Category Archives: Rechtsprechung

Behörde verweigert gerichtliche Aktenvorlage mit Verweis auf die DSGVO – und scheitert.

Posted on by

Der VGH Baden-Württemberg hat im Februar 2019 eine interessante Entscheidung, u.a. zur Frage der Anwendbarkeit der DSGVO im justiziellen Bereich, getroffen (Beschl. v. 15.02.2019 – 1 S 188/19). Erforderlich war der Beschluss, da sich eine Behörde weigerte, einem Verwaltungsgericht Akten zur Entscheidungsfindung vorzulegen. Der angebliche Grund: die DSGVO.

Nach ErwG 20 DSGVO gilt die DSGVO „unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden“. Auch Gerichte müssen sich daher natürlich an datenschutzrechtliche Vorgaben halten. Doch in seinem Beschluss macht der VGH nun deutlich, dass die Einhaltung der DSGVO nicht gleichzeitig im Konflikt mit der richterlichen Tätigkeit steht, wie dies von der Behörde im konkreten Fall wohl angeführt wurde.

Sachverhalt

Der VGH hat über eine Beschwerde gegen einen sog. Hängebeschluss im einstweiligen Rechtsschutz zentschieden. Kleiner Exkurs ins Verwaltungsrecht:

Ein Hängebeschluss ist eine Zwischenverfügung des Gerichts in einem Eilrechtsverfahren, um den Ist-Status für den Antragsteller zu sichern, bis das Gericht final entscheidet. Es handelt sich aber nicht um eine instanzabschließende Sachentscheidung. Ob ein solcher Hängebeschluss überhaupt angegriffen werden kann und wenn ja, mit welchem Rechtsmittel, ist umstritten. Das sieht man zB sehr schön daran, dass der hier entscheidende 1. Senat am VGH die Beschwerde gegen den Hängebeschluss zulässt, der 11. Senat des VGH dies aber jüngst noch abgelehnt hat (Beschl. v. 15.3.2018 – 11 S 2094/17). Ein solcher Hängebeschluss des VG Sigmaringen war hier der Beschwerdegegenstand.

Vorliegend hat Verwaltungsgericht der Behörde als Antragsgegnerin mit dem angefochtenen Beschluss im Wege eines Hängebeschlusses bis zu einer Entscheidung des Verwaltungsgerichts über den Eilantrag untersagt, Bauplätze in einem Baugebiet zu vergeben und notarielle Kaufverträge abzuschließen. Die Behörde

hatte sich trotz mehrfacher Aufforderungen des Verwaltungsgerichts, die vollständigen Akten im Original vorzulegen, wiederholt unter Verstoß gegen ihre Pflichten aus § 99 Abs. 1 S. 1 VwGO geweigert, Verwaltungsvorgänge zu dem Auswahlverfahren und zu den zugrundeliegenden Sitzungen des Gemeinderats vorzulegen. Durch dieses offensichtlich rechtswidrige Verhalten der Antragsgegnerin war das Verwaltungsgericht nicht in der Lage, die Erfolgsaussichten des Eilrechtsantrags zu prüfen.

Entscheidung

Der VGH hat unmissverständlich klar gemacht, dass es nicht der Behörde obliegt, selbst zu entscheiden, welche Dokumente und Akten für das Verfahren eventuell relevant sein mögen.

Die Entscheidung darüber, welche Urkunden und Akten vorzulegen sind, steht im Rahmen des § 86 Abs. 1 VwGO im Ermessen des Gerichts; ihm allein und nicht der Behörde kommt nach § 86 Abs. 1 VwGO auch die Beurteilung zu, welche Urkunden und Akten für seine Entscheidung erheblich sein können.

Ursprünglich hatte die Behörde gegen das Aktenvorlageverlangen des Verwaltungsgerichts Bedenken aus dem „Datenschutzrecht“ vorgetragen. Der VGH befindet hierzu, dass solche Bedenken nicht bestehen.

Einem Herausgabeverlangen nach § 99 Abs. 1 S. 1 VwGO kann insbesondere nicht „die DSGVO“ (Schriftsatz vom 14.01.2019, S. 14) entgegengehalten werden.

Der VGH verweist darauf, dass die DSGVO grundsätzlich auch für die Tätigkeiten der Gerichte gelte. Sie steht aber einer Datenerhebung durch das Verwaltungsgericht in der Gestalt einer Verfügung zur Aktenvorlage nicht entgegen.

Danach befasst sich der VGH mit den verschiedenen in Betracht kommenden Rechtsgrundlagen. Hierzu verweist er allgemein zunächst auf die Rechtsgrundlagen in Art. 6 Abs. 1 DSGVO. Nach Ansicht des VGH sind für die Tätigkeit der Gerichte sowohl der Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt) als auch Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde) einschlägig.

Die Voraussetzungen beider Tatbestände sind erfüllt, wenn die Gerichte Daten bei den Beteiligten eines gerichtlichen Verfahrens zum Zweck der Rechtspflege erheben und die Daten zu diesem Zweck verwenden.

Der VGH verweist hierzu insbesondere auf die gesetzliche Pflicht der Verwaltungsgerichte, den Sachverhalt von Amts wegen zu ermitteln und dabei die Beteiligten heranzuziehen (§ 86 Abs. 1 S. 1 VwGO). Zudem widmet sich der VGH der Frage, ob auch die Behörde befugt ist, personenbezogene Daten an das Gericht zu übermitteln. Diese Datenübermittlung ist zur Erfüllung einer rechtlichen Verpflichtung, nämlich jener aus § 99 Abs. 1 S. 1 VwGO, erforderlich und kann daher auf den Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO gestützt werden.

Auch geht der VGH auf die Frage ein, ob § 99 VwGO als nationale Vorschrift mit den Vorgaben der DSGVO im Einklang steht. Hierbei befasst sich das Gericht jedoch nicht mit den Vorgaben des Art. 6 Abs. 2 und 3 DSGVO und den dort aufgestellten Anforderungen an Rechtsgrundlagen im nationalstaatlichen Recht. Vielmehr geht der VGH anscheinend davon aus, dass § 99 VwGO eine die Rechte der Betroffenen beschränkende Vorschrift im Sinne des Art. 23 DSGVO darstellt. Zumindest geht das Gericht nur hierauf ein.

Gemäß Art. 23 Abs. 1 Buchst. f DS-GVO können insbesondere zum Schutz der Unabhängigkeit der Justiz und zum Schutz von Gerichtsverfahren durch Rechtsvorschriften der Mitgliedstaaten, denen der Verantwortliche unterliegt, unter anderem die Pflichten und Rechte gemäß den Art. 12 bis 22 DS-GVO beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt.

Und nach Ansicht des VGH enthalten solche Regelungen zum Schutz von Gerichtsverfahren und zur Datenverarbeitung durch die Gerichte insbesondere die nationalen Vorschriften über das Verfahrensrecht der Gerichte betreffend die Datenerhebung zum Zweck der Rechtsprechung.

Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?

Posted on by

Eine zurzeit heiß diskutierte Frage ist, welche Rolle der Betriebsrat im Sinne des Datenschutzes im Unternehmen überhaupt einnimmt“. Mit dieser Feststellung leitet der Landesbeauftragte aus Baden-Württemberg (LfDI) in seinem aktuellen Tätigkeitsbericht (pdf, ab S. 37) das Kapitel „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ ein und liefert in der Überschrift direkt auch seine Antwort auf diese praxisrelevante Frage. Die Begründung des LfDI: Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.

Warum ist die Frage praxisrelevant? Sollte der Betriebsrat (bzw. eine Interessenvertretung der Arbeitnehmer) als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, würden sich hieraus viele Umsetzungsaufgaben innerhalb eines Unternehmens ergeben. Angefangen mit der Pflicht des Betriebsrates, ein eigenes Verzeichnis der Verarbeitungstätitgkeiten (Art. 30 DSGVO) zu führen, selbst die Informationspflichten (Art. 13 / 14 DSGVO) zu erfüllen, eventuell einen eigenen Datenschutzbeauftragten (Art. 37 DSGVO) zu benennen und natürlich etwa auch eine eigene Rechtsgrundlage für Datenverarbeitungen (Art. 6 Abs. 1 DSGVO) zu finden. Viele weitere Themen wären relevant, so etwa, ob nicht das Unternehmen und der Betriebsrat für bestimmte Verarbeitungen als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO) anzusehen sind.

