzessiv ist und den Gegenstand der Beschwerde zu untersuchen und den Beschwerdeführer über den Fortgang und das Ergebnis der Untersuchung zu unterrichten.

Eine weitergehende Verpflichtung besteht grundsätzlich nicht.

Das Beschwerderecht nach Art. 77 DSGVO werde als Petitionsrecht verstanden.

Diesen Anforderungen aus der DSGVO sei der BfDI hier jedoch stets nachgekommen. Er hat die Betroffenen über den Fortgang der Beschwerde informiert und auch auf Schreiben geantwortet.

Daher kommt das Gericht zu dem Ergebnis:

Eine Verurteilung zu einer aufsichtsrechtlichen Maßnahme gegen das Jobcenter kann das Gericht den Beklagten nicht verurteilen. Dies ist aus der DSGVO nicht herleitbar.

Fazit

Das Gericht orientiert sich bei seiner Begründung strikt an den Vorgaben der DSGVO. Diese sieht eine Klagemöglichkeit gegen verbindliche Beschlüsse (also Verwaltungsakte) der Aufsichtsbehörde vor. Im Rahmen einer solchen Klage kann dann natürlich auch die Ermessensentscheidung der Aufsichtsbehörde überprüft werden. Jedoch sieht die DSGVO nicht vor, dass ein Betroffener direkt Klage auf Vornahme einer ganz bestimmten behördlichen Maßnahme erheben könnte.

OLG Naumburg: Abmahnbarkeit von Datenschutzverstößen durch Wettbewerber und Verarbeitung von „Gesundheitsdaten“ bei Online-Bestellungen

Das OLG Naumburg hatte in einem aktuellen Urteil (abrufbar bei der Deutsche Apotheker Zeitung (DAZ), Urteil vom 07.11.2019 – 9 U 6/19, pdf) gleich mehrere interessante datenschutzrechtliche Fragen zu prüfen. Es ging unter anderem um den Streit zum wettbewerbsrechtlichen Vorgehen gegen Datenschutzverstöße durch Wettbewerber und auch die Reichweite des Begriffs „Gesundheitsdaten“ bei Internetbestellungen.

Sachverhalt

Der Kläger macht gegen den Beklagten Unterlassungsansprüche, Auskunftsansprüche und die Feststellung einer Schadensersatzverpflichtung aus Wettbewerbsrecht wegen des Vertriebes apothekenpflichtiger rezeptfreier Medikamente über eine Internethandelsplattform geltend.

Sowohl der Kläger als auch der Beklagte betreiben Apotheken. Der Beklagte handelt sein Sortiment, also auch apothekenpflichtige Medikamente, außerdem auch über die Internet-Plattform „Amazon-Marketplace“.

In der Vorinstanz hatte das LG Magdeburg (Urt. v. 18. 01. 2019 – 36 O 48/18) vertreten, dass wegen möglichen Verstößen gegen die DSGVO keine Ansprüche aus dem UWG geltend gemacht werden können. Dies sieht das OLG nun, zumindest grundsätzlich, anders.

Entscheidung

Nach Ansicht des OLG steht dem Kläger ein Unterlassungsanspruch (§ 8 Abs. 1 S. 1 i.V.m. 3 a UWG) wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO zu.

Hierzu prüft das Gericht im Grunde drei aufeinander aufbauende Voraussetzungen.

  • Einordnung der Regeln der DSGVO als Marktverhaltensregeln im Sinne des § 3 a UWG
  • Bei den erfassten Daten handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO
  • Der Beklagte verarbeitet die Daten ohne ausdrückliche Einwilligung im Sinne des Art. 9 Abs. Absatz 2 lit. a DSGVO

UWG

Nach Auffassung des Gerichts sind die Regelungen der DSGVO zumindest in der vorliegenden Fallkonstellation als Marktverhaltensregeln im Sinne des § 3 a UWG aufzufassen.

Zunächst stellt das OLG dar, dass die Frage, ob Datenschutzbestimmungen nach Anwendbarkeit der DSGVO Marktverhaltensregeln darstellen, bisher in Literatur und Rechtsprechung nicht abschließend geklärt ist. Das Gericht verweist für seine Begründung dann auf das bekannte Urteil des OLG Hamburg (Urteil vom 25. Oktober 2018 – 3 U 66/17). Dort nahm das OLG Hamburg, im Grunde der Ansicht unter dem alten Datenschutzrecht folgend, an, dass die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat. Das OLG Naumburg schließt sich dieser Auffassung an. Zwar verweist das OLG darauf, dass die DSGVO in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen schütze. Dennoch verfolge die DSGVO auch andere Zielsetzungen.

Etwas irritierend ist hierbei der Verweis auf die Erwägungsgründe der alten, nicht mehr anwendbaren Richtlinie 95/46/EG. Das OLG verweist auf die dortigen Erwägungsgründe 6 bis 8, bezieht sich hierbei aber auf die DSGVO.

Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2).

Das OLG geht hier davon aus, dass der Beklagte die Popularität der Plattform nutzt, um Kunden zu gewinnen. Er setze damit die Plattform als Werbeträger ein. Zudem geht das OLG für seine Begründung davon aus, dass Amazon selbst Daten auswerte – wenn auch anonym -, um zu werben: „Kunden, die sich Produkt A angesehen haben, interessieren sich auch für Produkte B“. Dies ziele auf den Markt ab und berühre die wettbewerblichen Interessen der Marktteilnehmer.

Gesundheitsdaten

Im nächsten Prüfschritt befasst sich das OLG dann mit der Frage, ob Bestelldaten von Kunden des Beklagten als „Gesundheitsdaten“ iSd DSGVO einzuordnen sind. Hierbei geht das OLG, meines Erachtens zu Unrecht, von einem sehr weiten Begriff aus.

Zwar gesteht das OLG zu, dass die Daten, die Amazon für den Bestellvorgang erfasst, sicher keine Gesundheitsdaten im engeren Sinne darstellen, wie z.B. ärztliche Befunde. Gleichwohl, so das OLG,

können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden.

Meines Erachtens zurecht wandte der Beklagte ein, dass eine Internetbestellung auch für Mitglieder der Familie und andere Personen erfolgen könne. Die Person, die ein Medikament bestellt, kann dies auch für Dritte tun. Nach Ansicht des OLG senke dies aber nur die Wahrscheinlichkeit, mit der der gezogene Rückschluss zutrifft. Dies reiche nach Auffassung des Senates nicht aus, um die Gesundheitsbezogenheit der Daten entfallen zu lassen. Denn dies würde zu einer Absenkung des Schutzniveaus führen.

Meiner Auffassung nach ist der hier vom OLG angelegte Maßstab zu weit. Nach Erwägungsgrund 35 DSGVO zählen zu den personenbezogenen Gesundheitsdaten alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Genau diese Anforderung ist hier, wenn eine Bestellung für Dritte vorgenommen wird, aber nicht erfüllt. Die betroffene Person ist der Käufer des Medikaments. Wenn diese Person das Medikament etwa für ein Familienmitglied erwirbt, ergibt sich aus dem Kauf noch keine Information zu dem früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person.

Gerne bemühe ich in dieser Diskussion auch oft die Ansicht des OVG Saarlouis (Urteil vom 14.12.2017 – 2 A 662/17). Dort ging es um die Videoüberwachung einer Apotheke und die Frage, ob allein durch Aufnahme der Personen, die die Apotheke betreten, Gesundheitsdaten verarbeitet werden. Dies lehnte das OVG ab.

Bereits das Aufsuchen einer Apotheke, in der heutzutage außer Medikamenten auch ein breites Sortiment an Kosmetika und sonstigen „Wellness“- oder Convenient-Produkten angeboten wird, stellt aber kein Indiz für das Vorliegen einer Erkrankung dar und bewirkt daher keine Bloßstellung.

Übertragen auf den hiesigen Fall könnte man also argumentieren, dass allein der Kauf eines Medikaments noch kein Indiz für das Vorliegen einer Erkrankung darstelle.

Ebenfalls nicht zu folgen ist der Argumentation das OLG, dass es sich hier nicht um Gesundheitsdaten im engeren Sinne, wohl aber im weiteren Sinne handeln soll. Eine solche Differenzierung kennt die DSGVO nicht.

Geht man vom Vorliegen von Gesundheitsdaten aus, hat dies weitreichende Konsequenzen für die Frage der Zulässigkeit der Verarbeitung dieser Daten, wie sich in der darauffolgenden Prüfung des OLG zeigt.

Verstoß gegen Art. 9 Abs. 1 DSGVO

Das OLG prüft nun konsequenterweise, ob der Beklagte die Gesundheitsdaten rechtmäßig verarbeitet hat.

In einem kleinen einleitenden Teil stellt das OLG fest:

Die Datenverarbeitung durch die Plattform Amazon Marketplace ist keine Auftragsdatenverarbeitung für den Beklagten im Sinne der DSGVO.

In dem hiesigen Verfahren ging es aber nicht um die Datenverarbeitung durch Amazon, sondern um jene des Apothekers. Nach Ansicht des OLG fehlt eine wirksame Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO.

