Category Archives: EuGH

Bußgeldhaftung nach der DSGVO: welche Faktoren sprechen für und gegen ein Verschulden? Bundesverwaltungsgericht Österreich zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“

Posted on by

Das Bundesverwaltungsgericht Österreich (BVwG) hat kürzlich eine wichtige Entscheidung gefällt, die sich mit den Faktoren für und auch gegen ein Verschulden im Rahmen von Art. 83 DSGVO befasst. Interessant ist dabei insbesondere, dass die Vorgaben des EuGH aus dem Deutsche Wohnen-Verfahren nun durch ein mitgliedstaatliches Gericht konkretisiert werden.

Hintergrund

Das Unternehmen betreibt ein Kundenbindungsprogramm, im Rahmen dessen auch Einwilligungen für die Verarbeitung zu werblichen Zwecken eingeholt wurden. Die österreichische Aufsichtsbehörde (DSB) leitete ein Prüfverfahren und aufgrund der Ermittlungsergebnisse auch ein Verwaltungsstrafverfahren ein, welches mit einem Bußgeldbescheid endete. Gegen diesen legte das Unternehmen Beschwerde ein.

Nach Ansicht der DSB habe das Ersuchen um Einwilligung der betroffenen Personen, die sich für das Kundenbindungsprogramm registriert hätten, nicht den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO entsprochen. Das Unternehmen habe daher personenbezogene Daten unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt habe werden können.

Im vorliegenden Verfahren ging um Fragen der Bußgeldhaftung des Unternehmens, also Art. 83 DSGVO. Konkret möchte ich mich hier mit dem Merkmal des Verschuldens (also der subjektiven Tatseite) befassen.

Merkmal des Verschuldens

Wie bekannt, hatte der EuGH in dem Deutsche Wohnen-Verfahren (C-807/21) im Dezember 2023 geurteilt, dass gegen einen Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Ein Verschulden liegt nach Rechtsprechung des EuGH wiederum dann vor, wenn das Unternehmen hätte erkennen können, dass sein Verhalten datenschutzwidrig war.

Die DSB sah ein Verschulden als gegeben an: die Geschäftsführer des Unternehmens hätten im konkreten Fall zunächst aufgrund objektiver Sorgfaltswidrigkeit die Entwürfe zu den gegenständlichen Ersuchen um Einwilligung genehmigt, obwohl diese dem Wortlaut der DSGVO bzw. den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO widersprechen würden. Zudem, so die DSB, hätten sie kein wirksames internes Kontrollsystem im Rahmen des Betriebs des Unternehmens implementiert, um die laufende Rechtsentwicklung in Bezug auf die gegenständlichen Einwilligungsersuchen zu überwachen.

Die beiden Kernvorwürfe waren also:

  • (Er)Kennenmüssen der Unzulässigkeit der Einwilligung, allein aufgrund der DSGVO-Anforderungen
  • Kein ausreichendes internes Compliance-System, das auch die aktuelle Rechtsprechung und Behördenansichten zu Anforderungen an die Einwilligung nach der DSGVO überwacht

Entscheidung des BVwG zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte

Das BVwG befasst sich mit der Frage des Verschuldens im Abschnitt „3.3.4.1. Zur strafrechtlichen Verantwortlichkeit und Verschulden der Beschwerdeführerin“.

Zunächst weist das Gericht auf die Grundlagen seiner nachfolgenden Bewertung hin. Insbesondere die Rechtsprechung des EuGH, wonach ein Verantwortlicher sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt.

Zur Haftung des Verantwortlichen setzt das BVwG vorab den generellen Pflichtenrahmen. Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich

auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind.“

Diese Haftung des Verantwortlichen bildet nach Ansicht des BVwG bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür, nach Art. 83 DSGVO eine Geldbuße zu verhängen.

Nach dem Urteil in der Rechtssache „Deutsche Wohnen“ hat man sich gefragt, was der EuGH konkret mit der Umschreibung „wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“ meint – welche Faktoren in der Praxis also für oder gegen ein Verschulden sprechen können. Hierzu gibt das BVwG einige praxisrelevante Hinweise:

A. Erkundigungspflicht des Verantwortlichen (bzw. der Geschäftsführung)

Das BVwG ist, mit der DSB, der Ansicht, dass das Unternehmen eine Erkundigungspflicht hinsichtlich der einschlägigen relevanten Bestimmungen der DSGVO (hier im Zusammenhang mit den verwendeten Einwilligungserklärungen), vor Verwendung eben dieser Einwilligung im Zuge des Markstarts des Programms traf. Nach Ansicht der DSB hätten die Geschäftsführer dann, bei bestehenden Zweifeln, diese durch weitere Erkundigungen beseitigen müssen, beispielsweise durch eine Auskunftsanfrage an die belangte Behörde oder mittels Rechtsgutachten von Sachverständigen, das sich mit dieser spezifischen Fragestellung beschäftige.

B. Erkennenmüssen allein aufgrund des Wortlauts der DSGVO-Norm

Nach Ansicht des BVwG hätten insbesondere die beiden Geschäftsführer sowie die Leiterin der Rechtsabteilung erkennen müssen, dass die gewählte Gestaltung der Einwilligung nicht im Einklang mit der DSGVO stand.

Hierbei sei nicht ausschlaggebend, ob sich das Unternehmen mit

  • dem Urteil des EuGH in der Rechtssache Planet49 (zur Frage der Anforderungen an die Einwilligung),
  • oder den Leitlinien 05/2020 der Art. 29 Datenschutzgruppe zur Einwilligung auseinandergesetzt habe.

Denn im vorliegenden Fall hätte bereits aufgrund des reinen Wortlautes der Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO von dem Unternehmen erkannt werden müssen, dass die von ihr gewählte optische Gestaltung aufgrund der dargestellten kumuliert irreführenden Faktoren nicht den Anordnungen einer in „informierter Weise und unmissverständlich abgegebenen Willensbekundung“ entspricht.

C. (Un)Kenntnis der internen Rechtsabteilung

Zudem geht das BVwG davon aus, dass insbesondere der mit der Beratung des Unternehmens betrauten Rechtsabteilung hätte auffallen müssen, dass die bei den Einwilligungserklärungen gewählte Vorgehensweise missverständlich und damit rechtswidrig war.

D. Rechtsprechung und Verwaltungspraxis

Als möglichen entlastenden (!) Faktor prüft das BVwG, ob zum Tatzeitpunkt eventuell entsprechende Rechtsprechung oder eine Praxis der Aufsichtsbehörden existierte, die gegen ein Verschulden sprechen könnte. Vorliegend, so das BVwG, lag aber

keine höchstgerichtliche Rechtsprechung oder entsprechende Verwaltungspraxis zu den zitierten Bestimmungen vor, aufgrund derer die Beschwerdeführerin entgegen der dargestellten, irreführenden Faktoren darauf vertrauen hätte können, dass die Gestaltung der DSGVO entspricht“.

Dies ist ein wichtiger Aspekt bei der Verteidigung gegen Bußgelder – eine entsprechende Verwaltungspraxis kann ein Verantwortlicher verwenden, um seine Rechtsansicht zu stützen und im Rahmen des Verschuldens

Im Grunde wird damit auch bestätigt, was aus meiner Sicht für datenverarbeitende Stellen ein großer Vorteil ist: die Pluralität des Aufsichtssystems in Deutschland. Mit 18 Datenschutzbehörden (inkl. BfDI, und die speziellen Aufsichtsbehörden noch nicht mitgezählt), finden sich sehr viele verschiedene Sichtweisen und rechtliche Interpretation der Behörden. Diese Sichtweisen und darauf beruhende Verwaltungspraxis (siehe oben) können und sollten Verantwortliche und Auftragsverarbeiter bei ihren eigenen Datenverarbeitungen und der rechtlichen Bewertung mit in den Blick nehmen.

E. Externe Rechtsgutachten

Auch würde das BVwG als entlastenden Faktor wohl das Vorliegen von externen Einschätzungen, wie etwa Rechtsgutachten, bewerten. Vorliegend habe das Unternehmen aber keine

Rechtsgutachten hinsichtlich der DSGVO Konformität der gegenständlichen Einwilligungserklärungen erstellen lassen“.

F. Nachfrage bei der Aufsichtsbehörde

Ja, auch dies könnte ein entlastender Faktor beim Verschulden sein. Andererseits muss man als anfragendes Unternehmen aber natürlich auch mit der Antwort leben, wenn sie „nicht gefällt“. Das BVwG stellt vorliegend fest, dass bei der belangten Behörde (DSB) als Spezialbehörde diesbezüglich keine Auskünfte eingeholt wurden.

G. Fehlende Dokumentation zur internen oder externen rechtlichen Bewertung

Negativ bewertet das BVwG den Umstand, dass das Unternehmen keine (aussagekräftigen) Unterlagen zu stattgefundener interner und externer Beratung der Beschwerdeführerin im Hinblick auf die (Gestaltung der) Einwilligungserklärungen vorgelegt hat. Hieraus hätte sich (durchaus auch positiv) ergeben können, dass die angeführten Faktoren aus rechtlicher Sicht ausführlich diskutiert bzw. problematisiert worden wären.

H. Anforderungen an das interne Kontrollsystem (Compliance)

Nach Ansicht des BVwG muss für die Wirksamkeit eines internen Kontrollsystems dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen. Zwar habe das Unternehmen hier gewisse Kontroll- und Beratungsmechanismen im Bereich des Datenschutzes eingeführt. Jedoch habe dieses System im konkreten Fall nicht funktioniert.