Orientiert man sich an der bisherigen Respr. des Bundesarbeitsgerichts (BAG) zum alten Datenschutzrecht, würde man davon ausgehen, dass der Betriebsrat Teil des Verantwortlichen ist (BAG, Beschl. v. 14.1.2014 – 1 ABR 54/12). Im Zuge der Anwendbarkeit der DSGVO, ist diese Einordnung jedoch auf den juristischen Prüfstand gestellt worden.

Ein Urteil des BAG oder auch des Bundesverwaltungsgerichts oder gar des Europäischen Gerichtshofs zu dieser Frage steht noch aus. Jedoch haben sich in Deutschland bereits einige Gerichte mit der Thematik auseinandergesetzt. Das Ergebnis: es ist umstritten.

Nachfolgend möchte ich einen kleinen Überblick zu den Entscheidungen geben. Interessant daran ist, dass es fast immer um das Verlangen des Betriebsrates bzw. der Personalvertretung geht, Einsicht in nicht anonymisierte Entgelt- oder Gehaltslisten zu erhalten. Entscheidende betriebsverfassungsrechtliche Norm ist dann auch zumeist § 80 Abs. 2 BetrVG. Dabei kommen die Gerichte am Ende oft zu demselben Ergebnis. Auf dem Weg dorthin sind die Argumente, ob der Betriebsrat eigener Verantwortlicher ist, jedoch verschieden.

LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18

Das LAG Niedersachsen geht davon aus, dass dem Anspruch des Betriebsrats auf einen Blick in die Bruttoentgeltlisten datenschutzrechtliche Belange nicht entgegenstehen. Das LAG verweist auf § 26 Abs. 6 BDSG, in dem ausdrücklich klargestellt ist, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Solange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt – was oben bereits bejaht wurde – handelt es sich bei ihm nicht um einen „Dritten“ iSv Art. 4 Nummer 10 EU-DSGVO. Eine Rechtmäßigkeit der Datenverarbeitung ist hier nach Art. 6 I c) Euro-DSGVO gegeben, da die Einsichtnahme in die Bruttolohn- und gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat dient.

Schön finde ich ja den Hinweis auf die „Euro-DSGVO“. Um aber beim Thema zu bleiben: das LAG sieht den Betriebsrat nicht als „Dritten“ an; zumindest, solange er sich im Rahmen der Wahrnehmung gesetzlicher Aufgaben bewegt.

LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17

Auch das LAG Sachsen-Anhalt geht davon aus, dass dem durch den Betriebsrat verfolgten Anspruch des Betriebsausschusses zur Einsichtnahme gemäß § 80 Abs. 2 S. 2 2. Halbsatz BetrVG datenschutzrechtliche Belange nicht entgegenstehen.

Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.

Das LAG Sachsen-Anhalt vertritt mithin die Ansicht, dass der Betriebsrat als eigener Verantwortlicher innerhalb des Unternehmens anzusehen ist.

LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18

Im Verfahren vor dem LAG Hessen ging es, etwas abweichend, um die Auskunft darüber, an welche Arbeitnehmer mit Ausnahme leitender Angestellter Sonderzahlungen geleistet wurden. Das LAG begründet seine Entscheidung aber auch hier mit Art. 80 Abs. 2 BetrVG.

Nach Ansicht des LAG bestehen im Übrigen datenschutzrechtliche Bedenken auch deshalb nicht,

weil der Betriebsrat selbst Teil der verantwortlichen Stelle im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung ist.

Das LAG Hessen schlägt sich hier auf die Seite jener, die den Betriebsrat nicht selbst als Verantwortlichen ansehen. Weiter begründet das LAG Hessen:

Die Zurverfügungstellung der im Antrag genannten Informationen an den Betriebsrat stellt daher keine Weitergabe des Arbeitgebers an Dritte dar.

Umfassender als die anderen Gerichte befasst sich das LAG Hessen aber mit der Frage, welche Rechtsgrundlage für die Datenverarbeitung herangezogen werden kann. Das LAG geht davon aus, dass, soweit der Betriebsrat im Rahmen seiner ihm gesetzlich zugewiesenen Aufgaben handele,

die Verarbeitung dieser Daten nach Art. 6 Absatz 1c Datenschutzgrundverordnung rechtmäßig ist.

Zudem stellt das LAG fest, dass der Betriebsrat an das Datenschutzrecht gebunden ist. Aus dieser Formulierung könnte man nun doch eine andere Ansicht ableiten. Jedoch macht das LAG in seiner weiteren Begründung deutlich, dass es den Betriebsrat als Teil des Verantwortlichen (Arbeitgeber) ansieht. Nach dem LAG gestatte das Datenschutzrecht – wie sich aus Art. 6 Abs. 1 lit. c DSGVO ergebe – die Verarbeitung von Daten durch den Betriebsrat,

wenn der Arbeitgeber insoweit einer rechtlichen Verpflichtung, z.B. aus § 80 Absatz 2 BetrVG, unterliegt. Dies ist hier der Fall“. Das LAG rechnet folglich die Verarbeitung durch den Betriebsrat dem Arbeitgeber zu, der sich wiederum hierfür auf Art. 6 Abs. 1 lit. c) DSGVO berufen kann.

Zwischenergebnis in der Rechtsprechung: 2:1 für die Ansicht, dass der Betriebsrat Teil des Verantwortlichen ist.

LAG Düsseldorf, Beschl. v. 23.10.2018 – 8 TaBV 42/18

In dem Fall des LAG Düsseldorf ging um Ansprüche auf Vorlage von Gehaltslisten in elektronischer bzw. gedruckter Form. Die Parteien stritten darüber, ob der Betriebsrat neben der Einsichtnahme auch eine Überlassung der Entgeltlisten verlangen kann. Nach Auffassung des LAG kann der Betriebsrat weder die Übergabe der Entgeltlisten in elektronischer oder gedruckter Form, noch die Überlassung eines PC, auf dem die Listen gespeichert sind, noch die Gestellung zusätzlichen Büropersonals zwecks Schaffung einer „Abschreibemöglichkeit“ der Listen verlangen. Konkret ging es hier, etwas abweichend, um einen möglichen Anspruch aus dem EntgTranspG. Nach Ansicht des LAG räumt das EntgTranspG dem Betriebsrat seinem Wortlaut nach an keiner Stelle einen Überlassungsanspruch ein, vielmehr spreche 13 Abs. 2 S. 1 EntgTranspG von „hat das Recht einzusehen“.

Da das LAG hier diesen Anspruch ablehnte, musste es (leider) zu der datenschutzrechtlichen Frage keine Stellung mehr nehmen.

Ob die Überlassung von Entgeltlisten an Betriebsrat und Betriebsausschuss weiterhin auch aus datenschutzrechtlichen Gründen unzulässig ist, bedarf in Anbetracht des vorstehenden, klaren Auslegungsergebnisses keiner Erörterung.

BVerwG, Beschl. v. 19.12.2018 – 5 P 6.17

Bisher soweit ersichtlich noch kaum beachtet, hatte auch das Bundesverwaltungsrecht (BVerwG) die Möglichkeit, sich zu der Frage zu äußern, wie eine Personalvertretung datenschutzrechtlich einzuordnen ist. Die Entscheidung betraf jedoch, anders als die obigen Entscheidungen, den öffentlichen Bereich. Das BVerwG geht davon aus, dass der Bezirkspersonalrat im konkreten Fall einen Informationsanspruch hat, weil sein Informationsbegehren einen Aufgabenbezug aufweist und die beanspruchten Informationen nach Art und Umfang zur Aufgabenwahrnehmung erforderlich sind. Entscheidende Norman waren hier jene aus dem Landespersonalvertretungsgesetz Rheinland-Pfalz.

Das Verwaltungsgericht ist im Ergebnis auch zutreffend davon ausgegangen, dass Regelungen des Datenschutzrechts der streitgegenständlichen Informationsübermittlung nicht entgegenstehen.

