Länderübergreifende Kontrolle der deutschen Aufsichtsbehörden zur Umsetzung der SchremsII-Entscheidung

Wie heute bekannt wurde (Pressemitteilung der Berliner Behörde, PDF), führen die deutschen Aufsichtsbehörden gemeinsam abgestimmte Kontrollen zur Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen mithilfe von fünf verschiedenen Fragebögen in fünf Themenkomplexen durch. Jede Behörde entscheidet individuell, in welchen dieser Themenfelder sie durch Versenden der Fragebögen tätig wird und an welche Unternehmen sie herantritt. Daher kann es sein, dass manche Behörden nur einen oder wenige Fragebögen wirklich nutzen und andere wiederrum alle Fragebögen versenden. Die wie im Folgenden aufgeführt bezeichneten Fragebögen sind unter folgenden Links abrufbar:

Innerhalb dieses Blogbeitrags möchte ich auf einige Themen näher eingehen, die bei einer ersten groben Durchsicht der Fragebögen aufgefallen sind.

Selbstbezichtigungsfreiheit vs. Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden

Anders als bei manch anderen Fragebögen, die in der Vergangenheit versendet wurden (siehe bspw. zum Fragebogen der Thüringer Behörde zu Webseiten hier), enthalten die öffentlich verfügbaren Versionen keinen Hinweis darauf, ob die Beantwortung der Fragen freiwillig oder verpflichtend ist. Wahrscheinlich wird dies in den Begleitschrieben der Behörden näher erläutert.

Eine sehr allgemein gehaltene Pflicht von Unternehmen zur Zusammenarbeit mit den Aufsichtsbehörden ist in Art. 31 DSGVO geregelt. Wie weit diese Pflicht reicht, ist derzeit noch vollkommen unklar. Sie wird nicht so ausgelegt werden können, dass Unternehmen sich selbst bezichtigen müssen. Dagegen sind Unternehmen nach dem nemo tenetur Grundsatz aus Art. 47 der Charta der Grundrechte der Europäischen Union geschützt. Hierbei ist jedoch zu beachten, dass der EuGH in mehreren Fällen geurteilt hat, dass die Beantwortung von Tatsachenfragen dem nemo tenetur Prinzip nicht entgegensteht (siehe bspw. EuGH, Rs. T-112/98, Rn. 78 zur Beantwortung von Tatsachenfragen ggü. der Kommission) und Unternehmen auch dann zur Beantwortung solcher Fragen verpflichtet sind, wenn die Antworten für sie selbstbelastend wirken. Dies wird man auch auf die Fragen der deutschen Behörden übertragen müssen, soweit sie sich ausschließlich auf Tatsachen beziehen.

Anderes gilt ggf. für Fragen, bei denen die Behörden nicht nach Tatsachen fragen. So z.B. in Frage 9 des Fragebogens zum E-Mail-Versand / Frage 12 zum Hosting / Frage 11 zum Webtracking / Frage 9 zu Bewerberportalen, in welcher um eine Beschreibung der Gründe für die Rechtmäßigkeit der Verwendung von Standardvertragsklauseln und nach Nachweisen gefragt wird. Innerhalb des Fragebogens zum konzerninternen Datenverkehr wird für den Fall, dass Unternehmen zum Schluss gelangt sind, dass der Empfänger im Drittland die Pflichten aus Standardvertragsklauseln erfüllen kann, nach Gründen für die Schlussfolgerung und Nachweisen gefragt (Frage 8).

Fragen zum Verzeichnis von Verarbeitungstätigkeiten

Die Fragen der verschiedenen Bögen überschneiden sich zum Teil. So wird in jedem Fall nach den Rollen von Dienstleistern (Auftragsverarbeiter oder gemeinsam Verantwortlicher) und nach einem Auszug aus dem Verzeichnis von Verarbeitungstätigkeiten gefragt. Zu Letzterem sind Unternehmen nach Art. 30 Abs. 4 DSGVO verpflichtet. Hierbei sollten Unternehmen beachten, dass von der Frage nach dem Verzeichnis nicht nur die Zusammenarbeit mit Dienstleistern betroffen ist, sondern bspw. nach den „die den Einsatz des Internetangebots betreffenden Teilen“ oder nach „den Betrieb der WWW-Seiten betreffenden Teilen“ gefragt wird. Nach meinem Verständnis meint dies in den beiden zitierten Fällen alle Einträge im Verzeichnis, die eine auf der Website erfolgende Datenverarbeitung betreffen. Man könnte mutmaßen, dass die Behörden sich durch diese weiteren Informationen aus dem Verzeichnis eine noch weiterreichende Prüfung von Websites ermöglichen wollen. Unternehmen sollten ihr Verzeichnis definitiv noch einmal prüfen, bevor sie es als Bestandteil einer Antwort an die Behörde herausgeben.

Frage nach einer möglichen Kenntnisnahme von Daten im Drittland

Innerhalb aller Fragebögen möchten die Behörden von Unternehmen eine Antwort auf die folgende Frage erhalten:

Sofern die (mögliche) Kenntnisnahme der personenbezogenen Daten in den USA erfolgt, unterfallen Sie oder ein Empfänger der Section 702 des Foreign Intelligence Surveillance Act (FISA) der USA, der US-Behörden Zugang zu den Daten bei Anbietern elektronischer Kommunikationsdienste ermöglicht?

Im Fragebogen zum konzerninternen Datenverkehr heißt es außerdem wie folgt:

Bitte beachten Sie, dass es sich auch schon dann um eine Übermittlung im Sinne des Kapitel V DSGVO handelt, wenn Daten, die z.B. in Deutschland gespeichert sind, von einer in einem Drittland befindlichen Person per Fernzugriff aufgerufen werden können.

Hierbei fällt auf, dass die Aufsichtsbehörden wiederholt auf eine „mögliche“ Kenntnisnahme und auf einen möglichen Fernzugriff für eine „Übermittlung“ abstellen. In der DSGVO gibt es jedoch keinerlei Anhaltspunkte dafür, dass bereits eine rein mögliche, aber nicht tatsächlich erfolgende Kenntnisnahme oder ein solch theoretisch möglicher Fernzugriff eine Datenübermittlung ist. Folglich ist es fragwürdig, was die Behörden aus der Antwort auf Ihre Frage machen möchten. Es ist zumindest denkbar, dass Unternehmen auf die Frage mit „ja“ antworten, für sie aber mangels einer tatsächlich erfolgten Übermittlung die Vorgaben der DSGVO zu Datenübermittlungen jedoch überhaupt nicht gelten und daher für den Dienstleister die Pflichten aus den SCC in Bezug auf die rein theoretische Übermittlung nicht gelten.

Frage zur Änderung der Rechtslage

Grundsätzlich gibt es bei den Fragebögen vielfach Überschneidungen. Innerhalb des Fragebogens zu Bewerberportalen und jenem zum konzerninternen Datenverkehr ist interessanterweise eine Frage zu Datenübermittlungen enthalten, die nicht in den anderen Bögen aufgeführt ist und wie folgt lautet:

Da sich die Rechtslage im Drittland ändern kann: Wie stellen Sie eine schnelle Reaktion und datenschutzkonforme Anpassung an neue Gegebenheiten sicher? Beschreiben Sie insbesondere den Melde- und den Reaktionsprozess zwischen Ihrem Unternehmen und dem Empfänger im Drittland.“

Die Frage wird für Unternehmen (zumindest auf dem Papier) einfach zu beantworten sein. Innerhalb der SCC gibt es eine Pflicht des im Drittland ansässigen Datenverarbeitenden, das in der EU ansässige Unternehmen über Änderungen in der Rechtslage zu informieren. Daher könnte es ausreichend sein, dass in einem in der Frage beschriebenen Fall die Kommunikation per E-Mail erfolgt und die Parteien in so einem Fall zusammenkommen und die Notwendigkeit prüfen, zusätzliche Maßnahmen für Datenübermittlungen zu vereinbaren oder eine zuständige Aufsichtsbehörde zu kontaktieren.

