Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung

Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).

Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.

LAG Nürnberg: Nationaler Kündigungs- und Abberufungsschutz für Datenschutzbeauftragte ist mit DSGVO vereinbar

Mit Urteil vom 19.2.2020 (Az. 2 Sa 274/19, pdf) hat das Landesarbeitsgericht Nürnberg den im BDSG geregelten besonderen Kündigungs- und Abberufungsschutz für Datenschutzbeauftragte als europarechtskonform angesehen. Die Regelungen verstoßen nach Ansicht des LAG nicht gegen die Vorgaben der DSGVO.

Sachverhalt

Die Klägerin wurde mit Schreiben vom 15.1.2018 von der Beklagten zur betrieblichen Datenschutzbeauftragten bestellt. Mit weiteren späteren Schreiben wurde die Klägerin zur betrieblichen Datenschutzbeauftragten von Tochterunternehmen bestellt

Mit Schreiben vom 13.7.2018 wurde das Arbeitsverhältnis der Klägerin durch die Beklagte mit Wirkung zum 15.08.2018 gekündigt. Im Kündigungsschreiben wurde der Klägerin mitgeteilt, dass ihre bisherige Stellung als Datenschutzbeauftragte – vorsorglich auch im Auftrag der Tochterunternehmen – spätestens zum 15.08.2018 enden und hilfsweise aus wichtigem Grund widerrufen wird.

Die Klägerin begehrt gegenüber der Beklagten u.a. die Feststellung der Unwirksamkeit einer Kündigung des zwischen beiden bestehenden Arbeitsverhältnisses und die Feststellung des Bestehens einer Rechtsstellung der Klägerin als interne Beauftragte für den Datenschutz.

Das Arbeitsgericht hatte festgestellt, dass das Arbeitsverhältnis der Klägerin zur Beklagten nicht durch die Kündigung vom 13.7.2018 mit Ablauf des 15.8.2018 beendet wurde, und dass die Rechtsstellung der Klägerin als Beauftragte für den Datenschutz der Beklagten nicht durch den Widerruf der Beklagten vom 13.7.2018 beendet wurde. Hiergegen wendeten sich die Beklagten mit einer Berufung.

Urteil

Besonderer Kündigungs- und Abberufungsschutz

Nach Ansicht des LAG genoss die Klägerin zum Zeitpunkt der Kündigung den besonderen Kündigungsschutz für Datenschutzbeauftragte nach §§ 38 Abs. 2, 6 Abs. 4 S. 2 BDSG.

Nach § 6 Abs. 4 S. 1 BDSG ist die Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB zulässig. Nach S. 2 ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.

Nach Ansicht des LAG gilt dieser Sonderkündigungsschutz auch bereits in der Probezeit.

Nationale Regelung zum Kündigungsschutz verstößt nicht gegen DSGVO

Fraglich war sodann, ob der nationale Gesetzgeber überhaupt befugt ist, entsprechende Regelungen im BDSG zur Stellung und Abberufung bzw. Kündigung des Datenschutzbeauftragten zu treffen.

Nach Ansicht des LAG verstößt der besondere Kündigungsschutz auf nationaler Ebene nicht gegen Art. 38 Abs. 3 S. 2 DSGVO. Nach dieser Vorschrift darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Zwar ist davon auszugehen, dass die DSGVO als EU-Verordnung unmittelbar und zwingend im Sinne einer Vollharmonisierung gilt und nicht lediglich Mindeststandards setzt („Mindestharmonisierung“). Die Mitgliedstaaten dürfen somit von ausdrücklichen Vorgaben der DSGVO nur insoweit abweichen, wie dies die DSGVO ausdrücklich oder durch Auslegung ermittelbar zulässt, und im Übrigen die Vorgaben der DSGVO lediglich konkretisieren.

Zwar existiere eine ausdrückliche Öffnungsklausel für den nationalen Gesetzgeber, einen besonderen Kündigungsschutz für Datenschutzbeauftragte zu regeln, in der DSGVO nicht.

Allerdings ergibt die Auslegung, dass die DSGVO spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten zulässt, soweit der Schutz nicht hinter des DSGVO zurückbleibt.

Das LAG betrachtet für seine Begründung zunächst die Kompetenzgrundlagen des europäischen Gesetzgebers. Die DSGVO regele den Datenschutz als Querschnittsmaterie mit Art. 16 Abs. 2 AEUV als Kompetenzgrundlage. Das LAG weist dann darauf hin, dass die Kompetenznorm für spezifisch arbeitsrechtliche Regelungen hingegen in Art. 153 AEUV und hier insbesondere für Arbeitsbedingungen in Abs. 1 lit. b und für den Schutz der Arbeitnehmer bei Beendigung des Arbeitsvertrags in Abs. 1 lit. d. zu finden sei.

Im Bereich der arbeitsrechtlichen Regelungen handelt die EU nach Art. 153 Abs. 2 AEUV in diesem Bereich jedoch durch Richtlinien, nicht durch Verordnung. Dies spricht aus Sicht des LAG dafür, dass die DSGVO keine genuinen abschließenden arbeitsrechtlichen Regelungen trifft,

jedenfalls nicht für das Arbeitsverhältnis, das der Tätigkeit als Datenschutzbeauftragtem zu Grunde liegt.

Zudem argumentiert das LAG mit der DSGVO selbst. Für seine Sicht spreche auch der Wortlaut des Art. 38 Abs. 3 S. 2 DSGVO. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Das LAG geht daher davon aus, dass er deshalb auch nicht gekündigt werden darf.

Jedoch, so das LAG, enthält Art. 38 Abs. 3 S. 2 DSGVO keine spezifischen Regeln des Kündigungsschutzes für Datenschutzbeauftragte und

verbietet somit auch vom Wortlaut her keinen darüber hinaus gehenden Kündigungsschutz, um die Unabhängigkeit des im Übrigen abhängig beschäftigten Arbeitnehmers von der Einflussnahme seines Arbeitgebers auf die Arbeit als Datenschutzbeauftragten zu gewährleisten.

Der Ausschluss der ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten während seiner Bestellung und ein Jahr danach steht daher mit der DSGVO in Einklang

Nationale Regelung zur Abberufung des Datenschutzbeauftragten ist DSGVO-konform

Neben der Frage der Zulässigkeit der Kündigung, musste sich das LAG auch mit der Abberufung als Datenschutzbeauftragte befassen.

Nach Ansicht des LAG bedurfte die Beklagte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Auch diese, in §§ 38 Abs. 2 iVm § 6 Abs. 4 S. 1 BDSG enthaltene nationale Regelung, verstoße nicht gegen Art. 38 Abs. 3 S. 2 DSGVO.

Zunächst stellt das LAG fest, dass auch die Modalitäten der Abberufung des Datenschutzbeauftragten in der DSGVO nicht abschließend geregelt sind. Nach Art. 38 Abs. 3 S. 2 DSGVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden.

Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann.

Unter Verweis auf die Rechtsprechung des BAG (Urt. v. 23.3.2011, Az. 10 AZR 652/09; mit Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten) legt das LAG dar, dass auch die Abberufung als interner Datenschutzbeauftragter damit im Umkehrschluss ebenfalls auf eine Änderung der arbeitsvertraglichen Pflichten ziele. Damit handele es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 S. 1 BDSG im Kern um eine arbeitsrechtliche Regelung.

Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel.

Denn wie der Kündigungsschutz diene auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann. Das LAG geht zudem davon aus, dass es sich auch

bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DSGVO auch im BDSG n. F. beibehalten werden kann.

Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag hier nach Ansicht des LAG gerade nicht vor.

Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen.

Fazit

Das LAG legt, meines Erachtens durchaus überzeugend, dar, warum im nationalen Recht die spezifische Ausgestaltung des Beschäftigungsverhältnisses des Datenschutzbeauftragten noch näher ausgestaltet werden kann. Hinsichtlich der Kündigung des zugrundeliegenden Arbeitsverhältnisses, dürfte dies auch recht klar sein. Allenfalls bei dem Thema der Abberufung könnte man ggfs. überlegen, ob der vom LAG eröffnete Konnex zur Kündigung (da auch durch die Abberufung nach der Respr. des BAG das Arbeitsverhältnis geändert wird) so eindeutig ist.