Das BVerwG geht in seiner Begründung zum Datenschutzrecht zunächst auf die Rechtlage vor Anwendbarkeit der DSGVO ein. Bislang wurde als geklärt angesehen, dass die Datenübermittlung der Dienststelle an den Personalrat nicht den Bestimmungen der Datenschutzgesetze unterliegt, sondern die einschlägigen personalvertretungsgesetzlichen Anspruchsnormen die insoweit maßgeblichen bereichsspezifischen Rechtsgrundlagen im Sinne des Datenschutzrechts bilden. Zudem stünden die Persönlichkeitsrechte der Betroffenen der Einsichtnahme des Personalrats in Unterlagen, die personenbezogene Daten der Beschäftigten enthalten, nicht entgegen, wenn die Einsichtnahme unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf den zur Aufgabenerfüllung erforderlichen Umfang begrenzt ist.

Das BVerwG befasst sich sodann mit der Frage, ob diese Rechtslage mit dem Inkrafttreten der DSGVO, die als Verordnung in den Mitgliedstaaten unmittelbare Anwendung findet und keiner nationalen Umsetzung bedarf, eine Änderung erfahren hat. Das Gericht verweist hierfür auf Ansichten der Literatur, dass nunmehr mangels hinreichend spezifischer und damit vorrangiger Regelungen der Personalvertretungsgesetze die datenschutzrechtlichen Regelungen über die Verarbeitung bzw. Weitergabe von personenbezogenen Daten in Dienst- und Beschäftigungsverhältnissen anzuwenden seien, wenn die Dienststellenleitung personenbezogene Daten an die Personalvertretung übermittelt und diese dort genutzt werden.

Es geht mithin um die Frage, ob nicht, neben den personalvertretungsrechtlichen Vorschriften, auch datenschutzrechtliche Regelungen zu beachten sind. Dies hätte dann eventuell auch die Frage nach der Einordnung des Personalrates umfasst.

Jedoch lässt das BVerwG eine abschließende Entscheidung in dieser Sache ausdrücklich offen.

Denn jedenfalls führt die geforderte Prüfung im vorliegenden Fall nicht zu einem anderen Ergebnis als es bei der Prüfung der personalvertretungsrechtlichen Erforderlichkeitsprüfung erzielt worden ist.

Ausblick

Die Frage, wie die Personalvertretung innerhalb eines Unternehmens oder einer öffentlichen Stelle datenschutzrechtlich einzuordnen ist, ist daher weiterhin nicht abschließend entschieden. Wie oben erwähnt, kann man hinsichtlich der Respr. verschiedener LAG von einer leichten Tendenz zur alten Rechtslage (Teil des Verantwortlichen) ausgehen.

Bis eine finale Entscheidung in Deutschland oder gar durch den EuGH vorliegt, wird es sicher noch ein wenig dauern. Unabhängig von der Stellung der Personal- oder Interessenvertretung muss aber für die Praxis beachtet werden, dass etwa ein Betriebsrat, auch wenn er Teil des Verantwortlichen ist, natürlich die Vorgaben der DSGVO, dann im Gewand des Verantwortlichen, einhalten muss. Hierzu zählen vor allem auch die Datenschutzgrundsätze in Art. 5 Abs. 1 DSGVO und weitere Normen, wie etwa angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO.

Bundesverwaltungsgericht entscheidet zu Öffnungsklauseln: Übermittlungsvorschrift im Bayerischen Datenschutzgesetz ist mit der DSGVO unvereinbar

Posted on by

Das Bundesverwaltungsgericht (BVerwG) hat mit Urteil vom 27. September 2018 (BVerwG 7 C 5.17) entschieden, dass der Übermittlungstatbestand des Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG gegen die Vorgaben der DSGVO verstößt. Daneben trifft das Gericht einige relevante Äußerungen zum Umsetzungsspielraum der Mitgliedstaaten bei der Ausfüllung der Öffnungsklauseln in Art. 6 Abs. 2 und 3 DSGVO sowie zum Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO.

Sachverhalt

In dem Verfahren ging es um die Aufklärung der sog. „Verwandtenaffäre“ des Bayerischen Landtags. Ein Journalist bei einer Tageszeitung machte einen presserechtlichen Auskunftsanspruch gegenüber dem Landtagsamt des Freistaates Bayern geltend. Ursprünglich lehnte die Präsidentin des Bayerischen Landtags den Antrag des Klägers ab. Zuletzt wies auch der VGH Bayern die Klage ab. Unter anderem ging es bei der Ablehnung des Auskunftsanspruchs auch um die Daten von Dritten (der Ehefrau eines Landtagsabgeordneten) und der Frage, ob eine Herausgabe ihrer Daten als auch der personenbezogenen Daten des Landtagsabgeordneten selbst dem Anspruch entgegestünden. Hiergegen wendete sich der Journalist vor dem BVerwG.

Entscheidung

Nach Art. 4 des Bayerischen Pressegesetzes (BayPrG) hat die Presse gegenüber Behörden ein Recht auf Auskunft. Die Auskunft darf nur verweigert werden, soweit auf Grund beamtenrechtlicher oder sonstiger gesetzlicher Vorschriften eine Verschwiegenheitspflicht besteht.

Das BVerwG fußt seine Entscheidung darauf, dass die Auslegung und Anwendung von Art. 4 BayPrG durch den VGH Bayern nicht mit dem verfassungsrechtlichen Schutz der Presse aus Art. 5 Abs. 1 Satz 2 GG vereinbar ist.

Die in Art. 4 Abs. 2 Satz 2 BayPrG erwähnten Verschwiegenheitspflichten können sich aus Grundrechten Dritter (zB dem Recht auf informationelle Selbstbestimmung) ergeben. In diesem Fall muss eine Abwägung des verfassungsrechtlich geschützten Interesses der Presse mit dem Interesse der Betroffenen vorgenommen werden. Das BVerwG verweist hierzu auch auf den in Art. 5 Abs. 1 Satz 2 GG verbürgten verfassungsunmittelbaren presserechtlichen Auskunftsanspruch. Zudem muss sich der mit der Weitergabe personenbezogener Daten verbundene Eingriff in das Grundrecht auf informationelle Selbstbestimmung auf eine bereichsspezifische Ermächtigungsgrundlage stützen, die insbesondere den Anforderungen an die Normenklarheit genügt.

Der VGH Bayern prüfte die Weitergabe jedoch nur anhand der Offenbarungspflichten nach dem Gesetz über die Rechtsverhältnisse der Mitglieder des Bayerischen Landtags (Bayerisches Abgeordnetengesetz). Dies kritisiert das BVerwG mit der Begründung, dass die diesem Vorgehen zugrunde liegende Rechtsauffassung, dass damit die Offenlegung mandatsbezogener Informationen grundsätzlich abschließend geregelt werde, und der daraus folgende absolute Schutz der von diesen Vorschriften nicht erfassten Informationen, die Anforderungen des Art. 5 Abs. 1 Satz 2 GG verfehlt. Mit dieser einschränkenden Rechtsauffassung verschließe sich der VGH

„der Heranziehung weiterer Rechtsvorschriften, die den Anforderungen für einen Eingriff in das informationelle Selbstbestimmungsrecht genügen und deswegen Grundlage einer umfassenden Abwägung sein können“.

Zwar existiere eine solche weitere Vorschrift weder allein im presserechtlichen Normbestand (1), noch in Gestalt einer eigenständigen Rechtsgrundlage in den datenschutzrechtlichen Bestimmungen (2). Die presserechtliche Anspruchsgrundlage ist jedoch nach Ansicht des BVerwG insoweit um datenschutzrechtliche Vorgaben zu ergänzen (3).

(1)

Das BVerwG erachtet Art. 4 Abs. 2 S. 2 BayPrG allein für unzureichend, da schutzwürdige Interessen der betroffenen Dritten nicht einmal erwähnt werden.

(2)

Auch eine eigenständige datenschutzrechtliche Rechtsgrundlage existiert nicht. Das BVerwG prüft diesbezüglich den in Betracht kommenden Erlaubnistatbestand nach Art. 5 Abs. 1 S. 1 Nr. 2 des Bayerischen Datenschutzgesetzes (BayDSG, in der Fassung vom 15.5.2018, also in Umsetzung der DSGVO).

Nach Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG ist eine Übermittlung personenbezogener Daten zulässig, wenn der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.

Diese Vorschrift, die an den Vorgaben der DSGVO zu messen ist, ist nach Ansicht des BVerwG allerdings keine taugliche Rechtsgrundlage.

„Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG ist mit der Datenschutz-Grundverordnung nicht vereinbar“.

