Datenschutzbehörde: Produktbewerbung „DS-GVO-konform“ schützt nicht vor Bußgeldern

Aus meiner Sicht eigentlich eine Selbstverständlichkeit, jedoch immer wieder auch in der Praxis ein Diskussionsthema. Wenn Unternehmen Produkte (etwa Cloud-Dienst, Software etc.) verwenden möchten, die im Rahmen der eigenen Bewerbung mit dem Zusatz „DS-GVO-konform“ versehen sind, schützt dies den datenschutzrechtlich Verantwortlichen natürlich nicht per se vor Sanktionen. Erforderlich ist stets, dass man als Kunde (und datenschutzrechtlich Verantwortlicher) selbst prüft, ob ein Umgang mit personenbezogenen Daten tatsächlich zulässig erfolgen kann.

Der Hessische Datenschutzbeauftragte informiert hierüber in seinem aktuellen Tätigkeitsbericht 2021 (PDF, S. 133). Dort geht es um datenschutzrechtliche Fragen der Mitarbeiterüberwachung, etwa bei der Arbeitszeiterfassung.

Erfolgt eine unzulässige Verarbeitung von Mitarbeiterdaten durch den Arbeitgeber, so drohen u.a. Bußgelder nach der DSGVO. Hierzu informiert die Datenschutzbehörde:  

wobei Arbeitgeber sich im Rahmen eines Bußgeldverfahrens nicht durch den Einwand exkulpieren können, dass das eingesetzte Produkt mit dem Zusatz „DS-GVO-konform“ beworben wird. Als Verantwortliche im Sinn des Art. 4 Nr. 7 DS-GVO sind Arbeitgeber nach Art. 5 Abs. 2 DS-GVO für die Einhaltung der Grundsätze der Verarbeitung verantwortlich und rechenschaftspflichtig.“

Wie gesagt, ist diese Feststellung meines Erachtens wenig überraschend. Rein datenschutzrechtlich muss man als Verantwortlicher stets selbst prüfen bzw. entsprechend vorbereitete Dokumente eines Dienstleisters prüfen, ob personenbezogene Daten zulässig verarbeitet werden können. Eine andere Frage ist, ob man als Kunde vertragsrechtliche Ansprüche gegen den Anbieter des Produkts geltend machen kann, wenn dieser etwa eine DSGVO-Konformität zusichert oder mit dieser für sein Produkt wirbt.

Keine Auskunft und Reaktion auf Betroffenenanfrage: 20.000 EUR Bußgeld gegen Deutsche Bank in Italien

Die italienische Datenschutzbehörde hat am 16. Juni 2022 ein Bußgeld in Höhe von 20.000 EUR gegen die Deutsche Bank in Italien verhängt (Mitteilung der Behörde, auf Italienisch). Die Entscheidung ist besonders praxisrelevant, da es um einen Verstoß gegen Art. 12 und 15 DSGVO, also das Auskunftsrecht nach der DSGVO ging, welches Unternehmen immer wieder beschäftigt. Vorliegen lag auch einer der klassischen, aber gleichzeitig vermeidbaren Fehler vor: das Auskunftsersuchen wurde nicht (rechtzeitig) bearbeitet.  

Die Entscheidung ist nur auf Italienisch abrufbar. Ich habe sie selbst übersetzt und kann daher nicht für absolute Richtigkeit garantieren.

Sachverhalt

Der Betroffene legte am 26.10.2020 bei der Datenschutzbehörde eine Beschwerde über eine unrechtmäßige Verarbeitung personenbezogener Daten durch die Deutsche Bank S.p.A. ein und beschwerte sich zudem über die Nichtbeantwortung des an die Bank gerichteten Antrags auf Ausübung seiner Betroffenenrechte vom 15.07.2020. In diesem bat er um die nach Art. 13 DSGVO erforderlichen Informationen und wohl auch ganz generell um Auskunft zu seinen Daten (Art. 15 DSGVO). Innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen fristen ging jedoch keine Antwort der Bank ein.

Erst im Nachgang (im Jahr 2021), als die Datenschutzbehörde die Bank zur Auskunft aufforderte, wurde diese gegenüber dem Betroffenen erteilt

In einem Schreiben an die Aufsichtsbehörde räumte die Bank ein, dass sie dem Betroffenen keine Informationen und keine Auskunft erteilt hatte, und übermittelte dem Beschwerdeführer und der Behörde die angeforderten Unterlagen.

Entscheidung

Auf der Grundlage der von der Bank abgegebenen wurde ein Sanktionsverfahrens wegen Verstößen gegen Art. 12 Abs. 3 und Art. 15 DSGVO eingeleitet.

Die Datenschutzbehörde stellt fest, dass die Bank auf den vom Beschwerdeführer formulierten Antrag auf Ausübung seiner Rechte nicht innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen Frist geantwortet hat. Zudem informierte sie den Betroffenen auch nicht innerhalb der vorgegebenen Frist über die Gründe für die Nichterfüllung der Anforderungen und über die Möglichkeit, eine Beschwerde bei der Behörde einzureichen (Art. 12 Abs. 4 DSGVO).

Die Bank verteidigte sich wohl u.a. damit, dass der Antrag auf Ausübung von Rechten im Rahmen eines umfassenderen und detaillierteren Ersuchens des Kunden gestellt worden sei, was eine rechtzeitige Antwort verhindert hätte. Hierin sah die Datenschutzbehörde jedoch kein Argument dafür, die Betroffenenanfrage nicht fristgemäß zu beantworten.

Zur Begründung verweist die Aufsichtsbehörde auch auf Art. 12 Abs. 2 DSGVO, wonach „der für die Verarbeitung Verantwortliche die Ausübung der Rechte der betroffenen Person nach den Artikeln 15 bis 22 zu erleichtern hat“.

Zudem brachte die Bank als Argument vor, dass die Informationen gemäß Art. 13 DSGVO und die Daten, die Gegenstand des Antrags sind, der betroffenen Person bereits bekannt waren. Auch diesen Einwand lies die Datenschutzbehörde nicht gelten.

In Art. 15 DSGVO sei als erster Schritt das Rechts der betroffenen Person verankert, „von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht“ und, falls dies der Fall ist, das Recht, „Zugang zu den Daten“ und weitere Informationen zu erhalten. Dies geschehe auch, um die Richtigkeit und Vollständigkeit der verarbeiteten Daten zu überprüfen.

Basierend hierauf wurde die Beschwerde für begründet erklärt und basierend auf Art. 58 Abs. 2, 83 Abs. 3 DSGVO eine Geldbuße verhängt.

Die Behörde setzt die Geldbuße in Höhe von 20.000,00 EUR für den Verstoß gegen die Art. 12 und 15 DSGVO fest.

Fazit

Betroffenenrechte spielen, insbesondere im B2C-Bereich eine herausragende Rolle, wenn es um die DSGVO-Compliance geht. Insbesondere sollten datenverarbeitende Stellen intern Prozesse und Vorgaben etablieren, die eine rechtzeitige Bearbeitung von Betroffenenanfragen sicherstellen. Eine ausbleibende oder verspätete Antwort kann im schlimmsten Fall mit einem Bußgeld geahndet werden. Gerade der Fehler einer Nichtbearbeitung oder der Verspätung ist meiner Ansicht nach aber in der Praxis gut vermeidbar, wenn man intern entsprechende Vorgaben schafft und Mitarbeiter regelmäßig schult. 20.000 EUR für einen Fall mag im ersten Moment „vertretbar“ anmuten – jedoh sollte man aus Unternehmenssicht beachten, dass, bei fehlenden internen Leitlinien und Prozessen, über einen längeren Zeitraum evtl. nicht nur eine Anfrage, sondern eine viel größere Anzahl nicht richtig bearbeitet wird. Entsprechend dürfte dann auch das mögliche Bußgeld nach oben angepasst werden.

