Neuer Referentenentwurf: Recht (Pflicht) auf Verschlüsselung bei Telemedien? Unklare Vorschläge und Risiko der Europarechtswidrigkeit

Das Bundesministeriums für Digitales und Verkehr (BMDV) hat mit Stand 07.02.24 einen Referentenentwurf für ein erstes Gesetz zur Änderung des Telekommunikation- Telemedien-Datenschutz-Gesetzes (TTDSG) erarbeitet (netzpolitik.org hat den Entwurf veröffentlicht). Ziel der vorgeschlagenen Regelungen (zumindest laut der Begründung): sog. nummernunabhängige interpersonelle Telekommunikationsdienste (also etwa E-Mail- Dienste, Messengerdienste und Chat-Dienste) sollen dazu verpflichtet werden, als Standard eine Ende-zu-Ende-Verschlüsselung anzubieten. Also eine Pflicht zur Verschlüsselung.

Für die breitere Praxis relevant, weil Telemedien (also insbesondere Online-Angebote) erfasst sind: „das Gleiche“ soll für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten gelten. Das betrifft aber (anders als man meinen mag) nicht nur die „Großen“ wie AWS, Azure oder Apple.

Nachfolgend möchte ich kritisch auf einige Aspekte des Entwurfs konkret bezogen auf Cloud-Dienste eingehen.

Geplante Vorgabe, § 19 Abs. 6 TTDSG
Es soll ein neuer § 19 Abs. 6 TTDSG eingefügt werden:

(6) „Anbieter von Telemedien, deren Dienstleistung darin besteht, vom Nutzer von Te- lemedien bereitgestellte Informationen für diesen auf einem Datenspeicher zum Abruf bereitzuhalten, informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, die gewährleistet, dass die Informationen nur vom bereitstellenden Nutzer gelesen werden können.“

Adressiert werden hier gerade nicht nur die (kleinere) Gruppe von nummernunabhängige interpersonelle Telekommunikationsdiensten, sondern allgemein Anbieter von Telemedien (etwa Webseiten und Apps), die aber zusätzlich noch als Leistung das Speichern von Informationen anbieten müssen. Diese Fallgruppe kann aber ziemlich umfassend sein, wenn man etwa Angebote (B2B und auch B2C) in den Blick nimmt, die für ihre Nutzer z.B. Rechnungen und Belege zum Abruf bereithalten, das Hochladen von Fotos und Videos ermöglichen oder Kundenkonten und dort enthaltene Angaben speichern etc.

Pflicht zur Verschlüsselung?
Unklar ist aber bereits, ob für diese Anbieter

  • eine Pflicht zur Verschlüsselung,
  • eine Pflicht zum Vorhalten der Möglichkeit der Verschlüsselung oder
  • nur eine Pflicht zur Information über eine mögliche Verschlüsselung
    geschaffen werden soll.

§ 19 Abs. 6 TTDSG spricht eher für eine reine Informationspflicht. „informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, …“ Dies würde dann aber auch kein „Recht auf Verschlüsseung“ für Betroffene schaffen.

So wird auch in der Begründung zu § 19 Abs. 6 TTDSG (S. 12 des Entwurfs) ausgeführt: „In § 19 Absatz 6 wird eine Informationspflicht hinsichtlich der Möglichkeiten einer sicheren und durchgehenden Verschlüsselung der bereitgestellten Informationen bei der Nutzung von Cloud-Speichern eingeführt“.

Ganz anders lautet dagegen die Begründung in Teil A des Entwurfs (S. 7): „Das Recht auf Verschlüsselung wird hier für solche Clouddienste geregelt, die als Speicherdienste fungieren, die von den meisten Unternehmen, aber auch von Bürgerinnen und Bürgern zunehmend genutzt werden…“ und „Anbieter von Clouddiensten sollten zur Gewährleistung des Datenschutzes und der Cybersicherheit im Rahmen ihrer technischen und organisatorischen Vorkehrungen gewährleisten, dass die Nutzer solcher Dienste die gespeicherten Informationen mit einer sicheren und durchgängigen Verschlüsselung schützen können“.

Hier wird vorgegeben, dass Anbieter zumindest die Verschlüsselung „gewährleisten“ müssen.

Danach wird aber wieder einschränkend erläutert: „Das Recht auf Verschlüsselung ist hier eine Informationspflicht des Anbieters, da die Verschlüsslung in den Händen des jeweiligen Nutzers liegt.“

Mir ist daher aktuell nicht klar, welche konkreten Pflichten für die betroffenen Anbieter von Telemedien mit dem Entwurf vorgesehen werden sollen.

Welche Art der Verschlüsselung?
Doch die Unklarheiten des Vorschlags gehen weiter.

§ 19 Abs. 6 TTDSG spricht von einer „durchgehenden und sicheren Verschlüsselung“. Das ist etwas anderes, als die in dem vorgeschlagenen § 2 Abs. 2 Nr. 7 TTDSG eingefügte Legaldefinition der „sicheren Ende-zu-Ende-Verschlüsselung“.

Hätte der Entwurfsverfasser auch in § 19 Abs. 6 TTDSG eine Ende-zu-Ende-Verschlüsselung gemeint, hätte man dies dort erwähnen können (bzw. müssen). Denn an anderer Stelle des Entwurfs wird der Begriff ja sogar gesetzlich definiert. Da in Abs. 6 aber gerade diese Art der Verschlüsselung nicht erwähnt wird, muss es sich um eine andere Form der Verschlüsslung handeln. Eventuell „nur“ eine Transportverschlüsselung? Der Entwurf lässt potentielle Adressaten hierüber im Unklaren.

Widersprüchlich ist leider auch erneut die Begründung des Entwurfs. Auf S. 1 heißt es: „sollen nummernunabhängige interpersonelle Telekommunikationsdienste dazu verpflichtet werden, ihre Telekommunikationsdienste als Standard mit einer Ende-zu-Ende-Verschlüs- selung anzubieten. Das Gleiche gilt für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten,…

Hier wird also auf eine Ende-zu-Ende-Verschlüsselung abgestellt – die im vorgeschlagenen Normtext aber gerade fehlt.

Fehlende Regelungskompetenz – Verstoß gegen die DSGVO
Neben diesen inhaltlichen Mängeln des Vorschlags, schwebt über der angedachten Regelung in § 19 Abs. 6 TTDSG aber meines Erachtens ohnehin das Damoklesschwert der Europarechtswidrigkeit (wie im Übrigen über dem ganzen § 19 TTDSG).

Nach der Begründung des Entwurfs und auch des Textes zu § 19 Abs. 6 TTDSG sollen „bereitgestellt Informationen“ verschlüsselt werden.

Personenbezogene Daten erfasst? DSGVO anwendbar
Aufgrund der weite dieses Begriffs, dürften hiervon natürlich auch personenbezogene Daten (z.B. Bilder, Videos, Rechnungen in Kundenkonten etc.) erfasst sein. Oder anders ausgedrückt: wenn der Vorschlag aus dem BMDV überhaupt nicht personenbezogene Daten beim „Recht auf Verschlüsselung“ umfassen würde, könnte man die Initiative im Bereich Cloud-Dienste wohl gleich wieder beerdigen, da es nur wenige Anwendungsbereiche gäbe.

Wenn aber § 19 Abs. 6 TTDSG auch personenbezogene Daten umfasst, wird sich hinsichtlich der Stoßrichtung des Vorschlags eine ganz entscheidende Frage stellen:

  • ist mit der Regelung eine Pflicht zur Verschlüsselung oder
  • mindestens eine Pflicht zum Vorhalten von Verschlüsselungsmöglichkeiten vorgesehen?