Hier zeigt sich die Folge der Einordnung der Bestelldaten bzw. Kaufdaten eines Kunden als Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO. In diesem Fall muss zwingend eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegen. Das Gericht stellt fest, dass lit. a eine „ausdrückliche Einwilligung“ vorsieht, die hier nicht vorliegt.

Hinsichtlich der Form der Einwilligung verweist das OLG dann auch noch zusätzlich auf die Verpflichtung des Apothekers zur Einholung einer schriftlichen Einwilligung. Diese ergebe sich berufsrechtlich aus § 15 Abs. 2 der Berufsordnung der Apothekenkammer Sachsen-Anhalt.

Die Speicherung und Nutzung patientenbezogener Daten bedarf der vorherigen schriftlichen Einwilligung des Betroffenen, sofern sie nicht nach dem Bundesdatenschutzgesetz und anderen Ermächtigungsgrundlagen zulässig sind oder von gesetzlichen Bestimmungen gefordert werden.

Sollte man hieraus wirklich ein Schriftformerfordernis der datenschutzrechtlichen Einwilligung ableiten, wäre diese nationale Vorgabe meines Erachtens europarechtswidrig. Denn die DSGVO kennt, auch für eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, kein Formerfordernis.

Irritierender Weise geht das OLG in seiner Prüfung allein auf die Ausnahme nach Art. 9 Abs. 2 lit. a DSGVO, die Einwilligung, ein. Nach Art. 9 Abs. 2 lit. h DSGVO dürfen Gesundheitsdaten ohne Einwilligung verarbeitet werden, wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist. Gerade die Arbeit der Apotheker wird unter die Alternative der „Versorgung oder Behandlung im Gesundheitsbereich“ fallen. Grundlage der Verarbeitung ist dann entweder nationales Recht (ins. § 22 Abs. 1 Nr. 1 lit. b BDSG) oder ein Vertrag zwischen Betroffenem und dem Angehörigen eines Gesundheitsberufs. Hierzu zählen auch die Apotheker. Meines Erachtens bedurfte es hier also gar keine Einwilligung für die Verarbeitung der Gesundheitsdaten (so man denn von ihrem Vorliegen ausgeht). Leider befasst sich das OLG in seinem Urteil nicht mit diesen weiteren Alternativen in Art. 9 Abs. 2 DSGVO.

Ging man davon aus, dass hier nur eine Einwilligung als Ausnahme eingreifen würde, wäre praktische Probleme vorprogrammiert. Was geschieht etwas bei einem Widerruf der Einwilligung? Dürfen Daten aus dem Vertragsverhältnis dann nicht mehr verarbeitet werden?

Kein Schadensersatzanspruch

Zuletzt schließt das OLG dann aber zumindest noch das Vorliegen eines möglichen Schadensersatzanspruches nach § 9 UWG und eines vorbereitenden Auskunftsanspruches aus. Beide setzen ein Verschulden voraus. Das OLG geht hier jedoch, aufgrund der umstrittenen Rechtslage davon aus, dass ein unvermeidbarer Verbotsirrtum anzunehmen ist.

Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigt der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.

AG Mannheim: Gemeinsame Verantwortlichkeit von Wohnungseigentümern und Verwalter – Anforderungen an die Art. 26-Vereinbarung

Auf europäischer Ebene nimmt die Figur der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) durch die Rechtsprechung des Europäischen Gerichtshofs aktuell eine wichtige Rolle ein. Nationale Gerichtsentscheidungen hierzu sind jedoch noch Mangelware. Umso interessanter ist daher ein neues Urteil des Amtsgerichts Mannheim (Urt. v. 11.09.2019 – 5 C 1733/19 WEG).

Das AG geht in seinem recht ausführlichen Urteil sowohl auf die Einordnung von an einer Datenverarbeitung beteiligten Parteien ein, als auch auf die Inhalte der Vereinbarung nach Art. 26 DGSVO.

Sachverhalt

Dem Klageverfahren lag ein Streit zwischen Wohnungseigentümern über Beschlüsse der Wohnungseigentümergemeinschaft (WEG) zugrunde, die sich inhaltlich mit der Umsetzung der DSGVO in der WEG befassten. Die Parteien streiten um die Gültigkeit verschiedener Beschlüsse zur Umsetzung der DSGVO aus einer Eigentümerversammlung.

Die WEG wird von einer Immobilienverwaltung (Beigeladene in dem Verfahren) verwaltet. In einer Eigentümerversammlung haben die Eigentümer verschiedene Beschlüsse zur Umsetzung der DGSVO gefasst. U.a. heißt es im Vorwort eines Beschlusses: „Verantwortlicher für alle datenschutzrechtlichen Belange der WEG im Sinne der Datenschutzgrundverordnung ist die Wohnungseigentümergemeinschaft“. Und in einem anderen: „Die Weitergabe von personenbezogenen Informationen durch die Wohnungseigentümergemeinschaft an Dritte (Verwalter, Abrechnungsunternehmen, Handwerker usw.) zum Zwecke der auftragsgemäßen Verarbeitung darf nach Art. 28 DSGVO nur auf der Grundlage Auftragsverarbeitungsvertrages erfolgen.

Die Kläger ordnen die datenschutzrechtlichen Verantwortlichkeiten anders als in den Beschlüssen dargestellt ein. Nur der beauftragte Verwalter erhebe und verwalte im Rahmen seines Verwaltervertrages personenbezogene Daten und sei daher für die Datenverarbeitung innerhalb seines Geschäftsbetriebes (Allein-)Verantwortlicher.

Die Beklagten sind der Ansicht, dass der Verwalter für die Verarbeitung von Daten der Wohnungseigentümergemeinschaft Auftragsverarbeiter, bzw. allenfalls nur gemeinsam mit der Wohnungseigentümergemeinschaft verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO sei, je nach Einordnung der datenschutzrechtlichen Stellung eines Wohnungseigentumsverwalters.

Im Grunde geht es vorliegend also um die Einordnung der datenschutzrechtlichen Verantwortlichkeiten.

Entscheidung

Das AG wies die Klage als unbegründet ab.

Nach Ansicht des Gerichts richtet sich die datenschutzrechtliche Vereinbarung wie streitgegenständlich, nach Maßgabe der DSGVO nach Art. 26 DSGVO,

denn zur Überzeugung des Gerichts ist der Verwalter Mitverantwortlicher im Sinne des Art. 26 DSGVO“.

Das AG leitet seine Begründung zunächst aus den Definitionen der DSGVO und der Rechtsprechung des EuGH her.

Gemeinsame Verantwortlichkeit

Zurecht weist das AG darauf hin, dass es für die Bestimmung der Verantwortlichkeit allein maßgeblich ist, wer die Entscheidungskompetenz innehat, über den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu entscheiden.

Leider wird das AG danach in seiner Begründung, wo genau die gemeinsame Verantwortlichkeit liegt, meines Erachtens etwas ungenau. Zuletzt hatte ja der EuGH in FashionID (C-40/17) deutlich gemacht, dass eine gemeinsame Verantwortlichkeit anhand einzelner Verarbeitungsphasen zu bestimmen ist (dort: Erhebung und Übermittlung). Eine gemeinsame Verantwortlichkeit für einen Geschäftsvorgang oö, kann es sicher geben. Jedoch wäre auch dies anhand der innerhalb dieses Vorgangs stattfindenden Verarbeitungsphasen zu bestimmen.

Das AG setzt sich vorliegend jedoch nicht mit einzelnen Verarbeitungsphasen und den Einflussmöglichkeiten der Beteiligten hierauf auseinander.

Nach Ansicht des AG entscheidet die WEG mit der Bestellung eines Verwalters über das „Wie“ und „Warum“ der Datenverarbeitung. Der Verwalter bestimme dann in der Folge über das „Wie“ und das „Warum“ der Erhebung und Verarbeitung. Im Rahmen der WEG-Verwaltung erhebe und verarbeite er sodann Daten der WEG, wie etwa Namen und Anschriften der Eigentümer, im Rahmen der Verbrauchserfassung und Abrechnung eventuell auch Daten von Mieter und Nutzer von Wohnraum, Daten von Dienstleistern der WEG wie beispielsweise Handwerker.

Für die Verwaltung des gemeinschaftlichen Eigentums sind, wenn ein Verwalter bestellt ist, die Wohnungseigentümer sowie die Verwaltung oder ein Verwaltungsbeirat verantwortlich, sodass zumindest eine Alleinverantwortlichkeit des Verwalters, auch im Lichter europäischen Rechtsprechung … nicht besteht“.

Dass nach Außen nur der Verwalter agiert, ändert an der Einschätzung des AG zur gemeinsamen Verantwortlichkeit nichts. Das AG verweist hierzu ebenfalls auf die Rechtsprechung des EuGH und den Schutz der Betroffenenrechte:

Die Betroffenen sollen im Außenverhältnis gegenüber allen einen Anspruch haben, die für Datenerhebung und Verarbeitung personenbezogener Daten verantwortlich sind, wenn ihr Handeln über das eines Auftragsverarbeiters, also ihr Handeln über eine bloße Hilfsfunktion bei der Erhebung und Verarbeitung personenbezogener Daten hinausgeht“.