Hamburger Datenschutzbehörde: Bußgeld bei mangelhaft durchgeführten Asset Deal

Die Hamburger Datenschutzbehörde hat jüngst ihren Tätigkeitsbericht für das Jahr 2021 veröffentlicht (PDF). Dort berichtet die Behörde (ab S. 70) auch über zwei Bußgelder gegen Unternehmen, weil Widersprüche von Kunden im Rahmen eines Asset Deals (fehlerhaft) nicht beachtet wurden.

Hintergrund der Ordnungswidrigkeitenverfahren war die Ausgliederung der Heizenergiesparte eines Energieversorgers und die anschließende Veräußerung der ausgegliederten Sparte. Hierbei sollten Kunden (mit ihren Verträgen) auf das kaufende Unternehmen übergehen. Die Kunden, die von dem Übergang betroffen waren, wurden über die Vertragsübergänge ihrer Strombelieferungsverträge informiert und ihnen wurde ein Widerspruchsrecht eingeräumt.

Rechtsgrundlage: Interessenabwägung

Relevant ist zunächst, dass die Aufsichtsbehörde hier nicht etwa das wohl durchgeführte Widerspruchs-Modell an sich kritisiert. Nach Ansicht der DSK in ihrem Beschluss aus dem Jahr 2019 zum Thema „Asset Deal“ (PDF), bedarf es beim Übergang von Daten in laufenden Vertragsbeziehungen einer „datenschutzrechtlichen Zustimmung“, die aber in der zivilrechtlichen Genehmigung als Minus enthalten sei. Gleichzeitig werden die Fallgruppen im Beschluss der DSK aber alle unter dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO (also der Interessenabwägung) diskutiert. In der Vergangenheit wurde daher diskutiert, was die DSK hiermit konkret meint. Ob nun eine Einwilligung erforderlich ist oder eine Interessenabwägung ebenfalls möglich erscheint. Die Informationen der Hamburger Behörde scheinen deutlich zu machen, dass es keiner datenschutzrechtlichen Einwilligung bedarf, sondern dass die Übermittlung von Daten der Kunden auf der Grundlage von einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erfolgen kann.

Fehler: Datenübermittlung trotz Widerspruch

In dem Verfahren aus Hamburg, sollten im Falle eines erklärten Widerspruchs keine personenbezogenen Daten der Kunden an das neue Unternehmen übermittelt werden. Natürlich schlug dann die Realität zu. Trotz ordnungsgemäß erklärtem Widerspruch von Kunden kam es in einem gewissen Ausmaß dennoch zur Migration von Strombelieferungsverträgen auf den Erwerber der Heizenergiesparte.

„Dadurch waren Kundendaten auch in den Fällen an das neue Unternehmen übermittelt, in denen die Betroffenen ordnungsgemäß einen entsprechenden Widerspruch erklärt hatten“.

Hintergrund dessen waren nach Angabe der Aufsichtsbehörde Fehler bei der Verarbeitung der Widersprüche durch den eingesetzten Auftragsverarbeiter des veräußernden Unternehmens.

Die Aufsichtsbehörde benennt nicht konkret den DSGVO-Verstoß. Jedoch kann man vermuten, dass wohl von einer unzulässigen Übermittlung der Daten ausgegangen wurde, also ein Verstoß gegen Art. 6 Abs. 1 DSGVO oder eine Nichtbeachtung des Widerspruchs, also ein Verstoß gegen Art. 21 Abs. 1 DSGVO vorlag.  

Die Aufsichtsbehörde verhängt nach den Angaben im Tätigkeitsbericht zwei Bußgelder in Höhe von je 12.500 EUR. Im Bericht heißt es: „Aufgrund der Vielzahl der Verstöße war es angezeigt, Bußgeldverfahren gegen die Unternehmen einzuleiten“. Ich vermute, dass die Behörde hier also sowohl ein Bußgeld gegen den Verkäufer als auch gegen das erwerbende Unternehmen verhängt hat.

Fazit

Asset Deals sind in der Praxis bei der Übernahme von Kunden(verträgen) immer auch mit datenschutzrechtlichen Fragen verbunden. Der Fall aus Hamburg zeigt gut, dass der Datenschutz hier nicht unüberwindbare Hürden aufstellt. Dennoch ist bei der Umsetzung besonders darauf zu achten, dass personenbezogene Daten nicht aus Versehen oder fehlerhaft übermittelt werden. Daher sind auch Konstellationen, in denen zB zunächst einmal alle Kundendaten an ein erwerbendes Unternehmen übermittelt werden und man dann die widersprechenden Kunden aussortiert, kritisch zu sehen.

Schwedische Datenschutzbehörde: wann werden personenbezogene Daten „unverzüglich“ gelöscht?

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

In der Praxis stellt sich oft die Frage, wie schnell denn nun Daten zu löschen sind? Was also „unverzüglich“ bedeutet (ausführlicher haben sich Philipp Quiel und ich hiermit in unserem Beitrag zur Herbstakademie 2020 „Bestimmt unbestimmt – Vorschläge zur Auslegung und Anwendung unklarer Formulierungen in der Datenschutz-Grundverordnung“ (DSRITB 2020, 1) befasst).

Generell ist bei der Anwendung von Unionsrecht (wie hier der DSGVO) zu beachten, dass bei einer unionsrechtlich autonom erfolgenden Interpretation rein nationale Rechtsverständnisse in der Regel nur sehr begrenzt zur Klärung des Regelungsinhalts einer Norm hinzugezogen werden können. Daher ist es meines Erachtens auch nicht richtig, bei der Auslegung eines europäischen Rechtsbegriffs wie „unverzüglich“ allein auf tradierte nationale Verständnisse abzustellen, wie etwa auf § 121 Abs. 1 S. 1 BGB und das Verständnis von „ohne schuldhaftes Zögern (unverzüglich)“. Hierfür wird davon ausgegangen, dass ein Zuwarten von zwei Wochen als nicht mehr unverzüglich anzusehen ist, wenn keine besonderen Umstände vorliegen (MüKom/BGB, 8. Aufl. 2018, § 121 Rn. 7).

Die schwedische Datenschutzbehörde hat nun in einem Prüfverfahren (PDF) (welches im One Stop Shop Verfahren nach der DSGVO bearbeitet wurde) entschieden, dass eine Löschung von personenbezogenen Daten innerhalb von 16 Tagen als „unverzüglich“ anzusehen war. Dies zeigt deutlich, dass bei Auslegung und Anwendung der DSGVO der rein nationale Blick oft zu kurz greift. Zum anderen gibt diese Entscheidung für die Praxis zumindest einen ersten Anhaltspunkt dafür, was aus Behördensicht eine „unverzügliche“ Löschung bedeuten kann.

Landesarbeitsgericht Baden-Württemberg: umfassendes Urteil zur Reichweite und den Ausnahmen des Auskunftsanspruchs nach Art. 15 DSGVO

Das LAG Baden-Württemberg hat ein wirklich lesenswertes Urteil (17.3.2021, 21 Sa 43/20) rund um verschiedenste (immer noch umstrittene Fragen) des Auskunftsanspruchs nach Art. 15 DSGVO gefällt. Hier kam zudem die besondere Situation im Arbeitsverhältnis hinzu.

Nachfolgend möchte ich einige Kernaussagen des Gerichts darstellen.