Da insbesondere die Frage, ob § 6 Abs. 4 S. 1 iVm § 38 Abs. 2 BDSG mit Art. 38 Abs. 3 S. 2 DSGVO vereinbar ist, höchstrichterlich noch nicht geklärt ist, hat das LAG die Revision zugelassen.

Die Revision wurde beim BAG am 16.04.2020 unter dem Az 2 AZR 225/20 eingelegt.

Verwaltungsgericht Schleswig: Interne Übertragung der Aufgabe zur Erstellung eines Verarbeitungsverzeichnisses ist zulässig

Das Verwaltungsgericht (VG) Schleswig hat am 31.3.2020 entschieden (Beschl. v. 31.03.202012 B 79/19), dass die Übertagung der von einer öffentlichen Stelle nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation zulässig ist.

(Ja, mir ist bekannt, dass es unter der DSGVO nicht mehr „Verarbeitungsverzeichnis“ heißt; wenn ich aber stattdessen „Verzeichnis der Verarbeitungstätigkeiten“ in die Überschrift aufnehme, wird diese zu lang)

Sachverhalt

In dem Verfahren im Rahmen des vorläufigen Rechtsschutzes (Antrag auf Erlass einer einstweiligen Anordnung) ging ein Justizamtmann gegen die dienstliche Weisung an ihn vor, an einem Arbeitskreis zur DSGVO, der bei der Generalstaatsanwaltschaft eingerichtet wurde, teilzunehmen und die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO zu übernehmen. Zuvor war der Antragsteller gegenüber dem Generalstaatsanwalt als „Datenschutzverantwortlicher“ benannt worden.

Der Antragsteller ging davon aus, dass diese Weisung rechtswidrig sei, weil eine Tätigkeit als „Datenschutzverantwortlicher“ mit seiner Tätigkeit als Personalratsmitglied und als ständiger Vertreter der Personalratsvorsitzenden nicht vereinbar sei. Zudem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein.

Entscheidung

Das VG lehnte den Antrag als unbegründet ab.

Zunächst stellte das VG zurecht ein paar datenschutzrechtliche Begrifflichkeiten klar.

Die anfängliche Formulierung der Antragsgegnerin, nach der dem Antragsteller die Position als „Datenschutzverantwortlicher“ (vollumfänglich) übertragen werden sollte, dürfte schon aufgrund der Unbestimmtheit nicht zulässig sein.

Sodann führt das VG zu den rechtlichen Möglichkeiten der Übertragung von Pflichten nach der DSGVO aus.

Außerdem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein, wie der Personalrat mit seinem Schreiben vom 19. Dezember 2019 zutreffend ausführte.

Nach zutreffender Ansicht des VG ist „Datenschutzverantwortlicher“ (nicht gemeint war hier der Datenschutzbeauftragte) nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die Letztverantwortung muss damit bei Behörde selbst als juristischer Person bleiben und kann nicht etwa zur Gänze wie die Position des Datenschutzbeauftragten i.S.v. Art. 37 DSGVO einem Beamten übertragen werden.

Jedoch konkretisierte die Antragsgegnerin die dem Antragsteller übertragenen Aufgaben nachträglich dahingehend, dass mit den übertragenen Aufgaben

  • die Teilnahme an einem Arbeitskreis bei der Generalstaatsanwaltschaft und
  • die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO gemeint seien.

Die Antragsgegnerin bezog sich hierbei anscheinend auch auf einen Beschluss der DSK, in dem die Empfehlung ausgesprochen wurde, „durch eine allgemeine Aufbauorganisation sicherzustellen, dass im Innenverhältnis die Anwendung des Datenschutzrechts in der Behörde organisiert und gewährleistet wird“.

Aus Sicht des VG bleibt daher die Antragsgegnerin (also die öffentliche Stelle) die eigentliche Verantwortliche, da sie die Verfügungsgewalt über die erhobenen Daten besitzt.

Die Übertagung der von der Antragsgegnerin nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation ist dagegen zulässig.

Gerade diese letzte Einschätzung des VG ist meines Erachtens auch für den privatwirtschaftlichen Bereich relevant. Es ist innerbetrieblich möglich (und rein faktisch oft anders gar nicht handhabbar), dass die Aufgabenerfüllung von der Führungsebene nach unten delegiert und bestimmten Personen übertragen wird. Wichtig zu beachten ist, dass nicht die gesetzliche Pflicht an sich übertragen werden kann, sondern nur die Aufgabe, bei der Erfüllung dieser Pflicht zu unterstützen.

Fazit

Die Entscheidung des VG ist meines Erachtens richtig und spiegelt auch die tatsächlichen Gegebenheiten in der Praxis wider, wenn man DSGVO-Anforderungen in größeren Einheiten umsetzen möchte. Dies erfordert eine arbeitsteilige Erledigung der verschiedenen Aufgaben. Intern kann eine solche Aufgabe dann im Rahmen des Weisungsrechts auch an Angestellte übertragen werden. Datenschutzrechtlich verpflichtet bleibt aber allein der Verantwortliche (oder Auftragsverarbeiter).

Rechtsanwaltskammer Berlin: Tätigkeit als Datenschutzbeauftragter ist für den Rechtsanwalt grundsätzlich kein Nebenberuf, sondern ein Mandat

Anwälte als externe Datenschutzbeauftragte. Ein schon länger berufs- und steuerrechtlich diskutiertes Thema.

In beiden genannten Rechtsgebieten existieren nun auch höchstrichterliche Entscheidungen. Im Oktober 2018 entschied bereits der BGH (Urt. v. 15.10.2018 – AnwZ (Brfg) 20/18) u.a., dass die Tätigkeit als interner Datenschutzbeauftragter grundsätzlich die für eine Zulassung als Syndikusrechtsanwalt erforderlichen Tätigkeitsmerkmale erfülle und das Arbeitsverhältnis von diesen Merkmalen auch geprägt sein kann. Grund war insbesondere die gestiegene Komplexität des Datenschutzrechts auch im Zuge der Einführung der DSGVO. Das Amt des Datenschutzbeauftragten umfasse Tätigkeiten, welche die Merkmale anwaltlicher Tätigkeit nach § 46 Abs. 3 Nr. 1 bis 4 BRAO erfüllen.

Der Bundesfinanzhof (BFH) hat nun Anfang dieses Jahres zu der Frage entschieden (Urt. v. 14.1.2020 – VIII R 27/17), wie Umsätze eines als Datenschutzbeauftragter tätigen Rechtsanwalts steuerrechtlich einzuordnen sind. Nach Ansicht des BFH ist der Rechtsanwalt in Bezug auf seine Tätigkeit als externer Datenschutzbeauftragter gewerblicher Unternehmer i.S. des § 141 Abs. 1 AO. Der BFH geht davon aus, dass die Tätigkeit als Datenschutzbeauftragter weder eine dem Beruf des Rechtsanwalts vorbehaltene noch eine berufstypische Tätigkeit sei. Der BFH nimmt hierbei auch Bezug zum Urteil des BGH, verweist aber darauf, dass die Tätigkeit des (internen) Datenschutzbeauftragten zwar mit den für Rechtsanwälte geltenden berufsrechtlichen Vorschriften in Einklang steht. Dies aber für die steuerliche Qualifizierung der Tätigkeit als solche iSd § 18 EStG nicht maßgebend sei, wie der Umstand, dass eine Zulassung als Syndikusrechtsanwalt im Einzelfall möglich ist.