Nach Ansicht des AG geht die Tätigkeit des Verwalters über diese Hilfsfunktionen hinaus, wenn im Rahmen der laufenden Verwaltung für die WEG personenbezogene Daten der WEG verwaltet werden. Da die Wohnungseigentümergemeinschaft die Datenerhebung veranlasst habe, durch Bestellung des WEG-Verwalters, sei deshalb – zum Schutze der Betroffenen – auch nach der weiten Auslegung des EuGH – von einer Mitverantwortlichkeit des Verwalters i.S.d. Art. 26 DSGVO auszugehen.

Abgrenzung zur Auftragsverarbeitung

Danach geht das AG kurz auf die Abgrenzung zur Auftragsverarbeitung ein. Es sei sachfremd und in der Praxis kaum vorstellbar, dass der Verwalter im Rahmen seiner Pflichten gem. § 27 WEG sowie den vertraglich festgelegten Pflichten des Verwalters für jede Maßnahme die Weisung seines Auftragsgebers einholt. Nach Ansicht des AG darf es sich bei der Auftragsverarbeitung nur um eine datenverarbeitende Hilfsfunktion handeln. Das bedeute, dass keine Leistungen erbracht werden dürfen, die über die bloße Datenverarbeitung hinausgehen.

Das AG fokussiert sich bei der Definition des Begriff der Auftragsverarbeitung also sehr stark auf den Inhalt der beauftragten Leistung. Eine ähnliche Sichtweise nimmt auch das BayLDA in seiner Auslegungshilfe zur Auftragsverarbeitung ein (pdf).

Die Leistungen, welche der Verwalter im Rahmen seiner Verwalterbestellung erbringe, gehen nach Ansicht des AG regelmäßig hinaus über die bloße Datenverarbeitung im Rahmen einer datenverarbeitenden Hilfsfunktion.

Rechtfolge der gemeinsamen Verantwortlichkeit

Nach der Feststellung des Vorliegens einer gemeinsamen Verantwortlichkeit, befasst sich das AG mit der abzuschließenden Vereinbarung.

Begrüßenswert ist, dass das AG damit seine Sichtweise deutlich macht, dass die Vereinbarung nicht Voraussetzung der gemeinsamen Verantwortlichkeit ist, sondern die Folge ihres Vorliegens.

Beide Verantwortliche müssen in einer transparenten Vereinbarung festlegen, wer von ihnen in welchem Maß den Pflichtenkreis der DSGVO zum Schutz der Betroffenen abdeckt. Dabei geht das AG zurecht davon aus, dass für die Vereinbarung keine bestimmte Form vorgesehen ist.

Jedoch verdeutlicht das AG, dass entsprechend Art. 5 Abs. 2 DSGVO der Nachweis bzgl. des Vorliegens einer der Vereinbarung sowie der vereinbarten Inhalte geführt werden können muss.

Inhalt der Vereinbarung

Nach Auffassung des AG macht eine Mitverantwortlichkeit des Verwalters ein Regelwerk zwischen der WEG und dem Verwalter nach den gesetzlichen Bestimmungen der DSGVO erforderlich.

Dabei muss Regelungsinhalt sein, wer von beiden welche Verpflichtungen gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt“.

Interessant ist zudem der Hinweis des AG, dass die Vereinbarung auch Vorgaben zur Haftung zwischen den Beteiligten im Innenverhältnis enthalten sollte. Dies begründet das AG mit Verweis auf die Bußgeldandrohungen nach Art. 83 DSGVO.

Im Interesse des Verwalters und der WEG müssen daher auch haftungsrechtliche Fragen im Innenverhältnis zwischen WEG und dem Verwalter geklärt werden, denn im Außenverhältnis haften alle Mitverantwortlichen den betroffenen Personen zu gleichen Teilen nach Art. 26 DSGVO“.

Leider lässt das AG den letzten Punkt, die Haftung nach außen zu gleichen Teilen, ohne nähere Begründung. Hier wäre interessant gewesen, woraus da Gericht diese ableitet und warum die Haftung immer zu gleichen Teilen erfolgen soll.

Idee: in einem Vertrag zur Auftragsverarbeitung

Zudem geht das AG noch auf ein interessantes Thema ein.

Nach Ansicht des Gerichts ist es

unschädlich und den gemeinsamen Verantwortlichen auch nicht verwehrt, eine solche Vereinbarung, wie sie Art. 26 DSGVO verlangt, auch im Rahmen eines „Auftragsverarbeitungsvertrags“, der darüber hinaus auch die Anfordernisse des Art. 28 DSGVO erfüllt, auszugestalten“.

Das AG geht also davon aus, dass die Vereinbarung nach Art. 26 DSGVO gleichzeitig auch einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO enthalten kann.

Inhalt einer Vereinbarung nach Art. 26 DSGVO kann es jedenfalls durchaus sein, eine Vereinbarung mit identischem Inhalt wie in Art. 28 DSGVO für den Auftragsbearbeitungsvertrag vorgesehen, zu treffen“.

Dies verwundert insofern, als das AG weiter oben eigentlich von einer gemeinsamen Verantwortlichkeit ausgeht und ein Auftragsverarbeitungsverhältnis gerade ablehnt.

Sondervergütung für DSGVO-relevante Tätigkeiten des Verwalters

Zuletzt befasst sich das AG noch mit der Frage, ob der Verwalter für die (neuen) Pflichten als gemeinsam Verantwortlicher zusätzlich eine Vergütung verlangen darf. Das AG sieht hierein keine Probleme.

„…verlangt die Datenschutzgrundverordnung, in Ansehung dessen, dass der Verwalter als Mitverantwortlicher i.S.v. Art. 26 DSGVO anzusehen ist, von den Immobilienverwaltungen zusätzlichen Aufwand, der mit dem Grundhonorar so wie im Verwaltervertrag festgelegt, nicht abgedeckt ist“.

Die Höhe der Vergütung sieht das AG als angemessen an. Sie wurde hier als Pauschale beschlossen. Der Verwalter verlangt einen Betrag in Höhe von 214 EUR bzw. 178,50 EUR brutto jährlich, d.h. pro Einheit einen Betrag in Höhe von 16,22 EUR jährlich. Nach Einschätzung des AG ist dies angemessen.

Es ist mitunter auch gerichtsbekannt, dass allein datenschutzrechtliche Beratung auf der Basis eines Stundensatzes von bis zu 500,00 € netto von ausgewiesenen Fachleuten erfolgt“.

Fazit

Das Urteil des AG ist deshalb so interessant, weil es (so scheint es) das erste Urteil in Deutschland ist, welches sich detailliert mit den Vorgaben nach Art. 26 DSGVO und deren Umsetzung auseinandersetzt. Meines Erachtens ist die Begründung des AG nicht an jeder Stelle voll überzeugend. Dennoch liegt hiermit zumindest einmal Rechtsprechung in diesem gerichtlich noch kaum „beackerten“ Bereich vor.

Oberverwaltungsgericht NRW: Entlassung eines Beamten auf Probe wegen Datenschutzverstößen

Das Oberverwaltungsgericht NRW (Beschl. v. 19.09.2019, 6 B 539/19) hat die Beschwerde eines ehemaligen Polizeikommissars gegen die Ablehnung der Wiederherstellung der aufschiebenden Wirkung seiner Klage gegen seine Entlassung aus dem Beamtenverhältnis auf Probe wegen Zweifeln an seiner charakterlichen Eignung zurückgewiesen. Der Polizeikommissar habe Datenschutzverstöße begangen (hier: Datenbankabfragen ohne dienstlichen Bezug), dadurch in einer Vielzahl von Fällen in Rechte Dritter eingegriffen und hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert.

Sachverhalt

Der ehemalige Polizeikommissar hat, in seiner Zeit als Beamter auf Probe, in einer Vielzahl von Fällen nicht dienstlich veranlasste Datenabfragen über andere Personen durchgeführt. Bei insgesamt festgestellten 3.950 getätigten Datenabfragen wurden in 2.119 Fällen keine direkten Hinweise für einen dienstlichen Anlass angenommen. Das OVG geht in seiner Begründung sogar „nur“ von – wie der Betroffene selbst vorgetragen hat – insgesamt etwa 50 „privat motivierten“ Datenabfragen aus.

Es stehe fest, dass er in einer Vielzahl von Fällen nicht dienstlich veranlasste Abfragen mit Hilfe der ihm zur Verfügung stehenden Datensysteme durchgeführt habe, die unterschiedliche Personen betroffen hätten. Hierzu hätten etwa Familienangehörige (Vater, Mutter, Ehefrau, Schwager usw.), andere Personen aus seinem privaten Umfeld (bspw. Facebook-Freunde, sonstige Bekannte) sowie Kollegen gezählt.