Sachverhalt

Arbeitnehmer und Arbeitgeber streiten darüber, ob und in welchem Umfang der Arbeitgeber (noch) verpflichtet ist, dem Kläger bestimmte Informationen gem. Art. 15 Abs. 1 2. Halbs. 2. Alt. DSGVO über bei dem Arbeitgeber verarbeitete verhaltens- und leistungsbezogene Daten des Klägers zu erteilen und darüber hinaus über die Verpflichtung des Arbeitgebers, dem Kläger gem. Art. 15 Abs. 3 Satz 1 DSGVO Kopien der leistungs- und verhaltensbezogenen Daten des Klägers, die Gegenstand der Verarbeitung waren, zur Verfügung zu stellen. Interessant ist, dass es in diesem Fall erneut auch um Daten aus einem internen Hinweisgebersystem (BPO) handelt.

Entscheidung

Bestimmtheit des Klageantrags

Wir erinnern uns an das Urteil des BAG aus April, in dem das BAG wegen Unbestimmtheit des Klageantrags eine Klage gestützt auf Art. 15 Abs. 3 DSGVO zurückwies (Urt. v. 27.4.2021, 2 AZR 342/20; hierzu sind nun übrigens auch die Gründe erschienen).

Das LAG sieht die Anforderungen nicht so streng. Es geht davon aus, dass der Kläger mit seinen geltend gemachten Informationsansprüchen gemäß Art. 15 Abs. 1 2. HS DSGVO Auskunft über alle Daten geltend machen kann, die seine Person betreffen und die von der Beklagten im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet werden oder worden sind.

Das LAG begründet dies damit, dass sich aus Art. 4 Nr. 2 DSGVO hinreichend deutlich ergibt, was „verarbeiten“ ist, ohne dass der Kläger dies näher bestimmen müsste.

Zudem, so das LAG, sei die vom Kläger gemachte Einschränkung dahingehend, dass er von der Beklagten – nur – Information über die seine Person betreffenden Daten geltend macht, die sein Verhalten und seine (Arbeits)Leistung betreffen haben will, hinreichend bestimmt.

Keine Pflicht zur Konkretisierung der Daten

Spannend und praktisch relevant ist die Ansicht des LAG, dass Betroffene nicht weiter spezifizieren müssen, welche Daten sie beauskunftet haben möchtet.

„Eine weitergehende konkretere Benennung der von ihm verlangten Daten ist dem Kläger nicht möglich und deshalb auch eine weitergehende Konkretisierung von dem, was er von der Beklagten will, nicht zumutbar“

Das LAG begründet dies damit, dass der Betroffene als Kläger gerade nicht weiß oder nicht mehr ohne Weiteres wissen kann, welche verhaltens- und leistungsbezogene Daten seiner Person die Beklagte verarbeitet hat. Würde man ihm insoweit eine weitere Konkretisierung abverlangen,

würde sich sein in Art. 15 Abs. 1 DSGVO weit gefasster Auskunfts- und Informationsanspruch derart gegen ihn wenden, dass ihm die Unkenntnis der von der Beklagten für seine Person verarbeiteten Daten diese Ansprüche rauben würde“.

Damit, so das LAG, könnte effektiver Rechtsschutz aber gerade nicht erreicht werden.

Dasselbe gilt nach Ansicht des LAG für den geltend gemachten Anspruch nach Art. 15 Abs. 3 Satz 1 DSGVO. Auch hier sei es dem Arbeitnehmer nicht möglich, genauere Angaben dazu zu machen, von welchen personenbezogenen Daten er eine Kopie zur Verfügung gestellt haben will.

Achtung: das Urteil des LAG erging vor dem Urteil des BAG zur Bestimmtheit des Klageantrags.

Verhältnis von Art. 15 Abs. 3 zu Abs. 1 DSGVO

Das LAG vertritt die Ansicht, dass ein Arbeitgeber, der Daten seines Arbeitnehmers im Sinne des Art. 4 DSGVO verarbeitet, diesem eine „Kopie“ der in Art. 15 Abs. 1 DSGVO geregelten Angaben zur Verfügung stellen muss.

Aus Sicht der erkennenden Kammer geht der Anspruch auf Erteilung einer Kopie im Sinne des Art. 15 Abs. 3 Satz 1 DSGVO aufgrund des Gesetzeswortlauts deshalb nicht über die Auskünfte hinaus, über die der Arbeitgeber dem Arbeitnehmer gemäß Art. 15 Abs. 1 2. HS DSGVO (vor dem „und“) Auskunft zu erteilen hat

Dies ist eine wichtige Aussage des Gerichts. Denn in der Praxis stellt sich oft die Frage, wie denn eine Kopie der Daten auszusehen hat. Was also Inhalt sein muss? Das LAG vertritt die Ansicht, dass Abs. 3 nicht über den Umfang des Abs. 1 hinausgeht.

Erfüllung des Anspruchs auf Kopie nach Art. 15 Abs. 3 DSGVO

Sehr interessant finde ich die Aussagen des LAG dazu, wie der Anspruch auf Kopie der personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO zu erfüllen ist.

Da der Normzweck in der Transparenz und der Rechtmäßigkeitskontrolle der Verarbeitung der Daten durch die betroffene Person liege und gleichzeitig eine Vielzahl von Daten eines Arbeitnehmers beim Arbeitgeber verarbeitet sein können, über die dieser Auskunft zu erteilen hat, geht das LAG davon aus,

dass der Auskunftsersuchende gemäß Art. 15 Abs. 3 Satz 1 DSGVO die verarbeiteten Daten in einem einheitlichen Dokument erhalten soll.“

Das LAG geht weiter davon aus, dass dieses Dokument nicht notwendig aus nur einer einzigen Kopie, sondern auch aus einer Mehrzahl oder gar Vielzahl von Kopien bestehen kann.

Und, eine wichtige Ergänzung des LAG:

Dies bedeutet hingegen nicht, dass Ablichtungen/Ausdrucke der papierenen oder elektronischen Dokumente, in denen sich die personenbezogenen Daten des Arbeitnehmers befinden, zur Verfügung zu stellen sind“.

Entscheidend für den Auskunftsanspruch, so das LAG, sei lediglich, dass der Arbeitgeber die von ihm verarbeiteten Daten des Arbeitnehmers diesem zusammengefasst zur Verfügung stellt. Ob er von den Dokumenten, in denen die Daten enthalten sind, tatsächlich Kopien oder Ausdrucke im technischen Sinne auf einem Kopierer oder mittels Drucker fertigt und daraufhin Passagen, die Rechte Dritter beeinträchtigen oder die keine personenbezogenen Daten des Arbeitnehmers beinhalten, möglicherweise schwärzt oder ob er personenbezogene Daten des Arbeitnehmers, die in Dokumenten enthalten sind, bündelt und dem Arbeitnehmer die vom Arbeitgeber gebündelten Daten und nicht auch die (gegebenenfalls geschwärzten) Dokumente zur Verfügung stellt, obliege der Entscheidung des Arbeitgebers.

Das sind meines Erachtens ganz wichtige Ansichten für die praktische Erfüllung des Art. 15 Abs. 3 DSGVO. Das LAG geht nicht davon aus, dass 1zu1 Kopien von Dokumenten mit personenbezogenen Daten herauszugeben sind. Man kann die Daten auch in ein gesondertes Auskunftsdokument ziehen.

Ausnahme entsprechen Art. 14 Abs. 5b DSGVO (unverhältnismäßiger Aufwand)?

In dem Urteil befasst sich das LAG auch mit der Frage, ob die Ausnahmeregelungen für Informationspflichten in Art. 13 und 14 DSGVO direkt oder analog anwendbar sind. Das Gericht lehnt dies jedoch ab.