Fazit

Insgesamt geht das BVwG daher davon aus, „dass auf subjektiver Tatseite zumindest Verschulden in Form von Fahrlässigkeit der Beschwerdeführerin vorliegt“. Die Entscheidung gibt für die Praxis einen guten Leitfaden für verschiedenste Faktoren und (Gegen)Argumente, die im Rahmen des Verschuldens durch Verantwortliche und Auftragsverarbeiter bei der Bußgeldhaftung nach Art. 83 DSGVO in der Praxis berücksichtigt werden sollten.

Bayerische Datenschutzbehörden: keine eigene Verantwortlichkeit des Mitarbeiters beim Missbrauch von beruflichen Daten für private Zwecke (Exzess)?

Posted on by

Der BayLfD hat jüngst eine aus meiner Sicht wirklich gelungene und hilfreiche Orientierungshilfe zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO veröffentlicht. In der Orientierungshilfe befasst sich die Behörde auch mit der Frage der Verantwortlichkeit in Situationen des sog. Mitarbeiterexzesses – Fälle, „bei denen Beschäftigte von Verantwortlichen Daten, auf die sie nur für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden“.

Die „bayerische Auffassung“ – Arbeitgeber / Dienstherr bleibt Verantwortlicher

In diesem Zug war ich durchaus überrascht, von der sog. „bayerischen Auffassung“ zu lesen (ab S. 42 ff.). Diese Ansicht wird vom BayLfD wie folgt zusammengefasst:

Die beiden bayerischen Aufsichtsbehörden – der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht – vertreten übereinstimmend die Auffassung, dass ein Beschäftigter nicht zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO wird, wenn er Daten, die ihm für dienstliche Zwecke zur Verfügung stehen, mittels dienstlicher Abfragesysteme für private Zwecke abruft“.

Nach Auffassung des BayLfD und wohl auch des BayLDA stellt diese zweckwidrige Verwendung von Daten aus dem beruflichen Kontext noch keine Handlung dar, die den Beschäftigten zu einem eigenen datenschutzrechtlichen Verantwortlichen machen würde.

Die Konsequenzen dieser Auffassung sind praxisrelevant:

  • „Die öffentliche Stelle bleibt damit im Fall des bloß zweckwidrigen Datenabrufs Einzelverantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, auch für den Datenschutzverstoß durch ihren Beschäftigten“
  • „Der rechtswidrige Abruf dienstlich zugänglicher Daten zu rein privaten Zwecken stellt einen Datenschutzverstoß dar, aufgrund dessen gegen den Verantwortlichen gemäß Art. 83 DSGVO grundsätzlich eine Geldbuße verhängt werden kann“

Gründe für die Ansicht des BayLfD und BayLDA

Der BayLfD begründet seine Auffassung unter anderem damit, dass Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO nur ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ausschlaggebend sei dabei die Entscheidung über die grundsätzlichen Zwecke und Mittel der Abfragesysteme.

Über diese entscheidet ein Beschäftigter jedoch auch dann nicht, wenn er dienstliche Daten für private Zwecke missbraucht“.

Er verwende vielmehr lediglich die ihm zur Verfügung gestellten Abfragesysteme und diese für außerdienstliche, private Zwecke. Der BayLfD verweist in den Fußnoten auch auf die Ansicht des BayLDA in drei Tätigkeitsberichten.

So geht das BayLDA im Tätigkeitsbericht 2020 (ab S. 78 f.) unter anderem davon aus, dass ein Mitarbeitender beim bloßen Datenabruf aus Datenbanken des Unternehmens, bei dem er beschäftigt ist bzw. der bloßen Einsichtnahme in personenbezogene Daten in entsprechende Unterlagen zu privaten Zwecken, nicht zum eigenständigen Verantwortlichen wird, da die beiden dort genannten Kriterien – Zweck- und Mittelbestimmung – nach dem Wortlaut („und“) kumulativ vorliegen müssen. Der Mitarbeitende bestimme nicht über den Mitteleinsatz.

Als zweites Argument verweist der BayLfD auf die vorhandene Vorgabe in Art. 28 Abs. 10 DSGVO für Auftragsverarbeiter. Für den Fall, dass ein Auftragsverarbeiter in rechtswidriger Weise seine Befugnisse überschreitet, wird er insoweit eigener Verantwortlicher. Eine solche Regelung fehle aber in Art. 29 DSGVO in Bezug auf Beschäftigte.

Etwas anderes soll nur dann gelten, wenn der Beschäftigte die abgerufenen Daten mittels arbeitgeberfremder Ressourcen weiterverarbeitet. Also etwa über seinen privaten Laptop oder sein Smartphone. Ab diesem Zeitpunkt greife Art. 4 Nr. 7 DSGVO für den Beschäftigten.

Andere Ansichten

Nun gesteht der BayLfD in seiner Orientierungshilfe aber auch ein, dass diese bayerische Ansicht nicht der einzige derzeit vorgeschlagene Weg ist und von einigen anderen Aufsichtsbehörden nicht geteilt wird. So sehen etwa die Landesdatenschutzbeauftragten in Baden-Württemberg und Nordrhein-Westfalen den Beschäftigten, der dienstliche Daten für private Zwecke verwendet, als Verantwortlichen an.

Zudem verweist der BayLfD auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts (Erkenntnis vom 21. Dezember 2021, W258 2238615-1/16E) und auch die andere Auffassung des Europäischen Datenschutzausschusses (Leitlinien 07/2020), der allein an die Zwecke der Verarbeitung knüpft und hieraus bereits die eigene Verantwortlichkeit des Mitarbeiters ableitet.

Der BayLfD geht in Fn. 140 davon aus, dass die Entscheidung des österreichischen Bundesverwaltungsgerichts – soweit ersichtlich – die erste Entscheidung eines Gerichts im deutschsprachigen Raum zu dieser Frage sei. Ergänzen lässt sich insoweit noch eine ältere Entscheidung des Verwaltungsgerichts (VG) Mainz (Urteil vom 17.12.2020 – 1 K 778/19.MZ), das ebenfalls nicht die Ansichten von BayLfD und BayLDA vertritt.

Nach dem VG ist von einem den Zurechnungszusammenhang unterbrechenden „Exzess“ jedenfalls dann auszugehen, wenn Beschäftigte Daten unbefugt für eigene Zwecke verarbeiten – wie z.B. bei der Einsichtnahme in behördliche Datenbanken für private Zwecke oder Entwendung von Kundendaten. Das VG lässt also, entgegen der bayerischen Auflassung, die eigene Zweckbestimmung durch den Mitarbeiter durchaus für eine eigene Verantwortlichkeit ausreichen. Der jeweilige Beschäftigte schwinge sich dann insoweit selbst zum Verantwortlichen auf, indem er anfängt, selbst darüber zu entscheiden, wie und warum mit Daten umgegangen wird.

Einschätzung

Ich war von der Ansicht beim ersten Lesen der Orientierungshilfe tatsächlich überrascht, da ich bisher auch immer die eigenständige Zweckänderung durch den Mitarbeiter als ausreichend für die Einstufung als Verantwortlicher gesehen habe.

Die Argumentation der Behörden, dass der Mitarbeiter deshalb nicht verantwortlich ist, da er ja nicht über die Mittel der Verarbeitung entscheide, ist aus meiner Sicht zudem diskutabel. Denn wenn der Mitarbeiter etwa eine CRM-Software verwendet, um dort für private Zwecke nach Kundendaten zu suchen, bestimmt er meines Erachtens natürlich auch in diesem Moment über den Einsatz des Mittels „CRM-Software“ – eben allein für seine privaten Zwecke. Zudem könnte man hierfür ergänzend die Ansicht des Generalanwalts in der Rs. C-579/21 anführen (hierzu mein Blogbeitrag), in der er davon ausgeht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann, da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Fazit

Überspitzt formuliert kann man konstatieren: solange Mitarbeiter in Bayern (im privaten oder öffentlichen Bereich) allein über Systeme ihres Arbeitgebers missbräuchlich mit Daten umgehen, droht ihnen von Seiten der Datenschutzaufsicht kein Ungemach. Der Arbeitgeber müsste befürchten, wegen eines Verstoßes gegen Art. 32 DSGVO geprüft oder ggfs. sanktioniert zu werden.

Kurioses (und falsches) Urteil des Arbeitsgerichts Mainz – 5.000 EUR für verspätete Auskunft an einen Bewerber

Posted on by

Klagen auf Zahlung von Schadenersatz nach Art. 82 DSGVO sind vor allem im arbeitsgerichtlichen Bereich im Vergleich zu anderen Gerichtsbarkeiten eher erfolgreich (zumindest in den unteren Instanzen). Wenn aber die Gerichte die zum Teil gefestigte Rechtsprechung des EuGH nicht beachten, ist dies mehr als ärgerlich. Ein solcher Fall ereignete sich am Arbeitsgericht (ArbG) Mainz (Urteil vom 08.04.2024 – 8 Ca 1474/23. Derzeit nur bei BeckOnline abrufbar).

