Seltsamer Beschluss der Datenschutzkonferenz zu „verhaltensbasierter Werbung“ (UPDATE)

Auf der Webseite der Datenschutzkonferenz (DSK) wurde mit Datum vom 25.9.2019 ein Beschluss zu „verhaltensbasierter Werbung“ veröffentlicht (PDF). Seltsam ist der Beschluss, da er sich materiell rechtlich überhaupt nicht mit verhaltensbasierter Werbung befasst und zudem auch formelle Defizite aufweist und den Leser mit Fragen zurücklässt.

Beschluss

Der Beschluss bezieht sich auf eine Beschwerde des Netzwerk Datenschutzexpertise (Netzwerk). Gemeint ist wohl diese Beschwerde (PDF). Dort wird auf mögliche Verstöße gegen das Datenschutzrecht durch Google und „andere Internet-Unternehmen der Branche“ hingewiesen. Die Beschwerde des Netzwerks ist von vier Personen unterzeichnet und datiert auf den 4.6.2019. Laut dem Beschluss der DSK wird in der Beschwerde die Datenverarbeitung durch Google sowie weitere Anbieter, die Mitglieder des IAB Europe sind, gerügt. Die DSK bezieht sich ausdrücklich nur auf diese Beschwerde, die bei mehreren deutschen Datenschutzbehörden eingelegt wurde.

Die DSK folgert aus der Beschwerde, dass diese sich allein gegen Google richtet, da weitere „Anbieter bzw. Akteure“ nicht ausdrücklich genannt werden.

Die DSK hat daraufhin den oben verlinkten Beschluss gefasst. Kurzer Exkurs zu dem Verständnis der DSK, was ein Beschluss ist. „Beschlüsse sind Positionen, die die Auslegung datenschutzrechtlicher Regelungen bzw. entsprechende Empfehlungen betreffen.“ (siehe: Geschäftsordnung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz), PDF). Zur besseren Verständlichkeit meiner nachfolgenden Kritik, hier der Inhalt des Beschlusses:

Die Beschwerde erfüllt die Anforderungen gem. Art. 77 DSGVO, da sie

1. von natürlichen Personen als betroffenen Personen eingelegt wurden (die 4 Unterzeichner);

2. sich gegen einen konkreten Verantwortlichen richtet (Google) und

3. die betroffenen Personen beschwerdebefugt sind, da sie umfassend erläutern, dass die Datenverarbeitung bei der personalisierten Online-Werbung gegen die DS-GVO verstößt und sie dadurch in ihren Rechten verletzt werden.

II. Beschwerdegegner ist zunächst nur Google. Soweit sich die Beschwerde gegen dieses Unternehmen richtet, ist sie zunächst an den Hamburgischen Beauftragten weiterzuleiten.

IV. Das IAB Europe ist kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO, da es sich beim IAB Europe lediglich um einen Interessenverband von Unternehmen aus dem Bereich Programmatic Advertising handelt.

V. Sofern eine Aufsichtsbehörde der Auffassung ist, die Beschwerde sei dahingehend auszulegen, dass sich die Beschwerde gegen die jeweiligen Mitgliedsunternehmen des IAB Europe richtet, so ist mit der Beschwerde entsprechend Ziff. III. zu verfahren.

Kritik

Es stellt sich natürlich zunächst die Frage, was die DSK mit diesem Beschluss bezweckt. Dies wird zumindest für mich, auch nach mehrmaligen Lesen, nicht ganz deutlich.

Kritisieren lässt sich zunächst, dass der Beschluss, anders als in der Überschrift suggeriert, inhaltlich nichts mit einer materiell-rechtlichen Position der Behörden zur verhaltensbasierten Werbung zu tun hat. Vielmehr scheint es hier um die Festlegung einer nationalen Zuständigkeit für eine (oder mehrere?) Beschwerde(n) sowie die Feststellung des Vorliegens der Voraussetzungen für eine (oder mehrere?) Beschwerde(n) zu gehen.

Da stellt sich freilich die Frage, was diese Beschwerde so besonders macht, dass die DSK sich zu einem Beschluss gezwungen sah? Denn andere Beschwerden, die bei den Behörden eingehen, werden nicht per Beschluss der DSK veredelt. Zu dem Hintergrund des Beschlusses, finden sich keine Angaben.