Man kann daher wohl aktuell folgendes Resümee ziehen: berufsrechtlich ist die Tätigkeit als Datenschutzbeauftragter zulässig. Die steuerrechtliche Beurteilung scheint, nach Ansicht des BFH, jedoch nicht zwingend gleichlaufen zu müssen. Umsätze können daher, auch bei der Tätigkeit als Anwalt, der Gewerbesteuer unterliegen. Insgesamt ist das, mit Blick auf die Rechtssicherheit, natürlich immer noch keine letztlich befriedigende Situation.

Besonders interessant ist vor diesem Hintergrund ein Beschluss des Vorstandes der Rechtsanwaltskammer Berlin vom 8. Mai 2019. Die RAK überträgt die vom BGH aufgestellten Grundsätze zur Einordnung des internen Datenschutzbeauftragten folgerichtig auf die des externen Datenschutzbeauftragten.

Nach Ansicht der RAK Berlin unterscheidet die BRAO

nicht zwischen einer anwaltlichen Tätigkeit des Syndikusrechtsanwalts und einer solchen des Rechtsanwalts. Der Gesetzgeber verfolgt ein einheitliches Berufsbild des Rechtsanwalts. Daher ist schon nach dem Wortlaut des Gesetzes zu schlussfolgern, dass Tätigkeiten, die für den Syndikusrechtsanwalt als anwaltliche gelten, auch anwaltliche Tätigkeiten für den Rechtsanwalt sind.

Daher geht die RAK (meines Erachtens zutreffend) davon aus, dass die Tätigkeit als Datenschutzbeauftragter für den Rechtsanwalt regelmäßig kein Nebenberuf ist, wenn er zugleich als Rechtsanwalt auftritt. Dieser Zusatz ist meines Erachtens wichtig. Diese Feststellung ist insbesondere für ein in der Vergangenheit diskutiertes Tätigkeitsverbot nach § 45 Abs. 1 Nr. 4 BRAO relevant, was, nach dem Beschluss der RAK Berlin, nicht vorliegen dürfte. Auch das Risiko eines Widerrufs der Zulassung nach § 14 Abs. 2 Nr. 8 BRAO besteht vor diesem Hintergrund wohl nicht mehr.

Es handelt sich grundsätzlich um ein Mandat, auf das das Berufsrecht Anwendung findet.

Die RAK weist auf das damals noch anhängige Verfahren am BFH und evtl. folgende steuer- und versicherungsrechtliche Auswirkungen hin.

Sehr aufschlussreich, mit weiterem Inhalt und Begründungen zu dem Beschluss, ist das Protokoll (PDF) zur Sitzung des Vorstandes der RAK. Unter anderem wird dort auch ausgeführt, dass ein Vorstandsmitglied die Auffassung des Berichterstatters bestätigt, dass auch bei einer abweichenden Entscheidung des BFH die Arbeit des externen Datenschutzbeauftragten als  anwaltliche Tätigkeit gewertet werden könne.

Eigentlich wäre diese Situation, dass zwei oberste Gerichtshöfe in einer Rechtsfrage unterschiedlicher Auffassung sind, nun ein Fall für den Gemeinsamen Senat der obersten Gerichtshöfe des Bundes. Dieser existiert, um die Einheitlichkeit der Rechtsprechung zu gewährleisten. Er entscheidet, wenn ein Senat eines obersten Gerichtshofs in einer Rechtsfrage von der Entscheidung eines Senats eines anderen obersten Gerichtshofs abweichen will. Dass der BFH, in Kenntnis der Entscheidung des BGH, jedoch keinen entsprechenden Vorlegungsbeschluss gefasst hat, wird man wohl so interpretieren können, dass der BFH gerade nicht von der Auffassung des BGH in berufsrechtlicher Sicht abweichen wollte.

Covid-19 als „höhere Gewalt“ im Datenschutzrecht? Unternehmen sind nicht in der Haftung

In mehreren europäischen Ländern wurden aufgrund des sich verbreitenden Corona-Virus bereits Ausgangssperren verhängt. In Bayern wurde der Katastrophenfall ausgerufen. Bürger sind zudem angehalten, im Home-Office zu arbeiten. Für viele Unternehmen bedeutet dies, dass interne (Verwaltungs)Prozesse nicht mehr uneingeschränkt oder, bei einer Schließung des Unternehmens, sogar gar nicht mehr funktionieren.

Die Folge im Datenschutzrecht ist, dass Betroffenenanfragen nach der DSGVO, etwa auf Auskunft nach Art. 15 DSGVO, entweder nur stark verzögert oder in nächster Zeit gar nicht adäquat bearbeitet werden können. So kann es sein, dass aufgrund von Home-Office nicht alle internen Dokumente auf personenbezogene Daten geprüft werden können. Eventuell ist Unternehmen auch generell die Erfüllung von Pflichten nach der DSGVO aufgrund der aktuellen Umstände nicht (mehr) vollumfänglich möglich.

Aus Sicht der Praxis stellt sich für datenverarbeitende Stellen die Frage, wie sie mit dieser Situation umgehen können. Gestattet es die DSGVO etwa, dass vorgegebene Fristen nach Art. 12 Abs. 3 DSGVO (max. 3 Monate zur Beantwortung von Betroffenenanfragen) noch weiter verlängert oder nicht beachtet werden müssen? Kann sich ein Unternehmen im Fall eines Verstoßes gegen die DSGVO, der auf der aktuellen Ausnahmesituation beruht, irgendwie entlasten oder besteht die Gefahr, dass Verwaltungsverfahren oder Bußgelder durch Behörden verhängt (Art. 83 DSGVO) oder Schadensersatzansprüche von Betroffenen geltende gemacht (Art. 82 DSGVO) werden?

Aktuelle Ansichten von Datenschutzbehörden

Die englische Behörde, ICO, wird nach eigenen Angaben bei Verzögerungen der Erfüllung von datenschutzrechtlichen Pflichten die derzeitigen Umstände berücksichtigen (ICO, Data protection and coronavirus: what you need to know). Insoweit nimmt die Behörde an, dass die gesetzlichen Fristen nicht verlängert werden können, aber Verzögerungen in der Bearbeitung der Betroffenenrechte aufgrund des Corona-Virus jedoch nicht geahndet würden.

Der EDSA äußert sich zur (Nicht-)Geltung der Fristen nicht. Allerdings ist der EDSA der Ansicht, dass die besonderen Umstände nichts an den bestehenden Pflichten der Verantwortlichen ändern würden (EDSA, Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak, pdf).

Nach Ansicht der irischen Datenschutzbehörde DPC ist eine Änderung der Fristenregelungen der DSGVO nicht möglich. Jedoch spricht die DPC einige praktische Empfehlungen aus (DPC, Data Protection and COVID-19). Die DPC verweist darauf, dass unter Darlegung der entsprechenden Gründe die Frist zur Bearbeitung des Betroffenenrechts um bis zu zwei Monate verlängert werden. Die Pflicht zur Information über die Fristverlängerung obliegt dabei nach Art. 12 Abs. 3 S. 3 DSGVO dem Verantwortlichen. Zudem ist auch ein gestuftes Vorgehen bei der Beantwortung von Betroffenenanfragen denkbar. So könnte der Verantwortliche elektronisch verfügbare Dokumente, auf die die Mitarbeiter auch im Home-Office zugreifen können, zuerst bearbeiten.

Ausnahmen nach der Fristen-Verordnung?

Die für die Berechnung europarechtlich vorgegebener Fristen (also auch jener nach Art. 12 Abs. 3 DSGVO oder Art. 33 Abs. 1 DSGVO) unmittelbar anwendbare Fristen-Verordnung (Verordnung (EWG, Euratom) Nr. 1182/71) sieht keine Ausnahme von bestehenden Fristen im Ausnahmefall vor.

Ausnahmen in der DSGVO?