Kollision mit Vorgaben des Art. 32 DSGVO
Sollte eine dieser Fragen mit „ja“ beantwortet werden, kollidiert die Regelungen mit den unmittelbar geltenden Vorgaben der DSGVO, insbesondere Art. 32 DSGVO, der gerade keine Pflicht zur Verschlüsselung vorsieht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Art. 32 Abs. 1 a) DSGVO sieht beispielhaft die Verschlüsselung vor – aber nicht verpflichtend.

§ 19 Abs. 6 TTDSG würde also, wenn man hier eine Pflicht schaffen will, von den Vorgaben des Art. 32 DSGVO abweichen. Wohl im Sinne einer „strengeren“ Regelung.

Abweichung möglich? Keine Öffnungsklausel
Die DSGVO gilt als EU-Verordnung unmittelbar in Deutschland. Soweit ihr Anwendungsbereich betroffen ist, also personenbezogene Daten verarbeitet werden, soll die DSGVO nach Ansicht des EuGH (vgl. etwa C-319/20, Rz. 57) eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Verordnungen nach Art. 288 AEUV haben sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären (Rz. 58).

Von dieser Regel gibt es in der DSGVO aber Ausnahmen. Der EuGH hat hierzu geurteilt, dass einzelne Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit eröffnen, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen („Öffnungsklauseln“). Mitgliedstaaten dürfen nur unter den Voraussetzungen und innerhalb der Grenzen eben dieser Bestimmungen von den Vorgaben der DSGVO abweichen (Generalanwalt, C-319/20, Rz. 52).

Das Problem: für das Thema der zwingenden Verschlüsselung personenbezogener Daten bei Telemedien sieht die DSGVO gar keine Öffnungsklausel vor.

  • Art. 32 DSGVO enthält eine solche Ausnahme bzw. Öffnungsklausel für Mitgliedstaaten gerade nicht.
  • Die Einschränkungsmöglichkeiten des Art. 23 DSGVO sind auf Art. 32 DSGVO nicht anwendbar.
  • Öffnungsklauseln aus Kapitel IX dürften hier auch nicht einschlägig sein.

Fazit
Ich bin gespannt, wie sich der nun vorliegende Referentenentwurf inhaltlich entwickelt. Derzeit sehe ich aber sowohl konkret inhaltliche Probleme bzgl. der einzelnen Vorgaben, als auch abstrakt strukturelle Risiken hinsichtlich des Verhältnisses zur DSGVO.

BDSG-Reform: Bundesregierung verabschiedet Entwurf zur Änderung des BDSG (Videoüberwachung, Auskunftsanspruch, gemeinsame Verantwortliche und Scoring)

Die Bundesregierung hat heute ihren Entwurf für ein Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) verabschiedet (Gesetzentwurf, PDF). Nachfolgend möchte ich einen ganz kurzen Überblick zu einigen vorgeschlagenen Änderungen geben.

Die DSK wird im BDSG verankert

In einem neuen § 16a BDSG soll die Datenschutzkonferenz (DSK) im BDSG institutionalisiert werden. Es wird jedoch keine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK getroffen, da, so die Begründung, „damit wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berührt würden“.

Die Anpassung ist am Ende aus meiner Sicht nicht besonders praxisrelevant. Denn die DSK existiert bereits jetzt schon und hat auch eine Geschäftsordnung. Es wird als gesetzlich festgeschrieben, was bereits existiert.

Wegfall der Regelung zur Videoüberwachung für private Stellen

§ 4 Abs. 1 BDSG soll neu wie folgt gefasst werden:

Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen ist nur zulässig,…“.

Hierdurch wird die Regelung zur Videoüberwachung öffentlich zugänglicher Räume durch nichtöffentliche Stellen, also insbesondere Unternehmen, aus dem Bundesrecht genommen. Die Zulässigkeit dieser Videoüberwachung ergibt sich unmittelbar aus Art. 6 Abs. 1 lit. f DSGVO.

Mögliche Auswirkung: sollte die Regelung so in Kraft treten, wäre bei Hinweisschildern zur Videoüberwachung an eine Anpassung hinsichtlich der Rechtsgrundlage zu denken, wenn dort noch auf § 4 Abs. 1 BDSG verwiesen wird.

Wichtig für die Praxis: Einschränkung des Auskunftsrechts bei Geschäftsgeheimnissen

Eine praxisrelevante Anpassung wird in § 34 Abs. 1 BDSG vorgeschlagen. Es soll folgender Satz neu angefügt werden:

Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“

Laut der Gesetzesbegründung soll klargestellt werden, dass im Rahmen der Ausnahmen von dem Recht auf Auskunft (Art. 15 Abs. 4 DSGVO) unter den Schutz „anderer Personen“ auch der Verantwortliche fällt und gewisse herauszugebende Daten einen rechtlichen Schutz genießen. „Betriebs- und Geschäftsgeheimnisse genießen einen solchen Schutz“.

Die Ausnahme greift dann, wenn das Interesse an der Geheimhaltung der Betriebs- und Geschäftsgeheimnisse das Interesse der betroffenen Person an der Information überwiegt.

Diese Klarstellung ist zu begrüßen, jedoch wohl nicht zwingend erforderlich, da bereits ErwG 63 DSGVO „Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse“ ausdrücklich erwähnt.

Zuständige Aufsichtsbehörde bei gemeinsam Verantwortlichen

Zudem soll ein neuer § 40a BDSG mit dem Titel „Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen“ eingefügt werden.

Die Regelung soll in Situationen gelten, in denen mehrere Unternehmen gemeinsam Verantwortliche (Art. 26 DSGVO) sind und mehrere Aufsichtsbehörden für sie zuständig wären. Dann sollen diese Verantwortlichen gemeinsam anzeigen können,

dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat“.

Die Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind. Sie muss etwa die Vereinbarung gem. Art. 26 DSGVO enthalten.

Wichtige Folge dieser Anzeige: ab dem Zeitpunkt, zu dem die Anzeige bei der zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde.

Vorgaben zum Scoring

Neu eingefügt (wenn auch angelehnt an den bisherigen § 31) wird ein § 37a BDSG, der Anforderungen an die Erstellung und auch Verwendung von „Wahrscheinlichkeitswerten“ regeln soll.

Nach § 37a Abs. 1 Nr. 1 BDSG dürfen etwa folgende Daten nicht für die Erstellung der Wahrscheinlichkeitswerte genutzt werden: besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Anschriftendaten.

OLG Nürnberg zum Auskunftsanspruch eines Vorstandsmitglieds – langjährige Unternehmenszugehörigkeit und großer Aufwand für den Arbeitgeber steht der Geltendmachung nicht entgegen

Das OLG Nürnberg hat sich in seiner Entscheidung vom 29. November 2023 (4 U 347/21) mit einem „Klassiker“ des Datenschutzrechts befasst: dem Auskunftsanspruch eines ehemaligen Mitarbeiters gegen den Arbeitgeber und die Frage, ob diesem Anspruch eventuell ein Missbrauchseinwand entgegengehalten werden kann.