Zudem ist zu fragen, was Ziel des Beschlusses ist? Eine bindende Wirkung für alle Aufsichtsbehörden? Diesen Anschein erweckt Ziff. II: „ist sie zunächst an den Hamburgischen Beauftragten weiterzuleiten“. Gibt die DSK nun alles Aufsichtsbehörden bindend vor, wie diese mit Beschwerden umzugehen haben und welche Behörde national zuständig ist? Meine Vermutung ist, dass der Beschluss eine Manifestierung der Vorgabe des § 19 Abs. 2 S. 1 BDSG darstellt. Danach gibt die Aufsichtsbehörde, bei der eine betroffene Person Beschwerde eingereicht hat, die Beschwerde an die federführende Aufsichtsbehörde nach § 19 Abs. 1 BDSG, in Ermangelung einer solchen an die Aufsichtsbehörde eines Landes ab, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Da diese Abgabe aber ohnehin gesetzlich zwingend („gibt die Beschwerde…ab“) vorgegeben ist, stellt sich die Frage nach dem Sinn des Beschlusses.

In Ziff. II wird per Beschluss vorgegeben, dass „Google“ der Beschwerdegegner sei. Welche Einheit ist hier jedoch mit „Google“ gemeint? Die Google LLC, die Google Ireland Limited oder z.B. Google Germany GmbH? Dies wird in dem Beschluss nicht deutlich und lässt den Leser ratlos zurück. Auch aus der oben verlinkten Beschwerde wird dies nicht klar. Konkretisiert die DSK evtl. eine zu allgemein abgefasste Beschwerde per Beschluss? (dem würde sich die Frage anschließen, ob sie dies darf). Man kann, aufgrund der Erwähnung der Behörde aus Hamburg, schlussfolgern, dass wohl die Google Germany GmbH mit Sitz in Hamburg gemeint ist. Warum wird dies dann aber nicht in dem Beschluss deutlich gemacht?

Der Beschluss verhält sich zudem nicht zu der (ggfs. vorliegenden federführenden) Zuständigkeit der Behörde aus Irland. In der in dem Beschluss angesprochenen Beschwerde wird ausdrücklich darauf hingewiesen, dass eine entsprechende Beschwerde bei der irischen Datenschutzbeauftragten erhoben wurde und, angesichts „der europaweiten Dimension der in dieser Beschwerde aufgeworfenen Fragen und Unternehmen“ es sinnvoll erscheint, dass die Aufsichtsbehörden dieses Thema gemeinsam prüfen (S. 15).

Der Beschluss bezieht sich mehrmals auf „die Beschwerde“. Es scheint also um eine einzelne Beschwerde zu gehen. Art. 77 Abs. 1 DSGVO, dessen Voraussetzungen nach dem Beschluss hier vorliegen, bezieht sich ausdrücklich auf eine Beschwerde einer betroffenen Person. Laut dem Text der Beschwerde erhalten die Datenschutzbehörden „individuelle Beschwerden von Frau Elisabeth Niekrenz, Herrn Thilo Weichert, Herrn Frank Spaeing und Herrn Friedemann Ebelt“ (S. 15). Nach Ziff. I 1. des Beschlusses erfüllt die einzelne Beschwerde des Netzwerkes die Anforderungen des Art. 77 DSGVO, da sie „von natürlichen Personen als betroffenen Personen eingelegt wurden (die 4 Unterzeichner)“. Hier scheint der Beschluss die eine, referenzierte Beschwerde des Netzwerkes und die wohl vorliegenden Einzelbeschwerden zu vermengen. Geht die DSK folglich davon aus, dass eine Beschwerde nach Art. 77 DSGVO auch zulässig ist, wenn mehrere natürliche Personen in einem Schreiben eine Beschwerde einreichen?

Nach Ziff. I 2. des Beschlusses richtet sich die Beschwerde gegen einen „konkreten Verantwortlichen“, Google. Auch dies muss verwundern, da aus dem Beschluss nicht deutlich wird, welche juristische Person mit „Google“ gemeint ist (siehe oben). Auch in der Beschwerde des Netzwerkes wird nur „Google“ genannt, nicht jedoch die LLC oder etwa die deutsche GmbH. Es stellt sich daher die Frage, wen die DSK hier (per Beschluss) als Verantwortlichen betrachtet und gleichzeitig als solchen festlegt?

In Ziff. V wird darauf hingewiesen, dass eine Aufsichtsbehörde, die der Auffassung ist, dass die Beschwerde dahingehend auszulegen sei, „dass sich die Beschwerde gegen die jeweiligen Mitgliedsunternehmen des IAB Europe richtet“, mit dieser Beschwerde entsprechend Ziff. III zu verfahren habe. Ziff. III fehlt jedoch in dem Beschluss der DSK. Es stellt sich daher die Frage, wie Aufsichtsbehörden in diesem Fall nach Ansicht der DSK zu verfahren haben? Fehlt Ziff. III bewusst oder handelt es sich um einen formellen Fehler?