Frage nach geplanten Maßnahmen und deren Umsetzungsplan

Innerhalb der Fragebögen wird für den Fall, dass die Umstellung auf andere Systeme geplant ist, um Auskunft dazu gebeten, auf welche Lösungen Umstellungen geplant sind, und um Mitteilung zum Stand der Umsetzung nebst Zeitplan für den Abschluss gebeten. Unternehmen sollten aus meiner Sicht bei der Beantwortung dieser Frage vorsichtig sein. Einerseits spricht die Frage an sich dafür, dass sich die Behörden auch derzeit noch mit einem Umsetzungsplan zufrieden geben könnten und nicht die abrupte Umstellung auf solche Anbieter fordern, die Daten ausschließlich in der EU oder dem EWR verarbeiten. Andererseits ist gut denkbar, dass die Behörden in einem zweiten „Schwung“ in Zukunft Unternehmen dazu befragen werden, wie weit die Umsetzung vorangeschritten ist.

Verwaltungsakt oder kein Verwaltungsakt?

Auch bei dieser Aktion stellt sich aus meiner Sicht wieder einmal die Frage, ob die Fragebögen und etwaige Begleitschreiben der Behörde ein Verwaltungsakt sind oder nicht. Oft versuchen Datenschutzbehörden noch einen Verwaltungsaktcharakter abzulehnen, etwa unter Hinweis auf eine fehlende Rechtsbehelfsbelehrung. Dies spielt aber für die Qualifikation als Verwaltungsakt keine entscheidende Rolle. Meines Erachtens sprechen gute Gründe dafür, dass entsprechende behördliche Anschreiben mit diesen Fragebögen als Verwaltungsakt zu qualifizieren sind. Auch das Verwaltungsgericht Mainz ging etwa in einem Urteil davon aus (Urt. v. 09.05.2019, 1 K 760/18.MZ), dass den Behörden eine entsprechende Verwaltungsaktbefugnis beim Versand eines Fragenkatalogs zusteht. Natürlich muss man dennoch das jeweilige Anschreiben und die dortigen Belehrungen sichten, um dann entscheiden zu können, ob die Merkmale eines Verwaltungsakts vorliegen.

Berliner Datenschutzbehörde: Risiken bei Betroffenenanfragen an no-reply Adressen und in Ticket- oder CRM-Systemen

In ihrem aktuellen Jahresbericht 2020 (pdf) bespricht die Datenschutzbehörde aus Berlin einen sehr praxisrelevanten Aspekt der Erfüllung von Betroffenenanfragen, etwa in Bezug auf Löschung oder Auskunft (ab S. 164). Es geht um die Frage, ob Verantwortliche Anfragen auf jeglichem Kommunikationskanal beachten und bearbeiten müssen oder ob man Betroffene auf einen speziellen Datenschutzkontakt verweisen darf?

Die Ansicht der Berliner Behörde ist sehr klar: Verantwortliche müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

No-reply Adressen – ein DSGVO-Problem

Hauptargument der Behörde ist die Vorgabe des Art. 12 Abs. 2 DSGVO. Danach ist der Verantwortliche verpflichtet, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 zu erleichtern. Zudem verweist die Behörde auf die allgemeine Verantwortlichkeitsvorschrift des Art. 24 DSGVO. Die Behörde geht davon aus, dass Verantwortliche durch technisch-organisatorische Maßnahmen sicherstellen müsse,

dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“

Speziell in Bezug auf sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, geht die Behörde davon aus, dass jedenfalls dann ein datenschutzrechtliches Problem bestehe,

wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden“.

Interessant hierbei ist, dass die Behörde also nicht verlangt, dass die Anfrage tatsächlich bearbeitet wird, wenn zumindest in der E-Mail an den Betroffenen deutlich gemacht wird, an welche Adresse sie sich bei Datenschutzfragen wenden können. Zumindest verstehe ich die Aussage der Behörde oben so, quasi als Minimum-Anforderung.

Genau im Satz danach wird die Ansicht der Behörde dann aber doch wieder scheinbar strenger:

„Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen“.

Meiner Ansicht nach wiedersprechen sich die beiden zitierten Ansichten jedoch nicht unbedingt. Die Behörde verlangt grundsätzlich, das Betroffenenanfragen stets bearbeitet werden. Alles andere wäre ja auch überraschend. Geht es um den speziellen Fall einer no-reply Adresse, die deutlich als solche erkennbar ist und in der eine Alternative für Datenschutzanfragen angegeben wird, scheint die Behörde aber zumindest die von der DSGVO geforderte „Erleichterung“ als erfüllt anzusehen. Ich verstehe die Behörde so, dass es vor allem problematisch ist, wenn Betroffene nicht erkennen können, dass der von ihnen gewählte Kanal nicht bearbeitet wird und ihnen auch keine Alternative deutlich erkennbar angeboten wird.

Ticket- und CRM-Systeme

Interessant sind dann auch noch die Ansichten der Behörde zur Bearbeitung von Betroffenenanfragen in Ticket- oder CRM-Systemen, wie sie in der Praxis fast überall zum Einsatz kommen.

Die Behörde verweist darauf, dass bei der Nutzung von Ticket- oder CRM-Systemen darauf zu achten sei,

dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können“.

Bedeutet etwa bei Auskunftsanfragen, dass auch Personen, die keine Kunden sind, eine Negativauskunft zu erteilen ist.

Zudem berichtet die Behörde von einem Fall, in dem im Verlauf der Kommunikation zwischen dem Kundenservice und einer betroffenen Person irgendwann auch das Datenschutzteam in Kopie genommen wird, das verwendete CRM-System aber auf solche Konstellationen nicht eingestellt sei. In diesem Fall wurde dann wohl eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kundenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, wusste aber auch nicht um die Problematik der fehlenden automatischen Weiterleitung an das Datenschutzteam.

Insgesamt zeigt der Bericht der Datenschutzbehörde, dass Anfragen von Betroffenen immer Ernst genommen und intern schnell der zuständigen Abteilung weitergeleitet werden müssen. Wichtig hierbei ist auch eine entsprechende Sensibilisierung der Mitarbeiter, insb. Über Schulungen, interne FAQ-Seiten oder ähnliches.

Sächsische Datenschutzbehörde: keine Möglichkeit der Rechtsdurchsetzung gegenüber allein in Drittländern ansässigen Unternehmen

Am 22.12.2020 hat der Landesdatenschutzbeauftragte für Sachsen seinen neuesten Tätigkeitsbericht veröffentlicht (Berichtsjahr bis 31.12.2019, PDF). In einem kurzen Absatz erwähnt die Datenschutzbehörde dort auch ein praxisrelevantes und für die Durchsetzung der DSGVO seit Beginn der Arbeiten an dem Gesetz bekanntes Problem: die Durchsetzung der DSGVO gegenüber Unternehmen in Drittländern (S. 109).

Bekanntlich unterliegen sowohl Verantwortliche als auch Auftragsverarbeiter mit Sitz in Drittländern und ohne (!) Niederlassung in der EU unter gewissen Voraussetzungen der DSGVO. Meiner Meinung nach ist vielen Unternehmen, die aus Drittländern Dienstleistungen in der EU anbieten, überhaupt nicht bewusst, dass auch für sie die Regelungen der DSGVO gelten.

Die sächsische Behörde berichtet, dass bei ihr zahlreiche Beschwerden gegen Unternehmen mit Sitz außerhalb der Europäischen Union eingingen. Zwar sieht die DSGVO in einem solchen Fall, wenn also keine Niederlassung in der EU besteht, die Pflicht nach Art. 27 DSGVO vor, einen Vertreter in der EU zu benennen. Doch, ketzerisch gefragt, was passiert, wenn auch diese Pflicht nicht eingehalten wird? Wohl nichts, wie nun die Angaben der Behörde aus Sachsen zeigen.

Genau diese Miesere schildert die Behörde nämlich. Im Grunde gibt es in einer solchen Situation keine wirksame Durchsetzungsmöglichkeit europäischen Datenschutzrechts.

Soweit die Verantwortlichen kein Vertreter nach Artikel 27 DSGVO benannt haben, stellt sich die Einwirkung auf den Verantwortlichen in seiner Umsetzung als praktisch schwierig dar.“

Zwar merkt die Behörde an, dass soweit Maßnahmen gegenüber diesen Verantwortlichen ergriffen werden sollen, zwar eventuell ein Amtshilfeverfahren und ein Procedere auf dem diplomatischen Weg über die Außenvertretungen der Bundesrepublik Deutschland einzuleiten wäre.