Sachverhalt

Der Kläger macht als ehemaliger Mitarbeiter, zuletzt als Vorstandsmitglied der Beklagten, Auskunfts- und Herausgabeansprüche nach Art. 15 Abs. 1 und Abs. 3 DSGVO gegenüber seinem ehemaligen Arbeitgeber geltend. Der Kläger war vom 1.1.2000 bis zum 30.09.2016 in verschiedenen Positionen im Unternehmen tätig. Zuletzt mehrere Jahre als Vorstandsmitglied. Die Beklagte erteilte Auskunft in Bezug auf gespeicherte Personalstamm- und BAV-Daten (ich vermute „betriebliche Altersvorsorge“) des Klägers. Jedoch verlangte der Kläger eine Kopie aller bei der Beklagten gespeicherten personenbezogenen Daten des Klägers.

Das LG Nürnberg-Fürth (Endurteil vom 29.01.2021 – 11 O 5353/20) wies die Klage ab.

Entscheidung

Das OLG gab der Berufung des Klägers statt und verurteilte die beklagte Arbeitgeberin:

  • dem Kläger Auskunft über alle bei ihr gespeicherten personenbezogenen Daten des Klägers zu erteilen
  • eine Kopie aller bei ihr gespeicherten personenbezogenen Daten des Klägers herauszugeben.

Relevant an der Entscheidung des OLG ist, dass sich das Gericht in seiner Begründung bereits auf die neueste Rechtsprechung des EuGH zum Auskunftsanspruch nach Art. 15 DSGVO stützt.

Die Beklagte machte geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO sei. Ein verständlicher Einwand, da der Kläger über 15 Jahre im Unternehmen tätig war. Zudem brachte die Beklagte den Einwand des Missbrauchs vor, dass der Kläger die Daten wohl nicht aus datenschutzrechtlichen Motiven herausverlangte.

Das OLG lies beide Einwände jedoch nicht gelten.

Datenschutzfremde Zwecke

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liege kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Das OLG verweist hier auf das Urteil des EuGH vom 26.10.2023 – C-307/22, wonach Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in ErwG 63 S. 1 DSGVO genannten Zwecken begründet wird.

Großer Aufwand = exzessiv?

Auch sei der Anspruch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.

Nach Ansicht des OLG liegt kein Missbrauch vor,

wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen“.

Weiter geht das OLG davon aus, dass es kein Fall des Missbrauchs (in Form der „exzessiv“) darstelle, wenn die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist.

denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt

Auch, dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, stehe der Geltendmachung seiner Rechte nicht entgegen.

Ausblick – Missbrauchseinwand bleibt möglich

Die Entscheidung des OLG zeigt, wie die Vorgaben der EuGH-Urteile aus 2023 zu Art. 15 DSGVO in der Praxis Anwendung finden können. Gleichzeitig sollte man aus Sicht der Verantwortlichen beachten, dass auch der EuGH die Tür für Einwände gegen unbegründete oder missbräuchliche Ansprüche nicht in Gänze „geschlossen“ hat.

In seiner Entscheidung C-307/22 verweist der EuGH etwa auf Art. 15 Abs. 4 DSGVO und dass „[d]as Recht auf Erhalt einer Kopie … die Rechte und Freiheiten anderer Personen nicht beeinträchtigen [darf].“ Zudem geht der EuGH davon aus, dass das der betroffenen Person zuerkannte Recht, eine erste unentgeltliche Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zu erhalten, nicht uneingeschränkt gilt.

Zu beachten ist zudem, dass der EuGH in der Rechtssache C-307/22 einen möglichen Missbrauch gar nicht geprüft hat. Denn er ging davon aus, dass das vorlegende Gericht (der BGH) ausdrücklich festgestellt hat, dass der Antrag der betroffenen Person gerade nicht missbräuchlich sei. Der Missbrauchseinwand auf EU-Ebene ist damit aber nicht ausgeschlossen, wie auch der Generalanwalt in Fn. 20 seiner Schlussanträge klargestellt hat. Sollte der Auskunftsantrag missbräuchlich erfolgen, würde dies den Kläger

nach ständiger Rechtsprechung des Gerichtshofs daran hindern [würde], die ihm durch das Unionsrecht verliehenen Rechte geltend zu machen. Vgl. u. a. Urteil vom 27. Oktober 2022, Climate Corporation Emissions Trading (C‑641/21, EU:C:2022:842, Rn. 39 und die dort angeführte Rechtsprechung).

Gleichzeitig sollte man aber auch beachten, dass der Missbrauchseinwand natürlich die Ausnahme wäre und damit vom Verantwortlichen solide begründet sein muss. Pauschale Verweise auf einen möglichen hohen Arbeitsaufwand oder eine fehlende Begründung des Antrags, dürften dafür nicht genügen.

Hat das OLG Köln das EU-US Data Privacy Framework für unzulässig erklärt? Natürlich nicht.

Die Antwort lautet: natürlich nicht. Könnte das OLG auch gar nicht, da das EU-US Data Privacy Framework (genauer: der Durchführungsbeschluss (EU) 2023/1795 der EU-Kommission) für die Mitgliedstaaten und deren Gerichte bindend ist (vgl. schon EuGH, Schrems I, Rz. 51 & 52).

Sachverhalt

Das OLG Köln hat sich in seinem Urteil vom 3.11.2023 (6 U 58/23) u.a. mit der Frage von Datentransfers an Stellen in den USA auseinandergesetzt. Im Ergebnis sah das OLG diese Datenübermittlung als unzulässig an. Jedoch nicht, wie zum Teil im Internet zu lesen war, weil das EU-US Data Privacy Framework (DPF) ungenügend sei oder im DPF Rechtsschutzmöglichkeit in den USA fehlten.

Entscheidung

Das OLG prüft in seiner Entscheidung die Zulässigkeit von Datentransfers in die USA einmal für die Rechtslage vor Erlass des DPF und einmal danach. Das OLG lehnt im Ergebnis die Zulässigkeit wie folgt ab:

Die Datenübermittlung war auch unzulässig, da sie nicht von einem Erlaubnistatbestand der DSGVO gedeckt war.“

Und hier erkennt man eigentlich schon, um was es geht: den Erlaubnistatbestand der Datenübermittlung. Also Art. 6 DSGVO – nicht Vorgaben aus Kap. V zu Drittlandstransfers.

Vor Erlass des DPF

Für die Zeit vor Erlass des DPF geht das OLG Köln aber tatsächlich davon aus, dass Übermittlung weder nach 46 Abs. 1 DSGVO aufgrund geeigneter Garantien für ein angemessenes Datenschutzniveau in den USA als Drittland zulässig war – also auf Basis von EU-Standarddatenschutzklauseln. Zudem sei die Übermittlung auch nicht aufgrund einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO zulässig.

Hinsichtlich der EU-Standarddatenschutzklauseln sieht das OLG hier Probleme bei der Effektivität der zusätzlichen Schutzmaßnahmen, insbesondere um den Mangel des Fehlens von Rechtsschutzmöglichkeiten für Betroffene in den USA zu heilen.

Nach Erlass des DPF

Spannend und für uns in der aktuellen Situation relevant, ist natürlich die Frage, ob das OLG Datentransfers in die USA auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 Abs. 1 DSGVO nun für unzulässig erklärt hat. Wie bereits erwähnt: hat das OLG nicht.

Das OLG geht sogar davon aus, dass die empfangende Stelle unter dem DPF zertifiziert ist:

„Eine solche Teilnahme als „certified organisation“, …, ist auch für die G. L. festzustellen, wie aus dem Ausdruck der vom Department of Commerce betriebenen Webseite www.dataprivacyframework.gov…hervorgeht“ (Rz. 81)

Das Gericht prüft im Grund den bekannten datenschutzrechtlichen Standard bei Drittlandstransfers. Eine Datenübermittlung in ein Drittland muss auf zwei Ebenen zulässig sein:

  • Einmal als Verarbeitung nach Art. 6 DSGVO. Wir benötigen eine Rechtsgrundlage.
  • Und parallel dazu als Drittlandstransfer nach Kap. V DSGVO.  

