Amtsgericht: 15.000 EUR Zwangsgeld wegen unzureichender Auskunft nach der DSGVO

Was passiert, wenn eine betroffene Person keine bzw. keine aus ihrer Sicht richtige Auskunft nach Art. 15 DSGVO erhält? Man mag initial an ein Bußgeld durch eine Datenschutzbehörde denken. Das ist sicher ein Risiko. Daneben besteht für Betroffene aber auch noch die Möglichkeit, die datenverarbeitende Stelle vor einem Zivilgericht in Anspruch zu nehmen. Diesen Fall hatte das Amtsgericht Wertheim zu entscheiden.

Und das Ergebnis (Beschluss vom 12.12.2019 – 1 C 66/19; aktuell noch nicht öffentlich abrufbar, bei BeckOnline unter BeckRS 2019, 33192; dejure wird informiert): die Verhängung eines Zwangsgeldes in Höhe von 15.000 EUR (ersatzweise für je 500 EUR ein Tag Zwangshaft) gegen das auskunftspflichtige Unternehmen.

Sachverhalt

Dem nun veröffentlichten Beschluss ging ein Klageverfahren voraus, welches mit einem Anerkenntnisurteil endete (Anerkenntnisurteil vom 27.05.2019 – 1 C 66/19). Dort wurde die Beklagte verurteilt, Auskunft über die personenbezogenen Daten des Klägers bei der Beklagten zu erteilen und die Informationen nach Art. 15 Abs. 1 DSGVO mitzuteilen.

Dieser Pflicht scheint das Beklagte Unternehmerin als Schuldnerin nicht nachgekommen zu sein. Die Handlung (=Auskunft) konnte nicht durch einen Dritten vorgenommen werden, so dass die vorzunehmende Handlung ausschließlich vom Willen der Schuldnerin abhängig ist.

Entscheidung

Nach Ansicht des AG hat die Schuldnerin diese Handlung nicht vollständig ausgeführt. Sie habe insbesondere die Auskunft hinsichtlich Art. 15 Abs. 1 lit. g) DSGVO („wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten“) nicht vollständig erteilt. Die Schuldnerin habe dem Antragsteller nicht alle verfügbaren Informationen über die Herkunft der bei ihr verarbeiteten Daten mitgeteilt.

Das AG begründet seinen Beschluss im Grunde mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO.

Die Auskunft Art. 15 DSGVO ist gemäß Art. 12 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Es war wohl umstritten, ob eine solche Auskunft bereits erteilt wurde bzw. als Schriftstück übergeben wurde. Jedenfalls erfüllte dieses Schriftstück nicht die Erfordernisse des Art. 15 DSGVO. Zum einen sei es offensichtlich nicht vollständig, darüber hinaus sei es inhaltlich falsch.

Das AG befasst sich sodann mit Art. 15 Abs. 1 lit. g DSGVO. Die Frage nach der Herkunft der Daten, werde hier nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ beantwortet. Das AG verweist hierzu auch auf die Anforderungen des Art. 12 Abs. 1 DSGVO. In dem Schriftstück wurde eine „Firma U. P. GmbH“ lediglich in Klammern und mit Zusatz „z.B.“ genannt. Der Leser des Schriftstücks könne daraus die Schlussfolgerung ziehen, dass die Daten des Beklagten von der Fa. U. P. GmbH übermittelt wurden, muss das jedoch nicht. Das bedeutet, dass das AG durch den Zusatz „z.B.“ eine unklare Auskunftserteilung annimmt. Der Betroffene wisse daher nicht, ob Daten wirklich von diesem Unternehmen übermittelt wurden.

Dies ist meines Erachtens die erste praxisrelevante Aussage des Gerichts.

Zweitens geht das AG davon aus, dass eine Auskunft über personenbezogene Daten grundsätzlich auch die Auskunft darüber umfasst,

welche konkreten personenbezogenen Daten (also nicht nur die Auskunft, dass ein Name und dass ein Geburtsdatum gespeichert wurde, sondern auch welcher Name, welches Geburtsdatum, etc.) gespeichert sind bzw. verarbeitet werden.

Die Mitteilung aller verfügbaren Informationen über die Herkunft der Daten umfasse daher – soll sie vollständig sein – nicht nur die Mitteilung von wem die Daten übermittelt wurden,

sondern auch wann und mit welchem Inhalt personenbezogene Daten übermittelt wurden. Dies ergibt sich nicht aus dem genannten Schriftstück.

Zum einen verlangt das AG also, dass im Rahmen der Auskunft nach Art. 15 Abs. 1 DSGVO nicht nur Datenarten oder -kategorien genannt werden. Sondern die konkret verarbeiteten Daten selbst. Diese Ansicht ist meines Erachtens ebenfalls praxisrelevant, wenn auch nicht besonders überraschend.

Sehr streng ist aber die Auffassung des AG, dass die Auskunft dann auch Angaben dazu enthalten muss, „wann“ personenbezogene Daten an das auskunftspflichtige Unternehmen übermittelt wurden und welchen Inhalt diese konkret hatten. Dies würde für die Praxis und ein internes Datenschutz-Management bedeuten, dass nicht nur nachvollzogen werden können muss, welche Daten von wem an das Unternehmen gingen, sondern auch wann dies konkret erfolgte. Man müsste also zusätzlich Datumsangaben zu jedem personenbezogenen Datum hinzuspeichern.

Daneben wurde wohl in dem Schriftstück auch mitgeteilt, dass „zum Namen Ihres Mandanten weitere personenbezogenen Daten gespeichert sind, die sich jedoch nicht auf ihn beziehen, sondern denen ein Betrugsfall zugrunde liegt.“ Diese weiteren Daten enthielten aber wohl auch ein Geburtsdatum, womit es sich auch bei diesen Daten um personenbezogene Daten, nicht lediglich um Daten, die sich auf eine Bestellung bzw. einen Betrugsfall beziehen, handelte.

Fazit

Die Entscheidung des AG ist zum Teil sehr streng und man kann sicherlich diskutieren, ob etwa die Anforderung, dass auch Zeitangaben zu speichern und zu beauskunften sind, wann Daten bei einem Unternehmen eingegangen sind. Eventuell kann man dies an dem Merkmal „alle verfügbaren Informationen“ festmachen. Dazu müsste das Datum aber ja schon verfügbar sein (also gespeichert sein). Ob diese Anforderung aber als Grundlage der Speicherung des Datums (Tag, Uhrzeit oö) dienen kann, erscheint meines Erachtens fraglich.

Wo darf die Datenschutzbehörde verklagt werden? VG Gera gegen Zuständigkeitskonzentration.

Das Verwaltungsgericht (VG) Gera hat bereits Anfang des Jahres einen Beschluss (pdf) zu der Frage gefasst, welches Gericht für eine Klage gegen die Datenschutzbehörde (hier: den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI)) zuständig ist (Beschl. v. 16.01.2019, 2 K 2281/18).

Entscheidungen zur Zuständigkeit von Gerichten bei Klagen gegen Datenschutzbehörden sind sicherlich nicht an der Tagesordnung. Auch aus diesem Grund ist der Beschluss von Relevanz. Um es jedoch vorweg zu nehmen: ich halte die Entscheidung für falsch.

Sachverhalt

In dem Verfahren wandte sich die Klägerin gegen eine Entscheidung des TLfDI, mit der dieser eine Beschwerde der Klägerin als unbegründet zurückgewiesen hat. Ansonsten ist zu den Umständen des Falles wenig bekannt. Klar ist nur, dass es nicht um eine Untätigkeitssituation ging, sondern die (ablehnende) Entscheidung des TLfDI angegriffen wurde. Die Klägerin hat ihren Wohnsitz im Bezirk des VG Gera. Der TLfDI seinen Dienstsitz in Erfurt. Er ist als Aufsichtsbehörde damit für ganz Thüringen zuständig. Also ein Gebiet, das mehrere Verwaltungsgerichtsbezirke umfasst.

Entscheidung

Die Klägerin und ihr folgend das VG Gera wenden für die Zuständigkeitsfrage § 52 Ziff. 3 S. 2 VwGO an. Danach ist für die Anfechtungsklage gegen einen Verwaltungsakt, der von einer Behörde erlassen wurde, deren Zuständigkeit sich auf mehrere Verwaltungsgerichtsbezirke erstreckt, oder von einer gemeinsamen Behörde mehrerer oder aller Länder erlassen wurde, das Verwaltungsgericht zuständig, in dessen Bezirk der Beschwerte seinen Sitz oder Wohnsitz hat. Hier also der Bezirk des Wohnsitzes der Klägerin.

Das VG lehnt eine Anwendung der Zuständigkeitsregelung des § 20 Abs. 3, Abs. 1 BDSG ab, da das BDSG vorliegend gar nicht anwendbar sei.

Auch ergebe sich eine andere Zuständigkeit nicht aus § 9 Abs. 1 ThürDSG. Denn es gehe hier nicht um einen Streit zwischen einer öffentlichen Stelle und dem TLfDI. Auch § 9 Abs. 2 ThürDSG greife nicht ein, da es vorliegend nicht um die Untätigkeit der Datenschutzbehörde geht.

Diese Auffassung ist meines Erachtens aus mehreren Gründen nicht richtig.

Kompetenz beim Bund

Das Gericht lehnt die Anwendbarkeit von § 20 Abs. 3, Abs. 1 BDSG mit der Begründung ab, dass der Anwendungsbereich nicht eröffnet sei, da nach § 1 Abs. 1 S. 1 Nr. 2 BDSG das BDSG nur für die Verarbeitung personenbezogener Daten durch öffentliche Stellen der Länder gelte, soweit der Datenschutz  nicht durch Landesrecht geregelt sei. Nach Ansicht des VG beinhalte das ThürDSG aber eine Vollregelung des Datenschutzes, wie sich aus § 2 Abs. 1 ThürDSG ergebe.