Sachverhalt

Die Parteien streiten über Auskunfts- und Entschädigungsansprüche auf der Grundlage von Art. 15 DSGVO. Der Kläger bewarb sich auf eine Stelle bei der Beklagten und forderte, nachdem er eine Absage erhalten hatte, dass man ihm eine „umfassende Auskunft sowie eine vollständige Datenkopie auf Grundlage von Art. 15 DSGVO“ erteilen soll.

Die Beklagte antwortete hierauf nur mit einer Mail und fügte die Datenschutzhinweise bei. Weitere Anfragen sollten an die dort genannte E-Mail-Adresse gerichtet werden. Danach erhob der Bewerber Klage – irgendwie auch nicht überraschend, denn die Übersendung der Datenschutzhinweise stellt natürlich keine Auskunft dar.

Der Kläger forderte unter anderem, an ihn eine Geldentschädigung, die einen Betrag in Höhe von 5.000,00 Euro aber nicht unterschreiten sollte, zu zahlen.

Entscheidung

Nach Ansicht des ArbG hat der Kläger einen Anspruch auf den begehrten Schadensersatz aus Art. 82 Abs. 1 DSGVO. Und zwar tatsächlich in Höhe der 5.000 EUR.

Richtig geht das ArbG noch davon aus, dass das Auskunftsrecht des Betroffenen nicht erfüllt wurde.

Die Nennung einer E-Mail-Adresse, über welche man die fraglichen Auskünfte erhalten könne, ersetzt nicht die Erteilung derselben“.

Bei der Begründung des Schadenersatzes ist die Begründung dann meines Erachtens aber nicht mehr haltbar bzw. angreifbar.

Kritik 1

Das ArbG begründet, dass nach Art. 82 Abs. 1 DSGVO „ein Verstoß gegen die Verordnung einen Schadensersatzanspruch im Falle eines materiellen oder immateriellen Schadens, wobei die maßgebende Rechtsprechung des Europäischen Gerichtshofes den Schadensbegriff derart weit auslegt, dass er auch im vorliegenden Falle zu bejahen ist.“

Das Gericht lässt hier meines Erachtens unbeachtet, dass der EuGH gerade nicht allein von einem verstoß gegen die DSGVO direkt auf das Vorliegen eines Schadens schließt.

  • C-300/21, Rz. 33: „Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet.“
  • C-456/22, Rz. 21: „Der bloße Verstoß gegen die Bestimmungen dieser Verordnung reicht nämlich nicht aus, um einen Schadenersatzanspruch zu begründen.“

Kritik 2

Das Gericht begründet nicht bzw. fehlerhaft (siehe Kritik 3), wie es zu einem Schaden in Höhe von 5.000 EUR gelangt und vor allem nicht, ob und wie der Kläger diesen Schaden nachgewiesen hat

Der dem Kläger entstandene „Schaden“ ist zwar schwindend gering, gleichwohl hält die Kammer die begehrten 5.000,00 € für einen angemessenen Betrag“. Auch dies entspricht nicht der Rechtsprechung des EuGH und die (fehlende) Begründung des ArbG verstößt gegen diese Rechtsprechung.  

  • C-300/21, Rz. 32: „Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt,…“
  • C-687/21, Rz. 60: „Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen,…“

Kritik 3

Nach Ansicht des ArbG sind 5.000 EUR Schadenersatz hier gerechtfertigt, „weil Verfahren der vorliegenden Art auch eine präventive Funktion haben sollen“.

Zudem komme es „weniger darauf an, wie sehr der Kläger „gelitten“ hat, als vielmehr darauf, bei welchem Betrag ein entsprechender Leidensdruck bei der Beklagten entsteht“. Das Gericht stellt sich auch hier konträr zur Rechtsprechung des EuGH und nimmt eine Straffunktion des Schadenersatzes nach Art. 82 DSGVO an.

  • C-667/21, Rz. 85: „Insoweit ist zu betonen, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – keine Straf‑, sondern eine Ausgleichsfunktion hat.“
  • C-687/21, Rz. 48: „Der Gerichtshof hat hinzugefügt, dass sich, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch keine abschreckende oder gar Straffunktion erfüllt, sondern eine Ausgleichsfunktion hat,…“
  • C-687/21, Rz. 50: „… da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.“

Das ArbG gesteht hier also 5.000 EUR Schadenersatz für eine verspätete und ungenügende Auskunft zu, ohne die Tatbestandsvoraussetzung von Art. 82 DSGVO entsprechend den Vorgaben des EuGH zu beachten. Wenn man dann auch noch im Blick hat, dass der EuGH selbst in einem jüngeren Urteil „nur“ 2.000 EUR Schadenersatz auf Grundlage von Art. 50 der sog. Europol-Verordnung (VO 2016/794) zugesprochen hatte (hierzu der Beitrag von Philipp Quiel), obwohl es dort um sensibelste Daten aus dem Intimbereich ging, scheint das vorliegende Urteil noch diskutabler.

Neue Schlussanträge: Abkehr von der strengen Ansicht des EuGH zu „Gesundheitsdaten“ nach Art. 9 DSGVO?

Posted on by

Am 25.4.2024 hat Generalanwalt am EuGH Szpunar seine Schlussanträge in dem Verfahren Rs. C-21/23 vorgelegt. In dem Verfahren geht es um zwei spannende Fragen:

  • Sind im Rahmen einer Bestellung bei einer Online-Apotheke angegebene Daten stets „Gesundheitsdaten“ im Sinne des Art. 9 Abs. 1 DSGVO?
  • Können Wettbewerber nach dem deutschen UWG gegen Mitbewerber wegen Datenschutzverstößen vorgehen?

Nachfolgend möchte ich mich allein auf die erste Frage fokussieren. Wie weit ist der Begriff „Gesundheitsdaten“ nach der DSGVO zu verstehen?

Das vorlegende Gericht möchte wissen, ob die Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, nicht aber verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, „Gesundheitsdaten“ im Sinne von Art. 9 Abs. 1 DSGVO sind.

Rückschau – strenge Ansicht des EuGH

„Moment“, mag man sich fragen. Hat der EuGH nicht bereits seine Position zu diesem Thema deutlich gemacht?

Eigentlich schon, dachten wir. Zumindest hat der EuGH in seinem Urteil vom 4.7.2023 in der Rs. C-252/21 (Meta Platforms u.a.) eine sehr strenge Ansicht vertreten und die Voraussetzungen für die Annahme, dass Gesundheitsdaten vorliegen, extrem niedrig angesetzt.

Nach Ansicht des EuGH gilt das in Art. 9 Abs. 1 DSGVO vorgesehene grundsätzliche Verbot der Verarbeitung nämlich

unabhängig davon, ob die durch die fragliche Verarbeitung offengelegte Information richtig ist oder nicht und ob der Verantwortliche mit dem Ziel handelt, Informationen zu erhalten, die unter eine der in dieser Bestimmung genannten besonderen Kategorien fallen“. (Rz. 69)

Für den EuGH spielte es bei der Einordnung von Informationen als „Gesundheitsdaten“ mithin keine Rolle, ob die Daten 1) sachlich richtig sind, also etwa wirklich auf physische oder z.B. psychische Zustände hinweisen, die tatsächlich existieren und 2) für welchen Zweck diese Daten verwendet werden. Der Kontext der Verarbeitung spielte aus Sicht des EuGH für die Einordnung nach Art. 9 Abs. 1 DSGVO keine Rolle.

Art. 9 Abs. 1 DSGVO ziele darauf ab,

solche Datenverarbeitungen unabhängig von ihrem erklärten Zweck zu verbieten“. (Rz. 70)

Die Gegenansicht – wir können nicht alle Informationen zu „Gesundheitsdaten“ werden lassen

Generalanwalt Szpunar hat in seinen neuen Schlussanträgen nun Argumente vorgebracht, die aus meiner Sicht gegen diese Auslegung des EuGH sprechen und den Anwendungsbereich von „Gesundheitsdaten“ einschränken würden.

Hierbei stellt der Generalanwalt die Formel auf, dass es eines Mindestmaßes an Gewissheit der Schlussfolgerungen aus Informationen bedürfe, die über den Gesundheitszustand einer betroffenen Person gezogen werden können (ab Rz. 44). Interessanterweise verwendet er dazu auch die beiden Kriterien des Inhalts bzw. der Richtigkeit der Daten (Merkmal 1) sowie des Zwecks / Kontextes der Verarbeitung (Merkmal 2) – also jene Faktoren, die auch schon der EuGH erwähnte.

Die Kernaussage des Generalanwalts für die Prüfung, ob „Gesundheitsdaten“ vorliegen, ist: sowohl der Inhalt der in Rede stehenden Daten (Merkmal 1) als auch sämtliche Umstände ihrer Verarbeitung (Merkmal 2) müssen geprüft werden, um festzustellen, ob aus ihnen mit einem gewissen Grad an Sicherheit (neues Merkmal 3) Informationen über den Gesundheitszustand der betroffenen Person abgeleitet werden können (Rz. 49).

Der Generalanwalt ergänzt die beiden bekannten Merkmale 1 und 2 um ein drittes Merkmal: es muss ein gewisser Grad an Sicherheit bestehen, dass Informationen sich tatsächlich auf den Gesundheitszustand einer Person beziehen. Eventuell mag man dieses dritte Merkmal auch dem von mir benannten Merkmal 1, der Richtigkeit der Daten, zuordnen.