Art. 14 Abs. 5 b DSGVO sei bei Ansprüchen nach Art. 15 Abs. 1 2. HS und Abs. 3 Satz 1 DSGVO nicht, auch nicht analog, anwendbar. Danach kann die Erteilung von Informationen unterbleiben, wenn diese sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Der Unterschied zwischen Art. 13/14 DSGVO und Art. 15 DSGVO sei, dass Art. 13/14 „nur“ Informationspflichten regele. Bei Art. 15 DSGVO handele es sich aber um das Auskunftsrecht der von der Datenerhebung betroffenen Person.

Im Hinblick darauf, dass die betroffene Person die Rechtmäßigkeit der Datenverarbeitung und die Richtigkeit der von ihr verarbeiteten Daten prüfen können soll, geht Art. 15 DSGVO insoweit über die Informationspflicht des Verantwortlichen im Sinne der Art. 4 Nr. 7, 13 und 14 DSGVO hinaus“.

Nach Ansicht des LAG regelt Art. 15 DSGVO hingegen ganz bewusst nicht, wie in den Art. 13 Abs. 4 und 14 Abs. 5 DSGVO vorgesehen, die dort enthaltenen Ausnahmen, sondern enthält als Ausnahme ausschließlich, dass das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Person nicht beeinträchtigen darf. Diese andersgeartete Ausnahme (als jene in Art. 13 Abs. 4 und 14 Abs. 5 DSGVO) ist aus Sicht des LAG der Überprüfbarkeit der Verarbeitung über die personenbezogenen Daten der betroffenen Person durch diese geschuldet.

Wenn nämlich der Verantwortliche eine Vielzahl von personenbezogenen Daten der betroffenen Person verarbeitet, würde dies bei einer analogen Anwendung, insbesondere der Vorschrift des Art. 14 Abs. 5 b DSGVO, dazu führen, dass gerade eine umfassende personenbezogene Datenverarbeitung zur Folge hätte, dass der Verantwortliche weder aktiv eine Auskunft, noch eine Auskunft in Folge der Initiative der von der Datenverarbeitung betroffenen Person schulden würde (da er sich dann zb auf die Ausnahme „unverhältnismäßiger Aufwand“ berufen könnte).

Dies liefe aber nach Ansicht des LAG Sinn und Zweck des Art. 15 DSGVO und des Datenschutzes an sich zuwider, wenn gerade der Verantwortliche, der besonders viele personenbezogene Daten einer betroffenen Person verarbeitet, eine Überprüfung seiner Datenverarbeitung durch die betroffene Person vermeiden könnte.

Fazit

Das Urteil enthält noch einige weitere wichtige Passagen, etwa zur Pflicht des Verantwortlichen, für jedes Datum einzeln nachweisen zu können, warum dessen Beauskunftung Rechte Dritter beeinträchtigen würde. Das LAG hierzu: „Danach kann die Beklagte nicht mit dem bloß abstrakten Hinweis auf ihr Hinweisgebersystem den Informationsanspruch gänzlich verweigern“.

Generalanwalt am EuGH: Inbox-Werbung bei Freemail-Diensten ist wie E-Mail-Werbung zu behandeln – Einwilligung erforderlich

Am 24. Juni 2021 hat der Generalanwalt (GA) am EuGH in der Rs. C-102/20 seine Schlussanträge vorgestellt. Sollte der EuGH der Begründung des GA folgen, würde dies eine Einwilligungspflicht auf für Inbox-Werbung bedeuten.

Hintergrund

Der BGH legte dem EuGH mit Beschluss vom 30.1.2020 (Az. I ZR 25/19) einige interessante Fragen zur Anwendung der strengen Anforderungen an E-Mail-Werbung auf sog. Inbox-Werbung vor. Fraglich war für den BGH, ob bei dieser Art von Werbeeinblendungen die Voraussetzungen für E-Mail-Werbung ebenso zu beachten sind. Dies würde im Grundsatz eine Einwilligungspflicht nach § 7 Abs. 2 Nr. 3 UWG nach sich ziehen. Auslegungsgrundlage waren in den Vorlagefragen die relevanten europarechtlichen Vorschriften zur Einwilligungspflicht, also Art. 2 Abs. 2 lit. h RL 2002/58/EG (Begriff der „elektronischen Post“) und Art. 13 Abs. 1 RL 2002/58/EG.

In dem zugrundliegenden Verfahren wurde eine Werbeagentur damit beauftragt, Werbeeinblendungen in E‑Mail-Postfächern von Nutzern des kostenlosen E‑Mail-Dienstes T‑Online umzusetzen. Die Werbenachrichten erschienen im privaten Postfach eines Nutzers von T‑Online. In seiner Inbox, d. h. in dem Bereich, in dem die eingegangenen E‑Mails listenförmig angezeigt werden. Die Werbenachrichten waren in eingegangene E‑Mails eingebettet. Im Unterschied zu normalen E‑Mails war die Werbenachricht mit dem Wort „Anzeige“ versehen, grau unterlegt und enthielt weder ein Datum noch einen Absender, konnte nicht archiviert oder weitergeleitet werden und konnte auch nicht mit den vom E‑Mail-Dienstleister zur Verfügung gestellten Möglichkeiten zur Bearbeitung von E‑Mails beantwortet werden. Die Einblendung der Werbenachrichte erfolgte nach dem Zufallsprinzip.

Begründung des GA

Nach Auffassung des GA erfüllt die hier streitgegenständliche Anzeige in den eingegangen Mails das Merkmal der „elektronischen Post“.

Dies ist nach Art. 2 Abs. 2 lit. h RL 2002/58/EG „jede … Text‑, Sprach‑, Ton- oder Bildnachricht“. Nach dem GA ist dieses Merkmal hier durch eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende sicherlich erfüllt (Rz 42).

Zudem muss die Nachricht „über ein öffentliches Kommunikationsnetz [verschickt]“ werden. Zweitens muss diese Nachricht „im Netz oder im Endgerät des Empfängers gespeichert werden“ können. Drittens muss diese Nachricht von ihrem Empfänger abgerufen werden können.

Der GA befürwortet eine Argumentation im Sinne einer funktionalen Auslegung des Begriffs „elektronische Post“, die zu der Annahme führen könnte, dass eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende die Voraussetzungen erfüllt. Auf jeden Fall, so der GA, dürfe dieser Begriff nicht isoliert, sondern müsse unter Berücksichtigung der Bestimmung, in der er verwendet wird, d. h. im vorliegenden Fall des Art. 13 Abs. 1 RL 2002/58/EG, ausgelegt werden.

Daher befasst sich der GA nachfolgend mit den Vorgaben des Art. 13 Abs. 1. Eine Einwilligung bedürfen Nachrichten für die Zwecke der Direktwerbung, d. h. Nachrichten zu kommerziellen Zwecken, die sich direkt und individuell an die Nutzer elektronischer Kommunikationsdienste richten. Zum anderen müssen diese Nachrichten den Nutzern durch „[d]ie Verwendung von automatischen Anruf- und Kommunikationssystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post“ zugehen (Rz. 51). Abzugrenzen sind die Vorgaben des Art. 13 Abs. 1 daher von Werbefenstern oder Bannern, die beim Aufrufen von Internetseiten erscheinen können.

Danach geht der GA zur Auslegung noch auf ErwG 67 der RL 2009/136/EG und ErwG 40 der RL 2002/58/EG ein. Danach ist für den GA deutlich, dass der Unionsgesetzgeber von einem weiten, über E‑Mails allein hinausgehenden Verständnis der elektronischen Kommunikationsmittel, mit denen Direktwerbung durchgeführt wird, ausgehen wollte (Rz. 53).

Danach wird es etwas konkreter und der GA prüft das Vorliegen der Voraussetzungen im konkreten Fall. Entscheidend sei hier, dass die in Rede stehenden Werbenachrichten ihre Adressaten tatsächlich durch die Verwendung elektronischer Post erreichen.