Und das OLG prüft hier für die Frage der Zulässigkeit der Datenübermittlung konsequenterweise dann eben die Rechtmäßigkeit nach Art. 6 DSGVO. Ob also für die Übermittlung ein Erlaubnistatbestand vorliegt.

Hinsichtlich des DPF erfolgen nur kurze Aussagen, die deutlich machen, dass das OLG den Beschluss der EU-Kommission akzeptieren muss.

Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ … stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen … . Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, die an dem DPF teilnehmen

Zurecht verweist das OLG aber darauf, dass auch bei Vorliegen eines Angemessenheitsbeschlusses

„die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein“

müssen. Hierzu zählt das OLG unter anderem das Erfordernis der in Kapitel II der DSGVO geregelten Einwilligung. Und hier sieht das OLG dann die rechtlichen Probleme. Bei dem Erlaubnistatbestand. Nicht jedoch bei der Frage, ob Datentransfers auf Grundlage des DPF in die USA übermittelt werden dürfen. Hierzu noch einmal der EuGH, hier aus Schrems II (Rz. 117 & 118):

„Nach Art. 288 Abs. 4 AEUV bindet ein Angemessenheitsbeschluss der Kommission in allen seinen Teilen alle Mitgliedstaaten und ist damit für alle ihre Organe verbindlich, soweit darin festgestellt wird, dass das betreffende Drittland ein angemessenes Schutzniveau gewährleistet, und die Übermittlung personenbezogener Daten im Ergebnis genehmigt wird“.

„Solange der Angemessenheitsbeschluss vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihre Organe, zu denen ihre unabhängigen Aufsichtsbehörden gehören, somit zwar keine diesem Beschluss zuwiderlaufenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich der Beschluss bezieht, kein angemessenes Schutzniveau gewährleistet…, und mit denen infolgedessen die Übermittlung personenbezogener Daten in dieses Drittland ausgesetzt oder verboten wird.“

Also, bitte keine unnötige Panik aufkommen lassen. Das DPF gilt derzeit noch. Gleichzeitig zeigt die Entscheidung aber gut, dass man bei Drittlandstransfers den Fokus eben nicht allein auf Kap. V DSGVO legen sollte, sondern auch alle anderen Anforderungen einer Verarbeitung beachten muss.

EuGH: Verantwortliche haftet für Datenverarbeitungen des Auftragsverarbeiters

Neben dem Urteil in der Rechtssache C-807/21 (Deutsche Wohnen) hat der EuGH am 5. Dezember 2023 eine weitere wichtige Entscheidung (C-683/21) getroffen. Die dortigen Feststellungen sind aus meiner Sicht für die alltägliche Praxis im Datenschutzrecht besonders wichtig – denn es geht um das Verhältnis zwischen dem Verantwortlichen und seinem Auftragsverarbeiter und die Haftung für Tätigkeiten des Dienstleisters.

Sachverhalt

Der Hintergrund der Entscheidung ist einigermaßen skurril. Der Gesundheitsminister der Republik Litauen beauftragte den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) damit, den Erwerb eines IT‑Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Covid-Pandemie zu organisieren.

Eine Person, die sich als Vertreter des NZÖG ausgab, teilte einem Unternehmen (App-Entwickler) mit, dass das NZÖG das Unternehmen als Entwickler einer entsprechenden mobilen Anwendung ausgewählt habe. Diese Person versendete in der Folge E‑Mails an das Unternehmen (mit Kopie an den Direktor des NZÖG) hinsichtlich verschiedener Aspekte der Entwicklung dieser Anwendung.

Die App, in der der App-Entwickler und das NZÖG in der Datenschutzerklärung gemeinsam genannt waren, war irgendwann im Google Play Store und im Apple App Store zum Herunterladen verfügbar und wurde von mehreren Tausend Personen genutzt.

An den App-Entwickler wurde aber nie ein öffentlicher Auftrag zum Erwerb der App vergeben. Das NZÖG forderte dann den App-Entwickler auf, es in der mobilen Anwendung in keiner Weise zu erwähnen. Außerdem teilte es mit, dass das Vergabeverfahren wegen fehlender Mittel für den Erwerb der Anwendung beendet worden sei.

Wer ist Verantwortlicher?

Die erste durch den EuGH zu beantwortende Frage war, ob das NZÖG in dieser Konstellation datenschutzrechtlich Verantwortlicher für die Datenverarbeitung über App sein konnte. Wohlgemerkt wurde ein offizieller Auftrag im Rahmen einer Ausschreibung nicht erteilt.

Der EuGH geht aber dennoch davon aus, dass

die Entwicklung der in Rede stehenden mobilen Anwendung vom NZÖG in Auftrag gegeben wurde und dazu dienen sollte, das von ihm gesetzte Ziel umzusetzen, nämlich die Covid‑19-Pandemie durch ein IT‑Tool zur Erfassung und Überwachung der Daten von Personen, die mit Trägern des Covid‑19-Virus in Kontakt standen, zu bewältigen“.

Zudem habe das NZÖG vorgesehen, dass zu diesem Zweck personenbezogene Daten der Nutzer der mobilen Anwendung verarbeitet werden.

Außerdem, so der EuGH, geht aus der Vorlageentscheidung hervor, dass die Parameter dieser Anwendung, z. B. welche Fragen gestellt werden und wie diese formuliert sind, an den Bedarf des NZÖG angepasst wurden und dass das NZÖG bei ihrer Festlegung eine aktive Rolle gespielt hat.

Der EuGH prüft also hier die zwei entscheidenden Merkmale der Verantwortlichkeit: Entscheidung über Mittel und Zwecke der Verarbeitung und kommt zu folgendem Ergebnis:

Unter diesen Umständen ist grundsätzlich davon auszugehen, dass das NZÖG tatsächlich an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt hat.“

Der EuGH nimmt hier also eine Rolle als Verantwortlicher für NZÖG an.

Wichtig für die Praxis sind die Hinweise des EuGH dazu, welche Kriterien nicht zwingend für eine Verantwortlichkeit sprechen:

  • Der bloße Umstand, dass das NZÖG in der Datenschutzerklärung der mobilen Anwendung als Verantwortlicher genannt wurde
  • Dass die Anwendung Links zum NZÖG enthielt

Diese Umstände sind auch Sicht des EuGH nur dann für die Frage der Verantwortlichkeit relevant,

„wenn feststeht, dass das NZÖG dem ausdrücklich oder stillschweigend zugestimmt hat.“

Gleichzeitig macht der EuGH (wieder einmal) deutlich, wie weit er die Figur der Verantwortlichkeit nach der DSGVO versteht.

Die Umstände

  • dass das NZÖG selbst keine personenbezogenen Daten verarbeitet hat
  • dass kein Vertrag zwischen dem NZÖG und dem App-Entwickler bestand
  • dass das NZÖG die mobile Anwendung nicht erworben hat
  • dass es die Verbreitung dieser App über Online-Shops nicht genehmigt hat

schließen es nach Ansicht des EUGH gerade nicht aus,

dass das NZÖG als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann.“

Bedeutet für uns in der Praxis: die Verantwortlichkeit beginnt früh und eventuell schneller als man denkt. Der EuGH stellt sehr klar allein auf die entscheidenden Merkmale der Entscheidung über Mittel und Zwecke ab. Für die Verantwortlichkeit spielen rein formelle Aspekte, wie etwa ein Vertrag oder der Erwerb der Anwendung, keine Rolle, solange Anhaltspunkte dafür vorhanden sind, dass eine Stelle an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirkt.