Merkmale 1 und 3 – Richtigkeit der Informationen und gewisser Gerad an Sicherheit

Aus dem Wortlaut von Art. 4 Nr. 15 DSGVO und ErwG 35 DSGVO leitet der Generalanwalt ab, dass das entscheidende Merkmal für die Feststellung, dass bestimmte personenbezogene Daten Gesundheitsdaten sind, der Umstand ist,

dass aus den betreffenden Daten Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können.“ (Rz. 37)

„Gesundheitsdaten“ können daher zwar auch Informationen sein, die allein Rückschlüsse auf den Gesundheitszustand der betroffenen Person zulassen. Dieser Rückschluss muss nach Ansicht des Generalanwalt aber mit Indizien untermauert und darf nicht rein hypothetisch sein.

So stellen etwa Daten, die von einer App erhoben werden, die die von der betroffenen Person zurückgelegten Schritte zählt, keine „Gesundheitsdaten“ dar, wenn die Anwendung diese Daten nicht mit anderen Daten dieser Person verknüpfen kann und die erhobenen Daten nicht in einem medizinischen Kontext verarbeitet werden (Rz. 41).

Es können überhaupt nur solche Informationen als „Gesundheitsdaten“ angesehen werden,

die geeignet sind, Rückschlüsse auf den Gesundheitszustand der betroffenen Person zuzulassen“. (Rz. 42)

Der EuGH hatte in seinem Urteil betont, dass die Richtigkeit der Daten keine Relevanz habe. Dies sieht der Generalanwalt offensichtlich anders. Die Daten müssen faktisch geeignet sein, einen Rückschluss auf die Gesundheit zuzulassen.

Die Schlussfolgerungen, die aus den Daten gezogen werden können, dürfen nicht lediglich potenziell sein. Im Sinne von: „Die Information zum Gesundheitszustand könnte sich auf die betroffene Person beziehen oder auch nicht. Das ist nicht klar.“

Die Informationen, die aus den Daten in Bezug auf den Gesundheitszustand der betroffenen Person hervorgehen, dürfen

keine bloßen Vermutungen sein, sondern müssen ein Mindestmaß an Gewissheit bieten“. (Rz. 46)

Basierend auf diesen Ansichten, ein Beispiel: eine Person betrifft eine Apotheke und wird dabei per Video aufgezeichnet. Art. 9 Abs. 1 DSGVO anwendbar? Ohne weitere Informationen dazu, dass diese Person tatsächlich krank ist (Indizien), würde der Generalanwalt hier wohl ein Vorliegen von Gesundheitsdaten ablehnen. Denn auch gesunde Personen können eine Apotheke betreten, um z.B. Pflaster oder Bonbons zu kaufen.

Im vorliegenden Verfahren (Bestelldaten bei einer Online-Apotheke) sieht der Generalanwalt diese erforderlichen Indizien gerade als nicht gegeben bzw. als zu „schwach“ an. Er lehnt daher das Vorliegen von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO ab (Rz. 43).

Merkmal 2 – Zweck und Kontext

Zudem vertritt der Generalanwalt, ebenfalls anders als der EuGH, die Ansicht, dass es sehr wohl von den Umständen des jeweiligen Falls abhängt, ob Daten als Gesundheitsdaten eingestuft werden können. Insbesondere müssten der Kontext, in dem die Daten gesammelt werden, und die Art und Weise, wie sie verarbeitet werden, beachtet werden (Rz. 47). Hier vertritt der Generalanwalt also sehr klar eine andere Ansicht als der EuGH, der ja den Zweck der Verarbeitung völlig ausklammern wollte.

Zusätzlich schlägt der Generalanwalt vor, etwa die Identität des Verantwortlichen in diesem Zusammenhang zu beachten. Wenn die Daten nämlich von einer Stelle im Gesundheitsbereich verarbeitet werden, kann ein Indiz dafür sein, dass es sich bei diesen Daten tatsächlich um „Gesundheitsdaten“ handelt (Rz. 48).

Insgesamt verlangt der Generalanwalt also, dass es Indizien und ein Mindestmaß an Gewissheit geben müsse, dass Daten sich faktisch wirklich auf den Gesundheitszustand einer Person beziehen. Diese Indizien können sich auf dem Inhalt der Daten, den Umständen der Verarbeitung und den Zwecken ergeben.

Im konkreten Fall lehnt der Generalanwalt das Vorliegen von „Gesundheitsdaten“ nach Art. 9 DSGVO ab, weil aus den betreffenden Daten

nur hypothetische oder ungenaue Rückschlüsse auf den Gesundheitszustand der Person, die die Online-Bestellung vornimmt, gezogen werden können, was zu überprüfen Sache des vorlegenden Gerichts ist“. (Rz. 54)

Ein Argument: die nicht verschreibungspflichtigen Arzneimittel werden häufig vorsorglich gekauft, um sie im Bedarfsfall zur Verfügung zu haben. Beispielsweise lasse eine Bestellung von Paracetamol keinen Rückschluss auf den genauen Zustand einer Person zu, weil dieser Wirkstoff zur Behandlung einer Vielzahl von Schmerzen und Fieberzuständen indiziert ist und häufig zu den Medikamenten gehört, die Menschen auch ohne besonderen Bedarf zu Hause haben (Rz. 51).

Ausblick

Nun müssen wir abwarten, wie der EuGH mit diesen Gegenargumenten umgeht. Aus praktischer Sicht wäre es wünschenswert, wenn der Anwendungsberiech von Art. 9 Abs. 1 DSGVO nicht zu weit ausgedehnt wird und ansonsten viele Alltagssituationen erfassen würde. Diese Gefahr sieht auch der Generalanwalt: „Sofern nicht ein sehr großer Teil der Datenverarbeitung im Online-Handel der Regelung in Art. 9 Abs. 2 DSGVO unterworfen werden soll, scheint es mir daher notwendig, die Auslegung des Begriffs „Gesundheitsdaten“ in dem Sinne weiter zu verfeinern, dass die Schlussfolgerungen, die aus den Daten einer Bestellung gezogen werden können, nicht lediglich potenziell sein dürfen.“ (Rz. 46).

Neuer Referentenentwurf: Recht (Pflicht) auf Verschlüsselung bei Telemedien? Unklare Vorschläge und Risiko der Europarechtswidrigkeit

Posted on by

Das Bundesministeriums für Digitales und Verkehr (BMDV) hat mit Stand 07.02.24 einen Referentenentwurf für ein erstes Gesetz zur Änderung des Telekommunikation- Telemedien-Datenschutz-Gesetzes (TTDSG) erarbeitet (netzpolitik.org hat den Entwurf veröffentlicht). Ziel der vorgeschlagenen Regelungen (zumindest laut der Begründung): sog. nummernunabhängige interpersonelle Telekommunikationsdienste (also etwa E-Mail- Dienste, Messengerdienste und Chat-Dienste) sollen dazu verpflichtet werden, als Standard eine Ende-zu-Ende-Verschlüsselung anzubieten. Also eine Pflicht zur Verschlüsselung.

Für die breitere Praxis relevant, weil Telemedien (also insbesondere Online-Angebote) erfasst sind: „das Gleiche“ soll für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten gelten. Das betrifft aber (anders als man meinen mag) nicht nur die „Großen“ wie AWS, Azure oder Apple.

Nachfolgend möchte ich kritisch auf einige Aspekte des Entwurfs konkret bezogen auf Cloud-Dienste eingehen.

Geplante Vorgabe, § 19 Abs. 6 TTDSG
Es soll ein neuer § 19 Abs. 6 TTDSG eingefügt werden:

(6) „Anbieter von Telemedien, deren Dienstleistung darin besteht, vom Nutzer von Te- lemedien bereitgestellte Informationen für diesen auf einem Datenspeicher zum Abruf bereitzuhalten, informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, die gewährleistet, dass die Informationen nur vom bereitstellenden Nutzer gelesen werden können.“

Adressiert werden hier gerade nicht nur die (kleinere) Gruppe von nummernunabhängige interpersonelle Telekommunikationsdiensten, sondern allgemein Anbieter von Telemedien (etwa Webseiten und Apps), die aber zusätzlich noch als Leistung das Speichern von Informationen anbieten müssen. Diese Fallgruppe kann aber ziemlich umfassend sein, wenn man etwa Angebote (B2B und auch B2C) in den Blick nimmt, die für ihre Nutzer z.B. Rechnungen und Belege zum Abruf bereithalten, das Hochladen von Fotos und Videos ermöglichen oder Kundenkonten und dort enthaltene Angaben speichern etc.

Pflicht zur Verschlüsselung?
Unklar ist aber bereits, ob für diese Anbieter

  • eine Pflicht zur Verschlüsselung,
  • eine Pflicht zum Vorhalten der Möglichkeit der Verschlüsselung oder
  • nur eine Pflicht zur Information über eine mögliche Verschlüsselung
    geschaffen werden soll.

§ 19 Abs. 6 TTDSG spricht eher für eine reine Informationspflicht. „informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, …“ Dies würde dann aber auch kein „Recht auf Verschlüsseung“ für Betroffene schaffen.

So wird auch in der Begründung zu § 19 Abs. 6 TTDSG (S. 12 des Entwurfs) ausgeführt: „In § 19 Absatz 6 wird eine Informationspflicht hinsichtlich der Möglichkeiten einer sicheren und durchgehenden Verschlüsselung der bereitgestellten Informationen bei der Nutzung von Cloud-Speichern eingeführt“.