Jedoch scheint dieser Weg für die Behörde praktisch nicht gangbar zu sein. Daher fasst die Datenschutzbehörde ihr derzeitiges Vorgehen wie folgt zusammen:

Aktuell teile ich den Beschwerdeführern mit, dass ich – in Ermangelung zwischenstaatlicher Vereinbarungen – keine Möglichkeiten sehe, meine Rechtspositionen bzw. Anordnungen durchzusetzen“.

Dieses Ergebnis ist meines Erachtens durchaus ernüchternd. Offenbart hier eine Behörde doch ungeschönt, dass sie keine Möglichkeit sieht, das europäische Recht (obwohl anwendbar) durchzusetzen. Meines Erachtens darf man in diesen Situationen aber nicht den Aufsichtsbehörden einen Vorwurf machen. Dieser Fehler einer effektiven Durchsetzung war von Angang an systematisch in der DSGVO angelegt und hängt natürlich eng mit dem (intendierten) sehr weiten räumlichen Anwendungsbereich der Verordnung zusammen.

Referentenentwurf des Bundesarbeitsministeriums: Betriebsrat nicht datenschutzrechtlich verantwortlich, aber irgendwie doch…

In dem aktuellen Referentenentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) für ein Gesetz zur Förderung der Betriebsratswahlen und zur Stärkung der Betriebsräte (Betriebsrätestärkungsgesetz) (Stand: 21.12.2020) schlägt das BMAS auch eine gesetzliche Regelung zur datenschutzrechtlichen Verantwortlichkeitsverteilung zwischen Arbeitgeber und Betriebsrat vor. Der Betriebsrat soll nicht datenschutzrechtlich verantwortlich sein. Jedoch ist der Entwurf meines Erachtens jedoch noch nicht zufriedenstellend und bringt in der Praxis sogar ggfs. noch mehr Probleme mit sich. Nachfolgend eine kurze Einordnung zu dem Vorschlag.

Zweck

Mit einem neuen § 79a BetrVG soll die datenschutzrechtliche Verantwortlichkeit nach der Datenschutz-Grundverordnung bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich klargestellt werden (S. 2).

Die Regelung soll die bislang bestehende, seit dem Inkrafttreten der DSGVO jedoch umstrittene Rechtslage fortführen und „dient der Schaffung von Rechtsklarheit“ (S. 16). Ich stelle dieses letzte Ziel bewusst heraus, da der Entwurf dieses Ziel meines Erachtens (noch) verfehlt.

Neuer § 79a BetrVG

Der vorgeschlagene § 79a BetrVG soll wie folgt lauten:

§ 79a

Datenschutz

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Begründung im Entwurf

Nach Ansicht des BMAS agieren die Betriebsräte bei der Verarbeitung personenbezogener Daten als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für die Verarbeitung personenbezogener Daten durch den Betriebsrat sei sachgerecht, weil der Betriebsrat lediglich organisationsintern, jedoch keine nach außen rechtlich verselbständigte Institution ist (S. 16).

Das BMAS stützt sich bei der Regelung auf die in Art. 4 Nr. 7 DSGVO eröffnete Möglichkeit, den für die Datenverarbeitung Verantwortlichen im mitgliedstaatlichen Recht zu bestimmen (S. 24). Die Regelung soll die seit dem Inkrafttreten der Datenschutz-Grundverordnung umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat festlegen und „weist diese dem Arbeitgeber zu (Satz 1)“ (S. 24).

Dies ist nach Ansicht des BMAS sachgerecht, da der Betriebsrat keine nach außen rechtlich verselbständigte Institution ist. Bei der Verarbeitung personenbezogener Daten agiere der Betriebsrat daher als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers (S. 24).

Einschätzung

Und hier möchte ich dann in die Kommentierung des Entwurfs übergehen. Denn meines Erachtens erfolgt ab hier in der Gesetzesbegründung ein Bruch der Argumentation. Noch einmal zusammengefasst: das BMAS möchte den Arbeitgeber als gesetzlich Verantwortlichen nach DSGVO und BDSG festlegen. Das ist möglich, auch wenn manche sich evtl. eine andere Festlegung gewünscht hätten.

Wenn man aber den Arbeitgeber (das Unternehmen) als „Verantwortlichen“ nach der DSGVO festlegt, dann muss dies meines Erachtens auch konsequent für alle datenschutzrechtlichen Rechte und Pflichten gelten. Es gibt keinen „Verantwortlichen“ nach der DSGVO, der nur selektiv einer Pflichtenerfüllung unterliegt.

Die Begründung im Referentenentwurf führt aus: „Bei der Verarbeitung personenbezogener, teils sensibler, Beschäftigtendaten hat auch der Betriebsrat die datenschutzrechtlichen Vorschriften einzuhalten. Diese ergeben sich insbesondere aus der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und dem Bundesdatenschutzgesetz“ (S. 24).

Die Ansicht des BMAS ist hier meines Erachtens mindestes missverständlich. Denn zur Einhaltung der Pflichten nach DSGVO ist nicht ein Teil eines Verantwortlichen oder Auftragsverarbeiters verpflichtet, sondern der Verantwortliche an sich. Natürlich bedeutet dies, dass ein Unternehmen dafür sorgen muss, dass innerorganisatorisch gesetzliche Regelungen beachtet werden (also zB Mitarbeiter den Datenschutz einhalten). Gesetzlich verpflichtet ist aber nicht der einzelne Mitarbeiter oder eine Abteilung oder ein Fachbereich, sondern das Unternehmen an sich (als „Verantwortlicher“; in der Sondersituation des Exzesses mag dies anders sein). Die Begründung des BMAS eröffnet hier bereits Raum für Unsicherheiten, ob nicht der Betriebsrat doch noch irgendwie selbst verantwortlich bzw. verpflichtet ist. Allein die Möglichkeit dieser Interpretation der Begründung steht aber dem begrüßenswerten Ziel der Rechtsklarheit der Regelung entgegen.

§ 79a sieht auch beiderseitige Unterstützungspflicht von Arbeitgeber und Betriebsrat bei der Einhaltung der datenschutzrechtlichen Vorschriften vor (Satz 2). Nach der Begründung beruht dies auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits (S. 24).

Daher, so die Begründung, „sind Arbeitgeber und Betriebsrat bei der Erfüllung der datenschutzrechtlichen Pflichten in vielfacher Weise auf gegenseitige Unterstützung angewiesen: So hat der Betriebsrat z.B. keine Pflicht, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 der Datenschutz-Grundverordnung) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten“ (S. 24).

Der Entwurf nennt als weiteres Beispiel den datenschutzrechtlichen Auskunftsanspruch. Bei des Erfüllung ist der Arbeitgeber, wenn der Auskunftsanspruch sich auf die durch den Betriebsrat verarbeiteten Daten bezieht, auf die Unterstützung durch den Betriebsrat angewiesen (S. 24).

Die Begründung des BMAS verdeutlicht meines Erachtens die künstliche, einseitige Bestimmung der Verantwortlichkeit, die rein faktisch aber selbst nach Ansicht des BMAS gar nicht besteht bzw. durch den Arbeitgeber voll ausgeübt werden kann, ohne dass er durch den Betriebsrat unterstützt wird. Es schießen sich bei dieser Regelung in Satz 2 ganz entscheidende Praxisfragen an: was geschieht, wenn der Betriebsrat nicht unterstützt? Wie weit muss der Betriebsrat unterstützen? Gelten Antwortfristen nach der DSGVO an Betroffene auch für den Betriebsrat? Was geschieht, wenn aufgrund unterbliebener oder ungenügender Unterstützung ein Bußgeld gegen den Arbeitgeber verhängt wird?

Offensichtlich möchte das BMAS dem Betriebsrat eine Sonderstellung zukommen lassen, die natürlich arbeits- und betriebsverfassungsrechtlich besteht, jedoch datenschutzrechtlich für erheblich Unsicherheit in der Praxis führen kann.

Der worst case wäre hier sicher ein datenschutzrechtlich verantwortlicher Arbeitgeber (qua Gesetz), der aber zum Teil seine DSGVO-Pflichten nicht erfüllen kann. Bereits dieses mögliche Ergebnis (welches auch das BMAS sieht und daher die Unterstützungspflicht aufnimmt) macht meines Erachtens deutlich, dass die Festlegung der Verantwortlichkeit hier kein einfaches Unterfangen ist. Nicht zuletzt aufgrund der Schnittmenge zwischen europäischem Datenschutzrechts und nationalem Arbeits/Betriebsverfassungsrecht. Wenn jedoch eine Verantwortlichkeit festgelegt wird, dann kann und muss dies meines Erachtens umfassend erfolgen. Dies sehe ich in dem Entwurf noch nicht.