Beauftragt also eine Stelle ein anderes Unternehmen mit der Entwicklung einer App und hat es in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die App vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt, kann dies Stelle als Verantwortlicher angesehen werden, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt.

Bußgeld gegen den Verantwortlichen für Tätigkeiten des Auftragsverarbeiters

Als Parallele zu dem Verfahren Deutsche Wohnen, ging es auch hier um die Frage der Haftung des Verantwortlichen.

Im hiesigen Fall war nun aber die Besonderheit, dass die NZÖG ja selbst keine Daten verarbeitet hat. Dies erfolgte vielmehr durch den App-Entwickler.

Die Frage war dann, ob eine Geldbuße gegen einen Verantwortlichen für Verarbeitungsvorgänge verhängt werden kann, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden.

Der EuGH ist in diesem Punkt, dass muss man so sagen, ganz klar und beantwortet die Frage mit „ja“.

In seiner Begründung erinnert der EuGH etwa daran, dass ein Auftragsverarbeiter nach der Definition in Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Hierauf folgt, dass ein Verantwortlicher,

nicht nur für jedwede Verarbeitung personenbezogener Daten, die durch ihn selbst erfolgt, sondern auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich ist“.

Die rechtliche Verantwortlichkeit und damit Haftung erstreckt also auch auf Tätigkeiten des eingesetzten Auftragsverarbeiters.

Daher, so der EuGH,

kann gegen ihn eine Geldbuße nach Art. 83 der DSGVO verhängt werden, wenn personenbezogene Daten unrechtmäßig verarbeitet werden und die Verarbeitung nicht durch ihn, sondern durch einen Auftragsverarbeiter, an den er sich gewandt hat, in seinem Namen erfolgt ist“.

Von der Bußgeldhaftung des Verantwortlichen für den Auftragsverarbeiter gibt es jedoch Ausnahmen, die der EuGH benennt:

  • In Fällen, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet
  • diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist
  • auf eine Weise verarbeitet, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.

In diesen drei Fällen gilt der Auftragsverarbeiter nach Art. 28 Abs. 10 DSGVO nämlich in Bezug auf eine solche Verarbeitung als Verantwortlicher.

Die Ausführungen des EuGH bedeuten in der Praxis, dass man besonderes Augenmerk auf den Inhalt der Auftragsverarbeitungsverträge und der Weisungen zur Verarbeitung legen sollte. Im Grunde haftet der Verantwortliche für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der Weisungen bleibt. Je weiter eine Weisung bzw. der Zweck der beauftragten Verarbeitung aber nun definiert ist, desto größer ist natürlich auch ein potentielles Haftungsrisiko für den Verantwortlichen.

Die Formulierung „Zur Durchführung des Hauptvertrages“ in einem AV-Vertrag wird in der Praxis viel mehr Interpretationsspielraum bieten, ob eine Verarbeitung wirklich im Rahmen des Auftrages erfolgt, als etwa eine genau Beschreibung der einzelnen Leistungen und Datenverarbeitungen.

750 EUR DSGVO-Schadenersatz wegen Auskunft „erst“ nach 19 Tagen? Ich meine: nein. 

Derzeit wird in der Datenschutzszene ein Urteil des Arbeitsgerichts (ArbG) Duisburg vom 03.11.2023 (Az. 5 Ca 877/23) diskutiert. Das ArbG sprach dem Kläger 750 EUR Schmerzensgeld zu, weil ein Unternehmen eine (Negativ)Auskunft nach Art. 15 DGSVO „erst“ nach 19 Kalendertagen erteilt hatte. Der Kläger war ein früherer Bewerber. Nach Ansicht des ArbG stellt diese Verzögerung der Auskunft einen Verstoß gegen Art. 12 Abs. 3 DSGVO. 

Nach Sichtung des Urteils und der Gründe würde ich als Verantwortlicher jedoch nicht in Panik verfallen. Unter datenschutzrechtlichen Gesichtspunkten ist, meines Erachtens, die Begründung des ArbG an mehreren Stellen angreifbar und ebenso ein anderes Ergebnis vertretbar. 

Der rein nationale Blick auf das Merkmal „unverzüglich“

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 

Nach Ansicht des ArbG sei unter „unverzüglich“, angelehnt an § 121 BGB, „ohne schuldhaftes Zögern“ zu verstehen. Zwar gesteht das Gericht ein, dass „unverzüglich“ nicht „sofort“ bedeutet. Jedoch geht es, unter Verweis auf eine Entscheidung des Bundesarbeitsgerichts, davon aus, dass nach einer Zeitspanne von mehr als einer Woche, ohne das Vorliegen besonderer Umstände, grundsätzlich keine Unverzüglichkeit mehr gegeben sei. 

Vorliegend gab das Unternehmen an, dass aufgrund von Wochenenden, Feiertagen und Brückentagen in dem betreffenden Zeitraum (Pfingsten), die Auskunft innerhalb von 9 Arbeitstagen erteilt wurde. Für das ArbG waren diese 9 Arbeitstage jedoch zu lang. 

Das ArbG legt hier also eine unmittelbar anwendbare EU-Verordnung und deren Vorgaben rein aus dem nationalen Rechtsverständnis aus. Dies verstößt gegen die Rechtsprechung des EuGH, konkret auch zur DSGVO. Der EuGH geht davon aus, dass (nach ständiger Rechtsprechung) die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (C-300/21, Rz. 29). 

Art. 12 Abs. 3 DSGVO verweist hinsichtlich des Begriffs „unverzüglich“ nicht auf das Recht der Mitgliedstaaten. Nach dem EuGH ist die Auslegung daher insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln (C-300/21, Rz. 29).

In diesem Fall ist der Begriff „unverzüglich“ für die Anwendung der DSGVO als autonomer Begriff des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen (so zum Begriff „Schaden“ in Art. 82 Abs. 1 DSGVO, C-300/21, Rz. 30).

Genau diese Auslegung nimmt das ArbG hier aber nicht. 

Zusatz: man könnte, völlig unabhängig von diesen europarechtlichen Erwägungen, auch noch entgegenhalten, dass bereits ein Landesarbeitsgericht eine andere Auffassung zu dem Begriff „unverzüglich“ vertreten hat; dies auch zeitlich vor dem Urteil des ArbG. Mit Blick auf die Monatsfrist des Art. 12 Abs. 3 DSGVO hat das LAG Baden-Württemberg entschieden, dass der Verantwortliche „vor Ablauf dieser Frist“ die Ansprüche nicht erfüllen braucht (hierzu mein Blogbeitrag).

Im Ergebnis bin ich sogar bei dem ArbG, dass hier keine starren Fristen gelten können; außer eben jene Monatsfrist. Dann jedoch, unter Verweis auf die Rechtsprechung des BAG, davon auszugehen, dass die Erteilung einer Negativauskunft nach 9 Arbeitstagen einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt, halte ich mit Blick auf die Rechtsprechung des EuGH für nicht richtig. 

Der angenommene Schaden – Kontrollverlust ohne Daten?

Selbst wenn man einen Verstoß gegen Art. 12 Abs. 3 DSGVO annehmen würde, sind meines Erachtens die Ausführungen des ArbG zum materiellen Schaden (750 EUR) angreifbar. Nach Ansicht des Gerichts hat er Kläger „durch die verspätete Auskunft einen Kontrollverlust hinsichtlich seiner Daten erlitten“. 