Vorliegend erscheinen die Nachrichten in der Inbox des Kontos eines Nutzers eines E‑Mail-Dienstes, d. h. an einer Stelle, die normalerweise elektronischer Post im engeren Sinne, nämlich privaten E‑Mails, vorbehalten ist.

Der Absender dieser Nachrichten bedient sich somit der elektronischen Post, um den Verbraucher zu erreichen, so dass es sich in Übereinstimmung mit dem 67. Erwägungsgrund der Richtlinie 2009/136, in dessen Licht Art. 13 Abs. 1 der Richtlinie 2002/58 auszulegen ist, tatsächlich um Nachrichten für die Zwecke der Direktwerbung „per elektronischer Post“ handelt.“ (Rz. 54)

Die Einblendung von Nachrichten wie hier, in die Liste privater E‑Mails ist daher nach Ansicht des GA als Verwendung „elektronischer Post“ für die Zwecke der Direktwerbung einzustufen.

Und das bedeutet: es gilt das Einwilligungserfordernis des Art. 13 Abs. 1 RL 2002/58/EG.

Dass die Werbeeinblendungen hier deutlich anders gestaltet sind als normale E-Mails, macht für den GA keinen Unterschied. So argumentiert der GA, dass die streitige Werbung auf derselben Ebene wie private E‑Mails erscheint. Daher komme ihr dieselbe Aufmerksamkeit zu wie die, die der Nutzer diesen privaten E‑Mails widmet. Zudem, so der GA, bestehe die Gefahr einer Verwechslung durch die Nutzer, da die Werbenachrichten Zeilen in der Inbox einnehmen, die normalerweise privaten E‑Mails vorbehalten sind und Ähnlichkeit mit privaten E‑Mails aufweisen (Rz. 55).

Auch der Umstand, dass die Werbenachricht im Gegensatz zu privaten E‑Mails grau unterlegt ist, keinen Speicherplatz einnimmt und nicht die üblichen Funktionalitäten von E‑Mails bietet, ändert für den GA nichts an seiner Einschätzung. Nach seiner Ansicht kann sich aus solchen Werbenachrichten trotzdem eine Beeinträchtigung der Privatsphäre von Nutzern eines E‑Mail-Dienstes ergeben, die Art. 13 Abs. 1 RL 2002/58/EG verhindern möchte (Rz. 56).

Der GA folgert daraus insgesamt:

Daraus folgt, dass eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende meines Erachtens in den Anwendungsbereich von Art. 13 Abs. 1 der Richtlinie 2002/58 fällt. Folglich ist eine solche Maßnahme der Direktwerbung unzulässig, wenn der Empfänger ihr nicht zuvor zugestimmt hat.“ (Rz. 63)

Ausblick

Wenn auch der EuGH der Begründung des GA folgt, müsste Inbox-Werbung in Zukunft nur mit vorheriger Einwilligung angezeigt werden. Eine (enge) Ausnahme mag es noch im Rahmen der Bestandskundenansprache geben (§ 7 Abs. 3 UWG). Die dortigen Voraussetzungen passen auf den hier relevanten Fall aber nicht ganz, denn so verlangt etwa Abs. 3 Nr. 1, dass ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat. Wenn aber Inbox-Werbung nach dem Zufallsprinzip (in Bezug auf de Nutzer) erfolgt, hat der Unternehmer im Zweifel gar nicht die E-Mail-Adresse des Kunden bzw. weiß er nicht, ob der Nutzer auch Kunde ist. Spannend wäre dann die Frage, ob auch die Ausnahmen nach § 7 Abs. 3 UWG (Art. 13 Abs. 2 RL 2002/58/EG) entsprechend technologieneutral ausgelegt werden dürfen.

Länderübergreifende Kontrolle der deutschen Aufsichtsbehörden zur Umsetzung der SchremsII-Entscheidung

Wie heute bekannt wurde (Pressemitteilung der Berliner Behörde, PDF), führen die deutschen Aufsichtsbehörden gemeinsam abgestimmte Kontrollen zur Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen mithilfe von fünf verschiedenen Fragebögen in fünf Themenkomplexen durch. Jede Behörde entscheidet individuell, in welchen dieser Themenfelder sie durch Versenden der Fragebögen tätig wird und an welche Unternehmen sie herantritt. Daher kann es sein, dass manche Behörden nur einen oder wenige Fragebögen wirklich nutzen und andere wiederrum alle Fragebögen versenden. Die wie im Folgenden aufgeführt bezeichneten Fragebögen sind unter folgenden Links abrufbar:

Innerhalb dieses Blogbeitrags möchte ich auf einige Themen näher eingehen, die bei einer ersten groben Durchsicht der Fragebögen aufgefallen sind.

Selbstbezichtigungsfreiheit vs. Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden

Anders als bei manch anderen Fragebögen, die in der Vergangenheit versendet wurden (siehe bspw. zum Fragebogen der Thüringer Behörde zu Webseiten hier), enthalten die öffentlich verfügbaren Versionen keinen Hinweis darauf, ob die Beantwortung der Fragen freiwillig oder verpflichtend ist. Wahrscheinlich wird dies in den Begleitschrieben der Behörden näher erläutert.

Eine sehr allgemein gehaltene Pflicht von Unternehmen zur Zusammenarbeit mit den Aufsichtsbehörden ist in Art. 31 DSGVO geregelt. Wie weit diese Pflicht reicht, ist derzeit noch vollkommen unklar. Sie wird nicht so ausgelegt werden können, dass Unternehmen sich selbst bezichtigen müssen. Dagegen sind Unternehmen nach dem nemo tenetur Grundsatz aus Art. 47 der Charta der Grundrechte der Europäischen Union geschützt. Hierbei ist jedoch zu beachten, dass der EuGH in mehreren Fällen geurteilt hat, dass die Beantwortung von Tatsachenfragen dem nemo tenetur Prinzip nicht entgegensteht (siehe bspw. EuGH, Rs. T-112/98, Rn. 78 zur Beantwortung von Tatsachenfragen ggü. der Kommission) und Unternehmen auch dann zur Beantwortung solcher Fragen verpflichtet sind, wenn die Antworten für sie selbstbelastend wirken. Dies wird man auch auf die Fragen der deutschen Behörden übertragen müssen, soweit sie sich ausschließlich auf Tatsachen beziehen.

Anderes gilt ggf. für Fragen, bei denen die Behörden nicht nach Tatsachen fragen. So z.B. in Frage 9 des Fragebogens zum E-Mail-Versand / Frage 12 zum Hosting / Frage 11 zum Webtracking / Frage 9 zu Bewerberportalen, in welcher um eine Beschreibung der Gründe für die Rechtmäßigkeit der Verwendung von Standardvertragsklauseln und nach Nachweisen gefragt wird. Innerhalb des Fragebogens zum konzerninternen Datenverkehr wird für den Fall, dass Unternehmen zum Schluss gelangt sind, dass der Empfänger im Drittland die Pflichten aus Standardvertragsklauseln erfüllen kann, nach Gründen für die Schlussfolgerung und Nachweisen gefragt (Frage 8).

Fragen zum Verzeichnis von Verarbeitungstätigkeiten

Die Fragen der verschiedenen Bögen überschneiden sich zum Teil. So wird in jedem Fall nach den Rollen von Dienstleistern (Auftragsverarbeiter oder gemeinsam Verantwortlicher) und nach einem Auszug aus dem Verzeichnis von Verarbeitungstätigkeiten gefragt. Zu Letzterem sind Unternehmen nach Art. 30 Abs. 4 DSGVO verpflichtet. Hierbei sollten Unternehmen beachten, dass von der Frage nach dem Verzeichnis nicht nur die Zusammenarbeit mit Dienstleistern betroffen ist, sondern bspw. nach den „die den Einsatz des Internetangebots betreffenden Teilen“ oder nach „den Betrieb der WWW-Seiten betreffenden Teilen“ gefragt wird. Nach meinem Verständnis meint dies in den beiden zitierten Fällen alle Einträge im Verzeichnis, die eine auf der Website erfolgende Datenverarbeitung betreffen. Man könnte mutmaßen, dass die Behörden sich durch diese weiteren Informationen aus dem Verzeichnis eine noch weiterreichende Prüfung von Websites ermöglichen wollen. Unternehmen sollten ihr Verzeichnis definitiv noch einmal prüfen, bevor sie es als Bestandteil einer Antwort an die Behörde herausgeben.