Meines Erachtens verkennt das VG hier die bundesgesetzlich festgeschriebene Zuständigkeitskonzentration in § 20 BDSG und den Anwendungsanspruch des BDSG.

Grundsätzlich hat der Bundesgesetzgeber mit § 52 VwGO eine abschließende Regelung zur gerichtlichen Zuständigkeit getroffen. Es ist deshalb den Ländern verwehrt, durch Gesetze abweichende Bestimmungen über den Gerichtsstand zu erlassen (vgl. etwa: Schoch/Schneider/Bier/Schenk, 37. EL Juli 2019, VwGO § 52 Rn. 3a).

So hat etwa auch das BVerfG mit Beschluss 07.05.1974, Az. 2 BvL 17/73 entschieden: „Da der Bundesgesetzgeber von seiner Kompetenz, die örtliche Zuständigkeit des Verwaltungsgerichts zu regeln, mit § 52 VwGO rechtswirksam, vollständig und ohne entsprechenden Vorbehalt Gebrauch gemacht hat, hatte das Land Bayern keine Kompetenz(…)“.

Die Gesetzgebungskompetenz für die gerichtliche Zuständigkeit liegt im Wege der konkurrierenden Gesetzgebung nach Art. 72, 74 Abs. 1 Nr. 1 Var. 3 GG beim Bund. In Art. 74 Abs. 1 Nr. 1 Var. 3 GG wird von „Gerichtsverfassung“ gesprochen. Dies befähigt im Einzelnen den Bund den hierarchischen Aufbau der Gerichtsbarkeiten sowie die Maßstäbe der sachlichen, funktionellen und örtlichen Zuständigkeit zu definieren (vgl. BeckOK Grundgesetz/Seiler, 41. Ed. 15.2.2019, GG Art. 74 Rn. 9). Gerichtlich festgestellt ist die erschöpfende Regelung für die örtliche Zuständigkeit der Verwaltungsgerichte (BVerfGE 37, 191) (Ausnahme: § 187 Abs. 1 VwGO).

Konzentrationen bleiben bundesrechtlich möglich

Dem Bundesgesetzgeber (aber nicht dem Landesgesetzgeber) steht es frei, speziellere Regelungen zu erlassen, die § 52 VWGO vorgehen. Dazu zählt ausweislich der Gesetzesbegründung auch § 20 Abs. 3 BDSG.

Damit ist es meines Erachtens schon ein Fehler des Gerichts, überhaupt auf das ThürDSG abstellen zu wollen, weil dies die gerichtliche Zuständigkeit gar nicht regeln kann.

Anwendbarkeit des BDSG

Zudem geht die Begründung des VG Gera fehl, wenn es das BDSG nicht für anwendbar hält.

Es heißt in § 1 Abs. 1 Nr. 2 BDSGsoweit der Datenschutz nicht durch Landesrecht geregelt“ ist. Es geht um den Datenschutz, nicht die gerichtliche Zuständigkeit der Verwaltungsgerichte. Das VG stellt für seine Begründung zur Frage der gerichtlichen Zuständigkeit (die der Bundeskompetenz unterliegt) darauf ab, dass das ThürDSG hierzu eine „Vollregelung des Datenschutzes“ geschaffen habe. Eine solche Regelung in Bezug auf die Gerichtszuständigkeit ist aber nicht möglich.

Im Übrigen regelt § 9 ThürDSG auch gar nicht die örtliche Zuständigkeit, sondern stellt nur eine Rechtswegeröffnung bei Untätigkeit der Aufsichtsbehörden dar, die ohnehin existiert.

§ 9 Abs. 1 S. 1 ThürDSG wiederholt nur die ohnehin schon bestehende Verwaltungsgerichtszuständigkeit nach § 20 Abs. 3 BDSG (aufdrängende Sonderzuweisung) und hat damit deklaratorische Wirkung. § 9 Abs. 1 S. 2 ThürDSG verweist auf § 20 Abs. 3 BDSG. Danach ist das VG zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat.

Das ThürDSG trifft also gar keine abweichenden Reglungen. Damit ist der Anwendungsbereich des BDSG auch nicht verschlossen, da § 1 Abs. 2 Nr. 2 BDSG nicht erfüllt ist und zweitens das ThürDSG nach der obigen Erwägung ohnehin nicht die gerichtliche Zuständigkeit regeln kann.

Fazit

Es gilt also in Bezug auf die gerichtliche örtliche Zuständigkeit von vornherein nur § 52 VwGO, außer es liegt eine speziellere Regelung, wie hier, auf Bundesebene vor.

Verwaltungsgericht Ansbach: Betroffene haben keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen der Datenschutzbehörden

In dieser Woche hatte ich über eine Entscheidung des SG Frankfurt (Oder) berichtet, in der es um die Frage ging, inwiefern eine betroffene Person einen Anspruch gegen die Datenschutzbehörde auf Vornahme von aufsichtsbehördlichen Maßnahmen hat und diesen gerichtlich einklagen kann.

Nun wurde ein weiteres Urteil zu diesem Themenkomplex veröffentlicht. Diesmal eine ausführlich begründete Entscheidung des Verwaltungsgerichts (VG) Ansbach (Urt. v. 8.8.2019, Az. AN 14 K 19.00272). Auch das VG lehnt einen Anspruch von Betroffenen auf die Vornahme bestimmter behördlicher Maßnahmen ab. Jedoch gesteht das VG zu, dass ein Anspruch auf ermessensfehlerfreie Entscheidung der Behörde bestehe.

Sachverhalt

Die Beteiligten stritten um das Einschreiten des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) in einer Datenschutzaufsichtsangelegenheit. Der Kläger bat eine Kreissparkasse mehrfach, ihm seine bei ihr verarbeiteten personenbezogenen Daten von ihm zu übermitteln. Die Sparkasse übermittle dem Kläger dann seine Daten unter Beachtung von Art. 15 Abs. 1 und 2 DSGVO.

Daraufhin wandte sich der Kläger erneut an die Kreissparkasse dahingehend, dass er die übermittelten Daten für nicht vollständig halte. Er bat um eine Vervollständigung der Auskunft. Die Kreissparkasse antwortete ihm, dass die Auskunft alle gesetzlichen Anforderungen erfülle. Daraufhin beschwerte sich der Kläger per E-Mail vom 30. Oktober 2018 bei dem BayLDA über die Kreissparkasse.

Das BayLDA antwortete mit Schreiben vom 21. Januar 2019 und teilte mit, dass gegen die Kreissparkasse keine Maßnahmen ergriffen würden, weil kein Datenschutzverstoß vorliege. Weitergehende Ansprüche gegen die Sparkasse auf Auskunftserteilung müsse der Kläger vor den Zivilgerichten verfolgen. Das Schreiben enthielt eine Rechtsbehelfsbelehrung, derzufolge gegen diese Entscheidung innerhalb eines Monats nach Bekanntgabe Klage erhoben werden kann.

Daraufhin wandte der Kläger an das Verwaltungsgericht. Die Auskunft der Kreissparkasse sei unvollständig und teilweise unverständlich gewesen, so dass er weiter bei der Kreissparkasse nachgefragt habe, worauf die Kreissparkasse auch geantwortet habe. Bei ihm seien dennoch Restzweifel verblieben.

Die kurze und pauschale Zurückweisung seiner Beschwerde vom BayLDA verstoße gegen wesentliche Aufsichtsziele der DSGVO.

Entscheidung

Das VG wies die Klage gegen das BayLDA ab.

Die Klage sei zwar zulässig, aber nicht begründet. Der Verwaltungsrechtsweg war aufgrund § 20 Abs. 1 S. 1 BDSG gegeben, da es sich hier um eine Klage gegen den rechtsverbindlichen Beschluss einer Aufsichtsbehörde handelt, und zwar die Abschlussmitteilung des BayDLA vom 21. Januar 2019.

Interessant ist, dass das VG davon ausgeht, dass hier keine Anfechtungsklage gegen einen Verwaltungsakt, sondern eine Leistungsklage statthaft ist.

Beim streitgegenständlichen Schreiben des BayLDA handelt es sich um eine vom Verwaltungsgericht gemäß Art. 78 DSGVO überprüfbare Maßnahme mit Außenwirkung,

jedoch nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG mit Regelungscharakter, so dass nicht die Anfechtungsklage, sondern die allgemeine Leistungsklage statthaft ist.

Vorliegend fehle es am Regelungscharakter der Abschlussmitteilung. Das Schreiben des BayLDA sei auch kein sog. feststellender Verwaltungsakt, also ein Bescheid mit der verbindlichen Feststellung eines Rechtsverhältnisses oder sich daraus ergebender Rechte und Pflichten, die mit Rechtsbeständigkeit festgestellt werden sollen. Hier sollte eine Rechtsauskunft erteilt werden, es sollten aber nicht mit verbindlicher Feststellung i.S. des Art. 35 BayVwVfG strittige Rechte oder Pflichten geregelt werden.

Der Antrag des Klägers ist nicht auf einen bestimmten Verwaltungsakt des BayLDA, sondern auf ein allgemein aufsichtliches Einschreiten gerichtet. Dies sei kennzeichnend für eine Leistungsklage. Jedoch gibt das VG auch zu bedenken, dass, wenn der Kläger eine ganz konkrete Maßnahme im Sinne eines Verwaltungsaktes vom Beklagten verlangt hätte, und das BayLDA diese so gestaltete Beschwerde abgelehnt hätte, wäre die Verpflichtungsklage in Form der Versagungsgegenklage in Frage gekommen. Dann wäre die Ablehnung der Beschwerde als ein Verwaltungsakt zu qualifizieren, der den Erlass eines Verwaltungsaktes ablehnen würde.

Das Klagerecht aus Art. 78 Abs. 1 DSGVO erfasst umfassend auch die Ablehnung oder Zurückweisung einer Beschwerde nach Art. 77 DSGVO. Wird eine Maßnahme von der Aufsichtsbehörde erbeten, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, ist die allgemeine Leistungsklage die statthafte Klageart.