Ganz anders lautet dagegen die Begründung in Teil A des Entwurfs (S. 7): „Das Recht auf Verschlüsselung wird hier für solche Clouddienste geregelt, die als Speicherdienste fungieren, die von den meisten Unternehmen, aber auch von Bürgerinnen und Bürgern zunehmend genutzt werden…“ und „Anbieter von Clouddiensten sollten zur Gewährleistung des Datenschutzes und der Cybersicherheit im Rahmen ihrer technischen und organisatorischen Vorkehrungen gewährleisten, dass die Nutzer solcher Dienste die gespeicherten Informationen mit einer sicheren und durchgängigen Verschlüsselung schützen können“.

Hier wird vorgegeben, dass Anbieter zumindest die Verschlüsselung „gewährleisten“ müssen.

Danach wird aber wieder einschränkend erläutert: „Das Recht auf Verschlüsselung ist hier eine Informationspflicht des Anbieters, da die Verschlüsslung in den Händen des jeweiligen Nutzers liegt.“

Mir ist daher aktuell nicht klar, welche konkreten Pflichten für die betroffenen Anbieter von Telemedien mit dem Entwurf vorgesehen werden sollen.

Welche Art der Verschlüsselung?
Doch die Unklarheiten des Vorschlags gehen weiter.

§ 19 Abs. 6 TTDSG spricht von einer „durchgehenden und sicheren Verschlüsselung“. Das ist etwas anderes, als die in dem vorgeschlagenen § 2 Abs. 2 Nr. 7 TTDSG eingefügte Legaldefinition der „sicheren Ende-zu-Ende-Verschlüsselung“.

Hätte der Entwurfsverfasser auch in § 19 Abs. 6 TTDSG eine Ende-zu-Ende-Verschlüsselung gemeint, hätte man dies dort erwähnen können (bzw. müssen). Denn an anderer Stelle des Entwurfs wird der Begriff ja sogar gesetzlich definiert. Da in Abs. 6 aber gerade diese Art der Verschlüsselung nicht erwähnt wird, muss es sich um eine andere Form der Verschlüsslung handeln. Eventuell „nur“ eine Transportverschlüsselung? Der Entwurf lässt potentielle Adressaten hierüber im Unklaren.

Widersprüchlich ist leider auch erneut die Begründung des Entwurfs. Auf S. 1 heißt es: „sollen nummernunabhängige interpersonelle Telekommunikationsdienste dazu verpflichtet werden, ihre Telekommunikationsdienste als Standard mit einer Ende-zu-Ende-Verschlüs- selung anzubieten. Das Gleiche gilt für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten,…

Hier wird also auf eine Ende-zu-Ende-Verschlüsselung abgestellt – die im vorgeschlagenen Normtext aber gerade fehlt.

Fehlende Regelungskompetenz – Verstoß gegen die DSGVO
Neben diesen inhaltlichen Mängeln des Vorschlags, schwebt über der angedachten Regelung in § 19 Abs. 6 TTDSG aber meines Erachtens ohnehin das Damoklesschwert der Europarechtswidrigkeit (wie im Übrigen über dem ganzen § 19 TTDSG).

Nach der Begründung des Entwurfs und auch des Textes zu § 19 Abs. 6 TTDSG sollen „bereitgestellt Informationen“ verschlüsselt werden.

Personenbezogene Daten erfasst? DSGVO anwendbar
Aufgrund der weite dieses Begriffs, dürften hiervon natürlich auch personenbezogene Daten (z.B. Bilder, Videos, Rechnungen in Kundenkonten etc.) erfasst sein. Oder anders ausgedrückt: wenn der Vorschlag aus dem BMDV überhaupt nicht personenbezogene Daten beim „Recht auf Verschlüsselung“ umfassen würde, könnte man die Initiative im Bereich Cloud-Dienste wohl gleich wieder beerdigen, da es nur wenige Anwendungsbereiche gäbe.

Wenn aber § 19 Abs. 6 TTDSG auch personenbezogene Daten umfasst, wird sich hinsichtlich der Stoßrichtung des Vorschlags eine ganz entscheidende Frage stellen:

  • ist mit der Regelung eine Pflicht zur Verschlüsselung oder
  • mindestens eine Pflicht zum Vorhalten von Verschlüsselungsmöglichkeiten vorgesehen?

Kollision mit Vorgaben des Art. 32 DSGVO
Sollte eine dieser Fragen mit „ja“ beantwortet werden, kollidiert die Regelungen mit den unmittelbar geltenden Vorgaben der DSGVO, insbesondere Art. 32 DSGVO, der gerade keine Pflicht zur Verschlüsselung vorsieht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Art. 32 Abs. 1 a) DSGVO sieht beispielhaft die Verschlüsselung vor – aber nicht verpflichtend.

§ 19 Abs. 6 TTDSG würde also, wenn man hier eine Pflicht schaffen will, von den Vorgaben des Art. 32 DSGVO abweichen. Wohl im Sinne einer „strengeren“ Regelung.

Abweichung möglich? Keine Öffnungsklausel
Die DSGVO gilt als EU-Verordnung unmittelbar in Deutschland. Soweit ihr Anwendungsbereich betroffen ist, also personenbezogene Daten verarbeitet werden, soll die DSGVO nach Ansicht des EuGH (vgl. etwa C-319/20, Rz. 57) eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Verordnungen nach Art. 288 AEUV haben sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären (Rz. 58).

Von dieser Regel gibt es in der DSGVO aber Ausnahmen. Der EuGH hat hierzu geurteilt, dass einzelne Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit eröffnen, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen („Öffnungsklauseln“). Mitgliedstaaten dürfen nur unter den Voraussetzungen und innerhalb der Grenzen eben dieser Bestimmungen von den Vorgaben der DSGVO abweichen (Generalanwalt, C-319/20, Rz. 52).

Das Problem: für das Thema der zwingenden Verschlüsselung personenbezogener Daten bei Telemedien sieht die DSGVO gar keine Öffnungsklausel vor.

  • Art. 32 DSGVO enthält eine solche Ausnahme bzw. Öffnungsklausel für Mitgliedstaaten gerade nicht.
  • Die Einschränkungsmöglichkeiten des Art. 23 DSGVO sind auf Art. 32 DSGVO nicht anwendbar.
  • Öffnungsklauseln aus Kapitel IX dürften hier auch nicht einschlägig sein.

Fazit
Ich bin gespannt, wie sich der nun vorliegende Referentenentwurf inhaltlich entwickelt. Derzeit sehe ich aber sowohl konkret inhaltliche Probleme bzgl. der einzelnen Vorgaben, als auch abstrakt strukturelle Risiken hinsichtlich des Verhältnisses zur DSGVO.

BDSG-Reform: Bundesregierung verabschiedet Entwurf zur Änderung des BDSG (Videoüberwachung, Auskunftsanspruch, gemeinsame Verantwortliche und Scoring)

Posted on by

Die Bundesregierung hat heute ihren Entwurf für ein Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) verabschiedet (Gesetzentwurf, PDF). Nachfolgend möchte ich einen ganz kurzen Überblick zu einigen vorgeschlagenen Änderungen geben.

Die DSK wird im BDSG verankert

In einem neuen § 16a BDSG soll die Datenschutzkonferenz (DSK) im BDSG institutionalisiert werden. Es wird jedoch keine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK getroffen, da, so die Begründung, „damit wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berührt würden“.

Die Anpassung ist am Ende aus meiner Sicht nicht besonders praxisrelevant. Denn die DSK existiert bereits jetzt schon und hat auch eine Geschäftsordnung. Es wird als gesetzlich festgeschrieben, was bereits existiert.

Wegfall der Regelung zur Videoüberwachung für private Stellen

§ 4 Abs. 1 BDSG soll neu wie folgt gefasst werden:

Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen ist nur zulässig,…“.

Hierdurch wird die Regelung zur Videoüberwachung öffentlich zugänglicher Räume durch nichtöffentliche Stellen, also insbesondere Unternehmen, aus dem Bundesrecht genommen. Die Zulässigkeit dieser Videoüberwachung ergibt sich unmittelbar aus Art. 6 Abs. 1 lit. f DSGVO.

Mögliche Auswirkung: sollte die Regelung so in Kraft treten, wäre bei Hinweisschildern zur Videoüberwachung an eine Anpassung hinsichtlich der Rechtsgrundlage zu denken, wenn dort noch auf § 4 Abs. 1 BDSG verwiesen wird.

Wichtig für die Praxis: Einschränkung des Auskunftsrechts bei Geschäftsgeheimnissen

Eine praxisrelevante Anpassung wird in § 34 Abs. 1 BDSG vorgeschlagen. Es soll folgender Satz neu angefügt werden:

Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“

Laut der Gesetzesbegründung soll klargestellt werden, dass im Rahmen der Ausnahmen von dem Recht auf Auskunft (Art. 15 Abs. 4 DSGVO) unter den Schutz „anderer Personen“ auch der Verantwortliche fällt und gewisse herauszugebende Daten einen rechtlichen Schutz genießen. „Betriebs- und Geschäftsgeheimnisse genießen einen solchen Schutz“.

Die Ausnahme greift dann, wenn das Interesse an der Geheimhaltung der Betriebs- und Geschäftsgeheimnisse das Interesse der betroffenen Person an der Information überwiegt.