Art. 12 DSGVO sieht keine Ausnahmen von den dort geregelten Fristen vor. Hinsichtlich der allgemeinen Pflichten nach der DSGVO finden sich in einzelnen Artikel zum Teil Ausnahmevorschriften. So etwa in Art. 14 Abs. 5 lit. b DSGVO, für den Fall, dass die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Jedoch gilt diese Ausnahme nur für die Vorgaben des Art. 14 DSGVO. Im Rahmen der Löschpflicht wird etwa in Art. 17 Abs. 3 lit. c DSGVO als Ausnahme auf Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit nach Art. 9 Abs. 2 lit. i DSGVO verwiesen. Auch hierbei handelt es sich aber nur um eine spezielle Ausnahme zu Art. 17 DSGVO.

Höhere Gewalt: keine Haftung der Unternehmen

In der aktuellen Situation ist meines Erachtens über eine, in der DSGVO zwar nicht ausdrücklich benannte, dem Sinn und Zweck nach jedoch angelegte, allgemeine Ausnahme bzw. Privilegierung nachzudenken: das Vorliegen „höherer Gewalt“.

Wichtig ist hierbei, die europarechtlichen Vorgaben zu dieser Ausnahme heranzuziehen, da die DSGVO als europäisches Recht auf europarechtsautonom anzuwenden ist.

Nach ständiger Rechtsprechung des EuGH sind unter „höherer Gewalt“ ungewöhnliche und unvorhersehbare Ereignisse zu verstehen, auf die derjenige, der sich auf höhere Gewalt beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können (vgl. etwa EuGH, Urt. v. 18.3.2010, Rs. C?218/09). Zu beachten ist, dass es ebenfalls ständiger Rechtsprechung entspricht, dass die Bedeutung des Begriffs der höheren Gewalt, da er auf den verschiedenen Anwendungsgebieten des Unionsrechts nicht den gleichen Inhalt hat, anhand des rechtlichen Rahmens zu bestimmen ist, innerhalb dessen er seine Wirkungen entfalten soll (EuGH, Urt. v. 25.1.2017, Rs. C?640/15). Maßgebend für seine Anwendung ist insofern die Zweckbestimmung der jeweiligen Verordnung (vgl. EuGH, Urt. v. 17.10.2002). Die Besonderheit des jeweiligen Rechtsgebiets beeinflusst vor allem die Auslegung des Begriffs im Einzelfall (vgl. EuGH, Urt. v. 22.1.1986).

Es ist daher zu prüfen, ob auch die DSGVO eine solche Ausnahme vorsieht, auf die sich eventuell datenverarbeitende Stellen in den aktuellen Zeiten berufen können. Bezogen auf die DSGVO fällt zunächst auf, dass diese den Begriff „höhere Gewalt“ nicht kennt. Zumindest nicht in der finalen Fassung. Betrachtet man den ersten Entwurf der EU Kommission und auch die Vorschläge des EU Parlaments im Gesetzgebungsverfahren, wird deutlich, dass der Umstand höherer Gewalt sehrwohl eine Rolle spielte: konkret im Rahmen der Haftung von Unternehmen auf Schadensersatz gegenüber Betroffenen.

ErwG 146 DSGVO lautet: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist.“ (Hervorhebung durch mich)

In den früheren Fassungen der DSGVO war dieser Erwägungsgrund aber noch mit konkretem Verweis auf „höhere Gewalt“ formuliert. ErwG 118 (Ratsdokument 9398/15, 1.6.2015, pdf):

„Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, die von ihrer Haftung befreit werden sollten, wenn sie nachweisen, dass ihnen der Schaden nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.“ (Hervorhebungen durch mich)

Die beispielhafte Aufzählung von Umständen („insbesondere“), wann keine Haftung vorliegen soll, wurde auf Vorschlag des Rates gestrichen und durch eine generelle und umfassende Formulierung („in keiner Weise…verantwortlich ist“) ersetzt.

Zwar fehlt der konkrete Begriff „höhere Gewalt“. Jedoch meiner Meinung nach nicht, weil eine Berufung hierauf nicht mehr möglich sein soll, sondern vielmehr, weil der Gesetzgeber die Möglichkeit der (Ent)Nichthaftung allgemeiner umschreiben wollte, ohne spezielle Beispiele zu nennen.

Daher halte ich es auf jeden Fall für vertretbar, dass Unternehmen sich im Rahmen von Verstößen gegen die DSGVO, die ihren nachweisbaren Grund in den aktuellen Umständen des Corona-Virus und damit einhergehenden staatlichen Maßnahmen haben, auf den Umstand „höhere Gewalt“ berufen können. In diesem Fall haften Unternehmen dann Betroffenen nicht auf Schadensersatz.

Ich würde zudem auch vertreten, dass dieser, in der DSGVO klar angelegte Gedanke der Enthaftung in Ausnahmesituationen, nicht nur in Bezug auf Schadensersatzansprüche nach Art. 82 DSGVO greift, sondern auch hinsichtlich der Einhaltung von Fristen (zB Art. 12 Abs. 3 DSGVO oder Art. 33 Abs. 1 DSGVO) oder gegebenenfalls sogar anderen Pflichten. Denn, wenn schon keine Haftung angenommen wird, wenn ein Schaden eingetreten ist, dann muss es erst recht möglich sein, mit dieser Ausnahme einer Verlängerung gesetzlicher Fristen zu begründen. Es geht Unternehmen ja aktuell nicht darum, dass man Pflichten gar nicht mehr erfüllen möchte. Man kann es derzeit nur nicht in den regulatorisch vorgegebenen Parametern. Dies ist meine (in einer etwas längeren Nachsitzung entstandene) Meinung zur Auslegung und Anwendung der DSGVO in aktuellen Zeiten ist. Das bedeutet aber auch, wie oben schon angemerkt, dass andere Rechtsauffassungen (gerade auch von Aufsichtsbehörden) möglich sind.

Für die hier gefundene Lösung spricht meines Erachtens auch das Verständnis des Bundesverwaltungsgerichts zu diesem Begriff: „Der Begriff der höheren Gewalt ist ein allgemeiner Begriff des Gemeinschaftsrechts, dessen Funktion es ist, Härten aus der Anwendung von Präklusions- und Sanktionsvorschriften in besonders gelagerten Fällen zu vermeiden und damit dem Gebot der Verhältnismäßigkeit im Einzelfall zu entsprechen“ (BVerwG, Urt. v. 29.4.2004 – BVerwG 3 C 27.03; Hervorhebung durch mich)

Zuletzt sei im Hinblick auf mögliche Bußgelder wegen Verstößen gegen die DSGVO darauf verwiesen, dass nach Art. 82 Abs. 2 lit. k DSGVO von den Aufsichtsbehörden zwingend „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ beachtet werden müssen. Hierzu zählt meines Erachtens auch ein Fall „höherer Gewalt“.

Wichtig ist jedoch, dass die Anforderungen des EuGH an die Anwendbarkeit der Ausnahme „höhere Gewalt“ beachtet werden und, dass Unternehmen nachweisbar dokumentieren, warum diese Voraussetzungen vorliegen. Es muss also ein ungewöhnliches und unvorhersehbares Ereignisse vorliegen, auf das derjenige, der sich darauf beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können.

Generalanwalt am EuGH: hohe Anforderungen an eine wirksame Einwilligung und ihre Nachweisbarkeit

Im Rahmen der am 4.3.2020 veröffentlichten Schlussanträge in der Rechtssache C?61/19, hat Generalwalt (GA) Szpunar seine Interpretation zu den Anforderungen an eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO dargelegt. Die Ausführungen des GA sind für den EuGH (wie immer) nicht bindend. Dennoch lohnt sich ein Blick in die Begründung.

Nachfolgend möchte ich auf einige „Highlights“ der Schlussanträge eingehen.

Was bedeutet der Grundsatz des Art. 5 Abs. 1 lit. a DSGVO?

Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Zu der entsprechenden Vorgängernorm in der RL 95/46/EG (Art. 6 Abs. 1 lit. a) stellt der GA fest, dass in den Erlaubnistatbeständen (jetzt in Art. 6 Abs. 1 DSGVO) der in Art. 6 Abs. 1 lit. a der Richtlinie niedergelegte Grundsatz zum Ausdruck, dass personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden müssen. Hieraus lässt sich mit Blick auf die DSGVO ableiten, dass mit der Erfüllung eines Erlaubnistatbestandes somit auch die Anforderungen der Datenschutzgrundätze „Rechtmäßigkeit sowie Verarbeitung nach Treu und Glauben“ erfüllt sind.