Gleichzeitig lehnt das VG die Rechtsansicht des VG Berlin vom 28. Januar 2019 (AZ. VG 1 L 1.19) ab, wonach es sich bei Beschwerden nach der DSGVO um Petitionen handeln soll.

Nach der DSGVO indes hat der Bürger nicht nur einen Anspruch auf Verbescheidung, sondern ggf. einen Anspruch auf Einschreiten der Aufsichtsbehörde (bei Ermessenreduzierung auf Null, sonst Anspruch auf fehlerfreie Ermessensausübung), die aufgrund Art. 58 DSGVO umfassende Eingriffskompetenzen hat (i.d.R. im Gegensatz zum Petitionsadressaten).

Bereits hier macht das VG deutlich, dass es davon ausgeht, dass im Grunde schon ein Anspruch auf Tätigwerden der Behörde besteht, jedoch im Normalfall nicht auf eine konkrete Maßnahme.

Die Klage ist jedoch unbegründet, da der Kläger weder einen Anspruch gegen den Beklagten auf weitere Befassung und Überprüfung seiner Beschwerde nach Art. 78 Abs. 2 DSGVO i.V.m. Art. 57 DSGVO hat noch einen Anspruch auf aufsichtliches Einschreiten des Beklagten gegenüber der Kreissparkasse gemäß Art. 58 DSGVO.

Das BayLDA hat gemäß Art. 78 Abs. 2 DSGVO in Verbindung mit Art. 57 Abs. 1 lit. f DSGVO die Beschwerde des Klägers in angemessenem Umfang geprüft und dem Kläger rechtzeitig Bescheid gegeben.

Ein darüber hinaus gehender Anspruch des Klägers ist nicht ersichtlich.

Das VG befasst sich dann mit der Frage, ob das BayLDA hier seinen gesetzlichen Aufgaben nachgekommen ist. Art. 57 Abs. 1 lit. a und f DSGVO wurden hier durch das BayLDA beachtet. Interessant an der Begründung des VG ist, dass es davon ausgeht, dass sich zwar sich aus Art. 57 DSGVO allein, einer reinen Aufgabennorm, keine subjektivöffentlichen Rechte des Betroffenen ergeben können. Art. 57 Abs. 1 lit. f DSGVO enthalte Vorgaben zum Verfahren und dessen Umfang, die über Art. 78 Abs. 2 DSGVO zu einem Rechtsanspruch des Betroffenen führen können.

Die Behandlung von individuellen Beschwerden sei unionsrechtlich jedoch restriktiv geregelt. Zwar sei es eine der vorrangigsten Aufgaben des BayLDA, Beschwerden von Betroffenen nach Art. 77 DSGVO zu bearbeiten. Allerdings nehme Art. 57 Abs. 1 lit. f DSGVO unzweifelhaft mit der Formulierung „in angemessenem Umfang“ auf die Ressourcen und Möglichkeiten der Aufsichtsbehörden Rücksicht. Die Angemessenheit der Untersuchung richte sich daher auch nach der Schwere des Eingriffs in Rechte des Betroffenen.

Hinsichtlich der behördlichen Maßnahmen nach Art. 58 DSGVO stellt das VG fest, dass dieser Artikel das Verhältnis zwischen Aufsichtsbehörde zu Verantwortlichen regele.

Ein Anspruch auf aufsichtliches Einschreiten des Betroffenen ist ähnlich wie im Sicherheits- und Polizeirecht (vgl. BVerwGE 11, 95, 97) grundsätzlich anzuerkennen, jedoch nur im Falle einer (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Reduktion des Ermessens auf Null, so dass mithin allenfalls regelmäßig nur ein subjektivöffentliches Recht auf fehlerfreie Ermessensausübung besteht.

Das VG geht davon aus, dass neben dem Auswahlermessen für die Behörde auch hinsichtlich des Entschlusses zum Tätigwerden ein Entschließungsermessen („gestattet“ in Art. 58 Abs. 1 und 2 DSGVO) bestehe. Der Kläger habe daher selbst bei Vorliegen eines festgestellten oder wahrscheinlichen Verstoßes gegen die DSGVO (der hier nicht gegeben war) indes

nur einen Anspruch auf fehlerfreie Ermessensausübung hinsichtlich einer Maßnahme des Beklagten nach Art. 58 DSGVO, aber keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen gegen die Kreissparkasse.

Dann habe im Rahmen des Art. 58 DSGVO die Aufsichtsbehörde ein weites Entschließungs- und Auswahlermessen hat. Dies gelte jedoch nicht, bei einer Ermessensreduktion auf Null. Diese komme nur in Betracht,

wenn ein Datenschutzrechtsverstoß naheliegt bzw. sich aufdrängen muss, d.h. es müssen Tatsachen vorliegen, die einen Verstoß gegen datenschutzrechtliche Vorschriften als wahrscheinlich erscheinen lassen und wenn dieser Verstoß von einer Schwere ist, die ein Einschreiten der Aufsichtsbehörde als erforderlich erscheinen lässt.

Vorliegend waren diese Voraussetzungen aber nicht erfüllt.

Gericht: Betroffene haben keinen Anspruch auf Vornahme bestimmter Maßnahmen durch eine Datenschutzbehörde

Kann eine betroffene Person, die von einem unzulässigen Umgang mit ihren personenbezogenen Daten ausgeht, von einer Datenschutzbehörde ein aufsichtsbehördliches Einschreiten oder sogar die Vornahme einer konkreten Maßnahme verlangen? Um diese Frage ging es in einem Fall, den das Sozialgericht Frankfurt (Oder) zu entscheiden hatte. Das Gericht lehnt einen solchen Anspruch auf Grundlage der DSGVO ab (Gerichtsbescheid v. 08.05.2019 – S 49 SF 8/19).

Sachverhalt

In dem Verfahren klagten betroffene Personen gegen den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die Kläger verlangten von dem BfDI ein Einschreiten gegen behauptete Datenrechtsverstöße des Jobcenters. U.a. begehrten die Kläger Auskunft vom Jobcenter, die sie wohl zunächst nicht erhielten. Diese wurde aber nach einem entsprechenden Hinweis des BfDI dann doch erteilt. Nach Ansicht der Kläger enthielt diese aber falsche Daten und wandten sich deswegen erneut an den BfDI. Dieser verwies die Kläger auf die Geltendmachung der Auskunft bzw. der Betroffenenrechte gegenüber dem Jobcenter.

Die Kläger beantragten, den BfDI zu verurteilen, gegen die Datenrechtsverstöße des Jobcenters einzuschreiten, um ihnen Auskunft über den Zugriff auf ihre Daten durch andere Stellen zu erteilen.

Entscheidung

Das Sozialgericht wies die Klage als unzulässig ab, da es an einer Anspruchsgrundlage fehle. Das Gericht geht also davon aus, dass eine entsprechende Klagemöglichkeit nicht besteht.

Weder aus den Vorschriften des Sozialrechts … noch insbesondere aus der Datenschutz-Grundverordnung ist ein individueller Anspruch eines Bürgers gegen den Beklagten auf die Vornahme einer bestimmten Maßnahme herleitbar.

Das Gericht verweist zunächst auf Art. 78 Abs. 2 DSGVO. Danach bestehe zwar dem Grunde nach ein Klagerecht, jedoch ist der Klagegrund auf bestimmte Fälle beschränkt.

Nach Art. 78 Abs. 2 DSGVO hat die betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DSGVO erhobenen Beschwerde in Kenntnis gesetzt hat.

Dies sei hier jedoch weder Klagegegenstand, noch liegt oder lag eine dahingehende Untätigkeit des BfDI vor.

Zudem habe nach Art. 77 Abs. 1 DSGVO jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn diese der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt.

Danach, so das Gericht, ist der BfDI als Datenschutzaufsichtsbehörde allein verpflichtet, sich mit einer Beschwerde zu befassen, soweit sie nicht offensichtlich unbegründet oder exzessiv ist und den Gegenstand der Beschwerde zu untersuchen und den Beschwerdeführer über den Fortgang und das Ergebnis der Untersuchung zu unterrichten.

Eine weitergehende Verpflichtung besteht grundsätzlich nicht.

Das Beschwerderecht nach Art. 77 DSGVO werde als Petitionsrecht verstanden.

Diesen Anforderungen aus der DSGVO sei der BfDI hier jedoch stets nachgekommen. Er hat die Betroffenen über den Fortgang der Beschwerde informiert und auch auf Schreiben geantwortet.

Daher kommt das Gericht zu dem Ergebnis:

Eine Verurteilung zu einer aufsichtsrechtlichen Maßnahme gegen das Jobcenter kann das Gericht den Beklagten nicht verurteilen. Dies ist aus der DSGVO nicht herleitbar.

Fazit

Das Gericht orientiert sich bei seiner Begründung strikt an den Vorgaben der DSGVO. Diese sieht eine Klagemöglichkeit gegen verbindliche Beschlüsse (also Verwaltungsakte) der Aufsichtsbehörde vor. Im Rahmen einer solchen Klage kann dann natürlich auch die Ermessensentscheidung der Aufsichtsbehörde überprüft werden. Jedoch sieht die DSGVO nicht vor, dass ein Betroffener direkt Klage auf Vornahme einer ganz bestimmten behördlichen Maßnahme erheben könnte.

OLG Naumburg: Abmahnbarkeit von Datenschutzverstößen durch Wettbewerber und Verarbeitung von „Gesundheitsdaten“ bei Online-Bestellungen

Das OLG Naumburg hatte in einem aktuellen Urteil (abrufbar bei der Deutsche Apotheker Zeitung (DAZ), Urteil vom 07.11.2019 – 9 U 6/19, pdf) gleich mehrere interessante datenschutzrechtliche Fragen zu prüfen. Es ging unter anderem um den Streit zum wettbewerbsrechtlichen Vorgehen gegen Datenschutzverstöße durch Wettbewerber und auch die Reichweite des Begriffs „Gesundheitsdaten“ bei Internetbestellungen.