Diese Klarstellung ist zu begrüßen, jedoch wohl nicht zwingend erforderlich, da bereits ErwG 63 DSGVO „Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse“ ausdrücklich erwähnt.

Zuständige Aufsichtsbehörde bei gemeinsam Verantwortlichen

Zudem soll ein neuer § 40a BDSG mit dem Titel „Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen“ eingefügt werden.

Die Regelung soll in Situationen gelten, in denen mehrere Unternehmen gemeinsam Verantwortliche (Art. 26 DSGVO) sind und mehrere Aufsichtsbehörden für sie zuständig wären. Dann sollen diese Verantwortlichen gemeinsam anzeigen können,

dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat“.

Die Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind. Sie muss etwa die Vereinbarung gem. Art. 26 DSGVO enthalten.

Wichtige Folge dieser Anzeige: ab dem Zeitpunkt, zu dem die Anzeige bei der zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde.

Vorgaben zum Scoring

Neu eingefügt (wenn auch angelehnt an den bisherigen § 31) wird ein § 37a BDSG, der Anforderungen an die Erstellung und auch Verwendung von „Wahrscheinlichkeitswerten“ regeln soll.

Nach § 37a Abs. 1 Nr. 1 BDSG dürfen etwa folgende Daten nicht für die Erstellung der Wahrscheinlichkeitswerte genutzt werden: besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Anschriftendaten.

OLG Nürnberg zum Auskunftsanspruch eines Vorstandsmitglieds – langjährige Unternehmenszugehörigkeit und großer Aufwand für den Arbeitgeber steht der Geltendmachung nicht entgegen

Posted on by

Das OLG Nürnberg hat sich in seiner Entscheidung vom 29. November 2023 (4 U 347/21) mit einem „Klassiker“ des Datenschutzrechts befasst: dem Auskunftsanspruch eines ehemaligen Mitarbeiters gegen den Arbeitgeber und die Frage, ob diesem Anspruch eventuell ein Missbrauchseinwand entgegengehalten werden kann.

Sachverhalt

Der Kläger macht als ehemaliger Mitarbeiter, zuletzt als Vorstandsmitglied der Beklagten, Auskunfts- und Herausgabeansprüche nach Art. 15 Abs. 1 und Abs. 3 DSGVO gegenüber seinem ehemaligen Arbeitgeber geltend. Der Kläger war vom 1.1.2000 bis zum 30.09.2016 in verschiedenen Positionen im Unternehmen tätig. Zuletzt mehrere Jahre als Vorstandsmitglied. Die Beklagte erteilte Auskunft in Bezug auf gespeicherte Personalstamm- und BAV-Daten (ich vermute „betriebliche Altersvorsorge“) des Klägers. Jedoch verlangte der Kläger eine Kopie aller bei der Beklagten gespeicherten personenbezogenen Daten des Klägers.

Das LG Nürnberg-Fürth (Endurteil vom 29.01.2021 – 11 O 5353/20) wies die Klage ab.

Entscheidung

Das OLG gab der Berufung des Klägers statt und verurteilte die beklagte Arbeitgeberin:

  • dem Kläger Auskunft über alle bei ihr gespeicherten personenbezogenen Daten des Klägers zu erteilen
  • eine Kopie aller bei ihr gespeicherten personenbezogenen Daten des Klägers herauszugeben.

Relevant an der Entscheidung des OLG ist, dass sich das Gericht in seiner Begründung bereits auf die neueste Rechtsprechung des EuGH zum Auskunftsanspruch nach Art. 15 DSGVO stützt.

Die Beklagte machte geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO sei. Ein verständlicher Einwand, da der Kläger über 15 Jahre im Unternehmen tätig war. Zudem brachte die Beklagte den Einwand des Missbrauchs vor, dass der Kläger die Daten wohl nicht aus datenschutzrechtlichen Motiven herausverlangte.

Das OLG lies beide Einwände jedoch nicht gelten.

Datenschutzfremde Zwecke

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liege kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Das OLG verweist hier auf das Urteil des EuGH vom 26.10.2023 – C-307/22, wonach Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in ErwG 63 S. 1 DSGVO genannten Zwecken begründet wird.

Großer Aufwand = exzessiv?

Auch sei der Anspruch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.

Nach Ansicht des OLG liegt kein Missbrauch vor,

wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen“.

Weiter geht das OLG davon aus, dass es kein Fall des Missbrauchs (in Form der „exzessiv“) darstelle, wenn die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist.

denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt

Auch, dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, stehe der Geltendmachung seiner Rechte nicht entgegen.

Ausblick – Missbrauchseinwand bleibt möglich

Die Entscheidung des OLG zeigt, wie die Vorgaben der EuGH-Urteile aus 2023 zu Art. 15 DSGVO in der Praxis Anwendung finden können. Gleichzeitig sollte man aus Sicht der Verantwortlichen beachten, dass auch der EuGH die Tür für Einwände gegen unbegründete oder missbräuchliche Ansprüche nicht in Gänze „geschlossen“ hat.

In seiner Entscheidung C-307/22 verweist der EuGH etwa auf Art. 15 Abs. 4 DSGVO und dass „[d]as Recht auf Erhalt einer Kopie … die Rechte und Freiheiten anderer Personen nicht beeinträchtigen [darf].“ Zudem geht der EuGH davon aus, dass das der betroffenen Person zuerkannte Recht, eine erste unentgeltliche Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zu erhalten, nicht uneingeschränkt gilt.

Zu beachten ist zudem, dass der EuGH in der Rechtssache C-307/22 einen möglichen Missbrauch gar nicht geprüft hat. Denn er ging davon aus, dass das vorlegende Gericht (der BGH) ausdrücklich festgestellt hat, dass der Antrag der betroffenen Person gerade nicht missbräuchlich sei. Der Missbrauchseinwand auf EU-Ebene ist damit aber nicht ausgeschlossen, wie auch der Generalanwalt in Fn. 20 seiner Schlussanträge klargestellt hat. Sollte der Auskunftsantrag missbräuchlich erfolgen, würde dies den Kläger

nach ständiger Rechtsprechung des Gerichtshofs daran hindern [würde], die ihm durch das Unionsrecht verliehenen Rechte geltend zu machen. Vgl. u. a. Urteil vom 27. Oktober 2022, Climate Corporation Emissions Trading (C‑641/21, EU:C:2022:842, Rn. 39 und die dort angeführte Rechtsprechung).

Gleichzeitig sollte man aber auch beachten, dass der Missbrauchseinwand natürlich die Ausnahme wäre und damit vom Verantwortlichen solide begründet sein muss. Pauschale Verweise auf einen möglichen hohen Arbeitsaufwand oder eine fehlende Begründung des Antrags, dürften dafür nicht genügen.

Hat das OLG Köln das EU-US Data Privacy Framework für unzulässig erklärt? Natürlich nicht.

Posted on by

Die Antwort lautet: natürlich nicht. Könnte das OLG auch gar nicht, da das EU-US Data Privacy Framework (genauer: der Durchführungsbeschluss (EU) 2023/1795 der EU-Kommission) für die Mitgliedstaaten und deren Gerichte bindend ist (vgl. schon EuGH, Schrems I, Rz. 51 & 52).

Sachverhalt

Das OLG Köln hat sich in seinem Urteil vom 3.11.2023 (6 U 58/23) u.a. mit der Frage von Datentransfers an Stellen in den USA auseinandergesetzt. Im Ergebnis sah das OLG diese Datenübermittlung als unzulässig an. Jedoch nicht, wie zum Teil im Internet zu lesen war, weil das EU-US Data Privacy Framework (DPF) ungenügend sei oder im DPF Rechtsschutzmöglichkeit in den USA fehlten.

Entscheidung

Das OLG prüft in seiner Entscheidung die Zulässigkeit von Datentransfers in die USA einmal für die Rechtslage vor Erlass des DPF und einmal danach. Das OLG lehnt im Ergebnis die Zulässigkeit wie folgt ab:

Die Datenübermittlung war auch unzulässig, da sie nicht von einem Erlaubnistatbestand der DSGVO gedeckt war.“

Und hier erkennt man eigentlich schon, um was es geht: den Erlaubnistatbestand der Datenübermittlung. Also Art. 6 DSGVO – nicht Vorgaben aus Kap. V zu Drittlandstransfers.

Vor Erlass des DPF

Für die Zeit vor Erlass des DPF geht das OLG Köln aber tatsächlich davon aus, dass Übermittlung weder nach 46 Abs. 1 DSGVO aufgrund geeigneter Garantien für ein angemessenes Datenschutzniveau in den USA als Drittland zulässig war – also auf Basis von EU-Standarddatenschutzklauseln. Zudem sei die Übermittlung auch nicht aufgrund einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO zulässig.

Hinsichtlich der EU-Standarddatenschutzklauseln sieht das OLG hier Probleme bei der Effektivität der zusätzlichen Schutzmaßnahmen, insbesondere um den Mangel des Fehlens von Rechtsschutzmöglichkeiten für Betroffene in den USA zu heilen.

Nach Erlass des DPF

Spannend und für uns in der aktuellen Situation relevant, ist natürlich die Frage, ob das OLG Datentransfers in die USA auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 Abs. 1 DSGVO nun für unzulässig erklärt hat. Wie bereits erwähnt: hat das OLG nicht.