Dieses (problematische) Ergebnis wird in der Entwurfsbegründung in dem nächsten Absatz besonders deutlich.

Schließlich hat der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Artikel 24 und 32 der Datenschutz-Grundverordnung sicherzustellen.“

Hier bricht dann das datenschutzrechtlich angedachte Konzept der Verantwortlichkeit des Arbeitgebers vollends. Denn der Betriebsrat soll selbst und „eigenverantwortlich“ Pflichten der Datensicherheit umsetzen. Die dort benannten Pflichten, etwa Art. 32 DSGVO, treffen aber entweder den Verantwortlichen und/oder den Auftragsverarbeiter. Es ist nicht vorgesehen, dass national gesetzliche Pflichten auf innerbetriebliche Einheiten delegiert werden. Meines Erachtens schafft diese Regelung und ihre Begründung daher Unsicherheit darüber, wie andere relevanten Datenschutzpflichten in der Praxis zu erfüllen sind.

Zuletzt noch ein Hinweis auf die Vorgaben des Art. 4 Nr. 7 DSGVO selbst. Der Verantwortliche kann nach nationalem Recht bestimmt werden, wenn (!) die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind. Zu dieser Anforderung der DSGVO verhakte sich die Begründung überhaupt nicht. Man fragt sich also, welche Zwecke und Mittel das BMAS als auschlaggebend erachtet, um dem Arbeitgeber die Verantwortlichkeit aufzuerlegen.

Fazit

Das Ziel der Rechtssicherheit erfüllt der Vorschlag leider noch nicht. Meines Erachtens sollte im Rahmen der Verbändeanhörung und einer möglichen Anpassung des Entwurfs darüber nachgedacht werden, ob die Festlegung der Verantwortlichkeit in dieser Form wirklich rechtssicher umzusetzen ist. Auf jeden Fall sollte diese Festlegung, wenn sie erfolgt, konsequent gelten und nicht vereinzelt Ausnahmen vorsehen.

Referentenentwurf zum 2. IT-Sicherheitsgesetz – Datenverarbeitung in Systemen der Angriffserkennung

Letzte Woche hat das Bundesinnenministerium einen neuen Referentenentwurf für das Zweite Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) veröffentlicht (pdf).

Mit dem Vorschlag sollen unter anderem auch Anpassungen an dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vorgenommen werden (Artikel 1 des Referentenentwurfs).

Eine von vielen interessanten und praktisch relevanten Schnittmengen zum Datenschutzrecht findet man in dem Vorschlag, eine Pflicht zum Einsatz von Systemen zur Angriffserkennung (§ 8a Abs. 1a und 1b BSIG-E) einzuführen.

Nach § 2 Abs. 9b BSIG-E handelt es sich bei „Systemen zur Angriffserkennung“ um durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten. Der Entwurf sieht also eine Legaldefinition dieser Systeme vor.

Die eigentliche Pflicht zum Einsatz solcher Systeme findet sich in § 8a Abs. 1a BSIG-E:

Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst spätestens ein Jahr nach Inkrafttreten dieses Gesetzes auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.“

Der Referentenentwurf sieht die Systeme zur Angriffserkennung damit als Teil der allgemein umzusetzenden organisatorische und technische Vorkehrungen. Hieraus lässt sich bereits ein erster Brückenschlag zum Datenschutzrecht, konkret Art. 32 DSGVO, vornehmen. Auch dort wird allgemein die Pflicht zur Umsetzung von technischen und organisatorischen Schutzmaßnahmen vorgesehen. Eine solche allgemeine Pflicht findet sich in dem aktuellen § 8a Abs. 1 BSIG, wonach Betreiber Kritischer Infrastrukturen verpflichtet sind, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

Mit dem Vorschlag zu § 8a Abs. 1a und 1b BSIG-E werden Betreiber Kritischer Infrastrukturen konkretisierend dazu verpflichtet, in Kritischen Infrastrukturen Systeme zur Angriffserkennung einzusetzen und bestimmte Daten für mindestens vier Jahre zu speichern (dies ergibt sich aus dem vorgeschlagenen Abs. 1b).

Der Referentenwurf ordnet § 8a Abs. 1a BSIG-E als Ergänzung der Verpflichtung der Betreiber Kritischer Infrastrukturen ein, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Diese Pflicht umfasst mit der Ergänzung nach der Begründung nun auch ausdrücklich Systeme zur Angriffserkennung (S. 67 des Entwurfs).

Bereits aus der vorgeschlagenen Legaldefinition (§ 2 Abs. 9b BSIG-E) ergibt sich, dass eine solche Angriffserkennung dabei meist durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten, erfolgt. Das System basiert also quasi auf einer Datenverarbeitung und einem Datenabgleich.

Nach der Begründung in dem Referentenwurf (S. 68) können sich darunter natürlich auch personenbezogene Daten befinden. Beispiele werden nicht genannt, man kann aber etwa an IP-Adressen, MAC-Adressen oder auch Geräte-IDs denken. Das BSIG-E lässt die Vorgaben der DSGVO zum Umgang mit personenbezogenen Daten selbstverständlich unangetastet. Daher verweist das BMI in der Begründung, für die Frage der rechtlichen Zulässigkeit des Datenabgleichs, auch auf die DSGVO.

Soweit die Verarbeitung personenbezogener Daten für die Angriffserkennung erforderlich ist, sind Betreiber Kritischer Infrastrukturen nach § 8a Absatz 1a nun auch ausdrücklich dazu verpflichtet. Die Regelung enthält daher eine rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c DSGVO zur Verarbeitung personenbezogener Daten.“

Mit dem vorgeschlagenen § 8a Abs. 1a BDSIG-E möchte das BMI also eine rechtliche Verpflichtung zur Datenverarbeitung schaffen. Diese Begründung ist unter zwei Gesichtspunkten interessant:

  • Zum einen geht die Begründung (zumindest nicht ausdrücklich) näher auf die Anforderungen nach Art. 6 Abs. 3 und 4 DSGVO ein. Danach muss der Zweck der Verarbeitung in der Rechtsgrundlage festgelegt sein. Jedoch lässt sich der Zweck der hier durchgeführten Datenverarbeitung aber mE auch aus dem Text des Abs. 1a entnehmen. Es müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfasst und ausgewertet werden können; zudem ist Ziel, dass die Systeme dazu in der Lage sind, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.
  • Mit diesem Vorschlag und der begründenden Verweisung auf Art. 6 Abs. 1 lit. c DSGVO ist mE gleichzeitig die Tendenz erkennbar, gesetzliche Pflichten zur Umsetzung von technischen und organisatorischen Schutzmaßnahmen als Rechtsgrundlage einer dafür erforderlichen Datenverarbeitung anzusehen. Ich vertrete und begründe diese Auffassung mit Blick auf Art. 32 DSGVO etwa in meinem Beitrag („Sicherheit der Verarbeitung“ als gesetzlicher Erlaubnistatbestand) in der Festschrift für Prof. Jürgen Taeger.

Rein praktisch stellen sich für Betreiber von Kritischen Infrastrukturen dann noch nachfolgende datenschutzrechtliche Fragen, wie etwa die Aufnahme der Verarbeitung (also des Systems zur Angriffserkennung ins Verzeichnis der Verarbeitungstätigkeiten) oder auch die Erfüllung von Informationspflichten nach Art. 13/14 DSGVO. Insbesondere hinsichtlich der Informationspflichten kann ggfs. die Ausnahme nach Art. 13 Abs. 4 DSGVO einschlägig sein. Eventuell sollte das BMI oder der Gesetzgeber insgesamt aber auch noch klarstellend eine ausdrückliche gesetzliche Ausnahme vorsehen. Zu denken ist hier auch an die Situation der Dritterhebung (Art. 14 DSGVO), wenn die in dem System der Angriffserkennung also nicht direkt bei den Betroffenen erhoben werden. Dann könnten sich Unternehmen eventuell auf die Ausnahme nach Art. 14 Abs. 5 b DSGVO berufen.