Sachverhalt

Der Kläger macht gegen den Beklagten Unterlassungsansprüche, Auskunftsansprüche und die Feststellung einer Schadensersatzverpflichtung aus Wettbewerbsrecht wegen des Vertriebes apothekenpflichtiger rezeptfreier Medikamente über eine Internethandelsplattform geltend.

Sowohl der Kläger als auch der Beklagte betreiben Apotheken. Der Beklagte handelt sein Sortiment, also auch apothekenpflichtige Medikamente, außerdem auch über die Internet-Plattform „Amazon-Marketplace“.

In der Vorinstanz hatte das LG Magdeburg (Urt. v. 18. 01. 2019 – 36 O 48/18) vertreten, dass wegen möglichen Verstößen gegen die DSGVO keine Ansprüche aus dem UWG geltend gemacht werden können. Dies sieht das OLG nun, zumindest grundsätzlich, anders.

Entscheidung

Nach Ansicht des OLG steht dem Kläger ein Unterlassungsanspruch (§ 8 Abs. 1 S. 1 i.V.m. 3 a UWG) wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO zu.

Hierzu prüft das Gericht im Grunde drei aufeinander aufbauende Voraussetzungen.

  • Einordnung der Regeln der DSGVO als Marktverhaltensregeln im Sinne des § 3 a UWG
  • Bei den erfassten Daten handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO
  • Der Beklagte verarbeitet die Daten ohne ausdrückliche Einwilligung im Sinne des Art. 9 Abs. Absatz 2 lit. a DSGVO

UWG

Nach Auffassung des Gerichts sind die Regelungen der DSGVO zumindest in der vorliegenden Fallkonstellation als Marktverhaltensregeln im Sinne des § 3 a UWG aufzufassen.

Zunächst stellt das OLG dar, dass die Frage, ob Datenschutzbestimmungen nach Anwendbarkeit der DSGVO Marktverhaltensregeln darstellen, bisher in Literatur und Rechtsprechung nicht abschließend geklärt ist. Das Gericht verweist für seine Begründung dann auf das bekannte Urteil des OLG Hamburg (Urteil vom 25. Oktober 2018 – 3 U 66/17). Dort nahm das OLG Hamburg, im Grunde der Ansicht unter dem alten Datenschutzrecht folgend, an, dass die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat. Das OLG Naumburg schließt sich dieser Auffassung an. Zwar verweist das OLG darauf, dass die DSGVO in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen schütze. Dennoch verfolge die DSGVO auch andere Zielsetzungen.

Etwas irritierend ist hierbei der Verweis auf die Erwägungsgründe der alten, nicht mehr anwendbaren Richtlinie 95/46/EG. Das OLG verweist auf die dortigen Erwägungsgründe 6 bis 8, bezieht sich hierbei aber auf die DSGVO.

Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2).

Das OLG geht hier davon aus, dass der Beklagte die Popularität der Plattform nutzt, um Kunden zu gewinnen. Er setze damit die Plattform als Werbeträger ein. Zudem geht das OLG für seine Begründung davon aus, dass Amazon selbst Daten auswerte – wenn auch anonym -, um zu werben: „Kunden, die sich Produkt A angesehen haben, interessieren sich auch für Produkte B“. Dies ziele auf den Markt ab und berühre die wettbewerblichen Interessen der Marktteilnehmer.

Gesundheitsdaten

Im nächsten Prüfschritt befasst sich das OLG dann mit der Frage, ob Bestelldaten von Kunden des Beklagten als „Gesundheitsdaten“ iSd DSGVO einzuordnen sind. Hierbei geht das OLG, meines Erachtens zu Unrecht, von einem sehr weiten Begriff aus.

Zwar gesteht das OLG zu, dass die Daten, die Amazon für den Bestellvorgang erfasst, sicher keine Gesundheitsdaten im engeren Sinne darstellen, wie z.B. ärztliche Befunde. Gleichwohl, so das OLG,

können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden.

Meines Erachtens zurecht wandte der Beklagte ein, dass eine Internetbestellung auch für Mitglieder der Familie und andere Personen erfolgen könne. Die Person, die ein Medikament bestellt, kann dies auch für Dritte tun. Nach Ansicht des OLG senke dies aber nur die Wahrscheinlichkeit, mit der der gezogene Rückschluss zutrifft. Dies reiche nach Auffassung des Senates nicht aus, um die Gesundheitsbezogenheit der Daten entfallen zu lassen. Denn dies würde zu einer Absenkung des Schutzniveaus führen.

Meiner Auffassung nach ist der hier vom OLG angelegte Maßstab zu weit. Nach Erwägungsgrund 35 DSGVO zählen zu den personenbezogenen Gesundheitsdaten alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Genau diese Anforderung ist hier, wenn eine Bestellung für Dritte vorgenommen wird, aber nicht erfüllt. Die betroffene Person ist der Käufer des Medikaments. Wenn diese Person das Medikament etwa für ein Familienmitglied erwirbt, ergibt sich aus dem Kauf noch keine Information zu dem früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person.

Gerne bemühe ich in dieser Diskussion auch oft die Ansicht des OVG Saarlouis (Urteil vom 14.12.2017 – 2 A 662/17). Dort ging es um die Videoüberwachung einer Apotheke und die Frage, ob allein durch Aufnahme der Personen, die die Apotheke betreten, Gesundheitsdaten verarbeitet werden. Dies lehnte das OVG ab.

Bereits das Aufsuchen einer Apotheke, in der heutzutage außer Medikamenten auch ein breites Sortiment an Kosmetika und sonstigen „Wellness“- oder Convenient-Produkten angeboten wird, stellt aber kein Indiz für das Vorliegen einer Erkrankung dar und bewirkt daher keine Bloßstellung.

Übertragen auf den hiesigen Fall könnte man also argumentieren, dass allein der Kauf eines Medikaments noch kein Indiz für das Vorliegen einer Erkrankung darstelle.

Ebenfalls nicht zu folgen ist der Argumentation das OLG, dass es sich hier nicht um Gesundheitsdaten im engeren Sinne, wohl aber im weiteren Sinne handeln soll. Eine solche Differenzierung kennt die DSGVO nicht.

Geht man vom Vorliegen von Gesundheitsdaten aus, hat dies weitreichende Konsequenzen für die Frage der Zulässigkeit der Verarbeitung dieser Daten, wie sich in der darauffolgenden Prüfung des OLG zeigt.

Verstoß gegen Art. 9 Abs. 1 DSGVO

Das OLG prüft nun konsequenterweise, ob der Beklagte die Gesundheitsdaten rechtmäßig verarbeitet hat.

In einem kleinen einleitenden Teil stellt das OLG fest:

Die Datenverarbeitung durch die Plattform Amazon Marketplace ist keine Auftragsdatenverarbeitung für den Beklagten im Sinne der DSGVO.

In dem hiesigen Verfahren ging es aber nicht um die Datenverarbeitung durch Amazon, sondern um jene des Apothekers. Nach Ansicht des OLG fehlt eine wirksame Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO.

Hier zeigt sich die Folge der Einordnung der Bestelldaten bzw. Kaufdaten eines Kunden als Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO. In diesem Fall muss zwingend eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegen. Das Gericht stellt fest, dass lit. a eine „ausdrückliche Einwilligung“ vorsieht, die hier nicht vorliegt.

Hinsichtlich der Form der Einwilligung verweist das OLG dann auch noch zusätzlich auf die Verpflichtung des Apothekers zur Einholung einer schriftlichen Einwilligung. Diese ergebe sich berufsrechtlich aus § 15 Abs. 2 der Berufsordnung der Apothekenkammer Sachsen-Anhalt.

Die Speicherung und Nutzung patientenbezogener Daten bedarf der vorherigen schriftlichen Einwilligung des Betroffenen, sofern sie nicht nach dem Bundesdatenschutzgesetz und anderen Ermächtigungsgrundlagen zulässig sind oder von gesetzlichen Bestimmungen gefordert werden.

Sollte man hieraus wirklich ein Schriftformerfordernis der datenschutzrechtlichen Einwilligung ableiten, wäre diese nationale Vorgabe meines Erachtens europarechtswidrig. Denn die DSGVO kennt, auch für eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, kein Formerfordernis.

Irritierender Weise geht das OLG in seiner Prüfung allein auf die Ausnahme nach Art. 9 Abs. 2 lit. a DSGVO, die Einwilligung, ein. Nach Art. 9 Abs. 2 lit. h DSGVO dürfen Gesundheitsdaten ohne Einwilligung verarbeitet werden, wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist. Gerade die Arbeit der Apotheker wird unter die Alternative der „Versorgung oder Behandlung im Gesundheitsbereich“ fallen. Grundlage der Verarbeitung ist dann entweder nationales Recht (ins. § 22 Abs. 1 Nr. 1 lit. b BDSG) oder ein Vertrag zwischen Betroffenem und dem Angehörigen eines Gesundheitsberufs. Hierzu zählen auch die Apotheker. Meines Erachtens bedurfte es hier also gar keine Einwilligung für die Verarbeitung der Gesundheitsdaten (so man denn von ihrem Vorliegen ausgeht). Leider befasst sich das OLG in seinem Urteil nicht mit diesen weiteren Alternativen in Art. 9 Abs. 2 DSGVO.

Ging man davon aus, dass hier nur eine Einwilligung als Ausnahme eingreifen würde, wäre praktische Probleme vorprogrammiert. Was geschieht etwas bei einem Widerruf der Einwilligung? Dürfen Daten aus dem Vertragsverhältnis dann nicht mehr verarbeitet werden?

Kein Schadensersatzanspruch

Zuletzt schließt das OLG dann aber zumindest noch das Vorliegen eines möglichen Schadensersatzanspruches nach § 9 UWG und eines vorbereitenden Auskunftsanspruches aus. Beide setzen ein Verschulden voraus. Das OLG geht hier jedoch, aufgrund der umstrittenen Rechtslage davon aus, dass ein unvermeidbarer Verbotsirrtum anzunehmen ist.

Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigt der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.

AG Mannheim: Gemeinsame Verantwortlichkeit von Wohnungseigentümern und Verwalter – Anforderungen an die Art. 26-Vereinbarung

Auf europäischer Ebene nimmt die Figur der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) durch die Rechtsprechung des Europäischen Gerichtshofs aktuell eine wichtige Rolle ein. Nationale Gerichtsentscheidungen hierzu sind jedoch noch Mangelware. Umso interessanter ist daher ein neues Urteil des Amtsgerichts Mannheim (Urt. v. 11.09.2019 – 5 C 1733/19 WEG).

Das AG geht in seinem recht ausführlichen Urteil sowohl auf die Einordnung von an einer Datenverarbeitung beteiligten Parteien ein, als auch auf die Inhalte der Vereinbarung nach Art. 26 DGSVO.

Sachverhalt

Dem Klageverfahren lag ein Streit zwischen Wohnungseigentümern über Beschlüsse der Wohnungseigentümergemeinschaft (WEG) zugrunde, die sich inhaltlich mit der Umsetzung der DSGVO in der WEG befassten. Die Parteien streiten um die Gültigkeit verschiedener Beschlüsse zur Umsetzung der DSGVO aus einer Eigentümerversammlung.

Die WEG wird von einer Immobilienverwaltung (Beigeladene in dem Verfahren) verwaltet. In einer Eigentümerversammlung haben die Eigentümer verschiedene Beschlüsse zur Umsetzung der DGSVO gefasst. U.a. heißt es im Vorwort eines Beschlusses: „Verantwortlicher für alle datenschutzrechtlichen Belange der WEG im Sinne der Datenschutzgrundverordnung ist die Wohnungseigentümergemeinschaft“. Und in einem anderen: „Die Weitergabe von personenbezogenen Informationen durch die Wohnungseigentümergemeinschaft an Dritte (Verwalter, Abrechnungsunternehmen, Handwerker usw.) zum Zwecke der auftragsgemäßen Verarbeitung darf nach Art. 28 DSGVO nur auf der Grundlage Auftragsverarbeitungsvertrages erfolgen.

Die Kläger ordnen die datenschutzrechtlichen Verantwortlichkeiten anders als in den Beschlüssen dargestellt ein. Nur der beauftragte Verwalter erhebe und verwalte im Rahmen seines Verwaltervertrages personenbezogene Daten und sei daher für die Datenverarbeitung innerhalb seines Geschäftsbetriebes (Allein-)Verantwortlicher.

Die Beklagten sind der Ansicht, dass der Verwalter für die Verarbeitung von Daten der Wohnungseigentümergemeinschaft Auftragsverarbeiter, bzw. allenfalls nur gemeinsam mit der Wohnungseigentümergemeinschaft verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO sei, je nach Einordnung der datenschutzrechtlichen Stellung eines Wohnungseigentumsverwalters.

Im Grunde geht es vorliegend also um die Einordnung der datenschutzrechtlichen Verantwortlichkeiten.

Entscheidung

Das AG wies die Klage als unbegründet ab.

Nach Ansicht des Gerichts richtet sich die datenschutzrechtliche Vereinbarung wie streitgegenständlich, nach Maßgabe der DSGVO nach Art. 26 DSGVO,

denn zur Überzeugung des Gerichts ist der Verwalter Mitverantwortlicher im Sinne des Art. 26 DSGVO“.

Das AG leitet seine Begründung zunächst aus den Definitionen der DSGVO und der Rechtsprechung des EuGH her.

Gemeinsame Verantwortlichkeit

Zurecht weist das AG darauf hin, dass es für die Bestimmung der Verantwortlichkeit allein maßgeblich ist, wer die Entscheidungskompetenz innehat, über den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu entscheiden.

Leider wird das AG danach in seiner Begründung, wo genau die gemeinsame Verantwortlichkeit liegt, meines Erachtens etwas ungenau. Zuletzt hatte ja der EuGH in FashionID (C-40/17) deutlich gemacht, dass eine gemeinsame Verantwortlichkeit anhand einzelner Verarbeitungsphasen zu bestimmen ist (dort: Erhebung und Übermittlung). Eine gemeinsame Verantwortlichkeit für einen Geschäftsvorgang oö, kann es sicher geben. Jedoch wäre auch dies anhand der innerhalb dieses Vorgangs stattfindenden Verarbeitungsphasen zu bestimmen.

Das AG setzt sich vorliegend jedoch nicht mit einzelnen Verarbeitungsphasen und den Einflussmöglichkeiten der Beteiligten hierauf auseinander.

Nach Ansicht des AG entscheidet die WEG mit der Bestellung eines Verwalters über das „Wie“ und „Warum“ der Datenverarbeitung. Der Verwalter bestimme dann in der Folge über das „Wie“ und das „Warum“ der Erhebung und Verarbeitung. Im Rahmen der WEG-Verwaltung erhebe und verarbeite er sodann Daten der WEG, wie etwa Namen und Anschriften der Eigentümer, im Rahmen der Verbrauchserfassung und Abrechnung eventuell auch Daten von Mieter und Nutzer von Wohnraum, Daten von Dienstleistern der WEG wie beispielsweise Handwerker.

Für die Verwaltung des gemeinschaftlichen Eigentums sind, wenn ein Verwalter bestellt ist, die Wohnungseigentümer sowie die Verwaltung oder ein Verwaltungsbeirat verantwortlich, sodass zumindest eine Alleinverantwortlichkeit des Verwalters, auch im Lichter europäischen Rechtsprechung … nicht besteht“.

Dass nach Außen nur der Verwalter agiert, ändert an der Einschätzung des AG zur gemeinsamen Verantwortlichkeit nichts. Das AG verweist hierzu ebenfalls auf die Rechtsprechung des EuGH und den Schutz der Betroffenenrechte:

Die Betroffenen sollen im Außenverhältnis gegenüber allen einen Anspruch haben, die für Datenerhebung und Verarbeitung personenbezogener Daten verantwortlich sind, wenn ihr Handeln über das eines Auftragsverarbeiters, also ihr Handeln über eine bloße Hilfsfunktion bei der Erhebung und Verarbeitung personenbezogener Daten hinausgeht“.

Nach Ansicht des AG geht die Tätigkeit des Verwalters über diese Hilfsfunktionen hinaus, wenn im Rahmen der laufenden Verwaltung für die WEG personenbezogene Daten der WEG verwaltet werden. Da die Wohnungseigentümergemeinschaft die Datenerhebung veranlasst habe, durch Bestellung des WEG-Verwalters, sei deshalb – zum Schutze der Betroffenen – auch nach der weiten Auslegung des EuGH – von einer Mitverantwortlichkeit des Verwalters i.S.d. Art. 26 DSGVO auszugehen.

Abgrenzung zur Auftragsverarbeitung

Danach geht das AG kurz auf die Abgrenzung zur Auftragsverarbeitung ein. Es sei sachfremd und in der Praxis kaum vorstellbar, dass der Verwalter im Rahmen seiner Pflichten gem. § 27 WEG sowie den vertraglich festgelegten Pflichten des Verwalters für jede Maßnahme die Weisung seines Auftragsgebers einholt. Nach Ansicht des AG darf es sich bei der Auftragsverarbeitung nur um eine datenverarbeitende Hilfsfunktion handeln. Das bedeute, dass keine Leistungen erbracht werden dürfen, die über die bloße Datenverarbeitung hinausgehen.

Das AG fokussiert sich bei der Definition des Begriff der Auftragsverarbeitung also sehr stark auf den Inhalt der beauftragten Leistung. Eine ähnliche Sichtweise nimmt auch das BayLDA in seiner Auslegungshilfe zur Auftragsverarbeitung ein (pdf).

Die Leistungen, welche der Verwalter im Rahmen seiner Verwalterbestellung erbringe, gehen nach Ansicht des AG regelmäßig hinaus über die bloße Datenverarbeitung im Rahmen einer datenverarbeitenden Hilfsfunktion.

Rechtfolge der gemeinsamen Verantwortlichkeit

Nach der Feststellung des Vorliegens einer gemeinsamen Verantwortlichkeit, befasst sich das AG mit der abzuschließenden Vereinbarung.

Begrüßenswert ist, dass das AG damit seine Sichtweise deutlich macht, dass die Vereinbarung nicht Voraussetzung der gemeinsamen Verantwortlichkeit ist, sondern die Folge ihres Vorliegens.

Beide Verantwortliche müssen in einer transparenten Vereinbarung festlegen, wer von ihnen in welchem Maß den Pflichtenkreis der DSGVO zum Schutz der Betroffenen abdeckt. Dabei geht das AG zurecht davon aus, dass für die Vereinbarung keine bestimmte Form vorgesehen ist.

Jedoch verdeutlicht das AG, dass entsprechend Art. 5 Abs. 2 DSGVO der Nachweis bzgl. des Vorliegens einer der Vereinbarung sowie der vereinbarten Inhalte geführt werden können muss.

Inhalt der Vereinbarung

Nach Auffassung des AG macht eine Mitverantwortlichkeit des Verwalters ein Regelwerk zwischen der WEG und dem Verwalter nach den gesetzlichen Bestimmungen der DSGVO erforderlich.

Dabei muss Regelungsinhalt sein, wer von beiden welche Verpflichtungen gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt“.

Interessant ist zudem der Hinweis des AG, dass die Vereinbarung auch Vorgaben zur Haftung zwischen den Beteiligten im Innenverhältnis enthalten sollte. Dies begründet das AG mit Verweis auf die Bußgeldandrohungen nach Art. 83 DSGVO.

Im Interesse des Verwalters und der WEG müssen daher auch haftungsrechtliche Fragen im Innenverhältnis zwischen WEG und dem Verwalter geklärt werden, denn im Außenverhältnis haften alle Mitverantwortlichen den betroffenen Personen zu gleichen Teilen nach Art. 26 DSGVO“.