Zunächst stellt das BVerwG klar, dass die DSGVO gemäß Art. 288 Abs. 2 AEUV unmittelbar gilt und grundsätzlich weder auf eine Umsetzung angewiesen, noch dies überhaupt zulässig ist. Auch eine Normwiederholung im nationalen Recht ist dem Grunde nach ausgeschlossen. Nur im Rahmen ausdrücklicher Ermächtigungen können ihre Regelungen vom nationalen Gesetzgeber spezifiziert, präzisiert und konkretisiert werden.

Der bayerische Landesgesetzgeber benennt als Grundlage für Art. 5 BayDSG die Art. 6 Abs. 2 bis 4 DSGVO, „soweit dem nationalen Gesetzgeber darin Regelungsspielräume eingeräumt werden“. Der Landesgesetzgeber stützt sich also auf die Öffnungsklauseln der DSGVO. Genau diesen Regelungsspielraum sieht das BVerwG aber für Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG als nicht gegeben.

Zum einen kann Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG auf die Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO schon deswegen nicht gestützt werden,

weil danach nur eine Konkretisierung der Regelungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO erlaubt ist, während die landesrechtliche Bestimmung an Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO anknüpft“.

Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG enthält eine Interessenabwägung nach dem Vorbild des Art. 6 Abs. 1 lit. f) DSGVO. Art. 6 Abs. 1 lit. f) DSGVO gilt jedoch, nach Unterabs. 2, gerade nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. Hierzu gehören nach Ansicht des BVerwG sowohl „eigennützige“ als auch „fremdnützige“ Aufgaben.

Erfasst sind

„die durch Gesetz übertragenen Aufgaben im Rahmen der Eingriffs- und Leistungsverwaltung. Damit fällt jegliche Datenverarbeitung in Erfüllung hoheitlicher Funktionen, wozu auch die Beantwortung von Presseanfragen zählt, unter den Ausschlusstatbestand und ist den Erlaubnistatbeständen nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO zuzuordnen“.

Der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO ist nach dem BVerwG nur einschlägig, wenn die Behörde als Teilnehmer im Privatrechtsverkehr auftritt.

Zum anderen ermöglicht auch Art. 6 Abs. 4 DSGVO dem nationalen Gesetzgeber nicht,

„den Erlaubnistatbestand des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO hinsichtlich seines persönlichen Geltungsbereichs zu erweitern“.

Art. 6 Abs. 4 DSGVO ist keine neben Art. 6 Abs. 2 und 3 DSGVO stehende übergreifende Öffnungsklausel. Nach Auffassung des BVerwG bezieht er sich vielmehr allein auf die Zweckänderungsbefugnis im Rahmen der nach Art. 6 Abs. 1 DSGVO nach Maßgabe von Art. 6 Abs. 2 und 3 DSGVO zulässigen Datenverarbeitung.

(3)

Zwar existiere somit für die Datenweitergabe an eine private Stelle keine eigenständige Rechtsgrundlage im Rahmen eines presserechtlichen Auskunftsanspruchs.

Jedoch, so das BVerwG, kann Art. 6 Abs. 1 lit. f) DSGVO

„zur inhaltlichen Ausfüllung und Konkretisierung dieses Anspruchs herangezogen werden, der dann den Anforderungen des Gesetzesvorbehalts für einen Eingriff in das Recht auf informationelle Selbstbestimmung genügt“.

Zwar sei Art. 6 Abs. 1 lit. f) DSGVO auf behördliche Tätigkeiten nicht anwendbar, weil die Übermittlung von personenbezogenen Daten in den privaten Bereich einer ausdrücklichen gesetzlichen Entscheidung bedarf. Jedoch, so das BVerwG, können die materiellen Anforderungen zur gebotenen inhaltlichen Ausformung der Datenverarbeitung, wie sie in Art. 6 Abs. 1 lit. f) DSGVO vorgegeben sind, bei der Anwendung und Auslegung des presserechtlichen Auskunftsanspruchs berücksichtigt werden, wenn der Gesetzgeber, wie hier, gesetzlich zumindest im Grunde vorgesehen hat, dass entsprechende Drittinteressen vor einer Weitergabe zu berücksichtigen sind bzw. ganz allgemein eine gesetzliche Erlaubnis für die Weitergabe vorgesehen ist. Nach Ansicht des BVerwG ist dies hier der Fall. Das BVerwG begründet diese Folgerung nicht näher, scheint aber davon ausgehen, dass in Art. 4 Abs. 2 S. 2 BayPrG dem Grunde nach eine gesetzliche Erlaubnis für die Weitergabe vorgesehen ist, die jedoch inhaltlich um die materiellen datenschutzrechtlichen Vorgaben des Art. 6 Abs. 1 lit. f) DSGVO zu ergänzen ist. Art. 6 Abs. 1 lit. f) DSGVO muss folglich in die Anforderungen des Art. 4 Abs. 2 Satz 2 BayPrG hineingelesen werden.

Interessenabwägung

Danach befasst sich das BVerwG mit der Interessenabwägung. Diese fällt zugunsten des Auskunftsanspruchs des Journalisten aus.

Allgemein relevant für die Anwendung des Art. 6 Abs. 1 lit. f) DSGVO ist zudem noch der Hinweis des BVerwG, dass das Tatbestandsmerkmal der „Erforderlichkeit“ im Sinne einer Verhältnismäßigkeitsprüfung zu verstehen ist.

„Im Übrigen findet der Verhältnismäßigkeitsgrundsatz in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO seinen Niederschlag in der Regelung, dass die Datenübermittlung erforderlich sein muss“.

Fazit

Besonders relevant an dieser Entscheidung ist meines Erachtens die Feststellung des BVerwG zu der Unvereinbarkeit einer nationalen Regelung mit der DSGVO, wenn diese Regelung einen Erlaubnistatbestand für die Datenverarbeitung durch öffentliche Stellen im Rahmen der Ausübung ihrer Aufgaben darstellen soll, dabei aber auf den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO rekurriert. Eine solche Vorschrift kann nicht auf die Öffnungsklauseln der Art. 6 Abs. 2 und 3 DSGVO gestützt werden. Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG dürfte hier exemplarisch für viele weitere Erlaubnistatbestände sowohl im BDSG als auch Landesdatenschutzgesetzen stehen. Ausdrücklich verweist das BVerwG etwa in seiner Begründung auf § 25 Abs 2 Nr. 2 BDSG, der damit wohl auch als europarechtswidrig anzusehen wäre. Zuletzt ist aber darauf hinzuweisen, dass eine Europarechtswidrigkeit von nationalen Vorschriften verbindlich nur durch den EuGH festgestellt werden kann.

Verwaltungsgericht Stade: Kein Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO bei unsubstantiierten Angaben

Posted on by

Mit Beschluss vom 9.10.2018 (Az. 1 B 1918/18) hat das Verwaltungsgericht Stade eine interessante Entscheidung zum „Recht auf Einschränkung der Verarbeitung“ nach Art. 18 DSGVO getroffen.

Sachverhalt

In dem Fall ging es um den Antrag eines abgelehnten Asylbewerbers gegen eine Behörde. Der Antragsteller begehrte die Einschränkung der Verarbeitung ihn betreffender personenbezogener Daten. Konkret ging es dem Antragsteller darum, dass die Behörde die Angabe „Staatsangehörigkeit: Guinea“ entweder berichtigen oder zumindest sperren sollte. Der Antragsteller stamme nämlich aus Sierra Leone.

Entscheidung

Das VG Stade lehnte den Antrag auf Erlass einer einstweiligen Anordnung ab. Als Anspruchsgrundlage für die begehrte Einschränkung der Verarbeitung der die Staatsangehörigkeit des Antragstellers betreffenden personenbezogenen Daten komme nur Art. 18 DSGVO in Betracht.

Diese Voraussetzungen lagen (bei der gebotenen summarischen Prüfung) jedoch nicht vor.

Im Folgenden prüft das VG Stade die verschiedenen Voraussetzungen der Tatbestände des Art. 18 Abs. 1 DSGVO ab. Ein Anspruch auf Einschränkung der Verarbeitung folge zunächst nicht aus Art. 18 Abs. 1 lit. a) DSGVO. Der Antragsteller habe die Richtigkeit der ihn betreffenden Daten nämlich nicht i.S.d. Art. 18 Abs. 1 lit. a) DSGVO „bestritten“.