Justizministerium veröffentlicht Referentenentwurf zur Umsetzung der Richtlinie über digitale Inhalte – Vom „Zahlen mit Daten“ und der Vertragsnichtigkeit bei DSGVO-Verstößen

Am 3. November hat das BMJV den lang erwarteten Referentenentwurf zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen veröffentlicht (pdf). Dieser soll die Vorgaben der Richtlinie 2019/770 in das deutsche Recht umsetzen.

Ganz allgemein bietet der Referentenentwurf eine Fülle an spannenden Themen rund um die Digitalisierung, insbesondere etwa eine Updatepflicht (inkl. der Frage, inwieweit Verbraucher hierbei mitwirken müssen) (§ 327 f BGB) für Unternehmen und auch Vorschriften zu Mängelrechten, wenn digitale Produkte (dies umfasst digitale Inhalte und Dienstleistungen) nicht frei von Produkt- und Rechtsmängeln sind (§ 327e BGB).

Daneben bietet der Entwurf spannende Überschneidungen zum Datenschutzrecht. Auf einige solcher Themenkomplex möchte ich hier kurz eingehen. Weitere Beiträge zu dem Vorhaben folgen sicherlich noch.

Verträge, bei denen „mit Daten bezahlt“ wird

Der Referentenentwurf schlägt einen neuen § 312 Abs. 1a BGB vor, mit dem nun auch ausdrücklich geregelt werden soll, dass die Verbraucherschutzvorschriften auf Verträge Anwendung finden, die ein „Bezahlen mit Daten“ zum Gegenstand haben. Der neue Abs. 1a lautet:

Die Vorschriften der Kapitel 1 und 2 dieses Untertitels sind auch auf Verbrauchervertra?ge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet.“

Zunächst ist festzustellen, dass sich die Vorschrift nur auf personenbezogene Daten bezieht; also nicht auf technische Informationen. Was personenbezogene Daten sind, ergibt sich aus der Legaldefinition des Art. 4 Nr. 1 DSGVO.

Nach Satz 2 ausgenommen sein sollen jene Verarbeitungen, die zur Erfüllung des Vertrages oder auch gesetzlicher Pflichten erforderlich sind. Nach der Begründung dürfte dies etwa einschlägig sein bei der „Erhebung personenbezogener Daten des Verbrauchers wie Name, Postanschrift oder E-Mail-Adresse, die der Unternehmer benötigt, um seinem Vertragspartner die vereinbarte Leistung zukommen zu lassen“. Eine weitere Ausnahme betrifft Datenverarbeitungen, zu denen der Unternehmer aufgrund gesetzlicher Anforderungen, laut der Begründung „etwa nach Steuer- oder Ordnungsrecht, verpflichtet ist“. Es geht bei den für den Anwendungsbereich relevanten Daten also stets um ein „Mehr“ an Zwecken bzw. Datenverarbeitungen. Auch eine Zweckänderung von Daten kann zur Anwendung der neuen Vorschriften führen.

Datenschutzverstoß führt nicht zur Nichtigkeit des Vertrages

Interessant ist die folgende Begründung im Entwurf: „Auf die Frage der datenschutzrechtlichen Rechtma?ßigkeit der Datenverarbeitung kommt es für die Anwendbarkeit der §§ 312 ff. BGB-E nicht an“. Dies wird damit begründet, dass es aus Sicht des Verbrauchers nicht nachteilig sein darf (er also nicht auf die Einhaltung verbraucherschützender Vorschriften vertrauen darf), wenn die Datenverarbeitung unzulässig ist.

Ganz abstrakt relevant ist die Ansicht des BMJV, dass Verstöße gegen die Vorgaben der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO keine Regelungen betreffen, die sich gegen den Abschluss eines mit der Datenerhebung verbundenen Rechtsgeschäfts wenden. In der Begründung wird etwa auf Art. 6 Abs. 1 lit. a, b und f DSGVO verwiesen. Das bedeutet nach Ansicht des BMJV auch, dass „ein Verstoß gegen die entsprechenden Vorschriften der Datenschutz-Grundverordnung die Wirksamkeit des Vertrags mit Blick auf § 134 BGB unberührt“ lässt.

Diese Ansicht ist deshalb ganz allgemein von praktischer Relevanz, da es in der Vergangenheit bereits anderslautende Rechtsprechung gab, etwa im Fall des OLG Frankfurt a.?M., Urteil vom 24.1.2018 – 13 U 165/16. Dort ging das Gericht (noch zum alten Datenschutzrecht, konkret zu § 28 Abs. 3 BDSG aF) davon aus, dass sowohl ein Verstoß gegen § 28 Abs. 3 S. 1 BDSG aF als auch ein Verstoß gegen § 7 Abs. 3 Nr. 3 UWG zu einer Nichtigkeit des gesamten Vertrags gemäß § 134 BGB führt.

Schon die „Bereitstellung“ genügt

Beachtenswert ist, dass Verträge bereits dann erfasst werden, wenn personenbezogene Daten bereitgestellt werden oder sich der Verbraucher hierzu auch nur verpflichtet.

Nach der Begründung ist der „Begriff der Bereitstellung personenbezogener Daten ist im weitest möglichen Sinne zu verstehen und umfasst alle Verarbeitungen von personenbezogenen Daten des Verbrauchers durch den Unternehmer, unabhängig von der Art und Weise der Verarbeitung“.

Ausdrücklich nicht erforderlich ist daher, dass der Verbraucher dem Unternehmer seine personenbezogenen Daten aktiv übermittelt. Ausreichend soll vielmehr sein, dass der Verbraucher die Verarbeitung seiner personenbezogenen Daten durch den Unternehmer zulässt.

Und hier nennt das BMJV einige interessante Fälle für die Praxis:

Dies kann bereits im Zeitpunkt des Vertragsschlusses geschehen sein oder auch im weiteren Verlauf erfolgen. Eine Bereitstellung liegt auch vor, wenn der Unternehmer Cookies setzt oder Metadaten wie Informationen zum Gerät des Verbrauchers oder zum Browserverlauf erhebt, soweit der betreffende Sachverhalt als Vertrag anzusehen ist“.

Dies bedeutet, dass das BMJV von einem „Bereitstellen“ und damit der Anwendung der Verbraucherschutzvorschriften ausgeht, wenn Unternehmen Cookies auf Geräten der Nutzer setzen, um hierüber personenbezogene Daten zu erheben. Man darf davon ausgehen, dass Cookies nur ein möglicher Anwendungsfall sind und dies etwa auch für Pixel oder Scripte gelten wird.

Seltsamer Beschluss der Datenschutzkonferenz zu „verhaltensbasierter Werbung“ (UPDATE)

Auf der Webseite der Datenschutzkonferenz (DSK) wurde mit Datum vom 25.9.2019 ein Beschluss zu „verhaltensbasierter Werbung“ veröffentlicht (PDF). Seltsam ist der Beschluss, da er sich materiell rechtlich überhaupt nicht mit verhaltensbasierter Werbung befasst und zudem auch formelle Defizite aufweist und den Leser mit Fragen zurücklässt.

Beschluss

Der Beschluss bezieht sich auf eine Beschwerde des Netzwerk Datenschutzexpertise (Netzwerk). Gemeint ist wohl diese Beschwerde (PDF). Dort wird auf mögliche Verstöße gegen das Datenschutzrecht durch Google und „andere Internet-Unternehmen der Branche“ hingewiesen. Die Beschwerde des Netzwerks ist von vier Personen unterzeichnet und datiert auf den 4.6.2019. Laut dem Beschluss der DSK wird in der Beschwerde die Datenverarbeitung durch Google sowie weitere Anbieter, die Mitglieder des IAB Europe sind, gerügt. Die DSK bezieht sich ausdrücklich nur auf diese Beschwerde, die bei mehreren deutschen Datenschutzbehörden eingelegt wurde.

Die DSK folgert aus der Beschwerde, dass diese sich allein gegen Google richtet, da weitere „Anbieter bzw. Akteure“ nicht ausdrücklich genannt werden.

