Category Archives: Rechtsprechung

Oberlandesgericht Dresden: Gesetzliche Aufbewahrungspflichten müssen für das einzelne Datum in Dokumenten geprüft werden

Posted on by

In seinem Urteil vom 14.12.2021 (Az 4 U 1278/21) befasst sich das Gericht u.a. mit der Frage, ob nationale Pflichten zur Aufbewahrung von Dokumenten als Rechtsgrundlage für eine weitere Speicherung jeglicher in den Dokumenten enthaltenen Daten dienen können.

Nach Auffassung des Gerichts stellen gesetzliche Aufbewahrungspflichten keine Rechtfertigung dar, um nicht rechtmäßig erhobene Daten dauerhaft speichern zu dürfen.

es ist Aufgabe des Aufbewahrungspflichtigen, seinen Datenbestand so zu organisieren, dass der Zugriff auf rechtswidrig erlangte Daten des Betroffenen nicht möglich ist.“

Konkret befasst sich das Gericht auch mit einer möglichen Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der nationalen Regelung des § 147 AO. Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Die Datenverarbeitung könne zwar erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen.

Die Erlaubnis zur Datenverarbeitung ist jedoch nach Ansicht des OLG auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt. Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen.

Das OLG verweist hier darauf, dass es auf die Form der Korrespondenz nicht ankommt, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind.

Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Nach Ansicht des OLG sind im vorliegenden Fall die Beklagten nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. HIer wird deutlich, dass das Gericht die Löschpflicht (und damit im Gegensatz dazu die legitimierende Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO) datumsbezogen versteht.

Das Gericht betrachtet folglich nicht das Dokument an sich (mit allen dort enthaltenen Daten) und knüpft daran eine mögliche Pflicht zur weiteren Speicherung der enthaltenen Daten. Sondern das Gericht verlangt wohl eine Prüfung der Rechtsgrundlge für jedes in dem Dokument enthaltene Datum.

Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige – und aufbewahrungspflichtige Daten zugreifen kann“.

Dies könne in der Praxis z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen.

Die Entscheidung des Gerichts ist praktisch relevant, da sie datenverarbeitende Stellen vor die Herausforderung stellt, Aufbewahrungspflichten nicht allein anhand von Dokumenten zu prüfen, sondern in dem Dokument jedes Datum näher zu betrachten und ggfs. entsprechene Maßnahmen zur Löschung, zB als Schwärzung, zu ergreifen.

Cookie-Einwilligung: Ist die Information, dass Dritte keinen (!) Zugriff auf Cookies haben, zwingend erforderlich?

Posted on by

Nach § 25 Abs. 1 TTDSG sind die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. (Hervorhebung durch mich)

Diese Information des Endnutzers und die Einwilligung haben gemäß Satz 2 nach der DSGVO zu erfolgen.

Wenn nun Unternehmen darüber nachdenken, ihre Produkte, Apps und Webseiten diesen Vorgaben anzupassen, wird sich unweigerlich die Frage stellen, welche „umfassenden Informationen“ hier zu erteilen sind?

Da § 25 TTDSG auf Art. 5 Abs. 3 ePrivacy-Richtlinie beruht, lohnt sich natürlich ein Blick in die Rechtsprechung des EuGH zu dieser Vorschrift. In Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie ist geregelt: „… wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

In dem Planet49 Verfahren (C-673/17) haben sich sowohl der Generalanwalt (Schlussanträge) als auch danach der EuGH (Urteil) mit der Frage auseinandergesetzt, welche Angaben unter den „klaren und umfassenden Informationen“ zu verstehen sind.

Was gilt, wenn keine personenbezogenen Daten vorliegen?

Sowohl der Generalanwalt als auch der EuGH verweisen für die Informationspflichten auf die entsprechenden Vorgaben der alten DS-RL und der DSGVO (dort: 13, 14 DSGVO). Hier dürfte bereits eine erste Anmerkung wichtig sein: in dem Verfahren ist der EuGH davon ausgegangen, dass personenbezogene Daten vorlagen. Daher war es auch kein Problem, auf Artt. 13, 14 DSGVO zu verweisen. Für die Praxis interessant ist aber sicher die Frage, ob man die Informationspflichten der DSGVO auch (entsprechend) beachten muss, wenn „nur“ Informationen und noch keine personenbezogenen Daten verarbeitet werden.

Zwei mögliche Lösungsansätze: entweder, man geht davon aus, dass die DSGVO mangels personenbezogener Daten keine Anwendung findet. Oder man wendet die Informationspflichten auf „Informationen“ nach der ePrivacy-Richtlinie zumindest entsprechend. Ich würde eher zur zweiten Sichtweise tendieren. Schlicht aus dem Grund, weil Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie für die zu erteilenden Informationen ausdrücklich auf die alte DS-RL und damit (nach Art. 94 DSGVO) jetzt auf die DSGVO verweist.

Spezifische Anforderungen an „klare und umfassende Informationen“ bei Cookies?

Sowohl der Generalanwalt als auch der EuGH gehen mithin davon aus, dass die allgemeinen Informationspflichten der Art. 13, 14 DSGVO zu erfüllen sind. Etwa in einer Datenschutzerklärung.

Spannend sind jedoch cookie-spezifsche Informationspflichten, die zusätzlich erfüllt werden müssen.

„Klare und umfassende Informationen“ bedeutet nach Ansicht des Generalanwalts, dass „ein Nutzer imstande ist, die Konsequenzen jeder etwa von ihm erteilten Einwilligung leicht zu ermitteln“. Und, speziell mit Blick auf Cookies: „Sie müssen detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der tatsächlich verwendeten Cookies zu verstehen“ (Rz. 115)

Und hiervon sind zwei spezielle Merkmale umfasst:

  • die Funktionsdauer der Cookies
  • die Frage, ob Dritte auf die Cookies Zugriff erhalten (Rz. 116)

Das Merkmal der „Funktionsdauer“ erhebt der Generalanwalt sogar zum Bestandteil einer wirksamen Einwilligung. Nach seiner Ansicht hängt die Funktionsdauer des Cookies „mit den die Einwilligung in Kenntnis der Sachlage betreffenden ausdrücklichen Erfordernissen bezüglich der Qualität und Zugänglichkeit der Information für die Nutzer zusammen“ (Hervorhebung durch mich; Rz. 118).

Die Frage, ob Dritte Zugriff auf verwendete Cookies haben oder nicht, scheint aus Sicht des Generalanwalts im Grunde auch zur Einwilligung selbst zu gehören. Praxisrelevant ist die Ansicht des Generalanwalts vor allem deshalb, da er fordert, dass Nutzer „ausdrücklich darüber informiert werden, ob Dritte Zugriff auf die gesetzten Cookies haben oder nicht“ (Rz. 120). Dem Generalanwalt reicht es ausdrücklich gerade nicht aus, nur dann zu informieren, wenn tatsächlich ein Zugriff durch Dritte erfolgt. Er verlangt, dass auch eine Negativ-Information erteilt wird, dass ein solcher Zugriff nicht erfolgt.