Das „Bestreiten“ der Richtigkeit der personenbezogenen Daten setze voraus,

dass der Betroffene gegenüber dem Verantwortlichen substantiierte Angaben zur angeblichen Unrichtigkeit der verarbeiteten Daten macht (sog. qualifiziertes Bestreiten). Ein Bestreiten ohne Anhaltspunkte, mit dem die betroffene Person eine Verarbeitung möglicherweise richtiger, aber für sie nachteiliger Daten verhindern möchte, reicht nicht aus.

Diesen Anforderungen wurde der Antragsteller nicht gerecht. Der Antragsteller gab lediglich an, aus Sierra Leone zu stammen, bestreitet die Richtigkeit des Datums „Staatsangehörigkeit: Guinea“ und verweist darauf, dass ein Passersatzpapier für Guinea vom Antragsgegner rechtswidrig erlangt worden sei.

Dies reicht dem VG Stade jedoch nicht aus, um ein „Bestreiten“ anzunehmen. Insbesondere wird darauf verwiesen, dass etwaige Nachweise, aus denen sich die Staatsangehörigkeit ergibt, nicht vorgelegt wurden.

So dann stellt das VG Stade fest, dass ab Mitteilung einer Ablehnung einer auf Art. 18 Abs. 1 lit. a) DSGVO fußenden Berichtigung Art. 18 Abs. 1 lit. a) DSGVO grundsätzlich nicht mehr eingreife. Stattdessen kann die betroffene Person, wenn die Verarbeitung unrichtiger Daten rechtswidrig ist, ab der Ablehnung das Einschränkungsrecht nach Art. 18 Abs. 1 lit. b) DSGVO geltend machen.

Jedoch lehnt das VG Stade auch hier das Vorliegen der Voraussetzungen ab. Art. 18 Abs. 1 lit. b) DSGVO eröffne dem Betroffenen im Falle einer rechtswidrigen Verarbeitung ein Wahlrecht zwischen dem Löschungsrecht nach Art. 17 DSGVO und dem Einschränkungsrecht nach Art. 18 Abs. 1 lit. b) DSGVO. Der Betroffene kann die Löschung ablehnen und stattdessen, also nur alternativ die Einschränkung verlangen.

Jedoch verweist das VG Stade auch hier darauf, dass der Antragsteller nicht substantiiert geltend gemacht habe, dass die Datenverarbeitung durch den Antragsgegner i.S.d. Art. 18 Abs. 1 lit. b) DSGVO „unrechtmäßig“ erfolgt. Insbesondere sei nicht ersichtlich, dass der Antragsgegner im Hinblick auf den Antragsteller entgegen Art. 5 Abs. 1 lit. d) DSGVO sachlich unrichtige Daten zu seiner Staatsangehörigkeit verarbeite. Das VG Stade geht also auch nicht von einem Verstoß gegen Datenschutzgrundsätze aus.

Zuletzt lehnt das VG Stade den Anspruch auf Einschränkung auch auf der Grundlage von Art. 18 Abs. 1 lit. d) DSGVO ab.

Das darin angelegte Einschränkungsrecht setzt tatbestandlich voraus, dass ein Widerspruchsrecht nach Art. 21 DSGVO besteht. Das ist hier jedoch nicht der Fall. Ein Widerspruchsrecht existiert nach Art. 21 Abs. 1 Satz 1 DSGVO nur gegen die Verarbeitung personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt. Im Falle des Antragstellers erfolgt die Verarbeitung seiner personenbezogenen Daten allerdings zur Erfüllung einer rechtlichen Verpflichtung und damit nach Art. 6 Abs. 1 lit. c) DSGVO. Die rechtliche Verpflichtung des Antragsgegners zur Verarbeitung der personenbezogenen Daten des Antragstellers, insbesondere des Datums der Staatsangehörigkeit folge u.a. aus §§ 62, 63, 64 Abs. 1 Nr. 7 der – auf der Grundlage von § 99 Abs. 2 AufenthG erlassenen – Aufenthaltsverordnung (AufenthV).

Die Entscheidung des VG Stade befasst sich mit einem der eher „unspektakulären“ Betroffenenrecht. Gerade aus diesem Grund ist die inhaltliche Prüfung der Voraussetzungen und auch die Auslegung der Anforderungen er DSGVO durch das Gericht so relevant.

Update zu Fanpages: Facebook stellt erforderliche Vereinbarung zur Verfügung

Posted on by

Gestern habe ich über den aktuellen Beschluss der deutschen Datenschutzbehörden zum Betrieb von Fanpages berichtet. Die deutschen Behörden haben darin u.a. festgestellt, dass der Betrieb einer Fanpage rechtswidrig ist, wenn nicht mit Facebook die erforderliche Vereinbarung nach Art. 26 DSGVO zur gemeinsamen Verantwortlichkeit geschlossen wird.

Facebook hat, praktisch über Nacht, reagiert und stellt nun ein Dokument mit dem Titel „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ zur Verfügung. Zwar wird nicht ausdrücklich darauf verwiesen, dass es sich hierbei um die Vereinbarung zur gemeinsamen Verantwortlichkeit nach der DSGVO handelt. Jedoch ergibt sich dies aus dem Text. Art. 26 DSGVO verlangt auch per se keine spezielle Benennung der Vereinbarung.

Das Addendum gilt für den Fall, dass ein Seitenbetreiber die Funktion „Seiten-Insights“ nutzt. Hierbei handelt es sich um die Möglichkeit, statistische Auswertungen der Nutzung der Fanpage anzuzeigen.

Viel wichtiger für Seitenbetreiber ist natürlich, ob die Vereinbarung nun genutzt werden kann, um damit den Anforderungen der DSGVO gerecht zu werden. Die gesetzlichen Anforderungen an die Vereinbarung stellt Art. 26 Abs. 1 DSGVO auf. In der Vereinbarung muss

  • in transparenter Form festgelegt werden,
  • wer von den gemeinsam Verantwortlichen welche Verpflichtung gemäß der DSGVO erfüllt.

Insbesondere, was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13 und 14 DSGVO nachkommt. Zudem kann in der Vereinbarung eine Anlaufstelle für die betroffenen Personen angegeben werden.

Laut der Vereinbarung sind der Seitenbetreiber mit Facebook Ireland gemeinsam Verantwortliche für die Verarbeitung von Insights-Daten. Das Addendum bezieht sich also nicht auf jegliche Datenverarbeitung über eine Fanpage, sondern nur auf jene Daten, die zur statistischen Auswertung genutzt werden.

Zudem wird festgelegt, dass Facebook Ireland die primäre Verantwortung gemäß der DSGVO für die Verarbeitung von Insights-Daten übernimmt.

Im Hinblick auf die nach der DSGVO zu erfüllenden Pflichten, insbesondere der Rechte der Betroffenen nach den Art. 12 bis 22 DSGVO, stimmt Facebook Ireland zu

sämtliche ihr gemäß DSGVO obliegenden Pflichten im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO)“.

Facebook wird sich also um die Erfüllung der Rechte der Betroffenen kümmern, soweit es die Insights Daten betrifft. Meines Erachtens ist dieser Passus aber leider noch nicht ganz deutlich. Denn es wird auf die „ihr…obliegenden Pflichten“ verwiesen, also die Pflichten der Facebook Ireland. Dann stellt sich natürlich unweigerlich die Frage, was mit den gesetzlichen Pflichten der Seitenbetreiber nach den Art. 12 bis 22 DSGVO passiert? Denn Informationspflichten obliegen den Seitenbetreibern auch. In der Vereinbarung nach Art. 26 DSGVO kann geregelt werden, wer sich um die Erfüllung dieser Pflichten für beide Verantwortliche kümmert. Den obigen Passus kann man wohl einerseits so lesen, dass er sich nur auf die Pflichten bezieht, die Facebook treffen, oder doch auch die Pflichten umfasst, die für die Seitenbetreiber gelten und im Innenverhältnis dann von Facebook erfüllt werden. Sinn macht für dieses Addendum eigentlich nur die letztgenannte Auslegung. Eine etwas klarere Formulierung wäre hier sicher hilfreich. UPDATE: Facebook hat das Addendum in genau diesem Punkt angepasst. Es wird nun auf „sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten“ verwiesen, also nicht mehr nur auf die Facebook Ireland treffenden Pflichten.