Einige werden sich fragen: aber, der Verantwortliche hatte doch gar keine Daten? Genau. Die wurden (wohl) mittlerweile gelöscht.

Nach Ansicht des ArbG „war der Kläger im Ungewissen und ihm die weitere Prüfung verwehrt, ob und ggf. wie die Beklagte seine personenbezogenen Daten verarbeitet“. Dies sei der Schaden. 

Eine solche Auslegung kollidiert aber meines Erachtens mit der aktuellen Rechtsprechung des EuGH und auch Schlussanträgen von Generalanwälten. 

Generalanwalt Collins geht etwa hinsichtlich des Schadens nach Art. 82 DSGVO davon aus, dass, auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, es eindeutiger und präziser Beweise dafür bedarf, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus (C‑182/22 und C‑189/22, Rz. 24).

Generalanwalt Pitruzzella geht davon aus, dass sich empirisch feststellen lasse, dass jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person führt. Eine Entschädigung, die für das bloße Gefühl des Unwohlseins über die Nichteinhaltung des Gesetzes durch einen Dritten geschuldet wird, könnte aber leicht mit einer Entschädigung ohne Schaden verwechselt werden, was aber nicht vom Tatbestand von Art. 82 DSGVO erfasst zu sein scheint (C‑340/21, Rz. 81).

Nach Ansicht des EuGH geht aus dem Wortlaut des Art. 82 Abs. 1 DSGVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (C-300/21, Rz. 32). Zudem ist eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, gerade nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (Rz. 50).

Vorliegend hatte der Kläger nur begründet, dass ein immaterieller Nachteil vorliege, wenn eine betroffene Person einen Kontrollverlust hinsichtlich eigener Daten erleide oder eine Einschränkung in ihren Rechten erfahre. Er habe auch ein emotionales Ungemach erfahren. Der Kläger trug hier aber gerade keine vom EuGH und auch den Generalanwälten geforderten konkreten Beweise für den Schaden an sich vor. Im Gegenteil spricht etwa die Auslegung von Generalanwalt Collins gegen die Anerkennung von „Ungemach“ als Schaden. 

Zuletzt muss man sich hier auch die konkrete Situation vor Augen halten: der Kläger hatte sich vor Jahren bei dem Verantwortlichen beworben – also selbst Daten übersendet. Wenn der Kläger aber nun einen, wohl gemerkt, hypothetischen Kontrollverlust als Schaden ersetzt verlangt, dann muss meines Erachtens auch berücksichtigt werden, dass die Daten ja erst durch den Kläger selbst in den Verantwortungsbereich des Unternehmens gelangten. 

Um es noch drastischer zu sagen: auf Basis der Argumentation des ArbG sende ich einfach wild meine Daten an verschiedene Unternehmen und mache danach Auskunftsanträge geltend. Wenn ein Unternehmen hierauf nicht, sagen wir innerhalb von 14 Tagen (kennen wir ja aus Deutschland als Richtschnur für die „Unverzüglichkeit“) antwortet, mache ich Schadenersatz nach Art. 82 DSGVO geltend, da ja in diesen 14 Tagen nicht klar war, ob ich nicht die Kontrolle über die Daten habe oder nicht. P.S.: die Kontrolle habe ich vorher selbst abgegeben. 

Ungültige DSGVO-Einwilligung – Wechsel auf andere Rechtsgrundlage möglich? Aussagen des EuGH, öst. BVwG und der öst. Aufsichtsbehörde

Ist es möglich, eine Verarbeitung, die ursprünglich auf eine Einwilligung gestützt war, auf einer anderen Rechtsgrundlage durchzuführen, wenn die Einwilligung wegfällt bzw. unwirksam ist?

Ansicht des EuGH

In seinem Urteil vom 4. Juli 2023 (C-252/21) hatte sich der EuGH unter anderem auch mit der Situation befasst, dass eine Einwilligung entweder nicht oder nicht wirksam eingeholt wurde. Die Frage war dann, ob die Datenverarbeitung eventuell dennoch auf Grundlage von Art. 6 Abs. 1 DSGVO gerechtfertigt sein kann.

Hierzu der EuGH (Rz. 92):

Liegt keine solche Einwilligung vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt, ist eine solche Verarbeitung gleichwohl gerechtfertigt, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt.“

Das Gericht adressiert klar zwei Situationen:

  • Eine Einwilligung wurde gar nicht eingeholt (also auch nicht versucht) („liegt keine solche Einwilligung vor“)
  • Eine Einwilligung wurde eingeholt, diese war aber unwirksam, da nicht alle Anforderungen der DSGVO eingehalten wurden („wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt“)

Für beide Fälle geht der EuGH davon aus, dass die bestreffende Verarbeitung gleichwohl gerechtfertigt sein kann, wenn ein anderer Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt ist.

Diese Ansicht des EuGH ist für mich eine wichtige Feststellung. Der „switch“ von einer Rechtsgrundlage zur anderen ist danach möglich. Als Verantwortlicher muss man also nicht von Anfang an und für ewig allein eine Rechtsgrundlage für die Verarbeitung nutzen. Aber: natürlich müssen die Anforderungen der jeweiligen Alternative des Art. 6 Abs. 1 DSGVO erfüllt sein.

Ansicht der österreichischen Datenschutzbehörde

Im neuesten Newsletter der österreichischen Datenschutzbehörde (DSB) bin ich auf eine genau entgegengesetzte Meinung der DSB aufmerksam geworden. Die DSB berichtet dort über eine Entscheidung des Bundesverwaltungsgerichts (BVwG, dazu gleich unten).

Ebenso ist es in derartigen Fällen nicht möglich, im Falle der Ungültigkeit einer Einwilligung zum Zwecke des Profiling nachträglich auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO zu wechseln, zumal sich die Unser Ö-Bonus Club GmbH diesbezüglich in sämtlichen vorgelegten Dokumenten und auch gegenüber den betroffenen Personen nur auf die Einwilligung gestützt hat.“

Die DSB verweist dazu dann auch auf das EuGH-Urteil. Diese Interpretation hat mich doch etwas verwundert, zumindest in der Pauschalität. Denn die Auslegung des EuGH (oben) geht meines Erachtens genau in eine andere Richtung.

Ich vermute, die DSB bezieht sich hier eher auf den konkreten Fall vor dem BVwG, in dem der Wechsel der Rechtsgrundlage am Ende nicht funktionierte. Aber nicht, weil dies grundsätzlich ausgeschlossen wäre, sondern auf Grund der nicht erfüllten Anforderungen des Art. 6 Abs. 1 f) DSGVO als Alternative. Aber: auch dort ging das Gericht davon aus, dass der Wechsel der Rechtsgrundlage möglich ist.

Ansicht des BVwG

In der Entscheidung des BVwG (GZ: W256 2227693-1/44E) brachte das betroffene Unternehmen vor, die gegenständliche Datenverarbeitung könne auch (hilfsweise) auf Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 4 DSGVO gestützt werden.

Dies sah die DSB anders. Das BVwG wiederum schloss sich der Ansicht der Aufsichtsbehörde nicht an und verwies hierzu auch auf das Urteil des EuGH.