Zuletzt noch ein ganz persönlicher Kritikpunkt, der mich bereits in mehrere Verwaltungsverfahren stutzten lässt: die DSK stellt per Beschluss in Ziff. I 3. fest, dass die Anforderungen von Art. 77 DSGVO erfüllt seien (weitere Fragen: kann die DSK das Vorliegen von Tatbestandsvoraussetzungen der DSGVO in einem konkreten Verwaltungsverfahren feststellen? Geht die DSK hier davon aus, dass sie über eine entsprechende Rechtsnatur verfügt, um materiell-rechtliche Vorgaben zu prüfen und aufgrund dieser Prüfung den Aufsichtsbehörden Vorgaben zu machen?), da die Beschwerdeführer erläutern, dass „die Datenverarbeitung bei der personalisierten Online-Werbung gegen die DS-GVO verstößt“. Für Art. 77 Abs. 1 DSGVO ist jedoch ausreichend, dass die betroffene Person der Ansicht ist, dass die Verarbeitung gegen die DSGVO verstößt. Die DSK scheint hier im Beschluss diese Position einfach als gegeben hinzunehmen. Sie hätte ja durchaus auch schreiben können, „erläutern, dass die…ihrer Ansicht nach gegen die DSGVO verstößt“. Dieser Verweis auf die Ansicht der Beschwerdeführer fehlt in dem Beschluss jedoch gänzlich, ohne dass eventuell bisher die Stellungnahme des Verantwortlichen begutachtet wurde.

Wie bereits einleitend angemerkt, fällt zuletzt auf, dass der Beschluss materiell-rechtlich keine Aussagen zur verhaltensorientierten Werbung trifft. Es scheint sich vielmehr um einen Beschluss zu einer (oder mehreren?) Beschwerde(n) und deren Zulässigkeit und der Zuständigkeit der Bearbeitung zu handeln. Möglicherweise gab es auch Streit unter den deutschen Behörden hinsichtlich des weiteren Vorgehens. Eine Unterrichtung nach Art. 77 Abs. 2 DSGVO scheint der Beschluss aus meiner Sicht nicht zu sein. Denn diese Unterrichtung muss nur gegenüber dem Beschwerdeführer, nicht jedoch der Allgemeinheit erfolgen. Zudem, und viel wichtiger, ist die DSK keine „Aufsichtsbehörde“ im Sinne des Art. 77 Abs. 2 DSGVO. Nur diese muss aber den Beschwerdeführer unterrichten.

Update vom 4.10.2019

Nach meinem Blogbeitrag zu dem oben besprochenen und verlinkten Beschluss der DSK, hat man in den Datenschutzbehörden die geäußerte Kritik wohl zur Kenntnis genommen. Nun wurde der Beschluss erneut auf der Webseite der DSK veröffentlicht (pdf). Wenn man hofft, dass darauf hingewiesen wird, dass dieser Beschluss eine zweite oder zumindest angepasste Version des ursprünglich veröffentlichten Beschlusses darstellt, wird man jedoch enttäuscht. Der Beschluss enthält weiterhin keine Angabe dazu, wann er gefasst wurde. Auf der Webseite ist weiterhin der 25.09.2019 als Veröffentlichungsdatum angegeben. Der Dateiname verweist auf den 26.9.

Ich habe den ursprünglich veröffentlichten Beschluss natürlich heruntergeladen und dieser steht hier zum Abruf bereit (pdf).

Tatsächlich bin ich etwas irritiert und ja, auch verärgert, dass die Aufsichtsbehörden in dieser intransparenten Weise agieren. Wenn die erste Version des Beschlusses Fehler enthielt, kann man dies ja unproblematisch auf der Webseite deutlich machen. Fehler (dürfen) passieren. Eventuell war die erste Version ja auch so inhaltlich nicht abgestimmt. Jedoch wird hier ein Beschluss öffentlich gemacht und dann im Nachhinein, ohne Information des Empfängerkreises, nachträglich angepasst. Wie soll dieses Vorgehen bei uns als interessierten Lesern und sicherlich auch beabsichtigten Empfängerkreis verstanden werden? Sollen wir besser wöchentlich prüfen, ob nicht Beschlüsse oder andere Entscheidungen der DSK nachträglich angepasst wurden? Oder sollen wir entsprechende Veröffentlichungen der DSK, wie man so schön sagt, „nicht so ernst nehmen“?

Die Anpassungen betreffen die Bezifferung im Beschluss selbst und einen Verweis in Ziff. IV (nun auf Ziff. II).

Im konkreten Fall mag der Beschluss keine bahnbrechende Relevanz haben. Was jedoch, zumindest für mich, zurückbleibt, ist ein Unverständnis über ein solches intransparentes Handeln der DSK gegenüber der Öffentlichkeit.

Behörde verweigert gerichtliche Aktenvorlage mit Verweis auf die DSGVO – und scheitert.