Zu beachten ist, dass jeder Seitenbetreiber daneben selbst dafür Sorge tragen muss, dass die Verarbeitung der Insights-Daten auf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO beruht. Unternehmen müssen sich also Gedanken dazu machen, welcher Erlaubnistatbestand für die Erhebung personenbezogener Daten für den Zweck der statistischen Auswertung genutzt werden kann. In Betracht dürfte hier vor allem die Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO kommen.

Nach Art. 26 Abs. 2 DSGVO muss die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung muss der betroffenen Person zur Verfügung gestellt werden.

In dem Addendum verpflichtet sich Facebook dazu, das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen. Damit ist die gesetzliche Vorgabe auch erfüllt. Jedoch ist aktuell noch kein Link oder Hinweis vorhanden, wo man als betroffene Person diese Informationen findet.

Das Addendum enthält keine Regelungen zur Haftung im Innenverhältnis zwischen Seitenbetreiber und Facebook. Eine solche Regelung ist auch nicht zwingend in Art. 26 DSGVO vorgesehen, wäre aber zwischen den Parteien durchaus möglich.

Interessant an der Ergänzung ist, dass in dem Addendum vereinbart wird, dass Facebook Ireland in der EU die Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche ist. Diese Formulierung bezieht sich auf die in Art. 4 Nr. 16 DSGVO definierte „Hauptniederlassung“ von der im Rahmen des One-Stop-Shop Prinzips der DSGVO abhängig gemacht wird, welche Datenschutzbehörde in Europa bei grenzüberschreitenden Verarbeitungen als „federführende Behörde“ agiert (Art. 56 DSGVO). Für die Datenverarbeitung der Insights-Daten ist, nach der vorliegenden Regelung, dann die Datenschutzbehörde in Irland europaweit zuständig.

Wie dieses Addendum Bestandteil von Verträgen zwischen Facebook und Seitenbetreibern wird, ist in der Ergänzung nicht konkret beschrieben. Im Grunde kann man sich folgende Szenarien vorstellen:

  • Existierende Kunden (Unternehmen mit Fanpages) werden über die Ergänzung informiert und diese wird, durch weitere Nutzung, Teil des Vertrages (so wohl auch die Information von Facebook im Unternehmensblog).
  • Neue Kunden schließen dieses Addendum bei der Registrierung der Fanpage mit ab.

Jetzt muss man sehen, wie und ob die Aufsichtsbehörden reagieren werden. Unternehmen sollten auf jeden Fall beachten, dass der in dem neuen Beschluss der DSK enthaltene Fragenkatalog noch weitere Fragen enthält, die ein Seitenbetreiber im Zweifel beantworten können sollte.

Verordnung über den freien Verkehr nicht personenbezogener Daten in der Europäischen Union kurz vor Verabschiedung – Abgrenzungsfragen zur DSGVO

Posted on by

Durch die Arbeiten an der DSGVO und vor allem auch der Umsetzung ihrer Vorgaben in der Praxis, wurde in den letzten Monaten recht wenig über ein anderes, für das Datenschutzrecht aber durchaus relevantes, Gesetzgebungsverfahren auf europäischer Ebene berichtet. Die im September 2017 von der Europäischen Kommission vorgeschlagene Verordnung über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union (COM(2017) 495, pdf).

Der Gesetzesentwurf wurde im letzten halben Jahr im Rat der Europäischen Union und auch im Europäischen Parlament geprüft und bearbeitet. Am 6. Juni 2018 hat der federführende Ausschuss für Binnenmarkt und Verbraucherschutz im EU-Parlament seinen Bericht vorgelegt (pdf). Mit Datum vom 25. Juni 2018 hat die Ratspräsidentschaft einen Kompromisstext der Verordnung an die ständigen Vertreter im Rat übersendet (pdf). Dieser Text ist das Ergebnis der Trilogverhandlungen zwischen Kommission, Parlament und Rat, auf den sich die Parteien am 19. Juni 2018 geeinigt haben.

Ziel des Vorschlags ist es, durch Maßnahmen zur Verbesserung der grenzüberschreitenden Mobilität nicht personenbezogener Daten im Binnenmarkt und zur Erleichterung des Anbieterwechsels und der Übertragung von Daten für die beruflichen Nutzer von Datenspeicherungs- und sonstigen Datenverarbeitungsdiensten einen stärker vom Wettbewerb geprägten und integrierten Binnenmarkt für Datenspeicherungs- und sonstige Datenverarbeitungsdienste und -tätigkeiten aufzubauen. Es sollen Datenverarbeitung in unterschiedlichen Intensitätsstufen erfasst werden, von der Datenspeicherung (Infrastructure-as-a-Service – IaaS) bis zur Verarbeitung von Daten auf Plattformen (Platform-as-a-Service – PaaS) oder in Anwendungen (Software-as-a-Service – SaaS).

Die Verordnung soll sich, in Abgrenzung zur DSGVO und auch der noch geltenden ePrivacy Richtlinie, nur auf elektronischen Daten beziehen, die keine personenbezogenen Daten sind. Aus Sicht der Praxis kann der so umrissene Anwendungsbereich bereits kritisch hinterfragt werden, denn inwiefern Unternehmen heutzutage noch (umfangreich) mit nicht personenbezogenen Daten umgehen, ist fraglich. Gerade aufgrund der extensiven Auslegung des Begriffs, sei es durch die DSGVO selbst oder auch die Rechtsprechung des EuGH und die Ansichten der Datenschutzaufsichtsbehörden.

Gerade diese Abgrenzungsfrage stellt dann aber gleichzeitig auch aus datenschutzrechtlicher Sicht, also dem Blickwinkel der personenbezogenen Daten, einen relevanten Aspekt dar. Denn für die Praxis wird es von Relevanz sein, wie sich die Anwendungsbereiche der beiden Verordnungen, DSVGO auf der einen, Verordnung zum freien Verkehr nicht personenbezogener Daten auf der anderen Seite, abgrenzen und ob es trennscharfe Grenzlinien gibt. Die Frage der Abgrenzung der Anwendungsbereich soll daher nachfolgend kurz beleuchtet werden (ich beziehe mich hierbei auf die aktuelle Fassung der „free flow“ Verordnung aus dem Trilog).

Nach ErwG 9 werden die gesetzlichen Rahmenbedingungen zum Schutz personenbezogener Daten nach der DSGVO als auch hinsichtlich des Schutzes personenbezogener Daten im Rahmen der elektronischen Kommunikation (ePrivacy Richtlinie) von dieser Verordnung nicht berührt. Nach ErwG 10 sollen die DSGVO und diese Verordnung quasi als gemeinsames Regelwerk zum freien Verkehr von Daten (personenbezogene und solche ohne Personenbezug) nebeneinander wirken. Die Anwendungsbereiche unterscheiden sich mithin anhand der Datenarten.

Doch was sieht der EU Gesetzgeber überhaupt als Datenarten an, die von der free flow Verordnung umfasst sind. In ErwG 10a gibt er hierzu ein paar Hinweise in der Form von Beispielen. Danach sei eine große Quelle nicht personenbezogener Daten das Internet der Dinge, künstliche Intelligenz und Maschinenlernen, etwa wenn diese im Rahmen industrieller Fertigungsprozesse eingesetzt werden. Dort erwähnte Beispiele: anonymisierte Datensätze für Big Data Analysen, Daten für die Präzisierungslandwirtschaft, um etwa den Einsatz von Pestiziden oder Wasser zu optimieren oder Daten zur Instandhaltung von Industriemaschinen.

Und dann kommt bereits eine der wichtigen Aussagen des Gesetzgebers: Sofern es technologische Entwicklungen ermöglichen sollte, anonymisierte Datensätze in personenbezogene Daten umzuwandeln, sollten diese Daten (der Gesetzgeber bezieht sich hierbei auf die zuvor erwähnten anonymisierten Daten) als personenbezogene Daten angesehen werden und die DSGVO gilt. Diese Aussage ist insofern bedeutend, da bereits die Möglichkeit der Re-Identifizierung ausreicht, um anonymisierte Daten als personenbezogene Daten anzusehen. Einziger Faktor, von dem diese Re-Identifizierung abhängig gemacht wird, sind die technologischen Entwicklungen. Leider definiert der Gesetzgeber weder, was mit „technologischen Entwicklungen“ gemeint ist, noch, wann den konkret „anonymisierte Daten“ vorliegen. Die Klarstellung in ErwG 10a zeigt jedoch, dass bereits die Möglichkeit der Re-Identifizierung genügt, um den Anwendungsbereich der free flow Verordnung zu verlassen und die DSGVO für anwendbar zu erklären.