Die DSK hat daraufhin den oben verlinkten Beschluss gefasst. Kurzer Exkurs zu dem Verständnis der DSK, was ein Beschluss ist. „Beschlüsse sind Positionen, die die Auslegung datenschutzrechtlicher Regelungen bzw. entsprechende Empfehlungen betreffen.“ (siehe: Geschäftsordnung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz), PDF). Zur besseren Verständlichkeit meiner nachfolgenden Kritik, hier der Inhalt des Beschlusses:

Die Beschwerde erfüllt die Anforderungen gem. Art. 77 DSGVO, da sie

1. von natürlichen Personen als betroffenen Personen eingelegt wurden (die 4 Unterzeichner);

2. sich gegen einen konkreten Verantwortlichen richtet (Google) und

3. die betroffenen Personen beschwerdebefugt sind, da sie umfassend erläutern, dass die Datenverarbeitung bei der personalisierten Online-Werbung gegen die DS-GVO verstößt und sie dadurch in ihren Rechten verletzt werden.

II. Beschwerdegegner ist zunächst nur Google. Soweit sich die Beschwerde gegen dieses Unternehmen richtet, ist sie zunächst an den Hamburgischen Beauftragten weiterzuleiten.

IV. Das IAB Europe ist kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO, da es sich beim IAB Europe lediglich um einen Interessenverband von Unternehmen aus dem Bereich Programmatic Advertising handelt.

V. Sofern eine Aufsichtsbehörde der Auffassung ist, die Beschwerde sei dahingehend auszulegen, dass sich die Beschwerde gegen die jeweiligen Mitgliedsunternehmen des IAB Europe richtet, so ist mit der Beschwerde entsprechend Ziff. III. zu verfahren.

Kritik

Es stellt sich natürlich zunächst die Frage, was die DSK mit diesem Beschluss bezweckt. Dies wird zumindest für mich, auch nach mehrmaligen Lesen, nicht ganz deutlich.

Kritisieren lässt sich zunächst, dass der Beschluss, anders als in der Überschrift suggeriert, inhaltlich nichts mit einer materiell-rechtlichen Position der Behörden zur verhaltensbasierten Werbung zu tun hat. Vielmehr scheint es hier um die Festlegung einer nationalen Zuständigkeit für eine (oder mehrere?) Beschwerde(n) sowie die Feststellung des Vorliegens der Voraussetzungen für eine (oder mehrere?) Beschwerde(n) zu gehen.

Da stellt sich freilich die Frage, was diese Beschwerde so besonders macht, dass die DSK sich zu einem Beschluss gezwungen sah? Denn andere Beschwerden, die bei den Behörden eingehen, werden nicht per Beschluss der DSK veredelt. Zu dem Hintergrund des Beschlusses, finden sich keine Angaben.

Zudem ist zu fragen, was Ziel des Beschlusses ist? Eine bindende Wirkung für alle Aufsichtsbehörden? Diesen Anschein erweckt Ziff. II: „ist sie zunächst an den Hamburgischen Beauftragten weiterzuleiten“. Gibt die DSK nun alles Aufsichtsbehörden bindend vor, wie diese mit Beschwerden umzugehen haben und welche Behörde national zuständig ist? Meine Vermutung ist, dass der Beschluss eine Manifestierung der Vorgabe des § 19 Abs. 2 S. 1 BDSG darstellt. Danach gibt die Aufsichtsbehörde, bei der eine betroffene Person Beschwerde eingereicht hat, die Beschwerde an die federführende Aufsichtsbehörde nach § 19 Abs. 1 BDSG, in Ermangelung einer solchen an die Aufsichtsbehörde eines Landes ab, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Da diese Abgabe aber ohnehin gesetzlich zwingend („gibt die Beschwerde…ab“) vorgegeben ist, stellt sich die Frage nach dem Sinn des Beschlusses.

In Ziff. II wird per Beschluss vorgegeben, dass „Google“ der Beschwerdegegner sei. Welche Einheit ist hier jedoch mit „Google“ gemeint? Die Google LLC, die Google Ireland Limited oder z.B. Google Germany GmbH? Dies wird in dem Beschluss nicht deutlich und lässt den Leser ratlos zurück. Auch aus der oben verlinkten Beschwerde wird dies nicht klar. Konkretisiert die DSK evtl. eine zu allgemein abgefasste Beschwerde per Beschluss? (dem würde sich die Frage anschließen, ob sie dies darf). Man kann, aufgrund der Erwähnung der Behörde aus Hamburg, schlussfolgern, dass wohl die Google Germany GmbH mit Sitz in Hamburg gemeint ist. Warum wird dies dann aber nicht in dem Beschluss deutlich gemacht?

Der Beschluss verhält sich zudem nicht zu der (ggfs. vorliegenden federführenden) Zuständigkeit der Behörde aus Irland. In der in dem Beschluss angesprochenen Beschwerde wird ausdrücklich darauf hingewiesen, dass eine entsprechende Beschwerde bei der irischen Datenschutzbeauftragten erhoben wurde und, angesichts „der europaweiten Dimension der in dieser Beschwerde aufgeworfenen Fragen und Unternehmen“ es sinnvoll erscheint, dass die Aufsichtsbehörden dieses Thema gemeinsam prüfen (S. 15).

Der Beschluss bezieht sich mehrmals auf „die Beschwerde“. Es scheint also um eine einzelne Beschwerde zu gehen. Art. 77 Abs. 1 DSGVO, dessen Voraussetzungen nach dem Beschluss hier vorliegen, bezieht sich ausdrücklich auf eine Beschwerde einer betroffenen Person. Laut dem Text der Beschwerde erhalten die Datenschutzbehörden „individuelle Beschwerden von Frau Elisabeth Niekrenz, Herrn Thilo Weichert, Herrn Frank Spaeing und Herrn Friedemann Ebelt“ (S. 15). Nach Ziff. I 1. des Beschlusses erfüllt die einzelne Beschwerde des Netzwerkes die Anforderungen des Art. 77 DSGVO, da sie „von natürlichen Personen als betroffenen Personen eingelegt wurden (die 4 Unterzeichner)“. Hier scheint der Beschluss die eine, referenzierte Beschwerde des Netzwerkes und die wohl vorliegenden Einzelbeschwerden zu vermengen. Geht die DSK folglich davon aus, dass eine Beschwerde nach Art. 77 DSGVO auch zulässig ist, wenn mehrere natürliche Personen in einem Schreiben eine Beschwerde einreichen?

Nach Ziff. I 2. des Beschlusses richtet sich die Beschwerde gegen einen „konkreten Verantwortlichen“, Google. Auch dies muss verwundern, da aus dem Beschluss nicht deutlich wird, welche juristische Person mit „Google“ gemeint ist (siehe oben). Auch in der Beschwerde des Netzwerkes wird nur „Google“ genannt, nicht jedoch die LLC oder etwa die deutsche GmbH. Es stellt sich daher die Frage, wen die DSK hier (per Beschluss) als Verantwortlichen betrachtet und gleichzeitig als solchen festlegt?

In Ziff. V wird darauf hingewiesen, dass eine Aufsichtsbehörde, die der Auffassung ist, dass die Beschwerde dahingehend auszulegen sei, „dass sich die Beschwerde gegen die jeweiligen Mitgliedsunternehmen des IAB Europe richtet“, mit dieser Beschwerde entsprechend Ziff. III zu verfahren habe. Ziff. III fehlt jedoch in dem Beschluss der DSK. Es stellt sich daher die Frage, wie Aufsichtsbehörden in diesem Fall nach Ansicht der DSK zu verfahren haben? Fehlt Ziff. III bewusst oder handelt es sich um einen formellen Fehler?

Zuletzt noch ein ganz persönlicher Kritikpunkt, der mich bereits in mehrere Verwaltungsverfahren stutzten lässt: die DSK stellt per Beschluss in Ziff. I 3. fest, dass die Anforderungen von Art. 77 DSGVO erfüllt seien (weitere Fragen: kann die DSK das Vorliegen von Tatbestandsvoraussetzungen der DSGVO in einem konkreten Verwaltungsverfahren feststellen? Geht die DSK hier davon aus, dass sie über eine entsprechende Rechtsnatur verfügt, um materiell-rechtliche Vorgaben zu prüfen und aufgrund dieser Prüfung den Aufsichtsbehörden Vorgaben zu machen?), da die Beschwerdeführer erläutern, dass „die Datenverarbeitung bei der personalisierten Online-Werbung gegen die DS-GVO verstößt“. Für Art. 77 Abs. 1 DSGVO ist jedoch ausreichend, dass die betroffene Person der Ansicht ist, dass die Verarbeitung gegen die DSGVO verstößt. Die DSK scheint hier im Beschluss diese Position einfach als gegeben hinzunehmen. Sie hätte ja durchaus auch schreiben können, „erläutern, dass die…ihrer Ansicht nach gegen die DSGVO verstößt“. Dieser Verweis auf die Ansicht der Beschwerdeführer fehlt in dem Beschluss jedoch gänzlich, ohne dass eventuell bisher die Stellungnahme des Verantwortlichen begutachtet wurde.