Begründung

Das OVG verweist darauf, dass zu den Verhaltensgeboten von Beamten die sich aus § 34 Satz 3 BeamtStG ergebende Pflicht gehört, sein Verhalten innerhalb und außerhalb des Dienstes so auszurichten, dass es der Achtung und dem Vertrauen gerecht wird, die sein Beruf erfordern.

Hierzu gehört insbesondere die Pflicht, sich gesetzestreu zu verhalten und damit unter anderem den Datenschutz betreffende gesetzliche Vorgaben zu beachten“.

Durch die Durchführung nicht dienstlich veranlasste Datenabfragen über andere Personen in einer Vielzahl von Fällen habe für den Dienstherren ein berechtigter Anlass bestanden, die charakterliche Eignung des Antragstellers ernsthaft anzuzweifeln.

Nach § 23 Abs. 3 Satz 1 Nr. 2 BeamtStG können Beamte auf Probe entlassen werden, wenn sie sich in der Probezeit nicht bewährt haben. Der Entlassungstatbestand steht im Zusammenhang mit § 10 Satz 1 BeamtStG, wonach die Ernennung zum Beamten auf Lebenszeit nur zulässig ist, wenn der Beamte sich in der Probezeit bewährt hat.

Nach Auffassung des Gerichts stellen selbst die etwa 50 (zugestandenen) „privat motivierten“ Datenabfragen eine hinreichende Tatsachengrundlage für die Annahme ernstlicher Zweifel an der charakterlichen Eignung des Antragstellers für das Amt des Polizeikommissars dar.

Das OVG verweist für seine Begründung auch auf § 41 DSG NRW (Datengeheimnis). Danach ist es denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren. Das OVG stellt fest, dass der ehemalige Polizeikommissar zumindest in 50 Fällen jeweils eine zweckwidrige Datenverarbeitung vorgenommen habe. Er habe damit in einer Vielzahl von Fällen in Rechte Dritter eingegriffen.

“Dass hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert ist, drängt sich auf”.

Hieran ändere auch der Umstand nichts, dass es nicht zur unbefugten Weitergabe der abgefragten Daten gekommen ist.

Die Europäisierung des Datenschutzrechts – ein alternativer Kommentar zu dem Planet49-Urteil des EuGH

Nach dem EuGH-Urteil in der Sache Planet49 (C?673/17), haben viele Kolleginnen und Kollegen lesenswerte Besprechungen der Entscheidung veröffentlicht. Z.B. Simon Assion, Stephan Hansen-Oest, Thomas Schwenke oder Nina Diercks.

In diesem Beitrag möchte ich mich mit ein paar „Randthemen“ des Urteils befassen, die jedoch meiner Ansicht nach nicht minder relevant sind. Es soll hier also nicht um die konkreten Anforderungen einer Einwilligung gehen, sondern um Aussagen des EuGH, die das Gericht daneben getroffen hat, die für die Praxis im Datenschutzrecht aber meines Erachtens über den Themenkomplex „Cookies und Einwilligung“ Relevanz haben.

Findet bei dem Einsatz von Cookies immer auch eine Verarbeitung personenbezogener Daten statt?

Der EuGH geht in seiner Prüfung, aufgrund der durch den BGH vorgegebenen und auch durch Planet49 bestätigten Sachverhaltsangaben davon aus, dass in dem zu beurteilenden Fall personenbezogene Daten verarbeitet wurden (Rz. 45 und 67). Dieser Personenbezug wird über eine Zuordnung von Registrierungsdaten der Nutzer (Name und Adresse im Teilnahmeformular) zu der Nummer des Cookies hergestellt (Rz. 45).

Für die Frage der Anwendbarkeit des Art. 5 Abs. 3 RL 2002/58 ist die Unterscheidung, ob personenbezogene Daten verarbeitet werden oder nicht, irrelevant (vgl. Rz. 70).

Aus der reinen „Datenschutz-Brille“ betrachtet, sind die Erwägungen des EuGH aber durchaus interessant. Denn insbesondere die Begründung in Rz. 45, warum in den Cookies auch personenbezogene Daten verarbeitet werden, lässt argumentativen Spielraum für Konstellationen, in denen durch Cookies keine personenbezogenen Daten verarbeitet bzw. den Cookies keine personenbezogenen Daten zugeordnet werden. Man stelle sich eine Situation vor, in der „nur“ ein Cookie gesetzt wird und in diesem Cookie statistische Daten gespeichert werden (z.B. Browserversion, Herkunftsland, Bildschirmauflösung o.ä.). Ob auch in diesem Fall per se ein Personenbezug vorliegen würde, hat der EuGH nicht entschieden (da er es auch nicht entscheiden musste). Oder anders ausgedrückt: nicht jeder Einsatz von Cookies ist gleichbedeutend mit der Verarbeitung personenbezogener Daten.

Die Erwägungen des EuGH lassen sich meines Erachtens durchaus so verstehen, dass im Fall des Setzens eines Cookie auf dem Gerät eines Nutzers, dies noch nicht zwangsläufig bedeutet, dass damit auch personenbezogene Daten im Spiel sind und die DSGVO Anwendung findet.

Warum ist dies relevant? Meines Erachtens insbesondere mit Blick auf die vielen Folgepflichten, die sich aus der DSGVO ergeben würden. Man denke etwa an die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO oder die Pflicht, Verarbeitungen in ein Verzeichnis der Verarbeitungstätigkeiten aufzunehmen oder auch die Betroffenenrechte. Ist die DSGVO nicht anwendbar, würde auch kein Auskunftsanspruch nach Art. 15 DSGVO bestehen. Dies ist am Ende natürlich nur folgerichtig, denn wenn keine personenbezogenen Daten verarbeitet werden, kann ein Unternehmen auch keine Person identifizieren und dieser Person Auskunft zu ihren Daten erteilen.

Zur Auslegung und Anwendung europäischen (Datenschutz)Rechts

Bevor der EuGH in seinem Urteil in die Prüfung der einzelnen Merkmale einer Einwilligung einsteigt, legt er den Rahmen und die Methoden dar, innerhalb dessen und wie die europäischen Vorgaben auszulegen sind. Die Ausführungen des EuGH in den Rz. 47 und 48 haben daher ganz generelle Bedeutung für die Anwendung der RL 2002/58 und auch der DSGVO. Gerade in der deutschen Literatur und Diskussion findet man häufig sehr national geprägte Interpretation des europäischen Rechts.

Der EuGH macht zunächst deutlich, dass „Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen“. Das Gericht begründet dies mit den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes.

Dies bedeutet für die Datenschutzpraxis, dass Begriffe der DSGVO gerade nicht aus einem rein nationalen Blickwinkel betrachtet und ausgelegt werden dürfen. Diese müssen, nach dem EuGH, vielmehr in der gesamten Union eine autonome und einheitliche Auslegung erhalten.

Plastische Bespiele für solche Begriffe finden sich in der DSGVO an vielen Stellen. Hier ein paar Beispiele:

Art. 12 Abs. 1 DSGVO: „Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“. Was „schriftlich“ oder „elektronisch“ bedeutet, kann daher nicht allein mit Blick auf nationales Recht beantwortet werden. Ein Verweis, etwa auf Vorgaben des BGB, wäre mithin verfehlt.

Art. 32 Abs. 1 DSGVO: „Unter Berücksichtigung des Stands der Technik, …“. Man ist sicherlich geneigt, den „Stand der Technik“ in Deutschland im Sinne der Interpretation dieses Begriffs z.B. durch die deutsche Rechtsprechung zu verstehen. Auch hier ist jedoch Vorsicht geboten. Der „Stand der Technik“ im Sinne der DSGVO muss nicht gleichbedeutend mit dem Verständnis des BVerfG (BVerfG, Beschl. v. 08.08.1978 – 2 BvL 8/77, Kalkar I) sein. Nach den Vorgaben des EuGH in dem aktuellen Urteil, wäre dieser nationale Blick in jedem Fall zu eng.

Art. 33 Abs. 2 DSGVO: „Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich“. Die Frage, was „unverzüglich“ bedeutet (vgl. auch Art. 34 Abs. 1 DSGVO), kann daher ebenfalls nicht allein aus Sicht des deutschen Zivilrechts und der zu diesem Begriff ergangenen Rechtsprechung beantwortet werden.

Zudem verweist der EuGH in Rz. 48 darauf, welche verschiedenen Auslegungsmethoden bei der Anwendung europäischen Rechts zu berücksichtigen sind.

Bei der Auslegung einer Vorschrift des Unionsrechts sind:

  • der Wortlaut,
  • die mit ihr verfolgten Ziele,
  • ihr Kontext und
  • das gesamte Unionsrecht zu berücksichtigen.

Daneben kann auch die Entstehungsgeschichte einer Vorschrift relevante Anhaltspunkte für ihre Auslegung liefern. Oder um es anders zu formulieren: die Vorschriften der DSGVO und ihr Verständnis sind aus mehreren Blickwinkeln zu betrachten.

Keine Entscheidung zur Zulässigkeit der Kopplung einer Einwilligung

Zuletzt sei noch darauf hingewiesen, dass der EuGH in seinem Urteil alle Tatbestandsmerkmale der datenschutzrechtlichen Einwilligung auslegt. Bis auf eines: die Freiwilligkeit.