Der Ansicht der belangten Behörde, eine ungültige Einwilligungserklärung bewirke in jedem Fall eine unrechtmäßige Datenverarbeitung und mache eine Überprüfung sonstiger Rechtsgrundlagen entbehrlich, kann – wie bereits im Erkenntnis vom 31. August 2021 näher erläutert wurde –  nicht gefolgt werden (siehe dazu zwischenzeitig auch EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537 Rz. 92).“

Eine ungültige Einwilligungserklärung führt nach Ansicht des BVwG damit gerade nicht zur unrechtmäßigen Verarbeitung, falls die Voraussetzungen einer anderen Rechtsgrundlage erfüllt sind. Im konkreten Fall prüft das BVwG dann den Tatbestand des Art. 6 Abs. 1 lit. f DSGVO. Das Problem hierbei war, dass nach Ansicht des Gerichts die vernünftigen Erwartungen der Betroffenen die Datenverarbeitung wohl nicht umfassten und die Betroffenen gerade nicht damit rechneten.

Das Unternehmen informierte Betroffene im Rahmen der Anmeldung, dass Daten u.a. zum Zweck der Durchführung von personalisierter Werbung verwendet werden. Jedoch stützte sich das Unternehmen in den Informationen (also AGB und Datenschutzhinweisen) ausschließlich auf Art. 6 Abs. 1 lit. a DSGVO und führte dazu u.a. in den AGB aus, dass eine solche Datenverarbeitung „nur sofern das Mitglied einwilligt“ durchgeführt werde. Das BVwG geht davon aus, dass damit aber den Betroffenen gegenüber zum Ausdruck gebracht werde, dass die betroffene Person die Durchführung einer solchen Datenverarbeitung selbst in der Hand habe. Dies führte am Ende zum Überwiegen der schutzwürdigen Interessen der Betroffenen.

Und beim Widerruf?

Art. 17 Abs. 1 lit. b DSGVO sieht gleichlaufend mit dieser Auslegung des EuGH und BVwG vor, dass eine Datenverarbeitung, die auf Grundlage einer nun widerrufenen Einwilligung erfolgt, dennoch fortgeführt werden kann – wenn die Anforderungen der jeweiligen Rechtsgrundlage beachtet werden.

Danach sind personenbezogene Daten zu löschen, wenn die betroffene Person ihre Einwilligung widerruft und es „an einer anderweitigen Rechtsgrundlage für die Verarbeitung“ fehlt.

Generalanwalt am EuGH: Bußgeldhaftung des Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters

Eine weitere wichtige DSGVO-Interpretation vom 4.5.2023 (dem Datenschutztag am EuGH), die bisher kaum beachtet wurde: in der Rechtssache C-683/21 hat Generalanwalt Emiliou seine Schlussanträge (bisher nur auf Englisch verfügbar) zu einigen relevanten Fragen zur Anwendung der DSGVO vorgelegt. Zu der Frage der Voraussetzungen einer gemeinsamen Verantwortlichkeit hatte ich hier im Blog bereits berichtet.

Zudem befasst sich der Generalanwalt aber unter anderem auch noch mit der Frage, ob gegen einen für die Verarbeitung Verantwortlichen in Anwendung von Art. 83 DSGVO eine Geldbuße verhängt werden kann, wenn die rechtswidrige Verarbeitung personenbezogener Daten nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde.

Also: die Haftung des Verantwortlichen für seinen Auftragsverarbeiter. Ein für die Praxis extrem relevantes Thema, wenn wir an die vielen Geschäfts- und Verarbeitungsprozesse denken, in denen Dienstleister als Auftragsverarbeiter eingesetzt werden.

Die kurze Antwort des Generalanwalts: „Meines Erachtens ist diese Frage zu bejahen.“

Zunächst stellt der Generalanwalt klar, dass ein für die Verarbeitung Verantwortlicher keine personenbezogenen Daten selbst verarbeiten muss, solange er das „Warum und Wie“ der betreffenden Verarbeitungsvorgänge bestimmt. Er kann sich hierfür eines Auftragsverarbeiters bedienen.

Die Definition des Auftragsverarbeiters in Art. 4 Nr. 8 DSGVO, dass „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ werden, bestätigt nach Ansicht des Generalanwalts, dass im Rahmen der Anwendung der DSGVO ein Verantwortlicher haftbar gemacht und nach Art. 83 DSGVO mit einer Geldbuße belegt werden kann,

wenn personenbezogene Daten unrechtmäßig verarbeitet werden und diese unrechtmäßige Verarbeitung nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde“. (Rz. 94)

Die Haftung des Verantwortlichen gilt jedoch nicht für jede Tätigkeit des Auftragsverarbeiters, sondern nur, soweit ein Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Dies ist der Fall, solange der Auftragsverarbeiter im Rahmen des ihm von dem für die Verarbeitung Verantwortlichen erteilten Auftrags handelt und die Daten gemäß den rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet“. (Rz. 95)

Wichtig: die Haftung für den Dienstleister greift also nur, solange dieser im Rahmen des Auftrages agiert.

 „Wenn der Auftragsverarbeiter jedoch über den Rahmen dieses Auftrags hinausgeht und die als Auftragsverarbeiter erhaltenen Daten für seine eigenen Zwecke verwendet …, kann gegen den für die Verarbeitung Verantwortlichen meines Erachtens keine Geldbuße“ für die unrechtmäßige Verarbeitung verhängt werden.

Ein Bußgeld kann daher auch dann gegen einen Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters verhängt werden, wenn personenbezogene Daten nur vom Auftragsverarbeiter rechtswidrig verarbeitet wurden und der Verantwortliche an der Verarbeitung nicht beteiligt ist.

Die Erkenntnisse des Generalanwalt werden viele eventuell nicht als „bahnbrechend“ ansehen. Meines Erachtens ist aber zum einen beachtenswert, dass das Haftungsrisiko des Auftraggebers für seine Dienstleister nun durch einen Generalanwalt am EuGH klar herausgestellt wurde. Zum anderen verdeutlichen die Schlussanträge für die Praxis noch einmal, dass man als Verantwortlicher genaues Augenmerk auf seine vertraglichen Beziehungen zu Auftragsverarbeitern legen sollte.

Was ist also wichtig:

  • Haftung für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der rechtmäßigen Weisungen agiert
  • Daher ist sehr relevant, die das System der Weisungserteilung in der Praxis ausgestaltet ist (wer erteilt in welcher Form welche Weisungen?)
  • Zudem muss unbedingt klar definiert werden, was der Auftrag ist. Denn, je unbestimmter und damit umfassender der Auftrag an den Dienstleister ausgestaltet ist, desto höher ist mein Haftungsrisiko als Verantwortlicher

EuGH: Nicht jeder Verstoß gegen die DSGVO führt zu einer rechtswidrigen Verarbeitung

Gestern wurde in der Datenschutz-Community natürlich vor allem über die Urteile des EuGH in der Rechtssache C-487/21 und der Rechtssache C-300/21 diskutiert. Etwas untergegangen ist hierbei ein drittes Urteil des EuGH zum Datenschutzrecht (C-60/22). Die Praxisrelevanz dieses dritten Urteils ist meines Erachtens aber nicht zu unterschätzen. Der EuGH setzt sich mit der Frage auseinander, inwiefern Verstöße gegen Pflichten aus der DSGVO, die nicht direkt eine Verarbeitung personenbezogener Daten betreffen, zu einer Rechtswidrigkeit dieser Datenverarbeitung führen. Aus der Praxis kennen wir diese Diskussion etwa in Bezug auf fehlerhafte Datenschutzhinweise (Art. 12, 13 DSGVO) oder nicht abgeschlosse Verträge zur Auftragsvearbeitung (Art. 28 DSGVO).