Interessanterweise verlangt der EuGH ebenfalls, dass beide oben benannten cookie-spezifischen Informationen erteilt werden. Jedoch verknüpft er diese Anforderung sehr konkret mit dem zu beurteilenden Fall und den Zwecken der Cookies: es geht um „Cookies zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner des Veranstalters eines Gewinnspiels dienen“. Nach dem EuGH „zählen Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können“ (Rz. 75) in diesem Fall zu den zu erteilenden umfassenden Informationen. Bedeutet: wenn man denn möchte, könnte man bei dem Einsatz von Cookies für andere Zwecke (zB statistische Analyse) argumentieren, dass dann nicht die strengen cookie-spezifischen Vorgaben gelten.

Das Merkmal „Funktionsdauer der Cookies“ verortet der EuGH in Art. 13 Abs. 2 lit. a DSGVO: danach sind Informationen über die Dauer, für die die personenbezogenen Daten gespeichert werden, zu erteilen.

Interessant und meines Erachtens eventuell abweichend vom Generalanwalt ist die Ansicht des EuGH zu dem Merkmal, „ob Dritte auf die Cookies Zugriff erhalten“. Der EuGH verweist hierzu auf Art. 13 lit. e DSGVO „denn dort sind ausdrücklich die Empfänger oder Kategorien von Empfängern der Daten genannt“ (Rz. 80). Der Unterschied zur Ansicht des Generalanwalts ist, dass der EuGH nicht ausdrücklich verlangt, dass auch negativ informiert werden muss, wenn kein Zugriff erfolgt. Er bestätigt, dass Informationen dazu, „ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“ (Rz. 81). Durch den Verweis auf die DSGVO-Informationspflicht bzgl. der Empfänger kann man meines Erachtens aber argumentieren, dass dies allein eine positive Information umfasst. Wenn also tatsächlich Zugriffe auf die Cookies stattfinden (übertragen auf DSGVO: wenn Empfänger vorhanden sind). Denn Art. 13 Abs. 2 lit. e DSGVO verpflichtet gerade nicht dazu, auch zu informieren, wenn keine Empfänger vorhanden sind.

Verwaltungsgericht: Keine Ermächtigung für Datenschutzbehörde zur zwangsweisen (Ab-)Berufung eines Datenschutzbeauftragten?

Posted on by

Das Verwaltungsgericht Köln hat im Verfahren des einstweiligen Rechtsschutzes eine interessante Entscheidung getroffen (Az. 13 L 1707/21). Geklagt (und parallel im Wege des einstweiligen Rechtsschutzes die aufschiebende Wirkung betragt) hat eine Behörde gegen einen Bescheid des Bundesdatenschutzbeauftragten (BfDI). In diesem sollte die Behörde dazu verpflichtet werden, entweder einen Datenschutzbeauftragten (DSB) zu benennen oder den aktuellen abzuberufen; das wird aus der Begründung leicht nicht ganz klar.

Interessant ist die Begründung des Verwaltungsgerichts zu der Frage, ob denn die Datenschutzbehörde überhaupt eine Ermächtigungsgrundlage nach der DSGVO besitzt, um Verantwortliche oder Auftragsverarbeiter anzuweisen, einen DSB zu benennen oder einen bereits benannten abzuberufen (z.B. wegen mangelnder Qualifikation oder Interessenkonflikten).

Das Verwaltungsgericht führt zu dieser Frage aus:

Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des Art. 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind“.

In der Tat verlangt Abs. 2 lit. d) für die Anweisung durch den BfDI, dass „Verarbeitungsvorgänge“ vorliegen, die nach Ansicht der Aufsichtsbehörde auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen sind.

Die Tätigkeit des DSB und auch seine (Ab-)Berufung stellt jedoch nach Ansicht des Verwaltungsgerichts keinen solchen tatbestandlichen Verarbeitungsvorgang dar.

Das Verwaltungsgericht dazu: „Dass die (Ab-)Berufung eines behördlichen Datenschutzbeauftragten hierunter fallen könnte, ist nicht ersichtlich.“

Und es gibt in Art. 58 Abs. 2 DSGVO auch keine andere Ermächtigung, die speziell die Benennung des DSB adressieren würde. Man könnte nun spitzfindig überlegen, dass etwa die Benennung eines DSB schon eine Verarbeitung darstellt und diese Verarbeitung nur zulässig sein kann, wenn etwa der DSB auch qualifiziert und geeignet ist. Es würde dann um die personenbezogenen Daten dieses DSB gehen, etwa um zu dokumentieren, dass Herr / Frau XYZ zum DSB benannt wurde. Die Verarbeitung könnte dann die Aufsichtsbehörde eventuell angreifen oder eine solche Verarbeitung in Einklang mit der DSGVO verlangen. Jedoch dürfte dies ggfs. nicht ausreichen, da in Bezug auf die Daten des DSB wohl nur die Frage zu beantworten ist, ob diese Verarbeitung (Verwendung des Namens des DSB) zulässig war? Im Zweifel wird die Verarbeitung zulässig gewesen sein, um eine gesetzliche Pflicht (Art. 37 DSGVO) zu erfüllen. Eventuell mag man aber auch (ein wenig von hinten durch die Brust) den Schluss ziehen, dass wenn die Benennung (oder fehlende Benennung) nicht zulässig im Sinne des Art. 37 DSGVO war, dann dürfte auch die Verarbeitung der Daten des DSB unzulässig sein.

Mal sehen, wie die Sache im Hauptverfahren ausgeht.

Update vom 13.12.2021: der Bescheid erging nicht durch die LDI, sondern den BfDI.

OLG München: Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO ist weit auszulegen

Posted on by

Das OLG München hat mit Urteil vom 4.10.2021 (Az 3 U 2906/20) eine praxisrelevante Entscheidung zur Geltendmachung und zum Umfang des Anspruchs auf Herausgabe von Kopien personenbezogener Daten nach Art. 15 Abs. 3 DSGVO gefällt. Das OLG legt den Begriff „personenbezogene Daten“ weit aus und sieht in Art. 15 Abs. 3 DSGVO einen eigenständigen Anspruch, neben jenem auf Auskunft nach Art. 15 Abs. 1 DSGVO.

Sachverhalt

In der Vorinstanz verurteilte das Landgericht München I die Beklagten dazu, der Klägerin Kopien aller personenbezogenen Daten – insbesondere in Form von Telefonnotizen, Aktenvermerken, Protokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen – auszuhändigen. Vorgerichtlich forderte die Klägerin die Beklagten nach Art. 15 Abs. 3 DSGVO zur Überlassung von Kopien aller bei den Beklagten vorhandenen personenbezogenen Daten der Klägerin auf. Die Beklagten übersandten eine Auskunft der einzelnen bei ihnen gespeicherten Daten der Klägerin, Kopien wurden jedoch nicht überlassen.

Die Beklagten legten gegen dieses Urteil Berufung ein. Die Beklagten gehen u.a. davon aus, dass die Klageerweiterung bezüglich des Anspruchs aus Art. 15 Abs. 3 DSGVO bereits unzulässig war. Auch sei der Antrag in der gestellten Form zu unbestimmt.