Art. 4 Nr. 11 DSGVO definiert die Einwilligung u.a. als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“. Der EuGH musste hierzu auch nichts sagen, da der BGH ihn nicht danach gefragt hatte. In Rz. 64 des Urteils stellt der EuGH ausdrücklich heraus, dass er sich nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO) erteilten Einwilligung vereinbar ist, „wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt“.

Die angesprochene Situation ist jene, die das sog. „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO avisiert. Auf die entsprechende Vorschrift verweist der EuGH sogar. Ob oder wann es jedoch europarechtlich unter der DSGVO (un)zulässig ist, die Teilnahme an einem Gewinnspiel davon abhängig zu machen, dass man in die werbliche Nutzung seiner Daten einwilligt, hat der EuGH nicht entschieden. Die Antwort auf diese Frage (nicht nur speziell in Bezug auf Gewinnspiele), dürfte also zunächst weiter national umstritten bleiben.

Bayerisches Landesamt für Datenschutzaufsicht zu Facebook Custom Audience: Einwilligung nicht zwingend erforderlich?

Das Bayerische Landesamt für Datenschutzaufsicht hat am 30.08.2019 eine Pressemitteilung (pdf) zur aktuellen Prüfung der Website des Blutspendedienstes des Bayerischen Roten Kreuzes. Anlass der Prüfung war der Einsatz von Tracking-Tools auf der Website des Blutspendedientes.

Dass diese Prüfung stattfindet, wurde bereits letzte Woche bekannt. Daher ist die Mitteilung meines Erachtens auch nicht überraschend.

Interessant sind jedoch meines Erachtens zwei Aussagen des BayLDA bzw. seines Präsidenten zum Einsatz von Tracking-Tools und den datenschutzrechtlichen Anforderungen.

Zum einen wird in der der Pressemitteilung zu den datenschutzrechtlichen Pflichten von Webseiten-Betreibern ausgeführt:

Der Website-Betreiber muss auch sicherstellen, dass er die Tracking-Tools rechtmäßig einbindet, d. h. dass eine Rechtsgrundlage die Einbindung erlaubt oder der Nutzer vorab seine Einwilligung erklärt hat.

Interessant hierbei ist, dass das BayLDA ausdrücklich alternativ neben der Einwilligung auch andere Rechtsgrundlagen (also etwa eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO) als möglichen Erlaubnistatbestand für eine Datenverarbeitung anspricht. Die Behörde geht anscheinend nicht davon aus, dass werbliche Tracking-Tools (wie in dieser Prüfung wohl Facebook Custom Audience) nur mit Einwilligung der Besucher genutzt werden können.

Diese Aussage bedeutet wohl nicht, dass der Einsatz werblicher Tracking-Tools per se auch auf der Grundlage einer Interessenabwägung zulässig wäre. Jedoch lassen die Ausführungen des BayLDA erkennen, dass man sich nicht vorab allein auf die Einwilligung der Betroffenen als einzig mögliche Rechtsgrundlage festlegen möchte. Zudem ist noch zu bemerken, dass das BayLDA ganz allgemein auf „eine Rechtsgrundlage“ verweist, also auch nicht allein nur auf die Interessenabwägung.

Zudem wird Herr Kranig, der Präsident des BayLDA wie folgt zitiert:

Was vielen nicht klar ist: nicht der Website-Betreiber, der ein Tracking-Tool auf der Website einbindet, übermittelt Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtsdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht.

Diese Aussage ist insbesondere vor dem Hintergrund des aktuellen EuGH-Urteils in Sachen Like-Button (FashionID, Urt. v. 29. Juli 2019, C-40/17) interessant. Dort hatte der EuGH ausgeführt, dass „der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten dieses Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden“ kann. Das BayLDA geht also wohl davon aus, dass der Webseiten-Betreiber selbst nicht die Übermittlung durchführt. Jedoch wird für die Verantwortlichkeit des Betreibers, anders als im Urteil des EuGH, auch gar nicht auf die Übermittlung (hier stellt sich die Frage, von wem? Dem Besucher selbst? Seinem Browser / dem Browser-Hersteller?) abgestellt, sondern allein auf die Ermöglichung der Erhebung von Daten der Besucher durch den Anbieter des Tools.

Zum Schluss fügt Herr Kranig einen, meines Erachtens zutreffenden und bei vielen Unternehmen immer noch nicht ausreichend gewürdigten Hinweis an:

Dieser Fall zeigt, dass nicht nur die Aufsichtsbehörden Websites prüfen, sondern im Prinzip jedermann mit wenig Aufwand über den Browser testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde melden, ist bei Websites besonders hoch.

Bundesarbeitsgericht zur Rolle des Betriebsrates unter der DSGVO – so oder so: das Datenschutzrecht ist zu beachten.

Die Frage, wie der Betriebsrat unter der DSGVO einzuordnen ist (als eigener Verantwortlicher oder Teil des verantwortlichen Arbeitgebers), bleibt auch weiterhin höchstrichterlich ungeklärt (vgl. hierzu bereits einmal im Blog).

Das Bundesarbeitsgericht (BAG) hätte sich zu dieser Frage in einem Beschluss vom 7.5.2019 (1 ABR 53/17) äußern können. Das Gericht lies diese Frage jedoch ganz bewusst offen. Die Entscheidung des BAG ist aus der Sicht des Beschäftigtendatenschutzes aber natürlich dennoch relevant. Zudem lassen sich aus der Begründung des BAG auch weitere Schlüsse, über den Beschäftigtendatenschutz hinaus, ziehen.

Sachverhalt

Wie so oft bei Fällen des Beschäftigtendatenschutzes unter Beteiligung des Betriebsrates, ging es auch hier um das Einblicksrecht des Betriebsausschusses in Bruttoentgeltlisten.

Die Arbeitgeberin betreibt eine Klinik. Der in der Klinik errichtete Betriebsrat hat einen Betriebsausschuss gebildet. Seit einiger Zeit führte die Arbeitgeberin die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Die Listen enthalten die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu beständigen und unbeständigen Bezügen. Die Arbeitgeberin gewährte Betriebsratsmitgliedern nur Einsicht in eine anonymisierte Fassung dieser Listen.

Der Betriebsrat hat geltend gemacht, dem Betriebsausschuss sei Einblick in die Bruttoentgeltlisten mit den Klarnamen der Arbeitnehmer zu gewähren. Nur so ließe sich feststellen, nach welchen Grundsätzen die Arbeitgeberin – insbesondere nach der Kündigung des einschlägigen Tarifvertrags – Sonderzahlungen oder Lohnerhöhungen gewähre.

Entscheidung

Ein wichtiger Bestandteil der Entscheidung betraf natürlich das Betriebsverfassungsrecht und konkret den Anspruch des Betriebsausschusses, Einsicht in die Listen zu nehmen. Das BAG entschied, dass die Arbeitgeberin nach § 80 Abs. 2 S. 2 Halbs. 2 BetrVG verpflichtet ist, dem Betriebsausschuss Einblick in die nicht anonymisierten Bruttoentgeltlisten zu gewähren. Datenschutz- und grundrechtliche Belange stünden dem Anspruch nicht entgegen.

Mit Blick auf das Datenschutzrecht stellt das BAG fest, dass die streitbefangene Einsichtnahme zwar auf eine Verarbeitung personenbezogener Daten gerichtet sei. Diese ist aber zulässig.

Und hier begründet das BAG nun seine Entscheidung, ohne den Streit zu entscheiden, ob der Betriebsrat (bzw. sein Ausschuss) eigener Verantwortlicher (Dritter) ist. Das Gericht baut seine Prüfung hierzu wie folgt auf.

In den Listen sind Namen der Arbeitnehmer enthalten. Damit liegen personenbezogene Daten vor.

In der Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss liegt eine „Verarbeitung“ dieser Daten.

Das BAG verweist richtigerweise auf die Begriffsdefinitionen des DSGVO. Nach Art. 4 Nr. 2 DSGVO ist eine „Verarbeitung“ ua. jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“,

also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Art. 4 Nr. 9 DSGVO folge – kein Dritter sein muss.

Betriebsrat ist auf jeden Fall „Empfänger“

Im Grunde befasst sich das BAG hier mit der zu Beginn der Anwendbarkeit (und zum Teil auch noch jetzt) diskutierten Frage, ob denn nicht die Weitergabe von Daten an einen Auftragsverarbeiter, der auch nur „Empfänger“ ist, eine Verarbeitung darstellt, für die eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen muss. Hierzu hatte ich damals bereits im Blog geschrieben.

Genau diese Ansicht vertritt das BAG, jedoch natürlich nicht in Bezug auf einen Auftragsverarbeiter, sondern in Bezug auf den Betriebsrat als „Empfänger“ (Art. 4 Nr. 9 DSGVO). Das BAG geht davon aus, dass Offenlegung der Daten an den Betriebsrat eine Datenverarbeitung darstellt, unabhängig (!) davon, ob dieser nun „Dritter“ oder „Empfänger“ im Sinne der DSGVO ist. Hierzu verweist das BAG auch auf das alte BDSG, welches eine rechtfertigungsbedürftige Übermittlung nur bei einer Weitergabe an einen Dritten annahm.

Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter iSv. Art. 4 Nr. 10 DSGVO ist.

Und mit dieser Begründung muss das BAG in der konkreten Frage der Offenlegung von Daten auch nicht mehr entscheiden, ob der Betriebsrat „Dritter“ ist. Denn für das Vorliegen einer erlaubnispflichten Übermittlung ist dies egal.

Entscheidungsrelevant kann diese Frage natürlich in Zukunft dann werden, wenn es nicht allein um die Weitergabe von Daten geht, sondern um weitere DSGVO-Pflichten des Betriebsrates. Zum Beispiel, ob er selbst ein Verzeichnis der Verarbeitungstätigkeiten führen muss oder einen eigenen Datenschutzbeauftragten zu bestellen hat. Dann müsste entschieden werden, ob der Betriebsrat eigener Verantwortlicher ist.

Für den Betriebsrat gilt die DSGVO

Im weiteren Verlauf des Beschlusses geht des BAG dann noch einmal auf die umstrittene Frage der Einordnung des Betriebsrates ein.

Im Rahmen der Prüfung der Erforderlichkeit nach § 26 Abs. 1 BDSG befasst sich das BAG noch mit dem, nicht mehr ausdrücklich geregelten „Datengeheimnis“. Völlig zurecht stellt das BAG zunächst klar, dass § 53 BDSG hier natürlich nicht einschlägig ist (ich kann gar nicht sagen, wie oft ich diese Norm als Grundlage des Datengeheimnisses schon in reinen privatwirtschaftlichen Konstellationen genannt bekommen habe).

Diese Norm ist Bestandteil des Dritten Teils des BDSG. Sie beruht auf der Datenschutzrichtlinie für Polizei und Justiz – Richtlinie (EU) 2016/680 – und gilt ausschließlich, wenn der Anwendungsbereich gemäß § 45 BDSG eröffnet ist.

Dies ist hier nicht der Fall.

Danach kommt aber eine wichtige Feststellung des BAG. Denn nur, weil das Datengeheimnis so explizit nicht mehr geregelt ist, heißt dies nicht, dass es datenschutzrechtliche schwarze Löcher in Unternehmen geben darf.

Der Betriebsrat hat seinerseits bei einer Datenverarbeitung – und so auch bei der Kenntnisnahme personenbezogener Daten im Zusammenhang mit dem Einblicksrecht in Bruttoentgeltlisten – die Datenschutzbestimmungen einzuhalten.

Und hier verweist das BAG dann erneut auf den Streit zur Einordnung des Betriebsrates, lässt die Frage aber offen. Denn die Bindung des Betriebsrates an das Datenschutzrecht

gilt unabhängig davon, ob er iSv. Art. 4 Nr. 7 DSGVO Teil der verantwortlichen Stelle (so zB Bonanni/Niklas ArbRB 2018, 371; Pötters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; Gola in Gola DS-GVO 2. Aufl. Art. 4 Rn. 56; zur Datenschutzrechtslage nach dem BDSG aF vgl. BAG 7. Februar 2012 – 1 ABR 46/10 – Rn. 43 mwN, BAGE 140, 350) oder gar Verantwortlicher (so zB Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566; Wybitul NZA 2017, 413 f.) ist.

Mithin geht das BAG davon aus, dass, wenn die Mitglieder des Betriebsrates mit personenbezogenen Daten umgehen, selbstverständlich die Vorgaben der DSGVO und des BDSG einzuhalten sind. Ob der Betriebsrat hierfür selbst Verantwortlicher ist oder aber als Teil des Arbeitgebers Adressat datenschutzrechtlicher Pflichten ist, lässt das BAG offen.

Erlaubnistatbestand?

Zum Schluss stellt sich natürlich noch die Frage, welcher Erlaubnistatbestand für die Einsichtnahme in Betracht kommt? Präziser müsste man eigentlich untergliedern: für die Offenlegung ggü. dem Betriebsausschuss durch den Arbeitgeber und für die Einsichtnahme durch den Betriebsausschuss selbst. Und diesbezüglich muss man leider sagen, dass die Begründung des BAG nicht immer klar zwischen diesen Verarbeitungsschritten trennt.

In Rz. 33 stellt das BAG etwa auf „Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss“ ab und ordnet dies (richtigerweise) als Verarbeitung ein. In Rz. 34 stellt das BAG dann aber eher auf das Einblicksrecht (also auf die Sichtweise des Betriebsrates ab). „Damit ist das erstrebte Einblicksrecht eine „nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind“ iSv. Art. 2 Abs. 1 DSGVO“ oder Rz. 35: „Die mit der Berechtigung des § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG verbundene Verarbeitung personenbezogener Daten ist für Zwecke des Beschäftigungsverhältnisses nach § 26 BDSG erlaubt“.

Es scheint aber so, dass das BAG die Verarbeitung und den dafür erforderlichen Erlaubnistatbestand (§ 26 Abs. 1 S. 1 BDSG) eher aus Sicht des Arbeitgebers prüft, der mit der Offenlegung der Listen eben auch einen betriebsverfassungsrechtlichen Anspruch des Betriebsrates erfüllt und damit einer Pflicht nachkommt (Rz. 42: „Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers…“; Rz. 43: „Steht dem Betriebsrat ein Anspruch nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG zu, ist die von § 26 Abs. 1 Satz 1 BDSG verlangte Erforderlichkeit einer damit verbundenen Datenverarbeitung gegeben. Sie folgt aus der Erfüllung eines kollektivrechtlich bestehenden Anspruchs“ und Rz. 44: „Auch beim Einblicksrecht in Bruttoentgeltlisten folgt die Rechtfertigung aus der inhaltlichen Ausgestaltung der entsprechenden kollektivrechtlichen Verpflichtung des Arbeitgebers“).

§ 26 BDSG als zulässige Spezifizierung nach Art. 88 DSGVO

Zum Schluss stellt des BAG auch noch fest, dass der deutsche Gesetzgeber mit § 26 BDSG von der Öffnungsklausel des Art. 88 DSGVO in zulässiger Weise Gebrauch gemacht hat. Ein Vorabentscheidungsersuchen an den EuGH sei daher nicht erforderlich. Damit stellt das BAG gleichzeitig auch fest, dass der Regelung des Art. 88 DSGVO und der übrigen Vorgaben der DSGVO im Bereich Beschäftigtendatenschutz allgemein keine kompetenziellen Schranken entgegenstehen (und lehnt eine andere Ansicht in der Literatur ab).

OVG Hamburg: Kein Anspruch auf Berichtigung der Personalakte nach der DSGVO bei einer Namensänderung

Das OVG Hamburg hat sich in einem Beschluss vom 27.05.2019 (Az. 5 Bf 225/18.Z) unter anderem mit der Frage beschäftigt, wie weit der Berichtigungsanspruch des Art. 16 DSGVO reicht. Der konkrete Fall spielte im öffentlichen Bereich, kann jedoch hinsichtlich der Begründung auch für Unternehmen und deren Führung von Personalakten von Mitarbeitern relevant sein. Nach Ansicht des OVG ergibt sich aus Art. 16 DSGVO kein Anspruch, nach der offiziellen Änderung eines Vornamens, den Inhalt der Personalakte rückwirkend (auch für den Zeitraum vor der Namensänderung) der neuen Namensführung anzupassen.

Sachverhalt

Die Klägerin, eine Bundespolizistin, begehrt die vollständige Anpassung ihrer Personalakte an das weibliche Geschlecht. Die Klägerin wurde mit männlichem Geschlecht und männlichen Vornamen geboren. Im Oktober 2012 wurden die Vornamen der Klägerin gemäß § 1 des Gesetzes über die Änderung der Vornamen und die Feststellung der Geschlechtszugehörigkeit in besonderen Fällen (TSG) geändert und es wurde eine entsprechende Änderung des Personenstandes vorgenommen.

Danach wandte sich die Klägerin an die Beklagte und forderte diese auf, alle Schriftstücke in der über sie geführten Personalakte an ihre jetzigen Vornamen sowie an das weibliche Geschlecht anzupassen. Sie berief sich hierzu u.a. auf § 20 Abs. 1 BDSG a.F. Das Verwaltungsgericht hatte die Klage abgewiesen.

Entscheidung

Nach Ansicht des OVG ergibt sich der geltend gemacht Anspruch zur Änderung der Vornamen in alten Schriftstücken nicht aus dem datenschutzrechtlichen Berichtigungsanspruch (Art. 16 DSGVO) oder dem Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG).

Nach Art. 16 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Nach Ansicht seien die alten Vornamen unrichtig, weswegen sie zu berichtigen seien. Bereits das Verwaltungsgericht hatte dies u.a. mit der Begründung abgelehnt, dass die Änderung der Vornamen keine allgemeine Ex-Tunc-Wirkung habe.