Leider lässt das AG den letzten Punkt, die Haftung nach außen zu gleichen Teilen, ohne nähere Begründung. Hier wäre interessant gewesen, woraus da Gericht diese ableitet und warum die Haftung immer zu gleichen Teilen erfolgen soll.

Idee: in einem Vertrag zur Auftragsverarbeitung

Zudem geht das AG noch auf ein interessantes Thema ein.

Nach Ansicht des Gerichts ist es

unschädlich und den gemeinsamen Verantwortlichen auch nicht verwehrt, eine solche Vereinbarung, wie sie Art. 26 DSGVO verlangt, auch im Rahmen eines „Auftragsverarbeitungsvertrags“, der darüber hinaus auch die Anfordernisse des Art. 28 DSGVO erfüllt, auszugestalten“.

Das AG geht also davon aus, dass die Vereinbarung nach Art. 26 DSGVO gleichzeitig auch einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO enthalten kann.

Inhalt einer Vereinbarung nach Art. 26 DSGVO kann es jedenfalls durchaus sein, eine Vereinbarung mit identischem Inhalt wie in Art. 28 DSGVO für den Auftragsbearbeitungsvertrag vorgesehen, zu treffen“.

Dies verwundert insofern, als das AG weiter oben eigentlich von einer gemeinsamen Verantwortlichkeit ausgeht und ein Auftragsverarbeitungsverhältnis gerade ablehnt.

Sondervergütung für DSGVO-relevante Tätigkeiten des Verwalters

Zuletzt befasst sich das AG noch mit der Frage, ob der Verwalter für die (neuen) Pflichten als gemeinsam Verantwortlicher zusätzlich eine Vergütung verlangen darf. Das AG sieht hierein keine Probleme.

„…verlangt die Datenschutzgrundverordnung, in Ansehung dessen, dass der Verwalter als Mitverantwortlicher i.S.v. Art. 26 DSGVO anzusehen ist, von den Immobilienverwaltungen zusätzlichen Aufwand, der mit dem Grundhonorar so wie im Verwaltervertrag festgelegt, nicht abgedeckt ist“.

Die Höhe der Vergütung sieht das AG als angemessen an. Sie wurde hier als Pauschale beschlossen. Der Verwalter verlangt einen Betrag in Höhe von 214 EUR bzw. 178,50 EUR brutto jährlich, d.h. pro Einheit einen Betrag in Höhe von 16,22 EUR jährlich. Nach Einschätzung des AG ist dies angemessen.

Es ist mitunter auch gerichtsbekannt, dass allein datenschutzrechtliche Beratung auf der Basis eines Stundensatzes von bis zu 500,00 € netto von ausgewiesenen Fachleuten erfolgt“.

Fazit

Das Urteil des AG ist deshalb so interessant, weil es (so scheint es) das erste Urteil in Deutschland ist, welches sich detailliert mit den Vorgaben nach Art. 26 DSGVO und deren Umsetzung auseinandersetzt. Meines Erachtens ist die Begründung des AG nicht an jeder Stelle voll überzeugend. Dennoch liegt hiermit zumindest einmal Rechtsprechung in diesem gerichtlich noch kaum „beackerten“ Bereich vor.

Oberverwaltungsgericht NRW: Entlassung eines Beamten auf Probe wegen Datenschutzverstößen

Das Oberverwaltungsgericht NRW (Beschl. v. 19.09.2019, 6 B 539/19) hat die Beschwerde eines ehemaligen Polizeikommissars gegen die Ablehnung der Wiederherstellung der aufschiebenden Wirkung seiner Klage gegen seine Entlassung aus dem Beamtenverhältnis auf Probe wegen Zweifeln an seiner charakterlichen Eignung zurückgewiesen. Der Polizeikommissar habe Datenschutzverstöße begangen (hier: Datenbankabfragen ohne dienstlichen Bezug), dadurch in einer Vielzahl von Fällen in Rechte Dritter eingegriffen und hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert.

Sachverhalt

Der ehemalige Polizeikommissar hat, in seiner Zeit als Beamter auf Probe, in einer Vielzahl von Fällen nicht dienstlich veranlasste Datenabfragen über andere Personen durchgeführt. Bei insgesamt festgestellten 3.950 getätigten Datenabfragen wurden in 2.119 Fällen keine direkten Hinweise für einen dienstlichen Anlass angenommen. Das OVG geht in seiner Begründung sogar „nur“ von – wie der Betroffene selbst vorgetragen hat – insgesamt etwa 50 „privat motivierten“ Datenabfragen aus.

Es stehe fest, dass er in einer Vielzahl von Fällen nicht dienstlich veranlasste Abfragen mit Hilfe der ihm zur Verfügung stehenden Datensysteme durchgeführt habe, die unterschiedliche Personen betroffen hätten. Hierzu hätten etwa Familienangehörige (Vater, Mutter, Ehefrau, Schwager usw.), andere Personen aus seinem privaten Umfeld (bspw. Facebook-Freunde, sonstige Bekannte) sowie Kollegen gezählt.

Begründung

Das OVG verweist darauf, dass zu den Verhaltensgeboten von Beamten die sich aus § 34 Satz 3 BeamtStG ergebende Pflicht gehört, sein Verhalten innerhalb und außerhalb des Dienstes so auszurichten, dass es der Achtung und dem Vertrauen gerecht wird, die sein Beruf erfordern.

Hierzu gehört insbesondere die Pflicht, sich gesetzestreu zu verhalten und damit unter anderem den Datenschutz betreffende gesetzliche Vorgaben zu beachten“.

Durch die Durchführung nicht dienstlich veranlasste Datenabfragen über andere Personen in einer Vielzahl von Fällen habe für den Dienstherren ein berechtigter Anlass bestanden, die charakterliche Eignung des Antragstellers ernsthaft anzuzweifeln.

Nach § 23 Abs. 3 Satz 1 Nr. 2 BeamtStG können Beamte auf Probe entlassen werden, wenn sie sich in der Probezeit nicht bewährt haben. Der Entlassungstatbestand steht im Zusammenhang mit § 10 Satz 1 BeamtStG, wonach die Ernennung zum Beamten auf Lebenszeit nur zulässig ist, wenn der Beamte sich in der Probezeit bewährt hat.

Nach Auffassung des Gerichts stellen selbst die etwa 50 (zugestandenen) „privat motivierten“ Datenabfragen eine hinreichende Tatsachengrundlage für die Annahme ernstlicher Zweifel an der charakterlichen Eignung des Antragstellers für das Amt des Polizeikommissars dar.

Das OVG verweist für seine Begründung auch auf § 41 DSG NRW (Datengeheimnis). Danach ist es denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren. Das OVG stellt fest, dass der ehemalige Polizeikommissar zumindest in 50 Fällen jeweils eine zweckwidrige Datenverarbeitung vorgenommen habe. Er habe damit in einer Vielzahl von Fällen in Rechte Dritter eingegriffen.

„Dass hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert ist, drängt sich auf“.

Hieran ändere auch der Umstand nichts, dass es nicht zur unbefugten Weitergabe der abgefragten Daten gekommen ist.

Die Europäisierung des Datenschutzrechts – ein alternativer Kommentar zu dem Planet49-Urteil des EuGH

Nach dem EuGH-Urteil in der Sache Planet49 (C?673/17), haben viele Kolleginnen und Kollegen lesenswerte Besprechungen der Entscheidung veröffentlicht. Z.B. Simon Assion, Stephan Hansen-Oest, Thomas Schwenke oder Nina Diercks.

In diesem Beitrag möchte ich mich mit ein paar „Randthemen“ des Urteils befassen, die jedoch meiner Ansicht nach nicht minder relevant sind. Es soll hier also nicht um die konkreten Anforderungen einer Einwilligung gehen, sondern um Aussagen des EuGH, die das Gericht daneben getroffen hat, die für die Praxis im Datenschutzrecht aber meines Erachtens über den Themenkomplex „Cookies und Einwilligung“ Relevanz haben.

Findet bei dem Einsatz von Cookies immer auch eine Verarbeitung personenbezogener Daten statt?

Der EuGH geht in seiner Prüfung, aufgrund der durch den BGH vorgegebenen und auch durch Planet49 bestätigten Sachverhaltsangaben davon aus, dass in dem zu beurteilenden Fall personenbezogene Daten verarbeitet wurden (Rz. 45 und 67). Dieser Personenbezug wird über eine Zuordnung von Registrierungsdaten der Nutzer (Name und Adresse im Teilnahmeformular) zu der Nummer des Cookies hergestellt (Rz. 45).

Für die Frage der Anwendbarkeit des Art. 5 Abs. 3 RL 2002/58 ist die Unterscheidung, ob personenbezogene Daten verarbeitet werden oder nicht, irrelevant (vgl. Rz. 70).

Aus der reinen „Datenschutz-Brille“ betrachtet, sind die Erwägungen des EuGH aber durchaus interessant. Denn insbesondere die Begründung in Rz. 45, warum in den Cookies auch personenbezogene Daten verarbeitet werden, lässt argumentativen Spielraum für Konstellationen, in denen durch Cookies keine personenbezogenen Daten verarbeitet bzw. den Cookies keine personenbezogenen Daten zugeordnet werden. Man stelle sich eine Situation vor, in der „nur“ ein Cookie gesetzt wird und in diesem Cookie statistische Daten gespeichert werden (z.B. Browserversion, Herkunftsland, Bildschirmauflösung o.ä.). Ob auch in diesem Fall per se ein Personenbezug vorliegen würde, hat der EuGH nicht entschieden (da er es auch nicht entscheiden musste). Oder anders ausgedrückt: nicht jeder Einsatz von Cookies ist gleichbedeutend mit der Verarbeitung personenbezogener Daten.

Die Erwägungen des EuGH lassen sich meines Erachtens durchaus so verstehen, dass im Fall des Setzens eines Cookie auf dem Gerät eines Nutzers, dies noch nicht zwangsläufig bedeutet, dass damit auch personenbezogene Daten im Spiel sind und die DSGVO Anwendung findet.