Frage nach einer möglichen Kenntnisnahme von Daten im Drittland

Innerhalb aller Fragebögen möchten die Behörden von Unternehmen eine Antwort auf die folgende Frage erhalten:

Sofern die (mögliche) Kenntnisnahme der personenbezogenen Daten in den USA erfolgt, unterfallen Sie oder ein Empfänger der Section 702 des Foreign Intelligence Surveillance Act (FISA) der USA, der US-Behörden Zugang zu den Daten bei Anbietern elektronischer Kommunikationsdienste ermöglicht?

Im Fragebogen zum konzerninternen Datenverkehr heißt es außerdem wie folgt:

Bitte beachten Sie, dass es sich auch schon dann um eine Übermittlung im Sinne des Kapitel V DSGVO handelt, wenn Daten, die z.B. in Deutschland gespeichert sind, von einer in einem Drittland befindlichen Person per Fernzugriff aufgerufen werden können.

Hierbei fällt auf, dass die Aufsichtsbehörden wiederholt auf eine „mögliche“ Kenntnisnahme und auf einen möglichen Fernzugriff für eine „Übermittlung“ abstellen. In der DSGVO gibt es jedoch keinerlei Anhaltspunkte dafür, dass bereits eine rein mögliche, aber nicht tatsächlich erfolgende Kenntnisnahme oder ein solch theoretisch möglicher Fernzugriff eine Datenübermittlung ist. Folglich ist es fragwürdig, was die Behörden aus der Antwort auf Ihre Frage machen möchten. Es ist zumindest denkbar, dass Unternehmen auf die Frage mit „ja“ antworten, für sie aber mangels einer tatsächlich erfolgten Übermittlung die Vorgaben der DSGVO zu Datenübermittlungen jedoch überhaupt nicht gelten und daher für den Dienstleister die Pflichten aus den SCC in Bezug auf die rein theoretische Übermittlung nicht gelten.

Frage zur Änderung der Rechtslage

Grundsätzlich gibt es bei den Fragebögen vielfach Überschneidungen. Innerhalb des Fragebogens zu Bewerberportalen und jenem zum konzerninternen Datenverkehr ist interessanterweise eine Frage zu Datenübermittlungen enthalten, die nicht in den anderen Bögen aufgeführt ist und wie folgt lautet:

Da sich die Rechtslage im Drittland ändern kann: Wie stellen Sie eine schnelle Reaktion und datenschutzkonforme Anpassung an neue Gegebenheiten sicher? Beschreiben Sie insbesondere den Melde- und den Reaktionsprozess zwischen Ihrem Unternehmen und dem Empfänger im Drittland.“

Die Frage wird für Unternehmen (zumindest auf dem Papier) einfach zu beantworten sein. Innerhalb der SCC gibt es eine Pflicht des im Drittland ansässigen Datenverarbeitenden, das in der EU ansässige Unternehmen über Änderungen in der Rechtslage zu informieren. Daher könnte es ausreichend sein, dass in einem in der Frage beschriebenen Fall die Kommunikation per E-Mail erfolgt und die Parteien in so einem Fall zusammenkommen und die Notwendigkeit prüfen, zusätzliche Maßnahmen für Datenübermittlungen zu vereinbaren oder eine zuständige Aufsichtsbehörde zu kontaktieren.

Frage nach geplanten Maßnahmen und deren Umsetzungsplan

Innerhalb der Fragebögen wird für den Fall, dass die Umstellung auf andere Systeme geplant ist, um Auskunft dazu gebeten, auf welche Lösungen Umstellungen geplant sind, und um Mitteilung zum Stand der Umsetzung nebst Zeitplan für den Abschluss gebeten. Unternehmen sollten aus meiner Sicht bei der Beantwortung dieser Frage vorsichtig sein. Einerseits spricht die Frage an sich dafür, dass sich die Behörden auch derzeit noch mit einem Umsetzungsplan zufrieden geben könnten und nicht die abrupte Umstellung auf solche Anbieter fordern, die Daten ausschließlich in der EU oder dem EWR verarbeiten. Andererseits ist gut denkbar, dass die Behörden in einem zweiten „Schwung“ in Zukunft Unternehmen dazu befragen werden, wie weit die Umsetzung vorangeschritten ist.

Verwaltungsakt oder kein Verwaltungsakt?

Auch bei dieser Aktion stellt sich aus meiner Sicht wieder einmal die Frage, ob die Fragebögen und etwaige Begleitschreiben der Behörde ein Verwaltungsakt sind oder nicht. Oft versuchen Datenschutzbehörden noch einen Verwaltungsaktcharakter abzulehnen, etwa unter Hinweis auf eine fehlende Rechtsbehelfsbelehrung. Dies spielt aber für die Qualifikation als Verwaltungsakt keine entscheidende Rolle. Meines Erachtens sprechen gute Gründe dafür, dass entsprechende behördliche Anschreiben mit diesen Fragebögen als Verwaltungsakt zu qualifizieren sind. Auch das Verwaltungsgericht Mainz ging etwa in einem Urteil davon aus (Urt. v. 09.05.2019, 1 K 760/18.MZ), dass den Behörden eine entsprechende Verwaltungsaktbefugnis beim Versand eines Fragenkatalogs zusteht. Natürlich muss man dennoch das jeweilige Anschreiben und die dortigen Belehrungen sichten, um dann entscheiden zu können, ob die Merkmale eines Verwaltungsakts vorliegen.

Berliner Datenschutzbehörde: Risiken bei Betroffenenanfragen an no-reply Adressen und in Ticket- oder CRM-Systemen

In ihrem aktuellen Jahresbericht 2020 (pdf) bespricht die Datenschutzbehörde aus Berlin einen sehr praxisrelevanten Aspekt der Erfüllung von Betroffenenanfragen, etwa in Bezug auf Löschung oder Auskunft (ab S. 164). Es geht um die Frage, ob Verantwortliche Anfragen auf jeglichem Kommunikationskanal beachten und bearbeiten müssen oder ob man Betroffene auf einen speziellen Datenschutzkontakt verweisen darf?

Die Ansicht der Berliner Behörde ist sehr klar: Verantwortliche müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

No-reply Adressen – ein DSGVO-Problem

Hauptargument der Behörde ist die Vorgabe des Art. 12 Abs. 2 DSGVO. Danach ist der Verantwortliche verpflichtet, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 zu erleichtern. Zudem verweist die Behörde auf die allgemeine Verantwortlichkeitsvorschrift des Art. 24 DSGVO. Die Behörde geht davon aus, dass Verantwortliche durch technisch-organisatorische Maßnahmen sicherstellen müsse,

dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“

Speziell in Bezug auf sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, geht die Behörde davon aus, dass jedenfalls dann ein datenschutzrechtliches Problem bestehe,

wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden“.

Interessant hierbei ist, dass die Behörde also nicht verlangt, dass die Anfrage tatsächlich bearbeitet wird, wenn zumindest in der E-Mail an den Betroffenen deutlich gemacht wird, an welche Adresse sie sich bei Datenschutzfragen wenden können. Zumindest verstehe ich die Aussage der Behörde oben so, quasi als Minimum-Anforderung.