Diese Klarstellung ist meines Erachtens auch im Rahmen der Anwendung der DSGVO zu beachten. Auch dort wird ja (leider) nicht definiert, was genau „anonymisierte Daten“ sind. Der Gesetzgeber geht aber davon aus, dass diese nicht vorliegen, wenn allein aufgrund technologischer Entwicklungen die Möglichkeit (!) der Re-Identifizierung gegeben ist. Auch dies fügt sich in die oben erwähnte weite Auslegung des Begriffs der personenbezogenen Daten ein, schmälert aber zugleich den Anwendungsbereich der free flow Verordnung.

In Art. 1a der Verordnung wird dann die ebenso wichtige Frage der gemischten Datensätze angesprochen, also Datensätze, die sowohl personenbezogene als auch nicht personenbezogene Daten enthalten. Eigentlich würden wohl die Meinungen im Datenschutzrecht in einer solchen Situation ohne viel Diskussion vom Vorliegen personenbezogener Daten in Gänze ausgehen (Stichwort: Infektion nicht personengezogener Daten). Nicht so aber der EU Gesetzgeber. In Art. 1a gibt er vor, dass im Fall des Vorliegens gemischter Datensätze die free flow Verordnung auf jene Daten im Datensatz Anwendung findet, die nicht personenbezogen sind. Der Gesetzgeber splittet also die gesetzlichen Regularien innerhalb eines gemischten Datensatzes. Dies gilt jedoch nach Art. 1a nicht für den Fall, wenn die personenbezogenen und nicht personenbezogenen Daten untrennbar miteinander verbunden sind. In diesem Fall soll die Anwendung der DSGVO nicht beeinträchtigt werden. Dies soll wohl bedeuten, dass dann nur die DSGVO eingreift. Interessant an Art. 1a ist in jedem Fall die gesetzgeberisch vorgesehen Zersplitterung regulatorischer Bedingungen innerhalb eines Datensatzes, zumindest wenn die Daten nicht untrennbar verbunden sind. Unklar bleibt, wann von einer „untrennbaren“ Verbundenheit auszugehen ist. Dies dürfte, wenn der Text so beschlossen wird, in der Praxis für Unsicherheiten bei der Anwendung der Gesetze sorgen.

OLG Frankfurt a.M.: Kaufvertrag über Daten wegen fehlender Einwilligung nach dem BDSG unwirksam

Posted on by

Das OLG Frankfurt hat ein recht interessantes Urteil zu der Frage gefällt, wie sich ein Verstoß gegen datenschutzrechtliche Bestimmungen des Gesetzes auf der vertraglichen Ebene im Rahmen eines Kaufvertrages über Daten auswirkt.

Mir Urteil vom 24.1.2018, Az. 13 U 165/16 (bisher liegt nur die Pressemitteilung vor) entschied das OLG, dass der Kaufvertrag über Adressdaten

insgesamt nichtig

sei,

da die Adressinhaber in den Verkauf ihrer Daten nicht wirksam eingewilligt hätten. Der Vertrag verstoße gegen die Vorgaben des BDSG.

Es lag zwar eine Einwilligung der Betroffenen vor. Diese erfüllte jedoch nicht die gesetzlichen Vorgaben. In der Einwilligungserklärung waren weder die betroffenen Daten noch Kategorien etwaiger Datenempfänger oder der Nutzungszweck – Adresshandel – konkret genug bezeichnet worden.

Zur vollständigen Einordnung es Urteiles wird man sicherlich die Urteilsgründe abwarten müssen. Dennoch lässt sich aus der Pressemitteilung ableiten, dass das OLG bei einem Verstoß gegen Vorgaben des BDSG nicht etwa nur von einem Mangel der Kaufsache (Daten) ausgeht, sondern den gesamten Vertrag als unwirksam erachtet. Eventuell geht das OLG hier von einem Verstoß gegen ein gesetzliches Verbot aus (§ 134 BGB).

Zu beachten ist, dass die vorliegende Konstellation durchaus eine spezielle war. So ging es in dem Kaufvertrag tatsächlich um nichts anderes als den Kauf der Daten, die dann für werbliche Zwecke genutzt werden sollten. Dies scheint mir ein wichtiger Aspekt zu sein. Die Übergabe der Daten war also die einzige und alleine Hauptpflicht des Verkäufers.

Zudem begründet das OLG sein Urteil auf einem weiteren Argument:

Der Vertrag verpflichte die Parteien darüber hinaus „systematisch“ zu einem unlauteren wettbewerbswidrigen Verhalten, so dass auch deshalb von einer Gesamtnichtigkeit auszugehen sei.

Hier bezieht sich das OLG auf die Vorgaben des § 7 Abs. 2 Nr. 3 UWG für eine Zusendung von Werbe-E-Mails. Die dafür erforderliche Einwilligung lag nicht vor.

Aufgrund dieser Begründung kann man z.B. darüber nachdenken, ob allein ein Verstoß gegen das BDSG auch zu demselben Ergebnis geführt hätte.

Zuletzt verweigert das OLG den Vertragsparteien dann auch Rückabwicklung bzw. die Rückzahlung des Kaufpreises. Zwar sei der Verkäufer durch den Kaufpreis bereichert. Es bestehe aber kein Rückzahlungsanspruch, da beide Vertragsparteien vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.

Zumindest für Unternehmen, die ebenfalls mit Adressdaten agieren oder diese generieren und veräußern, ist dieses Urteil von hoher Relevanz. Denn wenn der Käufer Pech hat, bleibt er auf nicht nutzbaren Daten sitzen und erhält den gezahlten Preis nicht zurück. Welche konkreten Folgen jedoch im Ergebnis aus dem Urteil auch auf andere Fälle, neben jenen des Adresshandels, übertragbar erscheint, ist, dass Verstöße gegen gesetzliche Datenschutzvorgaben das Risiko einer Unwirksamkeit des Vertrages über Daten bergen. Es lässt sich durchaus darüber nachdenken, diese Auffassung auch auf andere Vertragskonstellationen, bei denen es gerade nicht allein um den Kauf von Adressdaten geht, zu übertragen. So kann man etwa an Verträge über den Kauf von Daten für interne Analysezwecke oder zur Effektivierung eigener Produkte oder Dienstleistungen denken.

Klage gegen das EU US Privacy Shield gescheitert: Digital Rights Ireland verliert vor dem Europäischen Gerichtshof

Posted on by

Verschnaufpause für Datentransfers an Unternehmen in die USA. Digital Rights Ireland, eine Gesellschaft aus Irland, die sich mit der Förderung und dem Schutz der Bürger- und Menschenrechte, insbesondere in der Welt der modernen Kommunikationstechnologien, befasst, ist mit ihrer Nichtigkeitsklage (Art. 263 AEUV) vor dem Gerichtshof der Europäischen Union (hier das „Gericht“) in der Rechtssache T-670/16 gegen den Beschluss der EU Kommission zum EU US Privacy Shield gescheitert. Das Gericht entschied am 22.11.2017 per Beschluss, dass die Klage unzulässig ist, da es der Klägerin an der Klagebefugnis mangelt.

Bereits in meinem ersten Beitrag zu der Klage (hier im Blog), habe ich Zweifel an der Zulässigkeit der Klage geäußert.

Im Fall der hier eingelegten Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV ist im Rahmen der Zulässigkeit, konkret bei der Klagebefugnis, zu berücksichtigen, dass zwar natürliche oder juristische Person eine solche Klage erheben können. Jedoch nur dann, wenn es sich um an sie gerichteten oder sie unmittelbar und individuell betreffenden Handlungen sowie gegen Rechtsakte mit Verordnungscharakter, die sie unmittelbar betreffen und keine Durchführungsmaßnahmen nach sich ziehen, handelt. Die 1. Alternative schallt im Fall der Angemessenheitsentscheidung der Europäischen Kommission aus. Denn der Beschluss ist nicht an natürliche oder juristische Person in den Mitgliedstaaten gerichtet, sondern an die Mitgliedstaaten selbst (vgl. Art. 6 des Beschlusses). Digital Rights Ireland Ltd wird also vor allem darlegen müssen, dass sich bei dem Beschluss um eine sie „unmittelbar und individuell betreffende Handlung“ der Europäischen Kommission handelt.