Sachverhalt

Das VG Wiesbaden legte dem EuGH unter anderem die Frage vor, ob ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) oder eine fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) dazu führt, dass eine Datenverarbeitung „unrechtmäßig“ im Sinne von Art. 17 Abs. 1 lit. d DSGVO ist.

Entscheidung des EuGH

Der EuGH arbeitet in seinem Urteil sehr schön den Unterschied zwischen jenen Artikeln der DSGVO heraus, die die Rechtmäßigkeit der Datenverarbeitung betreffen und solchen Vorschriften, die gerade keinen Einfluss auf die Rechtmäßigkeit haben.

Voraussetzungen der Rechtmäßigkeit – Art. 6 Abs. 1 DSGVO

Der Startpunkt ist für den EuGH der Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO, wonach personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden [müssen]“. Die dort geforderte Rechtmäßigkeit wird aber nach Ansicht des EuGH nicht in jedem Artikel der DSGVO geregelt oder durch jede Pflicht berührt.

Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt.“ (Rz. 55)

Die Liste der in Art. 6 Abs. 1 DSGVO genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend. Die Einhaltung der in Art. 26 DSGVO und in Art. 30 DSGVO verankerten Pflichten zählen aber nach Ansicht des EuGH

nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung“. (Rz. 59)

Der EuGH folgert hieraus, dass sich aus dem Wortlaut von Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 Unterabs. 1 DSGVO ableiten lässt,

dass ein Verstoß des Verarbeiters gegen die in den Art. 26 und 30 dieser Verordnung vorgesehenen Pflichten keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung darstellt“. (Rz. 61)

Erweiterte Voraussetzungen aus Kap. II DSGVO

Der EuGH weitet die für die Rechtmäßigkeit der Datenverarbeitung relevanten Artikel dann aber doch etwas über Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 DSGVO hinaus aus.

Er orientiert sich hierbei an dem Umfang von Kapitel II DSGVO. Die Art. 7 bis 11 DSGVO betreffen, genau wie die Art. 5 und 6 DSGVO, die Grundsätze die zum Ziel haben,

den Umfang der dem Verarbeiter nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegenden Pflichten näher zu bestimmen“ (Rz. 58).

Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn sie diese anderen Bestimmungen des Kapitels II einhält, die im Wesentlichen die Einwilligung, die Verarbeitung besonderer Kategorien sensibler personenbezogener Daten und die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten betreffen.

Dann ist aus Sicht des EuGH aber auch Schluss. Weitere Artikel und Pflichten der DSGVO betreffen nicht die Frage der Rechtmäßigkeit einer Datenverarbeitung. Aus der Struktur und aus der Systematik der DSGVO gehe eindeutig hervor, dass sie zum einen zwischen den „Grundsätzen“, die in ihrem Kapitel II geregelt werden,

und zum anderen den „allgemeinen Pflichten“ unterscheidet, die zu Abschnitt 1 des Kapitels IV der Verordnung gehören, das die Verantwortlichen betrifft; zu diesen Pflichten zählen die Pflichten nach den Art. 26 und 30 ebendieser Verordnung.“ (Rz. 62)

Zuletzt für der EuGH auch das Ziel der DSGVO als Argument an, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten, insbesondere des Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten. Das Fehlen einer Vereinbarung nach Art. 26 DSGVO oder eines Verzeichnisses im Sinne von Art. 30 DSGVO reicht aber

für sich genommen nicht aus, um nachzuweisen, dass ein Verstoß gegen das Grundrecht auf den Schutz personenbezogener Daten vorliegt“. (Rz. 65)

Auswirkung für die Praxis

Der EuGH befasst sich in seinem Urteil natürlich nur mit den ihm vorgelegten Fragen und hier den Art. 26 und 30 DSGVO. Meiner Ansicht nach ist die Begründung des EuGH hinsichtlich der Frage, welche Artikel der DSGVO für die Rechtmäßigkeit der Verarbeitung relevant sind, aber so eindeutig, dass das Urteil auch auf andere Konstellationen und andere Pflichten aus der DSGVO übertragbar ist.

In der Praxis dürften hier vor allem die Informationspflichten nach Art. 12-14 DSGVO eine Rolle spielen. Einige Datenschutzbehörden gehen ja davon aus, dass ein Verstoß gegen Art. 13 DSGVO zu einer Rechtswidrigkeit der Verarbeitung führt. Diese Argumentation ist mit dem Urteil des EuGH nun meines Erachtens nicht mehr haltbar. Deklinieren wir es mit den Argumenten des EuGH durch:

  • Art. 12-14 DSGVO sind nicht in Art. 6 Abs. 1 DSGVO enthalten
  • Art. 12-14 DSGVO sind nicht Teil des Kapitel II der DSGVO

Dasselbe dürfte meines Erachtens insbesondere auch für Art. 28 DSGVO, also fehlende Verträge zur Auftragsverarbeitung oder auch einen Verstoß gegen Art. 32-36 DSGVO gelten, wenn also zB keine saubere DSFA durchgeführt wurde. Aber: natürlich sind Verstöße gegen diese Artikel weiter bußgeldbewehrt und evtl. entstehen auch Schadenersatzansprüche für Betroffene.

Europäischer Datenschutzausschuss veröffentlicht Bericht zur Prüfung von Datentransfers in Drittländer

Die europäischen Datenschutzbehörden haben einen Bericht (PDF) über die Ergebnisse der Arbeit der Task Force veröffentlicht, die eingerichtet wurde, um 101 Beschwerden zu prüfen, die von der Nichtregierungsorganisation NOYB im Anschluss an das Schrems-II-Urteil des EuGH in verschiedenen Mitgliedstaaten eingereicht wurden.

Wichtig für die Praxis: der Bericht legt die gemeinsamen Standpunkte der Mitglieder der Task Force dar und enthält Informationen über die Ergebnisse der betroffenen Fälle.

Nachfolgend habe ich einige relevante Aspekte zusammengefasst (auch wenn die Positionen nicht völlig neu sind):

  • Wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, auch wenn es keine Probleme mit den Anforderungen von Kapitel V der DSGVO gibt.
  • Abschluss des EU-Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO mit rückwirkender Kraft ist nicht zulässig.
  • Die Verschlüsselung durch den Datenimporteur ist keine geeignete Maßnahme, wenn der Datenimporteur als Anbieter des Tools gesetzlich verpflichtet ist, die kryptografischen Schlüssel ggü. Behörden in dem Drittland zur Verfügung zu stellen.
  • Anonymisierungsfunktionen sind keine geeignete Maßnahme, wenn die Anonymisierung erfolgt, nachdem die Daten in das Drittland übermittelt wurden.
  • In Fällen, in denen ein Auftragsverarbeiter als Datenexporteur im Auftrag des für die Verarbeitung Verantwortlichen (des Website-Betreibers) handelt, ist der für die Verarbeitung Verantwortliche ebenfalls für den Datentransfer verantwortlich und könnte gemäß Kapitel V der DSGVO haftbar gemacht werden.
  • Wenn der für die Verarbeitung Verantwortliche nicht in der Lage ist, ausreichende Angaben zu machen, um nachzuweisen, wie Übermittlungen stattfinden, könnte dies zu einem Verstoß gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO (Rechenschaftspflicht) führen.  
  • Die Entscheidung eines Website-Betreibers, ein bestimmtes Tool für bestimmte Zwecke zu verwenden (z. B. zur Analyse des Verhaltens der Website-Besucher), wird als Bestimmung der „Zwecke und Mittel“ gemäß Art. 4 Abs. 7 DSGVO angesehen (womit der Website-Betreiber zum (Mit)Verantwortlichen wird).