Freiwilligkeit der Einwilligung

Hinsichtlich des Merkmals der „Willensbekundung“ der betroffenen Person führt der GA aus, dass dies klar auf ein aktives und nicht passives Verhalten hindeute und erfordere, dass die betroffene Person über ein hohes Maß an Autonomie verfügt, wenn sie sich entscheidet, ihre Einwilligung zu erteilen oder nicht zu erteilen. Der GA verweist insoweit auf das Urteil des EuGH in Sachen Planet49.

Nach Ansicht des GA gelten die dort getroffenen Feststellungen auch gleichermaßen für die analoge Welt.

Wenn es schon zu hohe Anforderungen an den Kunden stellt, das in einem Ankreuzkästchen auf einer Website voreingestellte Häkchen zu entfernen, dann kann von einem Kunden vernünftigerweise erst recht nicht erwartet werden, dass er seine Verweigerung der Einwilligung in handschriftlicher Form erklärt.

In einer solchen Situation wisse man nämlich nicht, ob ein solcher vorformulierter Text gelesen und verstanden wurde. Die Situation sei nicht frei von Zweifeln. Der Text mag gelesen worden sein oder auch nicht. Der „Leser“ mag dies aus reiner Nachlässigkeit vergessen haben; es sei daher unmöglich, klar festzustellen, ob die Einwilligung freiwillig erteilt wurde.

„in informierter Weise“

Dieses Merkmal legt der GA so aus, dass völlig außer Zweifel stehen muss, dass die betroffene Person ausreichend informiert wurde.

Er fordert:

Die betroffene Person muss über alle die Datenverarbeitung und deren Folgen betreffenden Umstände informiert werden. Insbesondere muss sie wissen, welche Daten verarbeitet werden, wie lange die Verarbeitung andauert, in welcher Weise und zu welchem spezifischen Zweck sie erfolgt.

Leider wird nicht deutlich, ob der GA hier den Inhalt der Einwilligung selbst anspricht oder ob diese Information nicht auch über die Erfüllung der Informationspflichten entsprechend Art. 13 DSGVO erfolgen kann. Denn sollte es zu einer Dopplung von Informationen kommen, einmal in der Erklärung, einmal in den Datenschutzinformationen, dürfte man wohl die Frage stellen, welchen Sinn eine doppelte Informationserteilung hat.

Doch die Anforderungen gehen weiter:

Die betroffene Person muss außerdem wissen, wer die Daten verarbeitet und ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden.

Zudem sei entscheidend, dass der Betroffene darüber informiert wird, welche Folgen es hat, wenn er die Einwilligung verweigert, d. h., ob die Einwilligung in die Datenverarbeitung Voraussetzung für den Vertragsabschluss ist oder nicht. Dem Betroffenen wurde hier im konkreten Fall jedoch nicht unmissverständlich erklärt, dass der Vertragsabschluss dadurch, dass er die Anfertigung und Aufbewahrung einer Kopie seines Personalausweises verweigert, nicht unmöglich wird.

Wenn man die Anforderungen des GA allesamt in dem Text der Einwilligungserklärung selbst abbilden wollen würde, müsste diese folgende Informationen beinhalten:

  • alle die Datenverarbeitung betreffenden Umstände
  • deren Folgen betreffenden Umstände (Anm: was immer mit den Folgen gemeint ist)
  • welche Daten verarbeitet werden
  • wie lange die Verarbeitung andauert
  • in welcher Weise sie erfolgt
  • zu welchem spezifischen Zweck sie erfolgt
  • wer die Daten verarbeitet
  • ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden
  • welche Folgen es hat, wenn sie die Einwilligung verweigert

Ich persönlich bin auf transparente und verständliche Einwilligungserklärungen gespannt, die diesen Anforderungen gerecht werden. Zudem muss beachtet werden, dass der Text der Einwilligung ja eine statische Momentaufnahme ist. Was geschieht, wenn sich die „Folgen“ der Datenverarbeitung ändern oder Daten nun etwa nicht mehr an Dritte übermittelt werden sollen? Ist die Einwilligung dann unwirksam?

Beweislast und Nachweispflicht

Zudem geht der GA auf die praktisch sehr relevante Frage ein, was konkret durch den Verantwortlichen nachzuweisen ist, wenn er darlegen will oder muss, dass eine Einwilligung vorliegt.

Der GA bezieht sich ganz konkret auf Art. 7 Abs. 1 DSGVO. Danach muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Nach Ansicht des GA ist Art. 7 Abs. 1 DSGVO eindeutig und lässt keinen Raum für Zweifel:

Beruht die Verarbeitung auf einer Einwilligung, so muss der Verantwortliche nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese Bestimmung stellt einen besonderen Ausdruck des in Art. 5 Abs. 2 der Verordnung 2016/679 verankerten Grundsatzes der Rechenschaftspflicht dar.

Der GA verknüpft hier also die Rechenschaftspflicht, die ja ansonsten oft doch recht alleine in der DSGVO steht bzw. sich „nur“ auf die Grundsätze nach Art. 5 Abs. 1 DSGVO bezieht, nicht mit einem solchen Grundsatz, sondern mit einem anderen Artikel der DSGVO, der auf einen Nachweis abstellt.

Und nun eine entscheidende Aussage:

Meines Erachtens erfordert der Zweck dieser Bestimmung eine weite Auslegung, da der Verantwortliche nicht nur nachweisen muss, dass die betroffene Person ihre Einwilligung erteilt hat, sondern auch nachweisen muss, dass sämtliche Wirksamkeitsvoraussetzungen vorliegen.

Das bedeutet, dass Verantwortliche nicht nur das Vorliegen der Einwilligung nachweisen müssen. Also etwa den abgehakten Text. Zudem muss der Verantwortliche die Erfüllung aller gesetzlichen Anforderungen nach der DSGVO nachweisen, die sich auf die Einwilligung beziehen.

Und wenn es zum Streit kommt? Auch hier ist der GA klar.

Jegliche Zweifel an der Erteilung der Einwilligung durch die betroffene Person müssen durch vom Verantwortlichen zu erbringenden Beweis ausgeräumt werden. Die Beweislast dafür, dass die betroffene Person in die Lage versetzt wurde, ihre Einwilligung ohne Zwang, auf den konkreten Fall bezogen und in voller Kenntnis der Sachlage zu erteilen, liegt daher eindeutig bei der Stelle, die die Verarbeitung durchführt.

Meines Erachtens legt der GA hier strenge Anforderungen an. Sollte der EuGH dieser Argumentation folgen, würde dies bedeuten, dass Verantwortliche also nicht nur den einzelnen Text der Einwilligung, sondern tatsächlich alle Umstände der Abgabe bzw. Einholung der Einwilligung nachweisen können müssen. Nicht unerwähnt sollte bleiben, dass für einen solchen Nachweis wohl zusätzlich personenbezogene Daten (etwa eine Klickstrecke, Screenshots, usw.) verarbeitet werden müssen.

Bayerisches Oberstes Landesgericht: Kein Anspruch auf Datenlöschung gegen Staatsanwaltschaft, solange keine Verjährung eingetreten ist

Mit Beschluss vom 27.01.2020 (Az. 203 VAs 1846/19) hat das Bayerische Oberste Landesgericht zu der Frage entschieden, ob eine Person, gegen die ein Ermittlungsverfahren geführt wurde, nach der Einstellung einen datenschutzrechtlichen Anspruch auf Löschung und Berichtigung ihrer Daten bei der Staatsanwaltschaft hat.