Warum ist dies relevant? Meines Erachtens insbesondere mit Blick auf die vielen Folgepflichten, die sich aus der DSGVO ergeben würden. Man denke etwa an die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO oder die Pflicht, Verarbeitungen in ein Verzeichnis der Verarbeitungstätigkeiten aufzunehmen oder auch die Betroffenenrechte. Ist die DSGVO nicht anwendbar, würde auch kein Auskunftsanspruch nach Art. 15 DSGVO bestehen. Dies ist am Ende natürlich nur folgerichtig, denn wenn keine personenbezogenen Daten verarbeitet werden, kann ein Unternehmen auch keine Person identifizieren und dieser Person Auskunft zu ihren Daten erteilen.

Zur Auslegung und Anwendung europäischen (Datenschutz)Rechts

Bevor der EuGH in seinem Urteil in die Prüfung der einzelnen Merkmale einer Einwilligung einsteigt, legt er den Rahmen und die Methoden dar, innerhalb dessen und wie die europäischen Vorgaben auszulegen sind. Die Ausführungen des EuGH in den Rz. 47 und 48 haben daher ganz generelle Bedeutung für die Anwendung der RL 2002/58 und auch der DSGVO. Gerade in der deutschen Literatur und Diskussion findet man häufig sehr national geprägte Interpretation des europäischen Rechts.

Der EuGH macht zunächst deutlich, dass „Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen“. Das Gericht begründet dies mit den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes.

Dies bedeutet für die Datenschutzpraxis, dass Begriffe der DSGVO gerade nicht aus einem rein nationalen Blickwinkel betrachtet und ausgelegt werden dürfen. Diese müssen, nach dem EuGH, vielmehr in der gesamten Union eine autonome und einheitliche Auslegung erhalten.

Plastische Bespiele für solche Begriffe finden sich in der DSGVO an vielen Stellen. Hier ein paar Beispiele:

Art. 12 Abs. 1 DSGVO: „Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“. Was „schriftlich“ oder „elektronisch“ bedeutet, kann daher nicht allein mit Blick auf nationales Recht beantwortet werden. Ein Verweis, etwa auf Vorgaben des BGB, wäre mithin verfehlt.

Art. 32 Abs. 1 DSGVO: „Unter Berücksichtigung des Stands der Technik, …“. Man ist sicherlich geneigt, den „Stand der Technik“ in Deutschland im Sinne der Interpretation dieses Begriffs z.B. durch die deutsche Rechtsprechung zu verstehen. Auch hier ist jedoch Vorsicht geboten. Der „Stand der Technik“ im Sinne der DSGVO muss nicht gleichbedeutend mit dem Verständnis des BVerfG (BVerfG, Beschl. v. 08.08.1978 – 2 BvL 8/77, Kalkar I) sein. Nach den Vorgaben des EuGH in dem aktuellen Urteil, wäre dieser nationale Blick in jedem Fall zu eng.

Art. 33 Abs. 2 DSGVO: „Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich“. Die Frage, was „unverzüglich“ bedeutet (vgl. auch Art. 34 Abs. 1 DSGVO), kann daher ebenfalls nicht allein aus Sicht des deutschen Zivilrechts und der zu diesem Begriff ergangenen Rechtsprechung beantwortet werden.

Zudem verweist der EuGH in Rz. 48 darauf, welche verschiedenen Auslegungsmethoden bei der Anwendung europäischen Rechts zu berücksichtigen sind.

Bei der Auslegung einer Vorschrift des Unionsrechts sind:

  • der Wortlaut,
  • die mit ihr verfolgten Ziele,
  • ihr Kontext und
  • das gesamte Unionsrecht zu berücksichtigen.

Daneben kann auch die Entstehungsgeschichte einer Vorschrift relevante Anhaltspunkte für ihre Auslegung liefern. Oder um es anders zu formulieren: die Vorschriften der DSGVO und ihr Verständnis sind aus mehreren Blickwinkeln zu betrachten.

Keine Entscheidung zur Zulässigkeit der Kopplung einer Einwilligung

Zuletzt sei noch darauf hingewiesen, dass der EuGH in seinem Urteil alle Tatbestandsmerkmale der datenschutzrechtlichen Einwilligung auslegt. Bis auf eines: die Freiwilligkeit.

Art. 4 Nr. 11 DSGVO definiert die Einwilligung u.a. als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“. Der EuGH musste hierzu auch nichts sagen, da der BGH ihn nicht danach gefragt hatte. In Rz. 64 des Urteils stellt der EuGH ausdrücklich heraus, dass er sich nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO) erteilten Einwilligung vereinbar ist, „wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt“.

Die angesprochene Situation ist jene, die das sog. „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO avisiert. Auf die entsprechende Vorschrift verweist der EuGH sogar. Ob oder wann es jedoch europarechtlich unter der DSGVO (un)zulässig ist, die Teilnahme an einem Gewinnspiel davon abhängig zu machen, dass man in die werbliche Nutzung seiner Daten einwilligt, hat der EuGH nicht entschieden. Die Antwort auf diese Frage (nicht nur speziell in Bezug auf Gewinnspiele), dürfte also zunächst weiter national umstritten bleiben.

Bayerisches Landesamt für Datenschutzaufsicht zu Facebook Custom Audience: Einwilligung nicht zwingend erforderlich?

Das Bayerische Landesamt für Datenschutzaufsicht hat am 30.08.2019 eine Pressemitteilung (pdf) zur aktuellen Prüfung der Website des Blutspendedienstes des Bayerischen Roten Kreuzes. Anlass der Prüfung war der Einsatz von Tracking-Tools auf der Website des Blutspendedientes.

Dass diese Prüfung stattfindet, wurde bereits letzte Woche bekannt. Daher ist die Mitteilung meines Erachtens auch nicht überraschend.

Interessant sind jedoch meines Erachtens zwei Aussagen des BayLDA bzw. seines Präsidenten zum Einsatz von Tracking-Tools und den datenschutzrechtlichen Anforderungen.

Zum einen wird in der der Pressemitteilung zu den datenschutzrechtlichen Pflichten von Webseiten-Betreibern ausgeführt:

Der Website-Betreiber muss auch sicherstellen, dass er die Tracking-Tools rechtmäßig einbindet, d. h. dass eine Rechtsgrundlage die Einbindung erlaubt oder der Nutzer vorab seine Einwilligung erklärt hat.

Interessant hierbei ist, dass das BayLDA ausdrücklich alternativ neben der Einwilligung auch andere Rechtsgrundlagen (also etwa eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO) als möglichen Erlaubnistatbestand für eine Datenverarbeitung anspricht. Die Behörde geht anscheinend nicht davon aus, dass werbliche Tracking-Tools (wie in dieser Prüfung wohl Facebook Custom Audience) nur mit Einwilligung der Besucher genutzt werden können.

Diese Aussage bedeutet wohl nicht, dass der Einsatz werblicher Tracking-Tools per se auch auf der Grundlage einer Interessenabwägung zulässig wäre. Jedoch lassen die Ausführungen des BayLDA erkennen, dass man sich nicht vorab allein auf die Einwilligung der Betroffenen als einzig mögliche Rechtsgrundlage festlegen möchte. Zudem ist noch zu bemerken, dass das BayLDA ganz allgemein auf „eine Rechtsgrundlage“ verweist, also auch nicht allein nur auf die Interessenabwägung.

Zudem wird Herr Kranig, der Präsident des BayLDA wie folgt zitiert:

Was vielen nicht klar ist: nicht der Website-Betreiber, der ein Tracking-Tool auf der Website einbindet, übermittelt Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtsdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht.

Diese Aussage ist insbesondere vor dem Hintergrund des aktuellen EuGH-Urteils in Sachen Like-Button (FashionID, Urt. v. 29. Juli 2019, C-40/17) interessant. Dort hatte der EuGH ausgeführt, dass „der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten dieses Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden“ kann. Das BayLDA geht also wohl davon aus, dass der Webseiten-Betreiber selbst nicht die Übermittlung durchführt. Jedoch wird für die Verantwortlichkeit des Betreibers, anders als im Urteil des EuGH, auch gar nicht auf die Übermittlung (hier stellt sich die Frage, von wem? Dem Besucher selbst? Seinem Browser / dem Browser-Hersteller?) abgestellt, sondern allein auf die Ermöglichung der Erhebung von Daten der Besucher durch den Anbieter des Tools.

Zum Schluss fügt Herr Kranig einen, meines Erachtens zutreffenden und bei vielen Unternehmen immer noch nicht ausreichend gewürdigten Hinweis an:

Dieser Fall zeigt, dass nicht nur die Aufsichtsbehörden Websites prüfen, sondern im Prinzip jedermann mit wenig Aufwand über den Browser testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde melden, ist bei Websites besonders hoch.

Bundesarbeitsgericht zur Rolle des Betriebsrates unter der DSGVO – so oder so: das Datenschutzrecht ist zu beachten.

Die Frage, wie der Betriebsrat unter der DSGVO einzuordnen ist (als eigener Verantwortlicher oder Teil des verantwortlichen Arbeitgebers), bleibt auch weiterhin höchstrichterlich ungeklärt (vgl. hierzu bereits einmal im Blog).

Das Bundesarbeitsgericht (BAG) hätte sich zu dieser Frage in einem Beschluss vom 7.5.2019 (1 ABR 53/17) äußern können. Das Gericht lies diese Frage jedoch ganz bewusst offen. Die Entscheidung des BAG ist aus der Sicht des Beschäftigtendatenschutzes aber natürlich dennoch relevant. Zudem lassen sich aus der Begründung des BAG auch weitere Schlüsse, über den Beschäftigtendatenschutz hinaus, ziehen.

Sachverhalt

Wie so oft bei Fällen des Beschäftigtendatenschutzes unter Beteiligung des Betriebsrates, ging es auch hier um das Einblicksrecht des Betriebsausschusses in Bruttoentgeltlisten.