Genau im Satz danach wird die Ansicht der Behörde dann aber doch wieder scheinbar strenger:

„Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen“.

Meiner Ansicht nach wiedersprechen sich die beiden zitierten Ansichten jedoch nicht unbedingt. Die Behörde verlangt grundsätzlich, das Betroffenenanfragen stets bearbeitet werden. Alles andere wäre ja auch überraschend. Geht es um den speziellen Fall einer no-reply Adresse, die deutlich als solche erkennbar ist und in der eine Alternative für Datenschutzanfragen angegeben wird, scheint die Behörde aber zumindest die von der DSGVO geforderte „Erleichterung“ als erfüllt anzusehen. Ich verstehe die Behörde so, dass es vor allem problematisch ist, wenn Betroffene nicht erkennen können, dass der von ihnen gewählte Kanal nicht bearbeitet wird und ihnen auch keine Alternative deutlich erkennbar angeboten wird.

Ticket- und CRM-Systeme

Interessant sind dann auch noch die Ansichten der Behörde zur Bearbeitung von Betroffenenanfragen in Ticket- oder CRM-Systemen, wie sie in der Praxis fast überall zum Einsatz kommen.

Die Behörde verweist darauf, dass bei der Nutzung von Ticket- oder CRM-Systemen darauf zu achten sei,

dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können“.

Bedeutet etwa bei Auskunftsanfragen, dass auch Personen, die keine Kunden sind, eine Negativauskunft zu erteilen ist.

Zudem berichtet die Behörde von einem Fall, in dem im Verlauf der Kommunikation zwischen dem Kundenservice und einer betroffenen Person irgendwann auch das Datenschutzteam in Kopie genommen wird, das verwendete CRM-System aber auf solche Konstellationen nicht eingestellt sei. In diesem Fall wurde dann wohl eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kundenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, wusste aber auch nicht um die Problematik der fehlenden automatischen Weiterleitung an das Datenschutzteam.

Insgesamt zeigt der Bericht der Datenschutzbehörde, dass Anfragen von Betroffenen immer Ernst genommen und intern schnell der zuständigen Abteilung weitergeleitet werden müssen. Wichtig hierbei ist auch eine entsprechende Sensibilisierung der Mitarbeiter, insb. Über Schulungen, interne FAQ-Seiten oder ähnliches.

Sächsische Datenschutzbehörde: keine Möglichkeit der Rechtsdurchsetzung gegenüber allein in Drittländern ansässigen Unternehmen

Am 22.12.2020 hat der Landesdatenschutzbeauftragte für Sachsen seinen neuesten Tätigkeitsbericht veröffentlicht (Berichtsjahr bis 31.12.2019, PDF). In einem kurzen Absatz erwähnt die Datenschutzbehörde dort auch ein praxisrelevantes und für die Durchsetzung der DSGVO seit Beginn der Arbeiten an dem Gesetz bekanntes Problem: die Durchsetzung der DSGVO gegenüber Unternehmen in Drittländern (S. 109).

Bekanntlich unterliegen sowohl Verantwortliche als auch Auftragsverarbeiter mit Sitz in Drittländern und ohne (!) Niederlassung in der EU unter gewissen Voraussetzungen der DSGVO. Meiner Meinung nach ist vielen Unternehmen, die aus Drittländern Dienstleistungen in der EU anbieten, überhaupt nicht bewusst, dass auch für sie die Regelungen der DSGVO gelten.

Die sächsische Behörde berichtet, dass bei ihr zahlreiche Beschwerden gegen Unternehmen mit Sitz außerhalb der Europäischen Union eingingen. Zwar sieht die DSGVO in einem solchen Fall, wenn also keine Niederlassung in der EU besteht, die Pflicht nach Art. 27 DSGVO vor, einen Vertreter in der EU zu benennen. Doch, ketzerisch gefragt, was passiert, wenn auch diese Pflicht nicht eingehalten wird? Wohl nichts, wie nun die Angaben der Behörde aus Sachsen zeigen.

Genau diese Miesere schildert die Behörde nämlich. Im Grunde gibt es in einer solchen Situation keine wirksame Durchsetzungsmöglichkeit europäischen Datenschutzrechts.

Soweit die Verantwortlichen kein Vertreter nach Artikel 27 DSGVO benannt haben, stellt sich die Einwirkung auf den Verantwortlichen in seiner Umsetzung als praktisch schwierig dar.“

Zwar merkt die Behörde an, dass soweit Maßnahmen gegenüber diesen Verantwortlichen ergriffen werden sollen, zwar eventuell ein Amtshilfeverfahren und ein Procedere auf dem diplomatischen Weg über die Außenvertretungen der Bundesrepublik Deutschland einzuleiten wäre.

Jedoch scheint dieser Weg für die Behörde praktisch nicht gangbar zu sein. Daher fasst die Datenschutzbehörde ihr derzeitiges Vorgehen wie folgt zusammen:

Aktuell teile ich den Beschwerdeführern mit, dass ich – in Ermangelung zwischenstaatlicher Vereinbarungen – keine Möglichkeiten sehe, meine Rechtspositionen bzw. Anordnungen durchzusetzen“.

Dieses Ergebnis ist meines Erachtens durchaus ernüchternd. Offenbart hier eine Behörde doch ungeschönt, dass sie keine Möglichkeit sieht, das europäische Recht (obwohl anwendbar) durchzusetzen. Meines Erachtens darf man in diesen Situationen aber nicht den Aufsichtsbehörden einen Vorwurf machen. Dieser Fehler einer effektiven Durchsetzung war von Angang an systematisch in der DSGVO angelegt und hängt natürlich eng mit dem (intendierten) sehr weiten räumlichen Anwendungsbereich der Verordnung zusammen.

Referentenentwurf des Bundesarbeitsministeriums: Betriebsrat nicht datenschutzrechtlich verantwortlich, aber irgendwie doch…

In dem aktuellen Referentenentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) für ein Gesetz zur Förderung der Betriebsratswahlen und zur Stärkung der Betriebsräte (Betriebsrätestärkungsgesetz) (Stand: 21.12.2020) schlägt das BMAS auch eine gesetzliche Regelung zur datenschutzrechtlichen Verantwortlichkeitsverteilung zwischen Arbeitgeber und Betriebsrat vor. Der Betriebsrat soll nicht datenschutzrechtlich verantwortlich sein. Jedoch ist der Entwurf meines Erachtens jedoch noch nicht zufriedenstellend und bringt in der Praxis sogar ggfs. noch mehr Probleme mit sich. Nachfolgend eine kurze Einordnung zu dem Vorschlag.

Zweck

Mit einem neuen § 79a BetrVG soll die datenschutzrechtliche Verantwortlichkeit nach der Datenschutz-Grundverordnung bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich klargestellt werden (S. 2).

Die Regelung soll die bislang bestehende, seit dem Inkrafttreten der DSGVO jedoch umstrittene Rechtslage fortführen und „dient der Schaffung von Rechtsklarheit“ (S. 16). Ich stelle dieses letzte Ziel bewusst heraus, da der Entwurf dieses Ziel meines Erachtens (noch) verfehlt.

Neuer § 79a BetrVG

Der vorgeschlagene § 79a BetrVG soll wie folgt lauten:

§ 79a

Datenschutz

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Begründung im Entwurf

Nach Ansicht des BMAS agieren die Betriebsräte bei der Verarbeitung personenbezogener Daten als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für die Verarbeitung personenbezogener Daten durch den Betriebsrat sei sachgerecht, weil der Betriebsrat lediglich organisationsintern, jedoch keine nach außen rechtlich verselbständigte Institution ist (S. 16).