Sachverhalt

Gegen den Antragsteller wurde bei der Staatsanwaltschaft ein Ermittlungsverfahren wegen des Verdachts des Totschlags geführt, welches mit Verfügung gemäß § 170 Abs. 2 StPO eingestellt wurde. Die durchgeführten Ermittlungen hatten keinen hinreichenden Tatverdacht gegen den Beschuldigten ergeben. Zu der Person des Betroffenen speicherte die Staatsanwaltschaft seine Personalien und persönlichen Verhältnisse zum Zwecke der Durchführung des gegen ihn geführten Ermittlungsverfahrens. Die Daten sind Bestandteil der Ermittlungsakte und wurden zur Durchführung der Ermittlungen gespeichert.

Zudem wurde darauf hingewiesen, dass die Aufbewahrungsfrist vorliegend nach der Aufbewahrungsverordnung vom 29.7.2010 30 Jahre betrage, beginnend mit Ablauf des Jahres 2018, in welchem die das Verfahren einstellende Entscheidung getroffen worden sei.

Daraufhin beantragte der Beschuldigte die genaue Angabe, welche konkreten Daten gespeichert seien. Hierauf wurden ihm entsprechende Daten mitgeteilt, u.a. „Stellung im Verfahren 105 Js 4832/18: Beschuldigter wegen Totschlags (§ 212 StGB), Tatzeit vom 10.9.2009 bis 8.1.2017, zum Nachteil von C.M.“. § 170 Abs. 2 StPO als Verfahrensbeendigungsgrund sei nicht gespeichert.

Der Beschuldigte stellte daraufhin Antrag auf gerichtliche Entscheidung gegen die abgelehnte Löschung/Berichtigung seiner Daten. Er beantragte die Löschung der Daten, hilfsweise die Speicherung nur der notwendigen Daten sowie die zusätzliche Aufnahme von § 170 Abs. 2 StPO.

Entscheidung

Das Gericht entschied, dass der Antragsteller weder Anspruch auf Berichtigung noch auf Löschung der durch die Staatsanwaltschaft gespeicherten Daten habe.

Zunächst verweist das Gericht auf die hier anwendbaren datenschutzrechtlichen Regelungen. Nach § 500 Abs. 1 StPO i.V.m. § 75 Abs. 1 BDSG bestehe einen Berichtigungsanspruch, wenn gespeicherte personenbezogene Daten unrichtig oder unvollständig sind.

Nach § 500 Abs. 1 StPO i.V.m. § 75 Abs. 2 BDSG, § 500 Abs. 2 Nr. 1 StPO i.V.m. § 489 Abs. 1 Nr. 1, Abs. 2 Satz 3 StPO (als ergänzende Sonderregelungen) bestehe ein Löschungsanspruch hinsichtlich gespeicherter personenbezogener Daten, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Einstellung, die die Wiederaufnahme (wie bei § 170 Abs. 2 StPO) nicht hindert, mit Eintritt der Verjährung.

Es besteht aber kein Berichtigungsanspruch, da die gespeicherten Daten nicht unrichtig und nicht unvollständig sind. Der Tatvorwurf sei zu Recht gespeichert, denn der Gegenstand eines Ermittlungsverfahrens muss zweifelsfrei erfasst sein, insbesondere auch um den Eintritt der Verjährung konkret bestimmen zu können, der maßgeblich ist für den Zeitpunkt der Löschung. Das Interesse der Strafverfolgungsbehörden an der Speicherung der Daten gehe dem Interesse des Beschuldigten an der Vermeidung einer Stigmatisierung vor.

Zudem sei auch nicht erforderlich, dass die Vorschrift des § 170 Abs. 2 StPO auch ausdrücklich genannt wird, da die gewählte Formulierung eindeutig ergibt, dass eine Sachbehandlung nach § 170 Abs. 2 StPO erfolgt ist.

Zudem bestehe auch kein Löschungsanspruch. Denn eine Löschung sei erst dann vorzunehmen, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Verfahrenseinstellung nach § 170 Abs. 2 StPO mit Eintritt der Verjährung. Hier stellt das Gericht auf den Straftatbestand des Totschlags ab. Dieser verjährt nach § 78 Abs. 3 Nr. 1 StGB in dreißig Jahren.

Während des Laufs der Verjährungsfrist ist die Datenspeicherung zur Aufgabenerfüllung der Staatsanwaltschaft erforderlich, weil während dieses Zeitraums neue Beweismittel auftauchen könnten, die Anlass zur Wiederaufnahme der Ermittlungen geben.

Fazit

Auch wenn der Beschluss in einem datenschutzrechtlichen Spezialbereich erging, so lässt sich der Argumentation des Gerichts doch auch für den privatwirtschaftlichen Bereich eine relevante Begründung zur Aufbewahrung von Daten entnehmen. Personenbezogene Daten sind nicht zu löschen, wenn ihre Aufbewahrung dem Zweck eines Unternehmens dient, innerhalb von Verjährungs- oder etwa Gewährleistungsfristen eigene Ansprüche durchzusetzen oder sich gegen solche Ansprüche verteidigen zu können. Die weiterhin gespeicherten Daten können in diesem Zusammenhang als wertvolle Tatsachenbasis für eine notwendige Beweisführung dienen. Entsprechend sieht Art. 17 Abs. 3 lit. e DSGVO vor, dass personenbezogene Daten nicht zu löschen sind, wenn ihre Speicherung (bzw. weitere Verarbeitung) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Verwaltungsgericht Mainz: Betroffene haben keinen Anspruch auf die Vornahme bestimmter aufsichtsbehördlicher Maßnahmen

Kann eine betroffene Person, wen sie sich bei einer Datenschutzbehörde beschwert hat, von dieser Datenschutzbehörde die Vornahme einer ganz bestimmten aufsichtsbehördlichen Maßnahme verlangen und dies auch einklagen? Um diese Frage ging u.a. in einem Fall, den das Verwaltungsgericht Main (VG) entschieden hat (Beschluss vom 29.08.2019 – 1 L 605/19.MZ).

Sachverhalt

In dem Verfahren im Rahmen des einstweiligen Rechtsschutzes (§ 123 Abs. 1 VwGO) hat die Antragstellerin vorgetragen, sie führe einen Rechtsstreit mit ihrem früheren Anwalt, der sie gegen die B. GmbH vertreten habe. Der Anwalt sei später als Zeuge von der B. GmbH angeboten worden, was ihrer Ansicht nach dafür spreche, dass er einen Geheimnisverrat begangen habe. Um dies feststellen zu können, benötige sie nunmehr die Auskunft von der B. GmbH.

Hierzu hatte die Antragstellerin offensichtlich einen Auskunftsanspruch nach Art. 15 DSGVO gegenüber der B. GmbH geltend gemacht. Dieser scheint nicht erfüllt worden zu sein, worauf hin sich die Antragstellerin bei dem Landesbeauftragten für Datenschutz in Rheinland-Pfalz (LfDI) beschwerte. Der LfDI hat das Beschwerdeverfahren durch einen rechtsverbindlichen Beschluss, der auch mit einer Rechtsbehelfsbelehrung versehen war, abgeschlossen.

Die Antragstellerin begehrte nun vom LfDI, dass er das gegen die B. GmbH gerichtete Beschwerdeverfahren nach Art. 77 Abs. 1 DSGVO wieder aufnimmt und fortsetzt.

Entscheidung

Das VG lehnt die begehrte einstweilige Anordnung gegenüber dem LfDI ab. Die Antragstellerin habe einen Anordnungsgrund nicht glaubhaft gemacht. Es könne damit offenbleiben, ob ein Anordnungsanspruch bestehe.

Der Antrag der Antragstellerin ist quasi auf eine Fortsetzung des Beschwerdeverfahrens gerichtet. Nach Art. 77 Abs. 1 DSVGO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Da hier die Fortsetzung des Verfahrens Antragsziel ist, könnte die besondere Form der Untätigkeitsklage nach Art. 78 Abs. 2 DSGVO statthaft sein. Danach hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

Jedoch verweist das VG in seiner Begründung zurecht darauf, dass der LfDI als Aufsichtsbehörde hier das Verfahren bereits durch einen rechtsverbindlichen Beschluss abgeschlossen hat.