Zunächst stützt das OVG die Begründung des Verwaltungsgerichts. Die Änderung der Vornamen (in eine weibliche Form) wirkt nicht ex tunc, also in die Vergangenheit. Deswegen sind die alten Vornamen, die noch in der Personalakte vorhanden sind, auch nicht unrichtig geworden.

Sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.

Da das OVG davon ausgeht, dass die personenbezogenen Daten (hier: die Vornamen) weiterhin richtig sind, lehnt es folgerichtig einen Berichtigungsanspruch aus Art. 16 DSGVO ab. Denn dieser setzt voraus, dass „unrichtige“ personenbezogene Daten vorliegen. Interessant an der Begründung ist, dass das OVG hinsichtlich der Beurteilung der Richtigkeit von Daten nicht allein auf den aktuellen Zeitpunkt abstellt, sondern quasi die historische Entwicklung eines Datums mitberücksichtigt. Ein in der Vergangenheit richtiges Datum wird also nicht dadurch „unrichtig“, dass sich die (persönlichen oder sachlichen) Verhältnisses der betroffenen Person mit der Zeit geändert haben.

Das OVG stützt seine Begründung daneben aber auch auf den Datenschutzgrundsatz der Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO.

Danach müssen personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein. Nach Ansicht des OVG kommt es im vorliegenden Fall auf den jeweiligen historischen Kontext an. Daher machen

nachträgliche Veränderungen der Wirklichkeit, wie die Änderung der Vornamen und der Geschlechtszugehörigkeit der Klägerin, die über sie gespeicherten personenbezogenen Daten nicht falsch.

Man kann das OVG also so verstehen, dass der Berichtigungsanspruch nicht dazu dienen soll, die richtig dokumentierte Vergangenheit zu ändern. Vorliegend hielt die Beklagte ihre Personalakten auf dem Stand, der zum jeweiligen Zeitpunkt richtig war, um ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentieren zu können. Zudem fügt das OVG noch hinzu, dass eine nachträgliche Anpassung, die aus den Akten nicht erkennbar wäre, umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen kann.

Fazit

Zum Recht auf Berichtigung gibt es bislang noch wenige Entscheidungen. Umso relevanter dürften die obergerichtlichen Aussagen aus Hamburg sein. Wie bereits erwähnt, kann die Argumentation des Gerichts, auf deren Grundlage der Anspruch nach Art. 16 DSGVO abgelehnt wird, durchaus auch in der Privatwirtschaft, etwa im Rahmen der Führung von Personalalten und sonstigen Mitarbeiterdatenverwaltung von Relevanz sein.

Bayerischer Verwaltungsgerichtshof zum Beschäftigtendatenschutz unter der DSGVO

Wenn es um Datenschutz im Arbeitsverhältnis geht, erhalten wir Entscheidungen zumeist eigentlich von den Arbeitsgerichten. Nun hat aber der Bayerische Verwaltungsgerichtshof (VGH) eine sehr interessante Entscheidung zum Beschäftigtendatenschutz im Anwendungsbereich der DSGVO im öffentlichen Dienstverhältnis getroffen (Beschluss vom 21.05.201917 P 18.2581). Die Entscheidung ist vor allem deshalb relevant, weil sich der VGH u.a. auch mit dem Verhältnis von nationalem Datenschutzrecht im Arbeitsverhältnis zur DSGVO und einzelnen Rechtsgrundlagen zur Verarbeitung von Mitarbeiterdaten befasst.

Sachverhalt

Das Verfahren betrifft Datenschutzfragen zur Unterrichtung der Personalvertretung durch die Dienststelle bei der Mitbestimmung anlässlich der Versetzung von Arbeitnehmern (nicht Beamten) ohne Bestenauslese. Im Kern geht es um die Frage, ob der Personalvertretung auch hinsichtlich solcher Arbeitnehmer, die für Versetzungen zur Auswahl stehen, aber von der Dienststelle gerade nicht ausgewählt werden, Angaben unter Nennung des Namens zu übermitteln sind oder ob insoweit anonymisierte Daten ausreichen. Die Dienststelle benannte gegenüber dem Bezirkspersonalrat bislang nur den jeweils von der Dienststelle ausgewählten Bewerber namentlich, während sie auf Mitbewerber nur anonymisiert verweist. Daneben enthält die Mitteilung die Anzahl der weiteren Versetzungsbewerber, die Darstellung der jeweiligen sozialen Auswahlkriterien der Versetzungsbewerber sowie eine Begründung der getroffenen Auswahlermessensentscheidung.

Der Bezirkspersonalrat vertritt die Auffassung, nur mit Kenntnis der Namen und der Beschäftigungsbehörden der Mitbewerber sei eine wirksame Nichtzustimmung begründbar bzw. überhaupt zu erkennen, ob eine Nichtzustimmung angezeigt sei. Er beruft sich u.a. auf Art. 69 Abs. 2 S. 3 BayPVG. Er zieht einerseits eine Parallele zur Mitbestimmung bei der Einstellung von Arbeitnehmern und andererseits eine Parallele zur Informationsweitergabe an den Personalrat beim sog. betrieblichen Eingliederungsmanagement. Die Angabe anonymisierter Daten genüge nicht.

Entscheidung

Der VGH lehnt die Beschwerde des Bezirkspersonalrates (es ging konkret um einen Feststellungsantrag) ab.

Nach Ansicht des VGH ergibt sich der Anspruch nicht aus Art. 69 Abs. 2 S. 1 und 2 BayPVG. Danach ist der Personalrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Ihm sind die hierfür erforderlichen Unterlagen zur Verfügung zu stellen.

Nach Auffassung des VGH ist die vorliegend beantragte nicht anonymisierte Datenübermittlung unter Berücksichtigung des Gewichts der informationellen Selbstbestimmung der von der Datenübermittlung betroffenen Personen nicht nach Art. 69 Abs. 2 S. 1 und 2 BayPVG zu rechtfertigen.

Begriff der „Erforderlichkeit“

Der VGH befasst sich in seiner Begründung mit der Frage, wie der Begriff „erforderlich“ nach Art. 69 Abs. 2 S. 2 BayPVG zu verstehen ist. Zunächst stellt der VGH diesbezüglich fest, dass die in Art. 69 Abs. 2 S. 1 und 2 BayPVG vorgesehene Unterrichtungspflicht streng aufgabenbezogen zu interpretieren ist. Weiter führt der VGH aus:

Was in diesem Sinn „erforderlich“ ist, lässt sich nicht rein begrifflich klären, sondern setzt als Korrektiv eine wertende Betrachtung voraus, in die neben einer Bewertung des Aufgabenbezugs selbst auch grundrechtliche Wertungen im Hinblick auf die von Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmung … einzufließen haben, wobei personalvertretungsrechtliche Datenübermittlungen auch nicht gegen unionsrechtliche Datenschutzvorgaben verstoßen dürfen.

Dies ist eine erste relevante Aussage des Gerichts, die auch im nicht-öffentlichen Bereich der Verarbeitung von Mitarbeiterdaten Relevanz entfalten kann. Was bedeutet „erforderlich“? (vgl. etwa auch in § 26 Abs. 1 S. 1 BDSG oder § 80 Abs. 2 BetrVG). Ausdrücklich verweist das Gericht hier darauf, dass sowohl grundrechtliche Erwägungen als auch Vorgaben des EU-Datenschutzrechts zu beachten sind. Meines Erachtens wird man die Begründung des VGH durchaus auch im privatwirtschaftlichen Bereich, wenn es um die Übergabe von Unterlagen und Daten an einen Betriebsrat geht, übertragen können.

Der VGH begründet seine Ablehnung der Übergabe umfassender Unterlagen an die Personalvertretung hier damit, dass die für die Personalvertretung bei der Versetzungsmitbestimmung maßgeblichen Kriterien auch auf der Basis bloß anonymisierter Daten weitgehend überprüft werden.

Eine darüber hinausgehende Datenübermittlung ist in der beantragten Tragweite nicht erforderlich.

Eine pauschale namentliche Datenübermittlung ist nicht erforderlich i.S.v. Art. 69 Abs. 2 S. 1 und 2 BayPVG, weil sie im Vergleich zu einer anonymisierten nicht wesentlich besser geeignet ist, um Art. 75 Abs. 2 BayPVG bei Versetzungen zu prüfen, gleichzeitig, so der VGH, aber im Vergleich zu anonymisierten Datenübermittlungen deutlich intensiver in die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG) eingreift.

DSGVO gilt auch für den Beschäftigtendatenschutz

Danach befasst sich der VGH mit der DSGVO und den europäischen Datenschutzvorgaben.

Nach Ansicht des VGH spricht auch das mit Anwendbarkeit der DSGVO unionsrechtlich geregelte Datenschutzrecht im Hinblick auf den mit der Datenübermittlung verbundenen Eingriff in das unionsrechtliche Grundrecht auf Schutz personenbezogener Daten (Art. 8 i.V.m. Art. Art. 51 Abs. 1 S. 1 GRCh) gegen die vorliegend von der Personalvertretung begehrte pauschale Übermittlung namentlicher Sozialauswahldaten.