Das BMAS stützt sich bei der Regelung auf die in Art. 4 Nr. 7 DSGVO eröffnete Möglichkeit, den für die Datenverarbeitung Verantwortlichen im mitgliedstaatlichen Recht zu bestimmen (S. 24). Die Regelung soll die seit dem Inkrafttreten der Datenschutz-Grundverordnung umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat festlegen und „weist diese dem Arbeitgeber zu (Satz 1)“ (S. 24).

Dies ist nach Ansicht des BMAS sachgerecht, da der Betriebsrat keine nach außen rechtlich verselbständigte Institution ist. Bei der Verarbeitung personenbezogener Daten agiere der Betriebsrat daher als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers (S. 24).

Einschätzung

Und hier möchte ich dann in die Kommentierung des Entwurfs übergehen. Denn meines Erachtens erfolgt ab hier in der Gesetzesbegründung ein Bruch der Argumentation. Noch einmal zusammengefasst: das BMAS möchte den Arbeitgeber als gesetzlich Verantwortlichen nach DSGVO und BDSG festlegen. Das ist möglich, auch wenn manche sich evtl. eine andere Festlegung gewünscht hätten.

Wenn man aber den Arbeitgeber (das Unternehmen) als „Verantwortlichen“ nach der DSGVO festlegt, dann muss dies meines Erachtens auch konsequent für alle datenschutzrechtlichen Rechte und Pflichten gelten. Es gibt keinen „Verantwortlichen“ nach der DSGVO, der nur selektiv einer Pflichtenerfüllung unterliegt.

Die Begründung im Referentenentwurf führt aus: „Bei der Verarbeitung personenbezogener, teils sensibler, Beschäftigtendaten hat auch der Betriebsrat die datenschutzrechtlichen Vorschriften einzuhalten. Diese ergeben sich insbesondere aus der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und dem Bundesdatenschutzgesetz“ (S. 24).

Die Ansicht des BMAS ist hier meines Erachtens mindestes missverständlich. Denn zur Einhaltung der Pflichten nach DSGVO ist nicht ein Teil eines Verantwortlichen oder Auftragsverarbeiters verpflichtet, sondern der Verantwortliche an sich. Natürlich bedeutet dies, dass ein Unternehmen dafür sorgen muss, dass innerorganisatorisch gesetzliche Regelungen beachtet werden (also zB Mitarbeiter den Datenschutz einhalten). Gesetzlich verpflichtet ist aber nicht der einzelne Mitarbeiter oder eine Abteilung oder ein Fachbereich, sondern das Unternehmen an sich (als „Verantwortlicher“; in der Sondersituation des Exzesses mag dies anders sein). Die Begründung des BMAS eröffnet hier bereits Raum für Unsicherheiten, ob nicht der Betriebsrat doch noch irgendwie selbst verantwortlich bzw. verpflichtet ist. Allein die Möglichkeit dieser Interpretation der Begründung steht aber dem begrüßenswerten Ziel der Rechtsklarheit der Regelung entgegen.

§ 79a sieht auch beiderseitige Unterstützungspflicht von Arbeitgeber und Betriebsrat bei der Einhaltung der datenschutzrechtlichen Vorschriften vor (Satz 2). Nach der Begründung beruht dies auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits (S. 24).

Daher, so die Begründung, „sind Arbeitgeber und Betriebsrat bei der Erfüllung der datenschutzrechtlichen Pflichten in vielfacher Weise auf gegenseitige Unterstützung angewiesen: So hat der Betriebsrat z.B. keine Pflicht, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 der Datenschutz-Grundverordnung) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten“ (S. 24).

Der Entwurf nennt als weiteres Beispiel den datenschutzrechtlichen Auskunftsanspruch. Bei des Erfüllung ist der Arbeitgeber, wenn der Auskunftsanspruch sich auf die durch den Betriebsrat verarbeiteten Daten bezieht, auf die Unterstützung durch den Betriebsrat angewiesen (S. 24).

Die Begründung des BMAS verdeutlicht meines Erachtens die künstliche, einseitige Bestimmung der Verantwortlichkeit, die rein faktisch aber selbst nach Ansicht des BMAS gar nicht besteht bzw. durch den Arbeitgeber voll ausgeübt werden kann, ohne dass er durch den Betriebsrat unterstützt wird. Es schießen sich bei dieser Regelung in Satz 2 ganz entscheidende Praxisfragen an: was geschieht, wenn der Betriebsrat nicht unterstützt? Wie weit muss der Betriebsrat unterstützen? Gelten Antwortfristen nach der DSGVO an Betroffene auch für den Betriebsrat? Was geschieht, wenn aufgrund unterbliebener oder ungenügender Unterstützung ein Bußgeld gegen den Arbeitgeber verhängt wird?

Offensichtlich möchte das BMAS dem Betriebsrat eine Sonderstellung zukommen lassen, die natürlich arbeits- und betriebsverfassungsrechtlich besteht, jedoch datenschutzrechtlich für erheblich Unsicherheit in der Praxis führen kann.

Der worst case wäre hier sicher ein datenschutzrechtlich verantwortlicher Arbeitgeber (qua Gesetz), der aber zum Teil seine DSGVO-Pflichten nicht erfüllen kann. Bereits dieses mögliche Ergebnis (welches auch das BMAS sieht und daher die Unterstützungspflicht aufnimmt) macht meines Erachtens deutlich, dass die Festlegung der Verantwortlichkeit hier kein einfaches Unterfangen ist. Nicht zuletzt aufgrund der Schnittmenge zwischen europäischem Datenschutzrechts und nationalem Arbeits/Betriebsverfassungsrecht. Wenn jedoch eine Verantwortlichkeit festgelegt wird, dann kann und muss dies meines Erachtens umfassend erfolgen. Dies sehe ich in dem Entwurf noch nicht.

Dieses (problematische) Ergebnis wird in der Entwurfsbegründung in dem nächsten Absatz besonders deutlich.

Schließlich hat der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Artikel 24 und 32 der Datenschutz-Grundverordnung sicherzustellen.“

Hier bricht dann das datenschutzrechtlich angedachte Konzept der Verantwortlichkeit des Arbeitgebers vollends. Denn der Betriebsrat soll selbst und „eigenverantwortlich“ Pflichten der Datensicherheit umsetzen. Die dort benannten Pflichten, etwa Art. 32 DSGVO, treffen aber entweder den Verantwortlichen und/oder den Auftragsverarbeiter. Es ist nicht vorgesehen, dass national gesetzliche Pflichten auf innerbetriebliche Einheiten delegiert werden. Meines Erachtens schafft diese Regelung und ihre Begründung daher Unsicherheit darüber, wie andere relevanten Datenschutzpflichten in der Praxis zu erfüllen sind.

Zuletzt noch ein Hinweis auf die Vorgaben des Art. 4 Nr. 7 DSGVO selbst. Der Verantwortliche kann nach nationalem Recht bestimmt werden, wenn (!) die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind. Zu dieser Anforderung der DSGVO verhakte sich die Begründung überhaupt nicht. Man fragt sich also, welche Zwecke und Mittel das BMAS als auschlaggebend erachtet, um dem Arbeitgeber die Verantwortlichkeit aufzuerlegen.

Fazit

Das Ziel der Rechtssicherheit erfüllt der Vorschlag leider noch nicht. Meines Erachtens sollte im Rahmen der Verbändeanhörung und einer möglichen Anpassung des Entwurfs darüber nachgedacht werden, ob die Festlegung der Verantwortlichkeit in dieser Form wirklich rechtssicher umzusetzen ist. Auf jeden Fall sollte diese Festlegung, wenn sie erfolgt, konsequent gelten und nicht vereinzelt Ausnahmen vorsehen.