Gegen diesen Verwaltungsakt als Abschlussverfügung des LfDI kann die betroffene Person grundsätzlich nach Art. 78 Abs. 1 DSGVO vorgehen. Jedoch ist der Antrag hier gerade nicht nur auf die Aufhebung eines Verwaltungsakts bzw. die Anfechtung eines rechtsverbindlichen Beschlusses der Aufsichtsbehörde gerichtet, sondern zumindest auch auf ein Tätigwerden des LfDI.

Grundsätzlich relevant ist die Ansicht des VG, dass Art. 78 Abs. 1 DSGVO nicht nur auf Anfechtungsklagen gegen die rechtsverbindlichen Beschlüsse der Aufsichtsbehörde beschränkt ist, sondern darüber hinaus

auch Verpflichtungs- und Leistungsklagen zur Gewährung eines effektiven Rechtsschutzes für die betroffene Person

umfasst.

Danach geht das VG noch auf die Frage ein, was konkret die Antragstellerin überhaupt von dem LfDI verlangen könnte.

In diesem Zusammenhang verweist das VG auf die durchaus (auch schon gerichtlich) divers diskutierte Frage nach dem Umfang der – gerichtlich gegebenenfalls durchsetzbaren – Pflichten der Auskunftsbehörde.

Zum einen wird die Auffassung vertreten, dass von der Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO und Art. 57 Abs. 1 lit. f) DSGVO nur eine Bearbeitung der Beschwerde bzw. eine zeitnahe Unterrichtung über den Stand und das Ergebnis der Untersuchungen verlangt werden kann.

Andererseits gibt es aber auch die Rechtsmeinung, dass die Aufsichtsbehörde zu konkreten Maßnahmen verpflichtet werden kann.

Nach Ansicht des VG (nach der im Eilverfahren gebotenen summarischen Prüfung) spricht einiges dafür,

dass der Aufsichtsbehörde ein (weiter) Ermessensspielraum zusteht, ob und welche Maßnahmen sie ergreift, um einen etwaigen Verstoß gegen die DSGVO festzustellen oder einen Auskunftsanspruch des Beschwerdeführers durchzusetzen.

Danach kann eine betroffene Person nur Ermessensfehler rügen, jedoch nicht in Form eines Anspruchs direkt nur eine bestimmte aufsichtsbehördliche Maßnahme fordern. Vorliegend begehrt die Antragstellerin aber nicht den Erlass einer ermessensfehlerfreien Entscheidung und etwa einen Anspruch auf behördliches Einschreiten des Antragsgegners gegen die B. GmbH, sondern sie hat nur eine Fortsetzung des Beschwerdeverfahrens beantragt.

Offen lässt das VG im Rahmen der Prüfung des Anordnungsanspruchs, welche Pflichten die nach Art. 77 Abs. 1 DSGVO angerufene und mit einer Beschwerde befasste Aufsichtsbehörde hat, ob ein (weiter) Ermessensspielraum besteht oder ob sie zum Erlass bestimmter Maßnahmen verpflichtet ist bzw. verpflichtet werden kann. Denn das Gericht lehnt den Antrag bereits wegen Fehlens eines Anordnungsgrundes (keine hinreichende Glaubhaftmachung, dass ihr ein Abwarten einer Entscheidung in der Hauptsache nicht zumutbar ist) ab.

Verwaltungsgericht Hamburg: § 26 BDSG trifft für die Verarbeitung von Beschäftigtendaten keine abschließende Regelung

Das Verwaltungsgericht Hamburg (VG) hat mit Urteil vom 16.01.2020 (Az. 17 K 3920/19) entschieden, dass eine Verarbeitung der Daten von Beschäftigten nicht allein an den Vorgaben des § 26 BDSG zu messen ist. Ein Rückgriff auf die Erlaubnisnormen in Art. 6 Abs. 1 DSGVO bleibt möglich.

Sachverhalt

In dem Fall ging es um die Frage, ob das Universitätsklinikum Hamburg-Eppendorf (UKE) Informationen zu dem Gehalt des Geschäftsführers eines Tochterunternehmens nach § 3 Abs. 1 Nr. 15 des Hamburgischen Transparenzgesetzes veröffentlichen muss. Alleinige Trägerin des UKE ist die beklagte Freie und Hansestadt Hamburg. Der Geschäftsführer klagte gegen diese geplante Veröffentlichung gegen die Stadt Hamburg. Hierzu begründete er u.a., dass nach § 26 BDSG personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich sei. An dieser Voraussetzung fehle es hier.

Begründung

Das VG wies die Klage als unbegründet ab. Im Kern geht es in dem Urteil um materiell-rechtliche Fragen zum Hamburgischen Transparenzgesetz.

Am Ende seiner Begründung setzt es sich dann noch mit den datenschutzrechtlichen Argumenten des Klägers auseinander.

Nach Ansicht des VG verstößt die Veröffentlichung der Vergütung des Klägers nicht gegen datenschutzrechtliche Vorschriften. Die hiermit verbundene Verarbeitung personenbezogener Daten des Klägers durch die Stadt Hamburg entspreche § 4 HmbDSG, da sie zur Erfüllung einer in ihrer Zuständigkeit liegenden Aufgabe, nämlich der Verpflichtung aus § 3 Abs. 1 Nr. 15 HmbTG, erfolge.

Sodann wendet sich das VG auch zu dem Verhältnis zwischen UKE (bzw. dessen Trägerin, der Stadt Hamburg) und dem Kläger und damit der Frage zu, ob die hier streitgegenständliche Verarbeitung von Beschäftigtendaten (Übermittlung zum Zwecke der Veröffentlichung) denn evtl. nicht von § 26 BDSG gedeckt wäre.

Nach Ansicht des VG ergibt sich eine Unzulässigkeit der Datenverarbeitung aber auch nicht aus § 26 Abs. 1 S. 1 BDSG.

„Zwar dürfte die Übermittlung der Vergütungsdaten zum Zwecke der Veröffentlichung in keine der in § 26 Abs. 1 S. 1 BDSG genannten Fallgruppen fallen. § 26 BDSG trifft jedoch keine abschließende Regelung zur Zulässigkeit der Verarbeitung persönlicher Daten von Beschäftigten, so dass jedenfalls ein Rückgriff auf die allgemeinen Regelungen der DSGVO möglich bliebe“

Daraus folgert das VG, meines Erachtens völlig zurecht, dass sich die Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 lit. c und e DSGVO ebenfalls aus der in § 3 Abs. 1 Nr. 15 HmbTG normierten Verpflichtung ergebe.

Fazit

Es wird in der Literatur durchaus diskutiert, ob denn § 26 BDSG für den Umgang mit Beschäftigtendaten eine abschließende Regelung treffe und daher ein Rückgriff auf Art. 6 Abs. 1 DSGVO, insbesondere etwa auch die Ziff. f) zur Interessenabwägung, nicht mehr möglich sei. Dieser Ansicht erteilt das VG zurecht eine klare Absage (wenn auch ohne nähere Begründung). Meines Erachtens ergibt sich aber sowohl aus Art. 88 DSGVO als auch etwa aus dem Urteil des EuGH in Sachen „Breyer“, dass der nationale Gesetzgeber die europarechtliche (durch die DSVGO sogar unmittelbar) vorgegeben Erlaubnistatbestände zum Umgang mit personenbezogenen Daten nicht ein- oder beschränken darf. Dies bedeutet in der Praxis, dass sich Unternehmen natürlich auch auf Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO berufen können, wenn sie Mitarbeiterdaten verarbeiten.

LAG Sachsen: Abberufung eines Datenschutzbeauftragten allein wegen Anwendbarkeit der DSGVO?