Wie bereits einleitend angemerkt, fällt zuletzt auf, dass der Beschluss materiell-rechtlich keine Aussagen zur verhaltensorientierten Werbung trifft. Es scheint sich vielmehr um einen Beschluss zu einer (oder mehreren?) Beschwerde(n) und deren Zulässigkeit und der Zuständigkeit der Bearbeitung zu handeln. Möglicherweise gab es auch Streit unter den deutschen Behörden hinsichtlich des weiteren Vorgehens. Eine Unterrichtung nach Art. 77 Abs. 2 DSGVO scheint der Beschluss aus meiner Sicht nicht zu sein. Denn diese Unterrichtung muss nur gegenüber dem Beschwerdeführer, nicht jedoch der Allgemeinheit erfolgen. Zudem, und viel wichtiger, ist die DSK keine „Aufsichtsbehörde“ im Sinne des Art. 77 Abs. 2 DSGVO. Nur diese muss aber den Beschwerdeführer unterrichten.

Update vom 4.10.2019

Nach meinem Blogbeitrag zu dem oben besprochenen und verlinkten Beschluss der DSK, hat man in den Datenschutzbehörden die geäußerte Kritik wohl zur Kenntnis genommen. Nun wurde der Beschluss erneut auf der Webseite der DSK veröffentlicht (pdf). Wenn man hofft, dass darauf hingewiesen wird, dass dieser Beschluss eine zweite oder zumindest angepasste Version des ursprünglich veröffentlichten Beschlusses darstellt, wird man jedoch enttäuscht. Der Beschluss enthält weiterhin keine Angabe dazu, wann er gefasst wurde. Auf der Webseite ist weiterhin der 25.09.2019 als Veröffentlichungsdatum angegeben. Der Dateiname verweist auf den 26.9.

Ich habe den ursprünglich veröffentlichten Beschluss natürlich heruntergeladen und dieser steht hier zum Abruf bereit (pdf).

Tatsächlich bin ich etwas irritiert und ja, auch verärgert, dass die Aufsichtsbehörden in dieser intransparenten Weise agieren. Wenn die erste Version des Beschlusses Fehler enthielt, kann man dies ja unproblematisch auf der Webseite deutlich machen. Fehler (dürfen) passieren. Eventuell war die erste Version ja auch so inhaltlich nicht abgestimmt. Jedoch wird hier ein Beschluss öffentlich gemacht und dann im Nachhinein, ohne Information des Empfängerkreises, nachträglich angepasst. Wie soll dieses Vorgehen bei uns als interessierten Lesern und sicherlich auch beabsichtigten Empfängerkreis verstanden werden? Sollen wir besser wöchentlich prüfen, ob nicht Beschlüsse oder andere Entscheidungen der DSK nachträglich angepasst wurden? Oder sollen wir entsprechende Veröffentlichungen der DSK, wie man so schön sagt, „nicht so ernst nehmen“?

Die Anpassungen betreffen die Bezifferung im Beschluss selbst und einen Verweis in Ziff. IV (nun auf Ziff. II).

Im konkreten Fall mag der Beschluss keine bahnbrechende Relevanz haben. Was jedoch, zumindest für mich, zurückbleibt, ist ein Unverständnis über ein solches intransparentes Handeln der DSK gegenüber der Öffentlichkeit.

Datenschutzbehörde Bremen befragt Unternehmen zur Nutzung von Microsoft Office 365

Die LfDI Bremen hat auf ihrer Webseite Informationen zu einer aktuellen Umfrage bei den 30 größten Unternehmen der Hansestadt zum Einsatz von Microsoft Office 365 veröffentlicht. Hierfür werden Fragebögen an Unternehmen in Bremen gesendet.

Die Aufsichtsbehörde begründet die Aktion damit, dass es zahlreiche Nachfragen zur cloud-basierten Bürosoftware Office 365 gegeben habe und daher der Einsatz der Software im Hinblick auf die Sicherheit und Rechtmäßigkeit der Verarbeitung personenbezogener Daten genauer betrachtet werden soll.

Die angeschriebenen Unternehmen wurden laut Angaben der LfDI aufgefordert, den Fragebogen bis zum 30. September 2019 zu beantworten.

Der von der LfDI genutzte Fragebogen findet sich hier (pdf).

Die Frage sind noch recht allgemein gehalten. Die LfDI wird sich in einem ersten Schritt wohl zunächst einen Überblick über den Einsatz der Software und auch die interne Dokumentation der Unternehmen zu dem Einsatz verschaffen wollen.

U.a. wird auch danach gefragt, ob vor dem Einsatz der Software eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt wurde. Sollte die Antwort „nein“ lauten, soll das Unternehmen begründen, warum die DSFA nicht stattfand. Hierbei scheint die LfDI eventuell Berichte aus den Niederlanden im Kopf zu haben. Dort wurde für das Justizministerium durch eine Beratungsgesellschaft eine DSFA durchgeführt und die Ergebnisse veröffentlicht.

Daneben fragt die LfDI etwa auch nach der Rechtsgrundlage der Datenübermittlung in Drittstaaten (konkret die USA).

Das jeweilige Anschreiben an die Unternehmen ist nicht veröffentlicht. Da laut den Informationen auf der Webseite die Unternehmen aber „aufgefordert“ werden, bis zu einer bestimmten Frist Informationen bereitzustellen, kann es sich hier auch um einen Verwaltungsakt handeln. Dafür kann etwa sprechen, wenn in dem Anschreiben auf § 40 Abs. 4 BDSG verwiesen wird, wonach der Aufsicht unterliegenden Stellen verpflichtet sind, einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen.

Erst kürzlich entschied das Verwaltungsgericht Mainz (Urteil vom 09.05.2019 – 1 K 760/18.MZ) in einem Verfahren, in dem die Datenschutzbehörde von dem Betreiber eines Tanzlokals Auskunft in Form eines Fragenkataloges, der insgesamt 16 Fragen umfasste, insbesondere hinsichtlich des Umfangs der eingesetzten Videoüberwachungstechnik, begehrte. Das Verwaltungsgericht sah den diesbezüglich erlassenen Verwaltungsakt der Behörde als rechtmäßig an. Das Verwaltungsgericht verwies hierzu u.a. auf die Untersuchungsbefugnisse der Behörden nach Art. 58 DSGVO und die Aufgabe nach Art. 57 Abs. 1 lit. a DSGVO, die Anwendung der DSGVO zu überwachen und durchzusetzen. Auf Art. 57 Abs. 1 lit. a DSGVO verweist auch hier die LfDI Bremen in den Erläuterungen.

Sollte es sich hier um einen Verwaltungsakt handeln, bestehen für die Unternehmen natürlich auch die gesetzlich vorgeschriebenen Rechtschutzmöglichkeiten.

Deutsche Aufsichtsbehörden veröffentlichen Leitlinien zur Datenübertragung im Rahmen von Asset Deals

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich per Beschluss (pdf) mit Stand vom 24.5.2019 auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Asset Deal zu berücksichtigen sind.

Zu erwähnen ist, dass die Aufsichtsbehörden aus Berlin und Sachsen den Beschluss abgelehnt haben.

Die Frage um die datenschutzrechtliche Zulässigkeit der Übertragung von Kundendaten im Rahmen eines Asset Deal ist nicht neu. Bisher gab es aber noch keine veröffentlichte Position aller deutschen Behörden. Nun liegt ein solcher Mehrheitsbeschluss vor.

Nachfolgend möchte ich nur kurz auf ein paar Punkte des Beschlusses eingehen.

Kundendaten bei laufenden Verträgen

Die DSK stellt hierzu fest:

Hier bedarf der Vertragsübergang zivilrechtlich einer Genehmigung der Kundin oder des Kunden (§ 415 BGB / Schuldübernahme). In dieser zivilrechtlichen Genehmigung wird als Minus auch die datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten gesehen. Damit sind die Gegeninteressen der Kundin oder des Kunden gewahrt.