Entscheidung

Das OLG wies die Berufung als unbegründet zurück.

Interessant ist zunächst die Ansicht des OLG zur Bestimmtheit des Klageantrags. Wie erinnern und an die Entscheidung des BAG (2 AZR 342/20).

Vorliegend hat das OLG keine Bedenken hinsichtlich der Bestimmtheit des Klageantrages. Dieser lautete wie folgt:
Die Beklagten werden verurteilt, der Klägerin Kopien der von den Beklagten verarbeiteten personenbezogenen Daten der Klägerin betreffend die Datenkategorien Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanlagen im Zeitraum vom 01.01.1997 bis ein 31.03.2018 zu überlassen.“

Das OLG begründet, dass für die Klägerin als Gläubigerin eines Anspruchs aus Art. 15 Abs. 3 DSGVO im Regelfall nicht ersichtlich sein wird, welche Unterlagen sich bei dem Auskunftsverpflichteten befinden.

Damit ist jedoch eine Konkretisierung der einzelnen herauszugebenden Schriftstücke nicht möglich“.

Nach Ansicht des OLG begegnet der Antrag (der noch minimal klargestellt wurde) im Hinblick auf die Bestimmtheit im Sinne des § 253 Abs. 2 Nr. 2 ZPO keinen Bedenken.

Sodann geht das OLG davon aus, dass das Landgericht die Beklagten zu Recht zur Herausgabe von Kopien der bei ihnen gespeicherten persönlichen Daten verurteilte.

Das OLG geht von einem weiten Verständnis des Begriffs „personenbezogene Daten“ aus.

Bei den aus dem Tenor der erstinstanzlichen Entscheidung ersichtlichen Informationen handelt es sich um personenbezogene Daten“.

In dieser Entscheidung wurden personenbezogenen Daten „insbesondere in Form von Telefonnotizen, Aktenvermerken, Protokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen“ aufgezählt. Diese Dokumente sieht das OLG insgesamt als personenbezogene Daten an.

Das OLG begründet seine Ansicht u.a. damit, dass sich jeweils aus dem Betreff bzw. dem Gesprächspartner eine Verbindung zu der Klägerin ziehen lasse. Schreiben und E-Mails der Klägerin an die Beklagten seien

grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO anzusehen“.

Dies ist meines Erachtens eine relevante Ansicht des OLG. Nicht allein die in einem Dokument enthaltenen Daten sind personenbezogen, sondern das sie umschließende Dokument. Die Daten „infizieren“ quasi das Dokument mit dem Personenbezug.

Zuletzt geht das OLG noch auf den in der Literatur und Rechtsprechung geführten Streit ein, ob aus Art. 15 Abs. 3 D-GVO ein eigenständiger Anspruch auf Herausgabe von Kopien folge.

Zum Teil werde ein entsprechender Anspruch auf Herausgabe von Kopien verneint. Nach anderer Auffassung enthält Art. 15 Abs. 3 S. 1 DSGVO einen eigenständigen Herausgabeanspruch.

Das OLG positioniert sich wie folgt:

Der Senat folgt der Ansicht, wonach der Auskunftsberechtigte neben dem Anspruch auf Auskunft gemäß Art. 15 Abs. 1 DS-GVO auch ein eigenständiger Anspruch auf Überlassung von Kopien gemäß Art. 15 Abs. 3 DS-GVO zusteht. Es handelt sich bei Abs. 1 und Abs. 3 des Art. 15 DS-GVO um zwei unterschiedliche Ansprüche,…

Zudem erläutert das OLG, dass der Gegenstand dieses Anspruchs sich nicht lediglich auf eine abstrakte Aufzählung der vorhandenen Informationen richte, da dieser bereits in dem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO enthalten ist.

Vielmehr hat der Gläubiger einen Anspruch auf Überlassung der Informationen in der Form, wie sie dem Verantwortlichen vorliegen

Das OLG scheint also die Ansicht zu vertreten, dass tatsächlich eine eins zu eins Kopie der Dokumente herauszugeben ist. Wie oben beschrieben, wird dies in Literatur und Rechtsprechung kontrovers diskutiert. Anders sah dies etwa das LAG Baden-Württemberg (Urt. v. 17.3.2021, Az 21 Sa 43/20):

besteht aus Sicht der erkennenden Kammer kein Anspruch der von der Datenverarbeitung betroffenen Person gegen den Verantwortlichen auf den Abdruck/Ausdruck/die elektronische Datei in der Form, in der die entsprechenden Daten der betroffenen Person beim Verantwortlichen verarbeitet worden sind.“

Nach Ansicht des OLG sei aber ein notwendiger Schutz des Schuldners durch die Möglichkeit der Schwärzung nach Art. 15 Abs. 4 DSGVO gewährleistet. Leider geht das OLG dann aber nicht weiter darauf ein, was und wie konkret der Verantwortliche vortragen muss, um sich auf diese Aufnahme berufen zu können. Zum Teil werden in der Rechtsprechung hier ja hohe Anforderungen an die Darlegung und Begründung gestellt.

OVG Berlin-Brandenburg: Social Media Auftritt einer Behörde mit Kommentarfunktion ist nicht mitbestimmungspflichtig (Abweichung von BAG Ansicht)

Posted on by

Das OVG Berlin-Brandenburg hat am 4.8.2021 (Az. 62 PV 5.20) einen auch für die Privatwirtschaft relevanten Beschluss zu der Frage gefasst, ob Behördenauftritte auf Social Media Plattformen, wie Facebook oder Twitter, die eine Kommentarfunktion enthalten, als technischen Einrichtungen, die  zur Überwachung des Verhaltens oder der Leistung der Beschäftigten in der Dienststelle bestimmt sind, gelten. Das OVG lehnt diese Einordnung mit umfassender Begründung und ausdrücklich unter Abweichung von der Entscheidung des BAG vom 13.12.2016 (Az. 1 ABR 7/15) ab. Zwar urteilt das Gericht hier auf der Grundlage des § 80 Abs. 1 Nr. 21 BPersVG; diese Vorschrift stimmt im Wortlaut aber praktisch mit § 87 Abs. 1 Nr. 6 BetrVG (für die Mitbestimmung des Betriebsrates) überein.

Sachverhalt

In dem Verfahren ging es u.a. um die Facebook-Seite @DeutscheRentenversicherungBund und den Instagram-Kanal @drvbunt. Der Antragsteller (wohl der Personalrat) forderte den wegen des Facebook-Auftritts zur Einleitung eines Mitbestimmungsverfahrens gemäß § 75 Abs. 3 Nr. 17 BPersVG unter Hinweis auf den Beschluss des BAG vom 13.12.2016 (Az. 1 ABR 7/15) auf.