In einem Urteil vom 08.10.2019 (Az. 7 Sa 128/19; aktuell leider noch nicht frei zugänglich) hat das Sächsische Landesarbeitsgericht (LAG) die Auflösung der Rechtsstellung eines betrieblichen Datenschutzbeauftragten einer öffentlichen Stelle, wegen eines Interessenkonflikts nach Art. 38 Abs. 6 DSGVO, für zulässig erklärt. Die Beschwerde wurde beim Bundesarbeitsgericht unter dem Az. 10 AZR 621/19 eingelegt. Das Gericht hat über die Revision des Klägers gegen die frühere Entscheidung des ArbG Dresden (03.04.2019 – 3 Ca 1978/18) entschieden.

Sachverhalt

Der Kläger ist seit dem 01.01.2002 auf der Grundlage eines schriftlichen Dienstvertrages bei der Beklagten als Mitarbeiterin beschäftigt. Bei der Beklagten handelt es sich um eine öffentliche Stelle des Landes, die – als Dienstleister für Kommunen – personenbezogene Daten verarbeitet. In seiner Tätigkeit obliegt dem Kläger für die Beklagte, die Kommunen des Freistaates Sachsen mit der Bereitstellung und Wartung sowie Beratung über Datenverarbeitungsprogramme betreut, eine Tätigkeit als Anwendungsberater. Mit Schreiben vom 27.02.2004 wurde der Kläger auf der Grundlage von § 11 Sächsisches Datenschutzgesetz (aF) zum Datenschutzbeauftragten bei der Beklagten bestellt.

Aufgrund von Handlungsempfehlungen des Sächsischen Landesdatenschutzbeauftragten anlässlich des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) entschloss sich die Beklagte, den Kläger mit Schreiben vom 15.08.2018 von der Funktion als Datenschutzbeauftragten zum 31.08.2018 abzubestellen. Mit der vor dem ArbG Dresden zuvor erhobenen Klage hat der Kläger die Feststellung des Fortbestandes seiner Rechtsstellung als behördlicher Datenschutzbeauftragter über den 31.08.2018 hinaus gerichtlich geltend gemacht.

Nach Ansicht des Klägers bestand kein Interessenkonflikt. Beide Tätigkeiten wurden seit 15 Jahren unverändert nebeneinander ausgeübt. Es gäbe daher keinen triftigen Grund für die Abberufung. Die Rechtsstellung des Klägers sei darüber hinaus nicht durch die in Kraft getretene DSGVO beendet worden und daher verstoße die Abbestellung gegen Art. 38 Abs. 3 S. 2 DSGVO.

Die Beklagte trägt hingegen vor, dass mit Anwendbarkeit der DSGVO die im Jahre 2004 erfolgte Bestellung zum Datenschutzbeauftragten von Rechts wegen geendet habe. Die Fortführung des Amtes sei dem Kläger aber auch wegen eines Interessenkonflikts mit seiner beruflichen Tätigkeit unmöglich gewesen. Der Interessenkonflikt zwischen den fachlichen Tätigkeiten und seiner Funktion als Datenschutzbeauftragter liege im Wesentlichen darin, dass der Kläger Finanzdaten von Bürgern zu verarbeiten habe sowie in seinen fachlichen Aufgaben und Pflichten als Anwendungsbetreuer und als Auftragsverarbeiter tätig werde. Maßgeblich sei der Interessenkonflikt im Einsatz des Klägers als Kundenbetreuer und dem Umfang der von ihm geschuldeten Tätigkeit bei der Datenverarbeitung selbst. Der Kläger müsse die Einhaltung der Vorschriften während seiner Arbeit sicherstellen und kontrolliere sich praktisch selbst.

Entscheidung

Im Ergebnis wies das Gericht die Berufung des Klägers gegen das erstinstanzliche Urteil ab.

Das Gericht teilte jedoch nicht die Auffassung der Beklagten, dass die Tätigkeit des Datenschutzbeauftragten allein aufgrund der Anwendbarkeit (Anm: das LAG nennt zwar das „Inkrafttreten“, meint aber offensichtlich die Anwendbarkeit, da auf den 25.5.18 verwiesen wird) der DSGVO beendet werden sollte. So finde die Auflösung der Rechtsstellung des Datenschutzbeauftragten keine gesetzliche Grundlage in der DSGVO oder nicht allein in deren Anwendbarkeit. Diese mag die Rechtsstellung des Datenschutzbeauftragten anders regeln als im zuvor allein anwendbaren Recht. Eine Regelung, wonach das Amt des Datenschutzbeauftragten – allein wegen der Anwendbarkeit der DSGVO am 25.05.2018 – von Gesetzes wegen endet, enthalte sie aber nicht.

Nach § 11 Abs. 2 SächsLDSG (aktuelle Fassung) dürfe zum Datenschutzbeauftragten (einer öffentlichen Stelle) nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt mit seinen sonstigen beruflichen Aufgaben ausgesetzt wird. Er ist bei der Erfüllung seiner Aufgaben dem Leiter der öffentlichen Stelle unmittelbar zu unterstellen und weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Diese nach dem SächsLDSG im Verhältnis zu § 6 Abs. 4 S. 1 BDSG geringeren Schutz-Anforderungen entsprechen Art. 38 Abs. 3 DSGVO, wonach der Verantwortliche und der Auftragsverarbeiter sicherstellen muss, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Die DSGVO und auch das SächsLDSG kennen keinen besonderen Kündigungs- bzw. Abberufungsschutz, wie er im BDSG geregelt ist.

(Gemäß § 6 Abs. 4 BDSG ist die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten unzulässig, es sei denn, es liegen Tatsachen vor, die die öffentliche Stelle zur Kündigung des Arbeitsverhältnisses aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen).

Insbesondere darf der Datenschutzbeauftragte nach Auffassung des Gerichts nicht deshalb von seiner Funktion entbunden werden oder sonstige Nachteile erleiden, weil er sich in bestimmter Weise und mit einem Ergebnis seiner datenschutzrechtlichen Prüfung positioniert hat, die der Geschäftsleitung, dem Betriebs- oder Personalrat oder anderen Stellen im Unternehmen oder der Behörde nicht genehm sind. Eine solche Benachteiligung des Klägers wegen der von ihm ausgeübten Tätigkeit als Datenschutzbeauftragter sei im Streitfall aber nicht feststellbar und wird vom Kläger im Ergebnis auch nicht behauptet. Vielmehr macht der Beklagte geltend, dass nach der Anwendbarkeit der DSGVO der behauptete Interessenkonflikt zwischen der beruflichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragter neu beurteilt worden sei.

Die Zuverlässigkeit eines Datenschutzbeauftragten könne infrage gestellt werden, wenn die Gefahr von Interessenkonflikten bestehe. So könne ein Eingriff in die Interessensphären die vom Gesetz geforderte Zuverlässigkeit beeinträchtigen. Nach Ansicht des Gerichts ist unter Berücksichtigung von Art. 38 Abs. 6 DSGVO, wonach der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann und der Verantwortliche oder der Auftragsverarbeiter sicherstellt, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, die Abbestellung jedenfalls nachzuvollziehen. Die Tatsache, dass der Kläger möglicherweise seit mehr als 15 Jahren denselben Interessenkonflikt zwischen seiner dienstlichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragter hat, verpflichte den Beklagten hingegen nicht, den Interessenkonflikt aufrechtzuerhalten. Der Kläger sei auch nicht wegen der Ausübung seiner Tätigkeit als Datenschutzbeauftragter in der Vergangenheit oder wegen einzelner Handlungen im Zusammenhang mit dieser von seiner Funktion abbestellt worden, sondern weil die Beklagte einen Interessenkonflikt in der von ihm auszuübenden Tätigkeit des Anwendungsberaters bei der Datenverarbeitung für öffentliche Stellen, die personenbezogene Daten verarbeiten, sehe.

Schlussendlich kenne weder das Sächsische Datenschutzgesetz noch die DSGVO einen besonderen Abbestellungs- oder Abberufungsschutz. Es muss lediglich sichergestellt sein, dass der Kläger nicht wegen der von ihm ausgeübten Tätigkeit benachteiligt und insbesondere nicht deswegen abberufen oder abbestellt wird, so das Gericht.