Beim ersten Lesen könnte man meinen, die Behörden verlangen eine datenschutzrechtliche Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO. Dies ist jedoch meines Erachtens nicht der Fall.

Zum einen verwenden die Behörden hier ausdrücklich den Begriff „Zustimmung“ und nicht „Einwilligung“. Auch die DSGVO kennt im Übrigen den Unterschied zwischen „Zustimmung“ und der „Einwilligung“, wie man an den Regelungen in Art. 8 Abs. 1 und 2 DSGVO sehen kann. In dem Beschluss wird daher meines Erachtens bewusst von einer „Zustimmung“ gesprochen und nicht von einer Einwilligung.

Zum anderen sprechen die Behörden davon, dass in diesem Fall die „Gegeninteressen“ der Kunden gewahrt sind. Eine Berücksichtigung der Interessen ist aber im Rahmen einer Einwilligung nach Art. 4 Nr. 11 DSGVO nicht erforderlich. Diese wird wirksam erteilt oder eben nicht. Zuletzt bezieht sich der gesamte Beschluss laut seiner Überschrift auf den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO.

Ich halte es daher für gut vertretbar, die Aussage der Behörden so zu verstehen, dass Kundendaten innerhalb laufender Verträge datenschutzrechtlich ohne eine zusätzliche Einwilligung nach der DSGVO übertragen werden können. Leider geht der Beschluss nicht darauf ein, ob evtl. auch Art. 6 Abs. 1 lit. b) DSGVO als Erlaubnistatbestand in Betracht kommt, hierbei vor allem in der Variante der Vertragsdurchführung.

Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzter Vertragsbeziehung jünger als 3 Jahre

Wenn es um die Übertragung von Daten zu Bestandskunden geht, zieht die DSK eine, meiner Ansicht nach, gut vertretbare Grenze bei der regelmäßigen Verjährung nach § 195 BGB von 3 Jahren.

Daten von Kunden, die innerhalb dieses Zeitfensters fallen, werden nach Ansicht der Behörden nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO

im Wege der Widerspruchslösung (Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist (z. B. 6 Wochen) übermittelt. Diese Vorgehensweise ist für die Unternehmen aufwandsschonend und berücksichtigt durch die großzügige Widerspruchsfrist auch die Interessen der Kundinnen und Kunden.

Interessant hieran ist die relativ lang bemessene Frist zum Widerspruch. Nach Ansicht der Behörden immerhin mehr als einen Monat. Natürlich wird deutlich, dass die DSK die 6 Wochen „nur“ als Beispiel nennt. Jedoch sollte man in der Praxis daran denken, eine „ausreichend bemessene“ Frist zu gewähren. Lediglich ein paar Tage dürften etwa zu kurz sein.

Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO

Sollen bei einem Asset Deal Gesundheitsdaten übertragen wurden, geht die DSK offensichtlich von einem harten Einwilligungserfordernis aus.

Solche Daten können nur im Wege der informierten Einwilligung nach Art. 9 Abs. 2 lit. a), Art. 7 DS-GVO übergeleitet werden.

Leider geht die DSK hier nicht auf weitere Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO ein, wie etwa lit. f) „Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen“ oder auch auf Art. 9 Abs. 2 lit. b) DSGVO, wenn es um Beschäftigtendaten geht. Dies dürfte aber damit zusammenhängen, dass sich der Beschluss auf „Kundendaten“ bezieht.

Tracking und DSGVO – Datenschutzbehörden: Pseudonymisierung soll nicht zugunsten von Unternehmen berücksichtigt werden

Die deutsche Datenschutzkonferenz (DSK) hat letzte Woche ihre lang erwartet Orientierungshilfe (pdf) zum Tracking und vor allem zu dem Verhältnis von TMG und DSGVO veröffentlicht. Auf das letztgenannte Thema möchte ich hier nicht näher eingehen.

Hinweisen möchte ich vielmehr auf eine meines Erachtens unhaltbare Position der DSK im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO. Dieser Erlaubnistatbestand bildet aus Sicht der DSK die wohl meist einschlägige Rechtsgrundlage, wenn es um ein Tracking von Personen im Internet über Webseiten oder Nutzern in Apps geht.

Die DSK stellt die drei erforderlichen Prüfungsschritte der Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO dar.

  1. Stufe: Vorliegen eines berechtigten Interesses der Verantwortlichen oder eines Dritten
  2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen
  3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall

Im Rahmen der dritten Stufe weist die DSK richtigerweise darauf hin, dass die ermittelten, sich gegenüberstehenden Interessen zu gewichten sin. Hierfür kann keine allgemeingültige Regel aufgestellt werden. Soweit kein Problem.

Doch dann stellt die DSK recht apodiktisch fest:

Zu beachten ist, dass im Rahmen der Abwägung ohnehin bestehende Pflichten aus der DSGVO, z.B.  Informationspflichten oder die Sicherheit der Verarbeitung durch Pseudonymisierung, nicht zugunsten des Verantwortlichen berücksichtigt werden können. 

Diese pauschale Ablehnung einer positiven Berücksichtigung von Pseudonymisierungsmaßnahmen ist meines Erachtens kontraproduktiv für eine wirksame Umsetzung der DSGVO in der Praxis und vor allem rechtlich auch so nicht haltbar. Im Grunde gibt die DSK hier zu verstehen, dass Unternehmen personenbezogene Daten zwingend pseudonymisieren müssten, da dies so in der DSGVO vorgegeben sei und diese, datenschutzfreundliche Maßnahme, dem Unternehmen nicht zum Vorteil gereichen darf. Ich einer solchen Situation verstehe ich jede datenverarbeitende Stelle, die sich fragt, warum man überhaupt pseudonymisieren sollte? Denn der Vorgang der Pseudonymisierung kann, je nach vorliegenden Datenarten und dem Umfang, recht aufwendig sein. Hierzu muss man nur einmal einen Blick in die Legaldefinition der Pseudonymisierung in Art. 4 Nr. 5 DSGVO werfen. Die Anforderungen sind recht hoch.

Daneben ist diese Ansicht meines Erachtens aber auch rechtlich nicht vertretbar. Die DSGVO kennt nämlich keine Pflicht zur Pseudonymisierung, ebenso wenig wie eine Pflicht zur Verschlüsselung. Beide Maßnahmen sind im hier relevanten Art. 32 Abs. 1 DSGVO (Sicherheit der personenbezogenen Daten) als Beispiele umzusetzenden Maßnahmen genannt. Art. 32 Abs. 1 lit. a) DSGVO gibt vor: „Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten“.

Die Formulierung „unter anderem Folgendes ein“ in der deutschen Version der DSGVO ist ein Übersetzungsfehler. Dies ergibt sich aus dem Vergleich mit der englischen Sprachversion. Dort wird die Aufzählung mit „including inter alia as appropriate“ eingeleitet. Anders als die deutsche Fassung, verweist der englische Text ausdrücklich auf die Erforderlichkeit bzw. Angemessenheit einer jeden Maßnahme. Die Übersetzung von „as appropriate“ wurde in der deutschen Sprachfassung schlicht vergessen. Zudem ist zu beachten, dass Art. 32 Abs. 1 DSGVO jegliche Sicherheitsmaßnahmen von verschiedensten Faktoren abhängig macht, wie etwa dem Stand der Technik und auch der Implementierungskosten.

Anders, als von der DSK dargestellt, handelt es sich bei der Maßnahme „Pseudonymisierung“ nicht um eine ohnehin bestehende Pflicht nach der DSGVO. Zwar verweist die DSK im Folgesatz darauf, dass durch „zusätzliche Schutzmaßmaßnahmen die Beeinträchtigungen durch die Verarbeitung derart reduziert werden“ können, dass die Interessenabwägung zugunsten des Verantwortlichen ausfallen kann. Es stellt sich hier aber die Frage, was diese zusätzlichen Schutzmaßnahmen sein sollen, wenn etwa Pseudonymisieurng aus Sicht der DSK bereits eine gesetzlich zwingend vorgegebene Maßnahme ist.

Insgesamt ist es aus meiner Sicht daher nicht begründbar, wenn die DSK mit der Aussage kommuniziert, dass von Unternehmen umgesetzte Schutzmaßnahmen in der Interessenabwägung keine Berücksichtugung finden könnten.