Danach hat der Antragsteller einen Antrag beim Verwaltungsgericht Berlin anhängig gemacht, der darauf zielt festzustellen, dass der Antragsteller aus Anlass der Kommentarfunktion auf der bzw. dem vom Beteiligten betriebenen 1. Facebook-Seite, 2. lnstagram-Kanal „drvbunt“, 3. Twitter-Kanal @die_rente und 4. eine weitere Facebook-Seite jeweils nach § 75 Abs. 3 Nr. 17 BPersVG zu beteiligen ist.

Das Verwaltungsgericht hat dem Antrag stattgegeben (Az. VG 72 K 7.19 PVB) und sich in der Begründung dem Beschluss des BAG angeschlossen. Es meint, Nutzerkommentare könnten abhängig von ihrem Inhalt dazu geeignet sein, zur Überwachung von Leistung bzw. Verhalten der Beschäftigten beizutragen. Das reiche zur Mitbestimmungspflicht aus. Hiergegen wendet sich der Beteiligte mit seiner Beschwerde.

Entscheidung

Das OVG lehnt, anders als noch das VG, den Feststellungantrag des Antragstellers als unbegründet ab.

Nach Auffassung des OVG sind die vom Beteiligten zu verantwortenden Auftritte in den sozialen Medien

auch im Hinblick auf die den Nutzern ermöglichte Kommentierung nicht gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtig“.

Nach dieser Vorschrift bestimmt der Personalrat mit, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, über die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Maßgeblich ist nach Ansicht des OVG eine objektiv-finale Betrachtungsweise: Diejenigen technischen Einrichtungen unterliegen der Mitbestimmung des Personalrats, die nach ihrer Konstruktion oder konkreten Verwendungsweise eine Überwachung von Verhalten oder Leistung der Beschäftigten ermöglichen.

Besonderes Augenmerk legt das OVG auf die „objektive Eignung zur Überwachung“. Dies unterscheidet eine gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtige technische Einrichtung von anderen technischen Einrichtungen, die sich lediglich zur technischen Hilfe eignen und nicht unter den Mitbestimmungstatbestand fallen.

Das OVG macht deutlich:

Nach dem Schutzzweck des Mitbestimmungstatbestands ist nicht schlechterdings jeder Technisierungsfortschritt mitbestimmungspflichtig.“

Das Mitbestimmungsrecht des Personalrats soll sicherstellen, dass die Beeinträchtigungen und Gefahren für den Schutz der Persönlichkeit des Beschäftigten am Arbeitsplatz, die von der Technisierung der Verhaltens- und Leistungskontrolle ausgehen, auf das erforderliche Maß beschränkt bleiben. Daher, so das OVG, ist auch ein Überwachungsdruck, der sich durch eine womöglich kleinliche, jedenfalls engmaschige persönliche Kontrolle seitens der Vorgesetzten aufbaut, nach § 80 Abs. 1 Nr. 21 BPersVG unbeachtlich.

Die Kontrolle muss vielmehr mit Hilfe einer technischen Einrichtung erfolgen“.

Für den Mitbestimmungstatbestand ist spezifisch, dass die Überwachung gerade mit Hilfe einer als technisch zu bewertenden Einrichtung erfolge. Das BVerwG habe die Überwachung „mit Hilfe technischer oder elektronischer Kontrolleinrichtungen“ so interpretiert, dass technische Einrichtungen Anlagen oder Geräte seien, die unter Verwendung nicht menschlicher, sondern anderweit erzeugter Energie mit den Mitteln der Technik, insbesondere der Elektronik, eine selbständige Leistung erbrächten.

Entscheidend stellt das OVG auf eine selbständige Leistung der technischen Einrichtung ab. Diese kann bei der Erhebung von Daten oder bei deren Auswertung zum Tragen kommen. Es reiche auch aus, wenn nur die Erhebung durch einen Automaten erfolgt und die Auswertung von Menschen durchgeführt wird.

Aber: „Wird hingegen sowohl die Eingabe leistungs- und verhaltensrelevanter Daten als auch deren Auswertung von Menschen vorgenommen, erbringt die Einrichtung keine selbständige Leistung“.

Die selbständige Leistung zur Überwachung ist nach Ansicht des OVG nicht schon darin zu sehen, dass Daten gespeichert werden. Nach diesen Maßstäben seien die hier in Rede stehenden sozialen Medien auch im Hinblick auf die Kommentarfunktion keine technischen Einrichtungen im Sinn des § 80 Abs. 1 Nr. 21 BPersVG, sondern technische Hilfsmittel, weil weder die Datenerhebung noch die Datenauswertung ganz oder teilweise automatisch erfolgt.

Der Grund: Die womöglich mitbestimmungsrelevanten Daten werden von Nutzern händisch eingegeben. Und die Anbieter der sozialen Medien stellen den Seiteninhabern weder die Möglichkeit einer automatisierten (Teil-)Auswertung der Kommentare bereit noch sehen die Programme den nachträglichen Anschluss eines zur Auswertung bestimmten Programms vor.

Es fehlt insgesamt eine selbständige Leistung der Einrichtung, ein datenverarbeitendes Programm im Sinne des Bundesverwaltungsgerichts, das die Dienststelle zur Überwachung von Beschäftigten nutzen könnte“.

Das OVG lässt zudem eine Auswertungsmöglichkeit durch Dritte außer Betracht. Eine automatisierte Auswertung von Daten durch die Anbieter der sozialen Medien wie auch die Möglichkeit einer Ausspähung durch Geheim- bzw. Nachrichtendienste seien für den Mitbestimmungstatbestand, der allein die Überwachung durch den Dienstherrn bzw. Arbeitgeber der Beschäftigten in den Blick nimmt, unerheblich.

Das OVG macht deutlich, dass es mit seiner Begründung vom Beschluss des BAG vom 13.12.2016 (Az. 1 ABR 7/15) abweicht. Das BAG hielt es für ausreichend, dass die Informationen durch die Nutzer der Facebookseite aufgrund der dort vorhandenen Funktion eingegeben und mittels der von Facebook eingesetzten Software einer dauerhaften Speicherung und zeitlich unbegrenzten Zugriffsmöglichkeit zugeführt würden. Zwar traf das BAG traf seine Entscheidung zu § 87 Abs. 1 Nr. 6 BetrVG. Diese Vorschrift stimme aber im Wortlaut praktisch mit § 80 Abs. 1 Nr. 21 BPersVG überein. Zudem seien nach der Rechtsprechung des BVerwG beide Vorschriften im Wesentlichen gleich auszulegen.

Nach Ansicht des OVG wich angesichts dessen das BAG im Jahr 2016 von der vorhergehenden Rechtsprechung des BVerwG dadurch ab, „dass es nicht auf eine selbstständige Leistung der Einrichtung, auf ein datenverarbeitendes Programm abstellte“.

Das OVG verweist, als Grund für seine Abweichung, darauf, dass das BAG in seiner Entscheidung ein neuen Merkmal bzw. einen neuen Schutzgegenstand in die Auslegung des Mitbestimmungstatbestands einführt: die Prangerwirkung öffentlich zugänglicher Beschwerden / Kommentare über Beschäftigte.