Das OLG geht sogar davon aus, dass die empfangende Stelle unter dem DPF zertifiziert ist:

„Eine solche Teilnahme als „certified organisation“, …, ist auch für die G. L. festzustellen, wie aus dem Ausdruck der vom Department of Commerce betriebenen Webseite www.dataprivacyframework.gov…hervorgeht“ (Rz. 81)

Das Gericht prüft im Grund den bekannten datenschutzrechtlichen Standard bei Drittlandstransfers. Eine Datenübermittlung in ein Drittland muss auf zwei Ebenen zulässig sein:

  • Einmal als Verarbeitung nach Art. 6 DSGVO. Wir benötigen eine Rechtsgrundlage.
  • Und parallel dazu als Drittlandstransfer nach Kap. V DSGVO.  

Und das OLG prüft hier für die Frage der Zulässigkeit der Datenübermittlung konsequenterweise dann eben die Rechtmäßigkeit nach Art. 6 DSGVO. Ob also für die Übermittlung ein Erlaubnistatbestand vorliegt.

Hinsichtlich des DPF erfolgen nur kurze Aussagen, die deutlich machen, dass das OLG den Beschluss der EU-Kommission akzeptieren muss.

Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ … stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen … . Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, die an dem DPF teilnehmen

Zurecht verweist das OLG aber darauf, dass auch bei Vorliegen eines Angemessenheitsbeschlusses

„die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein“

müssen. Hierzu zählt das OLG unter anderem das Erfordernis der in Kapitel II der DSGVO geregelten Einwilligung. Und hier sieht das OLG dann die rechtlichen Probleme. Bei dem Erlaubnistatbestand. Nicht jedoch bei der Frage, ob Datentransfers auf Grundlage des DPF in die USA übermittelt werden dürfen. Hierzu noch einmal der EuGH, hier aus Schrems II (Rz. 117 & 118):

„Nach Art. 288 Abs. 4 AEUV bindet ein Angemessenheitsbeschluss der Kommission in allen seinen Teilen alle Mitgliedstaaten und ist damit für alle ihre Organe verbindlich, soweit darin festgestellt wird, dass das betreffende Drittland ein angemessenes Schutzniveau gewährleistet, und die Übermittlung personenbezogener Daten im Ergebnis genehmigt wird“.

„Solange der Angemessenheitsbeschluss vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihre Organe, zu denen ihre unabhängigen Aufsichtsbehörden gehören, somit zwar keine diesem Beschluss zuwiderlaufenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich der Beschluss bezieht, kein angemessenes Schutzniveau gewährleistet…, und mit denen infolgedessen die Übermittlung personenbezogener Daten in dieses Drittland ausgesetzt oder verboten wird.“

Also, bitte keine unnötige Panik aufkommen lassen. Das DPF gilt derzeit noch. Gleichzeitig zeigt die Entscheidung aber gut, dass man bei Drittlandstransfers den Fokus eben nicht allein auf Kap. V DSGVO legen sollte, sondern auch alle anderen Anforderungen einer Verarbeitung beachten muss.

EuGH: Verantwortliche haftet für Datenverarbeitungen des Auftragsverarbeiters

Posted on by

Neben dem Urteil in der Rechtssache C-807/21 (Deutsche Wohnen) hat der EuGH am 5. Dezember 2023 eine weitere wichtige Entscheidung (C-683/21) getroffen. Die dortigen Feststellungen sind aus meiner Sicht für die alltägliche Praxis im Datenschutzrecht besonders wichtig – denn es geht um das Verhältnis zwischen dem Verantwortlichen und seinem Auftragsverarbeiter und die Haftung für Tätigkeiten des Dienstleisters.

Sachverhalt

Der Hintergrund der Entscheidung ist einigermaßen skurril. Der Gesundheitsminister der Republik Litauen beauftragte den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) damit, den Erwerb eines IT‑Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Covid-Pandemie zu organisieren.

Eine Person, die sich als Vertreter des NZÖG ausgab, teilte einem Unternehmen (App-Entwickler) mit, dass das NZÖG das Unternehmen als Entwickler einer entsprechenden mobilen Anwendung ausgewählt habe. Diese Person versendete in der Folge E‑Mails an das Unternehmen (mit Kopie an den Direktor des NZÖG) hinsichtlich verschiedener Aspekte der Entwicklung dieser Anwendung.

Die App, in der der App-Entwickler und das NZÖG in der Datenschutzerklärung gemeinsam genannt waren, war irgendwann im Google Play Store und im Apple App Store zum Herunterladen verfügbar und wurde von mehreren Tausend Personen genutzt.

An den App-Entwickler wurde aber nie ein öffentlicher Auftrag zum Erwerb der App vergeben. Das NZÖG forderte dann den App-Entwickler auf, es in der mobilen Anwendung in keiner Weise zu erwähnen. Außerdem teilte es mit, dass das Vergabeverfahren wegen fehlender Mittel für den Erwerb der Anwendung beendet worden sei.

Wer ist Verantwortlicher?

Die erste durch den EuGH zu beantwortende Frage war, ob das NZÖG in dieser Konstellation datenschutzrechtlich Verantwortlicher für die Datenverarbeitung über App sein konnte. Wohlgemerkt wurde ein offizieller Auftrag im Rahmen einer Ausschreibung nicht erteilt.

Der EuGH geht aber dennoch davon aus, dass

die Entwicklung der in Rede stehenden mobilen Anwendung vom NZÖG in Auftrag gegeben wurde und dazu dienen sollte, das von ihm gesetzte Ziel umzusetzen, nämlich die Covid‑19-Pandemie durch ein IT‑Tool zur Erfassung und Überwachung der Daten von Personen, die mit Trägern des Covid‑19-Virus in Kontakt standen, zu bewältigen“.

Zudem habe das NZÖG vorgesehen, dass zu diesem Zweck personenbezogene Daten der Nutzer der mobilen Anwendung verarbeitet werden.

Außerdem, so der EuGH, geht aus der Vorlageentscheidung hervor, dass die Parameter dieser Anwendung, z. B. welche Fragen gestellt werden und wie diese formuliert sind, an den Bedarf des NZÖG angepasst wurden und dass das NZÖG bei ihrer Festlegung eine aktive Rolle gespielt hat.

Der EuGH prüft also hier die zwei entscheidenden Merkmale der Verantwortlichkeit: Entscheidung über Mittel und Zwecke der Verarbeitung und kommt zu folgendem Ergebnis:

Unter diesen Umständen ist grundsätzlich davon auszugehen, dass das NZÖG tatsächlich an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt hat.“

Der EuGH nimmt hier also eine Rolle als Verantwortlicher für NZÖG an.

Wichtig für die Praxis sind die Hinweise des EuGH dazu, welche Kriterien nicht zwingend für eine Verantwortlichkeit sprechen:

  • Der bloße Umstand, dass das NZÖG in der Datenschutzerklärung der mobilen Anwendung als Verantwortlicher genannt wurde
  • Dass die Anwendung Links zum NZÖG enthielt

Diese Umstände sind auch Sicht des EuGH nur dann für die Frage der Verantwortlichkeit relevant,

„wenn feststeht, dass das NZÖG dem ausdrücklich oder stillschweigend zugestimmt hat.“

Gleichzeitig macht der EuGH (wieder einmal) deutlich, wie weit er die Figur der Verantwortlichkeit nach der DSGVO versteht.

Die Umstände

  • dass das NZÖG selbst keine personenbezogenen Daten verarbeitet hat
  • dass kein Vertrag zwischen dem NZÖG und dem App-Entwickler bestand
  • dass das NZÖG die mobile Anwendung nicht erworben hat
  • dass es die Verbreitung dieser App über Online-Shops nicht genehmigt hat

schließen es nach Ansicht des EUGH gerade nicht aus,

dass das NZÖG als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann.“

Bedeutet für uns in der Praxis: die Verantwortlichkeit beginnt früh und eventuell schneller als man denkt. Der EuGH stellt sehr klar allein auf die entscheidenden Merkmale der Entscheidung über Mittel und Zwecke ab. Für die Verantwortlichkeit spielen rein formelle Aspekte, wie etwa ein Vertrag oder der Erwerb der Anwendung, keine Rolle, solange Anhaltspunkte dafür vorhanden sind, dass eine Stelle an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirkt.

Beauftragt also eine Stelle ein anderes Unternehmen mit der Entwicklung einer App und hat es in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die App vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt, kann dies Stelle als Verantwortlicher angesehen werden, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt.

Bußgeld gegen den Verantwortlichen für Tätigkeiten des Auftragsverarbeiters

Als Parallele zu dem Verfahren Deutsche Wohnen, ging es auch hier um die Frage der Haftung des Verantwortlichen.

Im hiesigen Fall war nun aber die Besonderheit, dass die NZÖG ja selbst keine Daten verarbeitet hat. Dies erfolgte vielmehr durch den App-Entwickler.

Die Frage war dann, ob eine Geldbuße gegen einen Verantwortlichen für Verarbeitungsvorgänge verhängt werden kann, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden.

Der EuGH ist in diesem Punkt, dass muss man so sagen, ganz klar und beantwortet die Frage mit „ja“.

In seiner Begründung erinnert der EuGH etwa daran, dass ein Auftragsverarbeiter nach der Definition in Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Hierauf folgt, dass ein Verantwortlicher,

nicht nur für jedwede Verarbeitung personenbezogener Daten, die durch ihn selbst erfolgt, sondern auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich ist“.