Die Arbeitgeberin betreibt eine Klinik. Der in der Klinik errichtete Betriebsrat hat einen Betriebsausschuss gebildet. Seit einiger Zeit führte die Arbeitgeberin die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Die Listen enthalten die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu beständigen und unbeständigen Bezügen. Die Arbeitgeberin gewährte Betriebsratsmitgliedern nur Einsicht in eine anonymisierte Fassung dieser Listen.

Der Betriebsrat hat geltend gemacht, dem Betriebsausschuss sei Einblick in die Bruttoentgeltlisten mit den Klarnamen der Arbeitnehmer zu gewähren. Nur so ließe sich feststellen, nach welchen Grundsätzen die Arbeitgeberin – insbesondere nach der Kündigung des einschlägigen Tarifvertrags – Sonderzahlungen oder Lohnerhöhungen gewähre.

Entscheidung

Ein wichtiger Bestandteil der Entscheidung betraf natürlich das Betriebsverfassungsrecht und konkret den Anspruch des Betriebsausschusses, Einsicht in die Listen zu nehmen. Das BAG entschied, dass die Arbeitgeberin nach § 80 Abs. 2 S. 2 Halbs. 2 BetrVG verpflichtet ist, dem Betriebsausschuss Einblick in die nicht anonymisierten Bruttoentgeltlisten zu gewähren. Datenschutz- und grundrechtliche Belange stünden dem Anspruch nicht entgegen.

Mit Blick auf das Datenschutzrecht stellt das BAG fest, dass die streitbefangene Einsichtnahme zwar auf eine Verarbeitung personenbezogener Daten gerichtet sei. Diese ist aber zulässig.

Und hier begründet das BAG nun seine Entscheidung, ohne den Streit zu entscheiden, ob der Betriebsrat (bzw. sein Ausschuss) eigener Verantwortlicher (Dritter) ist. Das Gericht baut seine Prüfung hierzu wie folgt auf.

In den Listen sind Namen der Arbeitnehmer enthalten. Damit liegen personenbezogene Daten vor.

In der Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss liegt eine „Verarbeitung“ dieser Daten.

Das BAG verweist richtigerweise auf die Begriffsdefinitionen des DSGVO. Nach Art. 4 Nr. 2 DSGVO ist eine „Verarbeitung“ ua. jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“,

also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Art. 4 Nr. 9 DSGVO folge – kein Dritter sein muss.

Betriebsrat ist auf jeden Fall „Empfänger“

Im Grunde befasst sich das BAG hier mit der zu Beginn der Anwendbarkeit (und zum Teil auch noch jetzt) diskutierten Frage, ob denn nicht die Weitergabe von Daten an einen Auftragsverarbeiter, der auch nur „Empfänger“ ist, eine Verarbeitung darstellt, für die eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen muss. Hierzu hatte ich damals bereits im Blog geschrieben.

Genau diese Ansicht vertritt das BAG, jedoch natürlich nicht in Bezug auf einen Auftragsverarbeiter, sondern in Bezug auf den Betriebsrat als „Empfänger“ (Art. 4 Nr. 9 DSGVO). Das BAG geht davon aus, dass Offenlegung der Daten an den Betriebsrat eine Datenverarbeitung darstellt, unabhängig (!) davon, ob dieser nun „Dritter“ oder „Empfänger“ im Sinne der DSGVO ist. Hierzu verweist das BAG auch auf das alte BDSG, welches eine rechtfertigungsbedürftige Übermittlung nur bei einer Weitergabe an einen Dritten annahm.

Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter iSv. Art. 4 Nr. 10 DSGVO ist.

Und mit dieser Begründung muss das BAG in der konkreten Frage der Offenlegung von Daten auch nicht mehr entscheiden, ob der Betriebsrat „Dritter“ ist. Denn für das Vorliegen einer erlaubnispflichten Übermittlung ist dies egal.

Entscheidungsrelevant kann diese Frage natürlich in Zukunft dann werden, wenn es nicht allein um die Weitergabe von Daten geht, sondern um weitere DSGVO-Pflichten des Betriebsrates. Zum Beispiel, ob er selbst ein Verzeichnis der Verarbeitungstätigkeiten führen muss oder einen eigenen Datenschutzbeauftragten zu bestellen hat. Dann müsste entschieden werden, ob der Betriebsrat eigener Verantwortlicher ist.

Für den Betriebsrat gilt die DSGVO

Im weiteren Verlauf des Beschlusses geht des BAG dann noch einmal auf die umstrittene Frage der Einordnung des Betriebsrates ein.

Im Rahmen der Prüfung der Erforderlichkeit nach § 26 Abs. 1 BDSG befasst sich das BAG noch mit dem, nicht mehr ausdrücklich geregelten „Datengeheimnis“. Völlig zurecht stellt das BAG zunächst klar, dass § 53 BDSG hier natürlich nicht einschlägig ist (ich kann gar nicht sagen, wie oft ich diese Norm als Grundlage des Datengeheimnisses schon in reinen privatwirtschaftlichen Konstellationen genannt bekommen habe).

Diese Norm ist Bestandteil des Dritten Teils des BDSG. Sie beruht auf der Datenschutzrichtlinie für Polizei und Justiz – Richtlinie (EU) 2016/680 – und gilt ausschließlich, wenn der Anwendungsbereich gemäß § 45 BDSG eröffnet ist.

Dies ist hier nicht der Fall.

Danach kommt aber eine wichtige Feststellung des BAG. Denn nur, weil das Datengeheimnis so explizit nicht mehr geregelt ist, heißt dies nicht, dass es datenschutzrechtliche schwarze Löcher in Unternehmen geben darf.

Der Betriebsrat hat seinerseits bei einer Datenverarbeitung – und so auch bei der Kenntnisnahme personenbezogener Daten im Zusammenhang mit dem Einblicksrecht in Bruttoentgeltlisten – die Datenschutzbestimmungen einzuhalten.

Und hier verweist das BAG dann erneut auf den Streit zur Einordnung des Betriebsrates, lässt die Frage aber offen. Denn die Bindung des Betriebsrates an das Datenschutzrecht

gilt unabhängig davon, ob er iSv. Art. 4 Nr. 7 DSGVO Teil der verantwortlichen Stelle (so zB Bonanni/Niklas ArbRB 2018, 371; Pötters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; Gola in Gola DS-GVO 2. Aufl. Art. 4 Rn. 56; zur Datenschutzrechtslage nach dem BDSG aF vgl. BAG 7. Februar 2012 – 1 ABR 46/10 – Rn. 43 mwN, BAGE 140, 350) oder gar Verantwortlicher (so zB Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566; Wybitul NZA 2017, 413 f.) ist.

Mithin geht das BAG davon aus, dass, wenn die Mitglieder des Betriebsrates mit personenbezogenen Daten umgehen, selbstverständlich die Vorgaben der DSGVO und des BDSG einzuhalten sind. Ob der Betriebsrat hierfür selbst Verantwortlicher ist oder aber als Teil des Arbeitgebers Adressat datenschutzrechtlicher Pflichten ist, lässt das BAG offen.

Erlaubnistatbestand?

Zum Schluss stellt sich natürlich noch die Frage, welcher Erlaubnistatbestand für die Einsichtnahme in Betracht kommt? Präziser müsste man eigentlich untergliedern: für die Offenlegung ggü. dem Betriebsausschuss durch den Arbeitgeber und für die Einsichtnahme durch den Betriebsausschuss selbst. Und diesbezüglich muss man leider sagen, dass die Begründung des BAG nicht immer klar zwischen diesen Verarbeitungsschritten trennt.

In Rz. 33 stellt das BAG etwa auf „Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss“ ab und ordnet dies (richtigerweise) als Verarbeitung ein. In Rz. 34 stellt das BAG dann aber eher auf das Einblicksrecht (also auf die Sichtweise des Betriebsrates ab). „Damit ist das erstrebte Einblicksrecht eine „nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind“ iSv. Art. 2 Abs. 1 DSGVO“ oder Rz. 35: „Die mit der Berechtigung des § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG verbundene Verarbeitung personenbezogener Daten ist für Zwecke des Beschäftigungsverhältnisses nach § 26 BDSG erlaubt“.

Es scheint aber so, dass das BAG die Verarbeitung und den dafür erforderlichen Erlaubnistatbestand (§ 26 Abs. 1 S. 1 BDSG) eher aus Sicht des Arbeitgebers prüft, der mit der Offenlegung der Listen eben auch einen betriebsverfassungsrechtlichen Anspruch des Betriebsrates erfüllt und damit einer Pflicht nachkommt (Rz. 42: „Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers…“; Rz. 43: „Steht dem Betriebsrat ein Anspruch nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG zu, ist die von § 26 Abs. 1 Satz 1 BDSG verlangte Erforderlichkeit einer damit verbundenen Datenverarbeitung gegeben. Sie folgt aus der Erfüllung eines kollektivrechtlich bestehenden Anspruchs“ und Rz. 44: „Auch beim Einblicksrecht in Bruttoentgeltlisten folgt die Rechtfertigung aus der inhaltlichen Ausgestaltung der entsprechenden kollektivrechtlichen Verpflichtung des Arbeitgebers“).

§ 26 BDSG als zulässige Spezifizierung nach Art. 88 DSGVO

Zum Schluss stellt des BAG auch noch fest, dass der deutsche Gesetzgeber mit § 26 BDSG von der Öffnungsklausel des Art. 88 DSGVO in zulässiger Weise Gebrauch gemacht hat. Ein Vorabentscheidungsersuchen an den EuGH sei daher nicht erforderlich. Damit stellt das BAG gleichzeitig auch fest, dass der Regelung des Art. 88 DSGVO und der übrigen Vorgaben der DSGVO im Bereich Beschäftigtendatenschutz allgemein keine kompetenziellen Schranken entgegenstehen (und lehnt eine andere Ansicht in der Literatur ab).