Diese Aspekt, so das OVG, findet sich so in der Rechtsprechung des BVerwG noch nicht. Bislang war von den Gefahren der Technisierung nur der erhöhte Überwachungsdruck relevant, dem die Beschäftigten ausgesetzt sind.

Der Senat hält es allerdings für falsch, aus solchen Erwägungen heraus den Gesetzeszweck von § 80 Abs. 1 Nr. 21 BPersVG um einen vom Gesetzgeber nicht vorgesehenen Schutzgegenstand zu erweitern“.

Fazit

Das OVG ist ersichtlich um eine Eingrenzung des Mitbestimmungstatbestandes bemüht, der nach seiner Ansicht ansonsten das Potential hat, praktisch bei jeglicher Technologie anwendbar zu sein. Aufgrund der im Wesentlichen gleichen Auslegung des hier relevanten § 80 Abs. 1 Nr. 21 BPersVG mit § 87 Abs. 1 Nr. 6 BetrVG, dürfte die Begründung zudem für privatwirtschaftliche Unternehmen und eine mögliche Beteiligung des Betriebsrates relevant sein.

Finanzgericht: Auskunftsrecht nach Art. 15 Abs. 1 DSGVO ist nicht mit einem Akteneinsichtsrecht identisch

Posted on by

Das Finanzgericht Baden-Württemberg (FG) hatte sich mit der Frage des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO und dessen Geltendmachung zum Zweck der Akteneinsicht zu befassen. Im Ergebnis lehnt das FG mit Urteil vom 26.7.2021 (Az. 10 K 3159/20) einen solchen Anspruch ab.

Sachverhalt

Vor dem FG streitig war, ob dem Kläger aufgrund von Art. 15 Abs. 1 DSGVO ein Anspruch auf Akteneinsicht in die Handakten im Rahmen einer Betriebsprüfung zusteht. Der Kläger ist selbstständiger Apotheker und der Beklagte führte eine Betriebsprüfung bei diesem durch. In diesem Zuge kam es zu Besprechungen zwischen der Steuerberaterin des Klägers und der Betriebsprüferin wegen angeblicher fehlender Ordnungsmäßigkeit der Buchführung. Der Kläger begehrte Akteneinsicht im laufenden Verfahren, welche jedoch abgelehnt wurde. Am Ende lief es darauf hinaus, dass der Kläger durch seinen Prozessbevollmächtigten Klage beim Finanzgericht Baden-Württemberg einreichte. Zur Begründung führt er aus, die Klage richte sich gegen die Ablehnung der Akteneinsicht in die Handakte der Betriebsprüfung. Aus Art. 15 Abs. 1 DSGVO folge ein gebundener Anspruch auf Übersendung der Akten an den Prozessbevollmächtigten des Klägers, der nicht zeitlich eingeschränkt sei und damit auch im laufenden Betriebsprüfungsverfahren bestehe.

Entscheidung

Das FG geht davon aus, dass ein gebundener Anspruch auf Akteneinsicht nicht durch das Recht auf Auskunft über personenbezogene Daten nach Art. 15 Abs. 1 DSGVO begründet wird und lehnte die Klage als unbegründet hab.

Nach Ansicht des FG ist die DSGVO jedenfalls bei einer Betriebsprüfung, die sich neben anderen Steuerarten auch auf die Umsatzsteuer erstreckt, insgesamt anwendbar.

Danach geht das FG etwas ausführlicher als andere Gerichte in Entscheidungen zu Art. 15 DSGVO zunächst auf den Sinn und Zweck des Auskunftsanspruchs ein.

Regelungsziel der DSGVO ist der in Art. 8 Abs. 1 Charta der Grundrechte der Europäischen Union (GRC) und Art. 16 Abs. 1 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) gewährleistete Schutz natürlicher Personen bei der Verarbeitung der sie betreffenden personenbezogenen Daten. Bereits auf der Ebene der Grundrechtecharta ist das Recht jeder Person verankert, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken (Art. 8 Abs. 2 Satz 2 GRC).

Die Betroffenenrechte der DSGVO wurzeln in der Erwägung des europäischen Normgebers, dass der Einzelne selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können muss. Natürliche Personen sollen daher grundsätzlich die Kontrolle über ihre eigenen Daten besitzen (Erwägungsgrund 7 Satz 2 zur DSGVO)

Das FG macht in seiner Begründung also zunächst deutlich, wie wichtig die Betroffenenrechte und gerade das Auskunftsrecht sind.

Das Auskunftsrecht aus Art. 15 Abs. 1 DSGVO und das Recht auf Erhalt einer Kopie gemäß Absatz 3 der Vorschrift erweisen sich damit als elementare subjektive Datenschutzrechte, da erst die Kenntnis darüber, ob und in welchem Umfang ein Verantwortlicher personenbezogene Daten verarbeitet, die betroffene Person in die Lage versetzt, weitere Rechte auszuüben

Weiter geht das FG davon aus, dass die frühere Rechtsprechung des EuGH zur Datenschutz-Richtlinie auf die Auslegung des Art. 15 DSGVO anwendbar ist. Denn der europäische Gesetzgeber wolle mit der DSGVO an die Ziele und Grundsätze der Datenschutzrichtlinie anknüpfen. Daher biete die in der Rechtsprechung vorgenommene Charakterisierung des Auskunftsanspruchs aus Art. 12 Buchst. a Datenschutz-Richtlinie auch Hinweise auf das Verständnis des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO.

Aber das Auskunftsrecht diene nach der Rechtsprechung des EuGH nicht der Schaffung eines Zugangs zu Verwaltungsdokumenten, weil dies nicht die Zielrichtung des europäischen Datenschutzrechts ist (EuGH-Urteil vom 17. Juli 2014, C-141/12, Rn. 46).

Zudem stellt das FG fest, dass die Erfüllung des Anspruchs („Ob“ der Auskunftserteilung) nach Art. 15 Abs. 1 DSGVO nicht im Ermessen der Finanzbehörde stehe. Das „Wie“ der Auskunftserteilung werde durch Art. 15 Abs. 1 Halbsatz 2 DSGVO jedoch nicht geregelt, so dass hieraus allein kein Akteneinsichtsrecht abgeleitet werden könne.

Das FG arbeitet dann nach und nach Argumente dafür heraus, was den Auskunftsanspruch nach Art. 15 DSGVO von einem Akteneinsichtsrecht unterscheidet.

Einem vollumfassenden Akteneinsichtsanspruch bei der Finanzbehörde sei etwa schon aus sprachlichen Gründen zu widersprechen,

da sich Art. 15 DSGVO dem Wortlaut nach nur auf bestimmte personenbezogene Daten bezieht und nicht auf eine allgemeine Einsicht in die Akten

Zudem sei das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO auch nicht mit einem Akteneinsichtsrecht identisch. Das Akteneinsichtsrecht beruhe vornehmlich auf dem Grundsatz des rechtlichen Gehörs (Art. 103 Abs. 1 Grundgesetz) und soll den Anspruchsteller in die Lage versetzen, die Grundlagen einer Verwaltungsentscheidung nachzuvollziehen.