Zunächst stellte sich die Frage, ob die DSGVO auf den vorliegenden Sachverhalt Anwendung findet, da die Datenweitergabe ja unstreitig im Arbeitsverhältnis stattfindet und dieser Bereich des Arbeitnehmerdatenschutzes evtl. aus der Regelungskompetenz der EU ausgenommen ist.

Das VGH sieht dies, meines Erachtens zu Recht, nicht so.

Die Datenschutz-Grundverordnung erfasst unmittelbar auch die vorliegend streitgegenständliche Datenübermittlung im Rahmen des Arbeitnehmerdatenschutzes.

Zwar mag Art. 69 Abs. 2 BayPVG als bereichsspezifische Gesamtregelung dem nationalen Bayerischen Datenschutzgesetz vorgehen. Jedoch, so der VGH,

erfasst die direkt anwendbare Datenschutz-Grundverordnung im Hinblick auf den Anwendungsvorrang des Unionsrechts unmittelbar auch den Beschäftigtendatenschutz.

Auch geht der VGH klar davon aus, dass die Datenübermittlung im Zusammenhang mit der Beteiligung einer Personalvertretung nicht aus dem Anwendungsbereich des Unionsrechts herausfällt. Die Begründung: es ist von einschlägigen Rechtsetzungskompetenzen der Europäischen Union auszugehen.

Die Rechtsetzungskompetenz der Europäischen Union kann durchaus auch den Bereich des Arbeitsrechts und der diesbezüglichen Mitarbeitervertretung (hier: Personalvertretung) betreffen, was etwa durch Art. 2 Buchst. f, Art. 4 Abs. 4, Art. 6 Abs. 1 Satz 1 oder Abs. 7 der Richtlinie 2002/14/EG belegt werde.

Zudem weist der VGH noch darauf hin, dass das bayerische Landesrecht – anders als etwa § 26 BDSG – für den Bereich des Beschäftigtendatenschutzes die Ausnahmemöglichkeit des Art. 88 DSGVO nicht ausgeschöpft hat.

Personalvertretung als eigener Verantwortlicher?

Natürlich handelt es sich bei der begehrten Weitergabe von Unterlagen und Daten an die Personalvertretung auch um eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 und Nr. 2 DSGVO. Interessant ist hier natürlich, welche Form der Verarbeitung der VGH in der Weitergabe von Daten des Arbeitgebers an die Personalvertretung erkennt. Stichwort: Betriebsrat (hier: Personalvertretung) als eigener Verantwortlicher.

Der VGH lässt diese Frage leider ausdrücklich unbeantwortet und geht davon aus, dass die begehrte Weitergabe der Daten zumindest in Form der Verwendung durch Zurverfügungstellung an die Personalvertretung eine Verarbeitung darstellt.

Für die Frage der „Datenverarbeitung“ unerheblich ist, ob „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO beim Umgang mit diesen Daten durch die Personalvertretung die Dienststelle ist (deren Teil die Personalvertretung ist) oder ob die Personalvertretung eine eigene Verantwortlichkeit hat.

Der VGH positioniert sich also leider nicht zu dem aktuellen Streit, ob die Personalvertretung als eigener Verantwortlicher anzusehen ist.

Öffnungsklausel des Art. 88 DSGVO

Sehr relevant für den privatwirtschaftlichen Bereich sind die nachfolgenden Aussagen des VGH zu Art. 88 DSGVO und die Diskussion, wie die „Öffnungsklauseln“ der DSGVO zu verstehen sind. Insbesondere, ob der nationale Gesetzgeber strengere Regelungen im Beschäftigtendatenschutz schaffen darf.

Nach Ansicht des VGH ergibt sich aus Art. 88 DSGVO keine Ausnahme vom Geltungsbereich der Datenschutz-Grundverordnung für den Beschäftigtendatenschutz an sich. Hiergegen spreche schon der Wortlaut des Art. 88 Abs. 1 DSGVO, wo von „spezifischeren Vorschriften“ die Rede ist.

Die Verwendung des Komparativs (spezifischerer) ist ein deutlicher Hinweis darauf, dass es sich insoweit nicht um eine vollständige Geltungsbereichsausnahme, sondern vielmehr um eine Öffnungsklausel handelt, die den Mitgliedstaaten die Möglichkeit gibt, die im Ausgangspunkt einschlägigen Regelungen der Datenschutz-Grundverordnung durch spezifischere nationale Vorschriften zu präzisieren.

Das bayerische Landesrecht sieht im Zusammenhang mit der Versetzungsmitbestimmung und der diesbezüglichen Datenübermittlung an die Personalvertretung aber gerade keine „spezifischere“ Regelung vor. Die hier relevanten nationalen Normen, Art. 69 Abs. 2 S. 1 und 2 BayPVG weisen nach Ansicht des VGH im Vergleich zu Art. 88 DSGVO und zu Art. 5, 6 und 9 DSGVO keine höhere Spezifizierung auf – insbesondere auch nicht hinsichtlich der in Art. 88 DSGVO betonten Grundrechte der jeweils betroffenen Personen. Zudem kenne das bayerische Landesrecht bislang auch keine dem § 26 Abs. 6 BDSG vergleichbare explizite Vorschrift.

Hieraus folgt der VGH, dass die DSGVO im konkreten Fall unmittelbar für den Umgang mit Beschäftigtendaten gilt.

Deshalb bleibt es derzeit im Bereich des bayerischen Personalvertretungsrechts bei der unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung, und damit insbesondere auch der dort (Art. 6 DSGVO) vorgesehenen Rechtmäßigkeitsvoraussetzungen für Datenverarbeitungen.

Prüfung der Erlaubnistatbestände nach Art. 6 DSGVO

Danach befasst sich der VGH mit den verschiedenen, in Betracht kommenden Erlaubnistatbeständen für die Datenverarbeitung.

Zunächst lehnt der VGH richtigerweise das Vorliegen einer Einwilligung ab.

Insbesondere kann in der bloßen Äußerung eines Versetzungswunsches – auch wenn sie sich auf behördenintern bekannt gegebene, zu besetzende Dienstposten bezieht – noch keine i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO hinreichende Einwilligung in eine Datenübermittlung der Dienststelle an die Personalvertretung gesehen werden.

Zudem verweist der VGH darauf, dass die bloße Äußerung eines Versetzungswunsches auch nicht ausreicht, um i.S.v. Art. 7 Abs. 1 DS-GVO „nachzuweisen“, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten in Form der Übermittlung ihrer sozialen Auswahldaten an die Personalvertretung eingewilligt hat.

Auch eine Rechtfertigung der Verarbeitung über Art. 6 Abs. 1 lit. c DSGVO lehnt der VGH ab. Hier knüpft er an seine Ausführungen zur „Erforderlichkeit“ der Übergabe der Unteralgen an.

Der VGH begründet dies damit, dass die Weitergabe der Daten bei einer Auslegung im Licht des Art. 8 GRCh für die Erfüllung der rechtlichen Pflichten der Dienststelle nicht „erforderlich“ ist. Die unionsrechtskonforme Auslegung unter Berücksichtigung des Rechts auf Schutz der personenbezogenen Daten (Art. 8 GRCh) komme als Korrektiv dort zum Zuge, wo sich die typisierende gesetzliche Abwägung des Art. 69 Abs. 2 S. 1 und 2 BayPVG im Einzelfall als unverhältnismäßig erweist. Der Unterscheidung zwischen namentlichen und anonymisierten Daten komme auch aus Sicht des unionsrechtlichen Datenschutzes große Bedeutung zu.

Nach Auffassung des VGH spreche die abstrakt gesehen mögliche Sensibilität der gewünschten namensbezogenen Datenübermittlung (angesichts der ohnehin auch bei anonymisierten Daten bestehenden Rückschlussmöglichkeiten) gegen die Erforderlichkeit der von der Personalvertretung abstrakt und generell begehrten namensbezogenen Übermittlung.

Zuletzt lehnt der VGH die Datenverarbeitung auch auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO ab. Der VGH lässt hier die Frage offen, ob eine Geltung dieser Vorschrift im Zusammenhang mit personalvertretungsrechtlicher Aufgabenerfüllung nicht schon gemäß Art. 6 Abs. 1 Unterabs. 2 DSGVO ausgeschlossen ist. Jedoch könne die in Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung im Hinblick auf den von Art. 8 GRCh vermittelten Grundrechtsschutz nicht anders ausfallen als die Erforderlichkeitsprüfung bei Art. 6 Abs. 1 lit. c DSGVO.

Fazit

Die Entscheidung des VGH ist ein Schatz an interessanten und für die Praxis relevanten Auslegungen und Interpretationen der DSGVO im Bereich des Beschäftigtendatenschutz. Besonders bedeutsam ist auch der Umstand, wie sehr der VGH hier (meines Erachtens absolut zu Recht) auf eine europarechtskonforme Auslegung der Vorschriften pocht und immer wieder auf die Charta der Grundrechte verweist. Man kann es nicht oft genug betonen: Datenschutz, auch der Beschäftigtendatenschutz, ist im Kern europäisches Recht und daher auch so zu behandeln.