Zum einen weist das Gericht hier nun darauf hin, dass die noch geltende Datenschutz-Richtlinie 95/46/EG nur die personenbezogenen Daten natürlicher Personen erfasst; nicht jedoch Daten von juristischen Personen, wie hier Digital Rights Ireland. Die Klägerin kann daher schon keine Rechtsverletzung geltend machen.

Zum anderen schränke der Beschluss der EU Kommission zum EU US Privacy Shield nicht die Rechte der Klägerin als juristische Person und datenschutzrechtlich verantwortliche Stelle ein. Das Privacy Shield verpflichtet vielmehr amerikanische Unternehmen, an die Daten übermittelt werden sollen. Europäische datenverarbeitende Stellen erhalten vielmehr die Befugnis, auf der Grundlage des EU US Privacy Shield Daten an diese Unternehmen zu versenden.

Soweit es die Rechte der Unterstützter der Klägerin betrifft, weist das Gericht darauf hin, dass Art. 263 AEUV und das EU Recht keine Möglichkeit für Klagen im Namen des öffentlichen Interesses vorsieht.

Zuletzt berief sich Digital Rights Ireland unverständlicherweise auf die erst ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung und den Art. 80 DSGVO. Dieser sieht die Möglichkeit für Mitgliedstaaten vor, eine Verbandsklagebefugnis zu schaffen. Das Gericht macht es hier kurz: die DSGVO ist noch nicht anwendbar.

Der Beschluss des Gerichts kommt nicht völlig überraschend. Zu beachten ist, dass eine ähnliche Klage im Verfahren T-738/16 anhängig ist. Auch dort klagen Vereinigungen und nicht einzelne Personen. Daher dürfte auch dort die Frage der Unzulässigkeit aufkommen.

Das EU US Privacy Shield wird also zunächst einmal weiter Bestand haben.

Complaint against the EU US Privacy Shield failed: Digital Rights Ireland loses in front of the European General Court

Posted on by

Breather for data transfers to companies in the US. Digital Rights Ireland, an Irish company concerned with the promotion and protection of civil and human rights, particularly in the world of modern communication technologies, which has brought an action for annulment (Article 263 TFEU) before the Court of Justice of the European Union (here the General Court) in the case T-670/16 against the decision of the EU Commission for the EU US Privacy Shield, lost the battle, before it even really started.

The Court rules (Order) that the applicant does not have an interest in bringing proceedings. The annulment of the contested decision is not capable of having, in itself, legal consequences for the applicant or of procuring for it an advantage in regard to personal data.

Furthermore, according to the Court, the contested decision by the EU Commission has the effect of entitling the applicant as a controller of personal data to carry out transfers under certain conditions. It does not restrict its rights or impose obligations on it.

Additionally, the Court clarifies that it follows from the existence of specific conditions governing the admissibility of actions for annulment brought by individuals, provided for in Article 263 TFEU, that EU law does not, in principle, allow for the possibility of an applicant to bring an actio popularis in the public interest.

The action is therefore inadmissible.

The decision of the Court is not completely surprising, since the Article 263 TFEU and also the case law of the court stipulate quite high demands for the admissibility of an action for annulment. It should be noted that a similar claim is pending in case T-738/16. Also there complaining associations are not individuals. Therefore, the issue of inadmissibility might probably also arise there.

Landesarbeitsgericht: Weitergabe von Entgeltlisten an den Betriebsrat auch unter der DSGVO zulässig

Posted on by

Das Landesarbeitsgericht (LAG) Hamm hat in einer Entscheidung (Beschl. v. 19.9.2017 – 7 TaBV 43/17) zum Einsichtsrecht des Betriebsrates in Bruttoentgeltlisten in einem Nebensatz auch Feststellungen zur Zulässigkeit der Weitergabe personenbezogener Daten vom Arbeitsgeber an den Betriebsrat gemacht.

In dem Fall stritt der Betriebsrat in einem Klinikum mit der Arbeitgeberin über den Umfang des Einsichtsrechts in Bruttoentgeltlisten. Die Arbeitgeberin stellte nur anonymisierte Listen zur Verfügung, da der Betriebsrat ihrer Ansicht nach für die Wahrnehmung seiner Aufgaben nicht die Angabe der Namen der Beschäftigten benötigte. Maßgeblich ging es um die Vorschrift des § 80 Abs. 2 S. 2 2. HS BetrVG. Dieser lautet:

Dem Betriebsrat sind auf Verlangen jederzeit die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen; in diesem Rahmen ist der Betriebsausschuss oder ein nach § 28 gebildeter Ausschuss berechtigt, in die Listen über die Bruttolöhne und -gehälter Einblick zu nehmen.

Das LAG stellte, nach Ausführungen zur Reichweite und dem Inhalt des § 80 Abs. 2 S. 2 2. HS BetrVG fest, dass dem Anspruch des Betriebsrates zur Einsichtnahme durch den Betriebsausschuss gemäß § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG auch datenschutzrechtliche Belange nicht entgegenstünden. Das LAG verwies dazu auf die Entscheidung des Bundesarbeitsgerichts vom 14.01.2014 (1 ABR 54/12),

wonach es sich bei dem Einsichtsrecht in die Bruttogehaltslisten um eine nach § 32 Abs. 1 BDSG zulässige Form der Datennutzung handelt.

Dort entscheid das BAG, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten nach § 32 Abs. 3 BDSG durch die nach § 32 Abs. 1 BDSG erlaubte Datennutzung nicht berührt werden. Das BAG bezieht sich hier auf die Datennutzung innerhalb einer verantwortlichen Stelle (dem Arbeitgeber). Nach der Respr. des BAG und der hM in der Literatur ist der Betriebsrat nämlich Teil der verantwortlichen Stelle und vor allem nicht Dritter. Das BAG:

Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar.

Sehrwohl stellt die Weitergabe aber eine Nutzung von personenbezogenen Daten dar. Ob diese Auffassung zur Einordnung des Betriebsrates auch unter Geltung der Datenschutz-Grundverordnung (DSGVO) ab dem 25.5.2018 so beibehalten werden kann, wird derzeit diskutiert. Zum Teil wird davon ausgegangen, dass der Betriebsrat als eigener Verantwortlicher anzusehen ist und daher auch selbst rechtlichen Pflichten der DSGVO nachkommen muss (Gola, in: Gola, DS-GVO, 2017, Art. 4 Rn. 55; Selk, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 88 Rn. 166 ff.). Im neuen § 26 Abs. 1 BDSG 2018 sieht der deutsche Gesetzgeber ausdrücklich vor, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Bislang fehlte eine ausdrückliche Regelung für die Frage der Zulässigkeit der Übermittlung von Daten an die Interessenvertretung der Beschäftigten. Der Verantwortliche darf in Zukunft auf der Grundlage von § 26 Abs. 1 S. 1 BDSG 2018 Daten an Betriebs- oder Personalräte weitergeben, soweit dies gesetzlich vorgesehen und erforderlich ist (Piltz, BDSG, 2018, § 26 Rn. 49 ff.). Meines Erachtens spricht diese Regelung klar dafür, dass der Gesetzgeber den Betriebsrat selbst als Verantwortlichen ansieht.

Im vorliegenden Beschluss bezog sich das LAG auch noch direkt auf die DSGVO. Das LAG geht davon aus, dass sich bei der Frage der Zulässigkeit der Weitergabe der Daten an den Betriebsrat

auch aus den Erwägungen und dem Wortlaut zur Datenschutzgrundverordnung…keine abweichende Beurteilung ergeben kann, da Art. 6 DSGVO insofern beschreibt, dass eine Datenverarbeitung rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Datenverarbeitung Verantwortliche unterliegt. Dies ist der Fall, wie oben ausgeführt.

Zu beachten, dass das LAG hier leider etwas vage bleibt, welche Verarbeitungsphase denn konkret gemeint ist. Da es sich jedoch auf eine rechtliche Pflicht (und damit Art. 6 Abs. 1 lit. c) DSGVO) bezieht, dürfte es die Phase der Bereitstellung und Weitergabe der Arbeitgeberin avisiert haben. Denn diese ist nach § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG rechtlich verpflichtet. Der Betriebsrat selbst hat ein Recht auf Einsicht. Auf den Umgang mit den Daten durch den Betriebsrat selbst scheint sich das LAG hier nicht zu beziehen.