Und weiter: „Ein Akteneinsichtsrecht geht stets über ein bloßes Auskunftsrecht hinsichtlich der verarbeiteten personenbezogenen Daten hinaus; so ergeben sich aus einer Akteneinsicht regelmäßig auch rechtliche Stellungnahmen, Entscheidungsentwürfe und Berechnungen der Amtsträger, Dienstanweisungen oder Ermittlungsergebnisse, die schon dem Grunde nach nicht unter den Schutzbereich der DSGVO und des § 32c AO fallen.“

Das FG stellt hier meines Erachtens zurecht die verschiedenen Zielrichtungen und Zweck der beiden Ansprüche bzw. Rechte gegenüber. Ein datenschutzrechtlicher Anspruch kann auch ohne Akteneinsicht erfüllt werden, indem dem Betroffenen im Fall der Verarbeitung personenbezogener Daten die konkreten Daten sowie die Einzelangaben i.S. von Art. 15 Abs. 1 Halbsatz 2 DSGVO mitgeteilt werden. Diese Aussage des FG ist für die geführte Diskussion um die Reichweite des Art. 15 (sowohl Abs. 1 als auch Abs. 3) relevant.

Nach Ansicht des FG enthält die DSGVO keine Regelung über die Gewährung von Akteneinsicht, sondern lediglich über punktuelle datenschutzrechtliche Auskunftsrechte wie z.B. über die Zwecke der Verarbeitung, die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere Empfänger in Drittländern oder internationale Organisationen sowie falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.

Zuletzt hält das FG die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung der Form der Auskunftserteilung i.S. des Art. 15 Abs. 1 DSGVO für nicht geboten.

Fazit

Die Entscheidung des FG ist meiner Ansicht nach deswegen interessant, weil das Gericht sehr wohl die Bedeutung der Betroffenenrechte und des Auskunftsrechts erkennt und herausarbeitet. Dann jedoch diesen Anspruch in seiner Zielrichtung und seinem Umfang klar von einem Akteneinsichtsrecht abgrenzt und es damit ablehnt, auf Grundlage von Art. 15 Abs. 1 und 3 DSGVO komplette Akteninhalte (in denen sich auch personenbezogene Daten des Betroffenen befinden) herauszugeben.

Landgericht: Auskunftsanspruch nach Art. 15 DSGVO wegen Rechtsmissbrauch abgelehnt

Posted on by

Das Landgericht (LG) Wuppertal hat mit Urteil vom 29.7.2021 (Az. 4 O 409/20) eine interessante Entscheidung in einer heiß diskutierten Frage rund um die Geltendmachung von Auskunftsansprüchen gefällt. In seiner Entscheidung geht das LG zum einen davon aus, dass einem Auskunftsbegehren nach Art. 15 DSGVO der Einwand des Rechtsmissbrauchs nach § 242 BGB entgegengehalten werden kann. Zudem legt das LG im konkreten Fall die Voraussetzungen dar, wann ein solcher Missbrauch vorliegt.

Sachverhalt

In dem Verfahren wendet sich der Kläger gegen vermeintliche und tatsächliche Prämienerhöhungen seiner bei der beklagten Versicherung unterhaltenen privaten Kranken- und Pflegeversicherung. Der Kläger fordert die beklagte Versicherung unter anderem auf, ihm Auskunft über alle Beitragsanpassungen zu erteilen, die die Beklagte in dem zwischen den Parteien geschlossenen Vertrag in den Jahren 2014, 2015, 2016 vorgenommen hat und hierzu geeignete Unterlagen zur Verfügung zu stellen, um etwaige weitere Ansprüche beziffern zu können. Er wollte etwa Unterlagen übergeben bekommen, die Angaben zur Höhe der Beitragserhöhungen für die Jahre 2014, 2015, 2016, unter Benennung der jeweiligen Tarife im Versicherungsverhältnis der Klägerseite, enthalten. Er bezog sich dabei auch auf ihm als Kläger in der Vergangenheit übersandte Unterlagen, wie etwa dem übermittelten Informationen in Form von Anschreiben und Nachträgen zum Versicherungsschein der Jahre 2014, 2015, 2016.

Der Kläger stützt sein Auskunftsbegehren auf mehrere Anspruchsgrundlagen, unter anderem auch auf Art. 15 DSGVO.

Entscheidung

Das LG wies die Auskunftsbegehren als unbegründet ab. Dem Kläger stehe keine Anspruchsgrundlage zur Seite, aufgrund derer die Beklagte zur Informationserteilung verpflichtet wäre.

Spannend ist hier natürlich die Begründung des LG zum geltend gemachten Auskunftsanspruch nach Art. 15 DSGVO. Denn wie wir aus der Vergangenheit wissen, wird dieser Anspruch (auch von der Rechtsprechung) per se sehr weit ausgelegt.

Das Gericht lehnt einen Auskunftsanspruch des Klägers basierend auf Art. 15 DSGVO jedoch ab.

„Ihm steht der sich aus § 242 BGB ergebende Einwand des Rechtsmissbrauchs entgegen“.

Das ist in dieser Deutlichkeit meines Erachtens eine ziemliche Überraschung (auch wenn ich das Ergebnis für richtig halte). Denn in der Vergangenheit gab es wenige Entscheidungen, die sich mit der Frage des Missbrauchs befassten. Und wenn ja, wurde dieser Einwand zumeist abgelehnt (vgl. etwa LG Köln, Urt. v. 11.11.2020 – 23 O 172/19). Es gab aber vereinzelt auch Entscheidungen, die eine zweckfremde Ausübung des Auskunftsanspruchs ablehnten (vgl. mein Beitrag zur Entscheidung des LSG NRW vom 17.6.2021).

Das LG erläutert hier zunächst, dass es sich bei dem Einwand des Rechtsmissbrauchs um einen das gesamte Rechtsleben durchziehenden Grundsatz handele, der als nationale Ausformung auch im Rahmen des Art. 15 DSGVO Geltung beanspruche. Diese Ansicht wird man, das muss man zugestehen, wohl zumindest diskutieren können. Es stehen sich hier die unmittelbar anwendbare DSGVO und nationales Zivilrecht gegenüber. Fraglich ist, ob zB die DSGVO abschließend Missbrauchssituationen erfasst und regelt? Das LG scheint dies nicht so zu sehen.

Nach diesem Grundsatz des Rechtsmissbrauchs ist die Ausübung eines Rechts u. a. nicht erlaubt, wenn der Anspruchsinhaber eine formale Rechtsstellung ausnutzt oder etwas geltend macht, an dem er kein schützenswertes Eigeninteresse hat. Nach Ansicht des LG liegen genau diese beiden Aspekte hier kumulativ vor und

verdichten sich zu einem treuwidrigen Verhalten“.

Wichtig in diesem Fall ist der klare Wille des Klägers, auf den das LG seine Begründung stützt. Denn nach dem Willen des Klägers soll das begehrte Auskunftsbündel ausschließlich der Verfolgung von Leistungsansprüchen dienen.