Die rechtliche Verantwortlichkeit und damit Haftung erstreckt also auch auf Tätigkeiten des eingesetzten Auftragsverarbeiters.

Daher, so der EuGH,

kann gegen ihn eine Geldbuße nach Art. 83 der DSGVO verhängt werden, wenn personenbezogene Daten unrechtmäßig verarbeitet werden und die Verarbeitung nicht durch ihn, sondern durch einen Auftragsverarbeiter, an den er sich gewandt hat, in seinem Namen erfolgt ist“.

Von der Bußgeldhaftung des Verantwortlichen für den Auftragsverarbeiter gibt es jedoch Ausnahmen, die der EuGH benennt:

  • In Fällen, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet
  • diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist
  • auf eine Weise verarbeitet, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.

In diesen drei Fällen gilt der Auftragsverarbeiter nach Art. 28 Abs. 10 DSGVO nämlich in Bezug auf eine solche Verarbeitung als Verantwortlicher.

Die Ausführungen des EuGH bedeuten in der Praxis, dass man besonderes Augenmerk auf den Inhalt der Auftragsverarbeitungsverträge und der Weisungen zur Verarbeitung legen sollte. Im Grunde haftet der Verantwortliche für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der Weisungen bleibt. Je weiter eine Weisung bzw. der Zweck der beauftragten Verarbeitung aber nun definiert ist, desto größer ist natürlich auch ein potentielles Haftungsrisiko für den Verantwortlichen.

Die Formulierung „Zur Durchführung des Hauptvertrages“ in einem AV-Vertrag wird in der Praxis viel mehr Interpretationsspielraum bieten, ob eine Verarbeitung wirklich im Rahmen des Auftrages erfolgt, als etwa eine genau Beschreibung der einzelnen Leistungen und Datenverarbeitungen.

750 EUR DSGVO-Schadenersatz wegen Auskunft „erst“ nach 19 Tagen? Ich meine: nein. 

Posted on by

Derzeit wird in der Datenschutzszene ein Urteil des Arbeitsgerichts (ArbG) Duisburg vom 03.11.2023 (Az. 5 Ca 877/23) diskutiert. Das ArbG sprach dem Kläger 750 EUR Schmerzensgeld zu, weil ein Unternehmen eine (Negativ)Auskunft nach Art. 15 DGSVO „erst“ nach 19 Kalendertagen erteilt hatte. Der Kläger war ein früherer Bewerber. Nach Ansicht des ArbG stellt diese Verzögerung der Auskunft einen Verstoß gegen Art. 12 Abs. 3 DSGVO. 

Nach Sichtung des Urteils und der Gründe würde ich als Verantwortlicher jedoch nicht in Panik verfallen. Unter datenschutzrechtlichen Gesichtspunkten ist, meines Erachtens, die Begründung des ArbG an mehreren Stellen angreifbar und ebenso ein anderes Ergebnis vertretbar. 

Der rein nationale Blick auf das Merkmal „unverzüglich“

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 

Nach Ansicht des ArbG sei unter „unverzüglich“, angelehnt an § 121 BGB, „ohne schuldhaftes Zögern“ zu verstehen. Zwar gesteht das Gericht ein, dass „unverzüglich“ nicht „sofort“ bedeutet. Jedoch geht es, unter Verweis auf eine Entscheidung des Bundesarbeitsgerichts, davon aus, dass nach einer Zeitspanne von mehr als einer Woche, ohne das Vorliegen besonderer Umstände, grundsätzlich keine Unverzüglichkeit mehr gegeben sei. 

Vorliegend gab das Unternehmen an, dass aufgrund von Wochenenden, Feiertagen und Brückentagen in dem betreffenden Zeitraum (Pfingsten), die Auskunft innerhalb von 9 Arbeitstagen erteilt wurde. Für das ArbG waren diese 9 Arbeitstage jedoch zu lang. 

Das ArbG legt hier also eine unmittelbar anwendbare EU-Verordnung und deren Vorgaben rein aus dem nationalen Rechtsverständnis aus. Dies verstößt gegen die Rechtsprechung des EuGH, konkret auch zur DSGVO. Der EuGH geht davon aus, dass (nach ständiger Rechtsprechung) die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (C-300/21, Rz. 29). 

Art. 12 Abs. 3 DSGVO verweist hinsichtlich des Begriffs „unverzüglich“ nicht auf das Recht der Mitgliedstaaten. Nach dem EuGH ist die Auslegung daher insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln (C-300/21, Rz. 29).

In diesem Fall ist der Begriff „unverzüglich“ für die Anwendung der DSGVO als autonomer Begriff des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen (so zum Begriff „Schaden“ in Art. 82 Abs. 1 DSGVO, C-300/21, Rz. 30).

Genau diese Auslegung nimmt das ArbG hier aber nicht. 

Zusatz: man könnte, völlig unabhängig von diesen europarechtlichen Erwägungen, auch noch entgegenhalten, dass bereits ein Landesarbeitsgericht eine andere Auffassung zu dem Begriff „unverzüglich“ vertreten hat; dies auch zeitlich vor dem Urteil des ArbG. Mit Blick auf die Monatsfrist des Art. 12 Abs. 3 DSGVO hat das LAG Baden-Württemberg entschieden, dass der Verantwortliche „vor Ablauf dieser Frist“ die Ansprüche nicht erfüllen braucht (hierzu mein Blogbeitrag).

Im Ergebnis bin ich sogar bei dem ArbG, dass hier keine starren Fristen gelten können; außer eben jene Monatsfrist. Dann jedoch, unter Verweis auf die Rechtsprechung des BAG, davon auszugehen, dass die Erteilung einer Negativauskunft nach 9 Arbeitstagen einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt, halte ich mit Blick auf die Rechtsprechung des EuGH für nicht richtig. 

Der angenommene Schaden – Kontrollverlust ohne Daten?

Selbst wenn man einen Verstoß gegen Art. 12 Abs. 3 DSGVO annehmen würde, sind meines Erachtens die Ausführungen des ArbG zum materiellen Schaden (750 EUR) angreifbar. Nach Ansicht des Gerichts hat er Kläger „durch die verspätete Auskunft einen Kontrollverlust hinsichtlich seiner Daten erlitten“. 

Einige werden sich fragen: aber, der Verantwortliche hatte doch gar keine Daten? Genau. Die wurden (wohl) mittlerweile gelöscht.

Nach Ansicht des ArbG „war der Kläger im Ungewissen und ihm die weitere Prüfung verwehrt, ob und ggf. wie die Beklagte seine personenbezogenen Daten verarbeitet“. Dies sei der Schaden. 

Eine solche Auslegung kollidiert aber meines Erachtens mit der aktuellen Rechtsprechung des EuGH und auch Schlussanträgen von Generalanwälten. 

Generalanwalt Collins geht etwa hinsichtlich des Schadens nach Art. 82 DSGVO davon aus, dass, auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, es eindeutiger und präziser Beweise dafür bedarf, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus (C‑182/22 und C‑189/22, Rz. 24).

Generalanwalt Pitruzzella geht davon aus, dass sich empirisch feststellen lasse, dass jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person führt. Eine Entschädigung, die für das bloße Gefühl des Unwohlseins über die Nichteinhaltung des Gesetzes durch einen Dritten geschuldet wird, könnte aber leicht mit einer Entschädigung ohne Schaden verwechselt werden, was aber nicht vom Tatbestand von Art. 82 DSGVO erfasst zu sein scheint (C‑340/21, Rz. 81).

Nach Ansicht des EuGH geht aus dem Wortlaut des Art. 82 Abs. 1 DSGVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (C-300/21, Rz. 32). Zudem ist eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, gerade nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (Rz. 50).

Vorliegend hatte der Kläger nur begründet, dass ein immaterieller Nachteil vorliege, wenn eine betroffene Person einen Kontrollverlust hinsichtlich eigener Daten erleide oder eine Einschränkung in ihren Rechten erfahre. Er habe auch ein emotionales Ungemach erfahren. Der Kläger trug hier aber gerade keine vom EuGH und auch den Generalanwälten geforderten konkreten Beweise für den Schaden an sich vor. Im Gegenteil spricht etwa die Auslegung von Generalanwalt Collins gegen die Anerkennung von „Ungemach“ als Schaden. 

Zuletzt muss man sich hier auch die konkrete Situation vor Augen halten: der Kläger hatte sich vor Jahren bei dem Verantwortlichen beworben – also selbst Daten übersendet. Wenn der Kläger aber nun einen, wohl gemerkt, hypothetischen Kontrollverlust als Schaden ersetzt verlangt, dann muss meines Erachtens auch berücksichtigt werden, dass die Daten ja erst durch den Kläger selbst in den Verantwortungsbereich des Unternehmens gelangten. 

Um es noch drastischer zu sagen: auf Basis der Argumentation des ArbG sende ich einfach wild meine Daten an verschiedene Unternehmen und mache danach Auskunftsanträge geltend. Wenn ein Unternehmen hierauf nicht, sagen wir innerhalb von 14 Tagen (kennen wir ja aus Deutschland als Richtschnur für die „Unverzüglichkeit“) antwortet, mache ich Schadenersatz nach Art. 82 DSGVO geltend, da ja in diesen 14 Tagen nicht klar war, ob ich nicht die Kontrolle über die Daten habe oder nicht. P.S.: die Kontrolle habe ich vorher selbst abgegeben.