Und hierzu stellt das LG meines Erachtens zurecht fest:

Dabei handelt es sich um einen vollkommen verordnungsfremden Zweck“.

Nach ErwG 63 DSGVO, diene das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 18 DSGVO.

Dies ist vorliegend jedoch eindeutig nicht der Fall.

Der Kläger hat keines der vorgenannten Interessen, dies nicht einmal als Reflex. Das Auskunftsbegehren soll sich nach seinem klar geäußerten Willen allein darin erschöpfen, etwaige geldwerte Ansprüche gegen die Beklagte zu prüfen. Damit trifft das Begehren des Klägers nicht einmal den Titel der Verordnung, nämlich den Datenschutz“.

Diesen letzten Satz finde ich in seiner bildlichen Sprache passend. Auch aus eigener Erfahrung kann ich sagen, dass in der Praxis Auskünfte nach Art. 15 DSGVO geltend gemacht werden, bei denen jedem Beteiligten völlig klar ist, dass es dem Betroffenen überhaupt nicht um den „Datenschutz“ geht, sondern der Anspruch nur ein Vehikel zur Verbesserung der eigenen Position darstellt.

Das LG begründet weiter:

Ein Begehren, das sich derart weit von dem Regelungsinhalt einer Rechtsgrundlage entfernt hat, ist nicht schützenswert. In diesem Zusammenhang ist zu berücksichtigen, dass der Verordnungsgeber nicht etwa ein situationsunabhängiges Auskunftsrecht von Verbrauchern gegenüber Unternehmen schaffen wollte, welches im allgemeinen Rechtsverkehr nicht besteht. Vielmehr hat er die zu erteilenden Auskünfte explizit an den Zweck des Datenschutzes gebunden (vgl. Erwägungsgrund 63 DSGVO).

Fazit

Das Urteil des LG ist meines Erachtens bemerkenswert, wenn auch sicher streitbar. Für die Praxis ist es relevant, da hier ein Landgericht den Einwand des Missbrauchs gegen einen Auskunftsanspruch begründet ablehnt.

Bundesarbeitsgericht fragt den EuGH: wie ist das Verhältnis von Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 DSGVO und welche Faktoren spielen beim Schadensersatz nach Art. 82 DSGVO eine Rolle?

Posted on by

Das Bundesarbeitsgericht (BAG) legt dem EuGH mit Beschluss vom 26.08.2021, 8 AZR 253/20 (A) einige praxisrelevante Fragen vor, die nicht nur speziell den Bereich des Beschäftigtendatenschutzes betreffen.

Eine Frage des BAG ist etwa, ob die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?

Hierbei geht es um die durchaus umstrittene Frage, ob neben der Erfüllung einer Ausnahme nach Art. 9 Abs. 2 DSGVO zusätzlich ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt sein muss. Rein praktisch würde dies oft zusätzlichen Prüfungs- bzw. Rechtfertigungsaufwand bedeuten.

Zwei weitere Fragen des BAG betreffen den Schadensersatzanspruch nach Art. 82 DSGVO.

Zum einen fragt das BAG, ob Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter hat und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden muss? Die Antwort des EuGH auf diese Frage dürfte ebenfalls insgesamt für Schadensersatzansprüche in Zukunft relevant sein, da sie generell den Charakter dieses Anspruchs und seine Zielrichtung betrifft.

Zum anderen fragt das BAG, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankommt? Insbesondere möchte das BAG wissen, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden darf?

Verwaltungsgericht: Recht auf Datenübertragbarkeit umfasst nicht Auswertungen oder Analysen

Posted on by

Gerichtliche Entscheidungen zum Recht auf Datenübertragbarkeit nach Art. 20 DSGVO sind sehr rar. Im März 2021 hatte sich nun das VG Weimar (Beschl. v. 02.03.2021, 3 E 209/21) zumindest am Rande mit dem Anwendungsbereich der Norm beschäftigt (jedoch direkt der Hinweis, dass keine tiefgehenden Ausführungen erfolgten).

Das VG hatte in einem Verfahren zum vorläufigen Rechtsschutz zu einem Antrag nach § 123 VwGO zu entscheiden. Der Antragsteller verlangte, dem Antragsgegner im Wege der einstweiligen Anordnung aufzugeben, „die Approbationsurkunde des Antragstellers über den Auftragsdatenverarbeiter D… zu verifizieren und elektronisch zu übermitteln“.

Das VG sah den Antrag jedoch nur zum Teil als begründet an. Der Antragsteller hat einen Anspruch auf eine elektronische Abschrift der Approbationsurkunde und darauf, diese an eine vom Antragsteller zu benennende E-Mail-Adresse zu versenden.

Jedoch lehnt das VG einen Anspruch auf elektronische Verifizierung ab (wobei ich ehrlich sagen muss, dass mir nicht ganz klar ist, was damit gemeint war). Es fehlte an einem Anordnungsanspruch, soweit der Antragsteller vom Antragsgegner eine elektronische Verifizierung seiner Approbationsurkunde begehrte.

Der Antragsteller stützte seinen Anspruch auf elektronische Verifizierung seiner Approbationsurkunde u.a. auf Art. 20 Abs. 1 und 2 DSGVO. Das VG ließ offen, ob und inwieweit die begehrte Verifizierung der Approbationsurkunde überhaupt vom Anspruchsinhalt des Art. 20 DSGVO umfasst ist.

Denn es fehle hier in jedem Fall an tatbestandlichen „Daten“ im Sinne der Vorschrift. Art. 20 Abs. 1 DSGVO verlangt, dass zu einer Person „sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat“ vorliegen müssen.

Nach Ansicht des VG zählen hierzu

nur diejenigen Daten, die die betroffene Person zuvor dem Verantwortlichen übermittelt hat. Von vornherein nicht erfasst sind Daten, die erst das Ergebnis einer Auswertung durch den Verantwortlichen darstellen“.

Leider begründet das VG seine Ansicht nicht näher und verweist auf die Literatur. In der Vergangenheit wurde durchaus diskutiert, was unter „bereitgestellte“ Daten fällt. Nach Ansicht (pdf) der ehemaligen Art. 29 Gruppe umfasst der Begriff auch personenbezogene Daten, die sich auf die Aktivität der betroffenen Person beziehen oder das Ergebnis einer Beobachtung des Verhaltens einer Person (jedoch nicht einer nachfolgenden Analyse dieses Verhaltens) sind (S. 12). Die Ansicht des VG scheint auch in diese Richtung zu gehen, wobei das VG auf eine „Übermittlung“ abstellt und damit wohl eine bewusste Aktivität der Betroffenen als erforderlich ansieht. Dies verlangt die Art. 29 Gruppe in ihrer Leitlinie gerade nicht.  

Internes EDSA Dokument: Territoriale Anwendung der ePrivacy-Richtlinie und Zuständigkeit der Aufsichtsbehörden

Posted on by

Im Rahmen der 50. Sitzung des Europäischen Datenschutzausschusses (EDSA) vom 18.6.2021 hat das Gremium ein internes Dokument mit dem Titel „Dokument 04/2021 über Kriterien der territorialen Zuständigkeit der Aufsichtsbehörden für die Durchsetzung von Artikel 5 Absatz 3 der Datenschutzrichtlinie für die elektronische Kommunikation“ (PDF) angenommen. Im Rahmen eines Antrags auf Zugang zu öffentlichen Dokumenten nach den Vorgaben des EU-Rechts, habe ich das Dokument nun erhalten.

Nach Angaben des federführenden Berichterstatters ziele das Dokument darauf ab, gemeinsame Kriterien für die territoriale Zuständigkeit der Aufsichtsbehörden gemäß Art. 5 (3) der Richtlinie 2002/58/EG (ePrivacy-RL) festzulegen, insbesondere in Situationen, in denen ein für die Verarbeitung Verantwortlicher bzw. Diensteanbieter Niederlassungen in mehreren Mitgliedstaaten hat.

Hintergrund

Hintergrund des Dokuments sind verschiedene Entscheidungen von Aufsichtsbehörden in Mitgliedstaaten zur Durchsetzung der Vorgaben des Art. 5 Abs. 3 ePrivacy-RL, also der Regelung zur Einwilligung (und den Ausnahmen) beim Einsatz von Cookies und anderen Trackingtechnologien. In dem ab 1.12.2021 geltenden § 25 TTDSG wird diese Vorgabe nun auch in deutsches Recht umgesetzt. Das EDSA-Dokument dürfte daher auch für Unternehmen von praktischer Relevanz sein, etwa im Fall ein Prüfverfahrens zum Einsatz von Cookies auf Webseiten oder in Apps, wenn ein Unternehmen mehrere Niederlassungen in der EU hat.

Inhalt

Grundsätzlich stellt der EDSA fest, dass es nach den Bestimmungen der ePrivacy-RL jedem Mitgliedstaat obliegt, die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die Ziele der Richtlinie erreicht werden. Jedoch enthält die ePrivacy-RL keine Angaben zu ihrem räumlichen Geltungsbereich.

Der EDSA trennt in dem Dokument zwei Situationen.

Zum einen den Fall, dass ein Unternehmen Niederlassungen in mehreren Mitgliedstaaten hat. Nach Ansicht der Datenschutzbehörden gibt die Rechtsprechung des EuGH zur territorialen Anwendung der aufgehobenen Richtlinie 95/46/EG einen Hinweis darauf, wie die territoriale Anwendung geregelt werden sollte. Der EDSA verweist hier auf die „Fanpage“-Entscheidung des EuGH, C-210/16 vom 5.6.2018. Bemerkenswert an dieser Einordnung ist freilich, dass die ePrivacy-RL diesen Verweis auf Vorgaben zum Anwendungsbereich und Zuständigkeit von Behörden nach der Richtlinie 95/46/EG gerade nicht vorsieht. Zwar stellen nach Art. 1 Abs. 2 ePrivacy-RL deren Bestimmungen eine „Detaillierung und Ergänzung der Richtlinie 95/46/EG“ dar. Gerade für den praktisch extrem relevanten Bereich des Art. 5 Abs. 3 ePrivacy-RL, passt dieser Verweis aber nicht, da es dort gerade nicht (!) um personenbezogene Daten geht.

Anknüpfungspunkt für den EDSA ist (durchaus verständlich, mit Blick auf den alten Art. 4 Richtlinie 95/46/EG) also das Vorhandensein einer Niederlassung in einem Mitgliedstaat. Daraus folgert der EDSA, dass jeder Mitgliedstaat berechtigt ist, sein nationales Recht zur Umsetzung der ePrivacy-RL durchzusetzen, „soweit es Nutzer betrifft, die sich in ihrem Hoheitsgebiet befinden“. Dies bedeutet nach Auffassung der Behörden auch, dass keine Gesetzgebung zur Umsetzung der ePrivacy-RL die Aufsichtsbehörde eines anderen Mitgliedstaats daran hindern kann die Richtlinie im Einklang mit ihren innerstaatlichen Bestimmungen in Bezug auf Nutzer in ihrem Hoheitsgebiet durchzusetzen.

Der EDSA orientiert sich also tatsächlich stark an dem vorbenannten Urteil des EuGH.

Zum anderen den Fall, dass keine Niederlassung in der EU vorhanden ist. In diesem Fall, so der EDSA, kann das nationale Recht eines Mitgliedstaats andere Kriterien als die Niederlassung vorsehen, um sein nationales Recht in Bezug auf diesen für die Verarbeitung Verantwortlichen bzw. Diensteanbieter durchsetzen.

Zusammengefasst, folgt daraus aus Sicht der europäischen Datenschutzbehörden.

Wenn die Verarbeitung ausschließlich durch die nationalen Rechtsvorschriften zur Umsetzung von Art. 5 Abs. 3 ePrivacy-RL geregelt ist, ist die für die Durchsetzung zuständige Behörde berechtigt, ihre Befugnisse auszuüben, wenn:

  • der für die Verarbeitung Verantwortliche/Dienstleister ist in ihrem Hoheitsgebiet niedergelassen;
  • die Verarbeitung erfolgt im Rahmen der Tätigkeiten einer Niederlassung in ihrem Hoheitsgebiet, auch wenn die ausschließliche Verantwortung für Erhebung und Verarbeitung für das gesamte Gebiet der Europäischen Union bei einer Niederlassung in einem anderen Mitgliedstaat liegt;
  • bei Fehlen eines für die Verarbeitung Verantwortlichen/Diensteanbieters oder einer Niederlassung in ihrem Hoheitsgebiet, das nationale Recht ein weiteres Kriterium für seine Durchsetzung enthalten kann.

Aus meiner Sicht dürfte für die Praxis vor allem die Interpretation in dem zweiten Bulletpoint relevant sein, wenn also mehrere Niederlassungen in mehreren Mitgliedstaaten vorhanden sind. Dann kommt es nach dem EDSA, auch im Anwendungsberiech des Art. 5 Abs. 3 ePrivacy-RL, auf die Frage an, ob der Zugriff auf Informationen oder das Speichern von Informationen in Endgeräten „im Rahmen der Tätigkeiten“ einer Niederlassung in dem jeweiligen Mitgliedstaat erfolgen. Ob diese analoge Anwendung der Vorgaben der Richtlinie 95/46/EG bzw. der Rechtsprechung des EuGH hierzu zwingend ist, erscheint mir jedoch (wie beschrieben) mindestens diskutabel. Zudem muss beachtet werden, dass zur Durchsetzung der e-Privacy-RL nicht zwingend die Datenschutzbehörden berufen sind. Die ePrivacy-RL eröffnet dem nationalen Gesetzgeber entsprechenden Spielraum bei der Umsetzung, was im Ergebnis bedeuten würde, die Rechtsprechung des EuGH zur Zuständigkeit von Datenschutzbehörden auf die Zuständigkeit anderer Behörden zu übertragen. Ich bin sehr gespannt, wie dieses Papier in Zukunft in Behördenentscheidungen Eingang findet.