Der VGH Baden-Württemberg hat im Februar 2019 eine interessante Entscheidung, u.a. zur Frage der Anwendbarkeit der DSGVO im justiziellen Bereich, getroffen (Beschl. v. 15.02.2019 – 1 S 188/19). Erforderlich war der Beschluss, da sich eine Behörde weigerte, einem Verwaltungsgericht Akten zur Entscheidungsfindung vorzulegen. Der angebliche Grund: die DSGVO.

Nach ErwG 20 DSGVO gilt die DSGVO „unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden“. Auch Gerichte müssen sich daher natürlich an datenschutzrechtliche Vorgaben halten. Doch in seinem Beschluss macht der VGH nun deutlich, dass die Einhaltung der DSGVO nicht gleichzeitig im Konflikt mit der richterlichen Tätigkeit steht, wie dies von der Behörde im konkreten Fall wohl angeführt wurde.

Sachverhalt

Der VGH hat über eine Beschwerde gegen einen sog. Hängebeschluss im einstweiligen Rechtsschutz zentschieden. Kleiner Exkurs ins Verwaltungsrecht:

Ein Hängebeschluss ist eine Zwischenverfügung des Gerichts in einem Eilrechtsverfahren, um den Ist-Status für den Antragsteller zu sichern, bis das Gericht final entscheidet. Es handelt sich aber nicht um eine instanzabschließende Sachentscheidung. Ob ein solcher Hängebeschluss überhaupt angegriffen werden kann und wenn ja, mit welchem Rechtsmittel, ist umstritten. Das sieht man zB sehr schön daran, dass der hier entscheidende 1. Senat am VGH die Beschwerde gegen den Hängebeschluss zulässt, der 11. Senat des VGH dies aber jüngst noch abgelehnt hat (Beschl. v. 15.3.2018 – 11 S 2094/17). Ein solcher Hängebeschluss des VG Sigmaringen war hier der Beschwerdegegenstand.

Vorliegend hat Verwaltungsgericht der Behörde als Antragsgegnerin mit dem angefochtenen Beschluss im Wege eines Hängebeschlusses bis zu einer Entscheidung des Verwaltungsgerichts über den Eilantrag untersagt, Bauplätze in einem Baugebiet zu vergeben und notarielle Kaufverträge abzuschließen. Die Behörde

hatte sich trotz mehrfacher Aufforderungen des Verwaltungsgerichts, die vollständigen Akten im Original vorzulegen, wiederholt unter Verstoß gegen ihre Pflichten aus § 99 Abs. 1 S. 1 VwGO geweigert, Verwaltungsvorgänge zu dem Auswahlverfahren und zu den zugrundeliegenden Sitzungen des Gemeinderats vorzulegen. Durch dieses offensichtlich rechtswidrige Verhalten der Antragsgegnerin war das Verwaltungsgericht nicht in der Lage, die Erfolgsaussichten des Eilrechtsantrags zu prüfen.

Entscheidung

Der VGH hat unmissverständlich klar gemacht, dass es nicht der Behörde obliegt, selbst zu entscheiden, welche Dokumente und Akten für das Verfahren eventuell relevant sein mögen.

Die Entscheidung darüber, welche Urkunden und Akten vorzulegen sind, steht im Rahmen des § 86 Abs. 1 VwGO im Ermessen des Gerichts; ihm allein und nicht der Behörde kommt nach § 86 Abs. 1 VwGO auch die Beurteilung zu, welche Urkunden und Akten für seine Entscheidung erheblich sein können.

Ursprünglich hatte die Behörde gegen das Aktenvorlageverlangen des Verwaltungsgerichts Bedenken aus dem „Datenschutzrecht“ vorgetragen. Der VGH befindet hierzu, dass solche Bedenken nicht bestehen.

Einem Herausgabeverlangen nach § 99 Abs. 1 S. 1 VwGO kann insbesondere nicht „die DSGVO“ (Schriftsatz vom 14.01.2019, S. 14) entgegengehalten werden.

Der VGH verweist darauf, dass die DSGVO grundsätzlich auch für die Tätigkeiten der Gerichte gelte. Sie steht aber einer Datenerhebung durch das Verwaltungsgericht in der Gestalt einer Verfügung zur Aktenvorlage nicht entgegen.

Danach befasst sich der VGH mit den verschiedenen in Betracht kommenden Rechtsgrundlagen. Hierzu verweist er allgemein zunächst auf die Rechtsgrundlagen in Art. 6 Abs. 1 DSGVO. Nach Ansicht des VGH sind für die Tätigkeit der Gerichte sowohl der Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt) als auch Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde) einschlägig.

Die Voraussetzungen beider Tatbestände sind erfüllt, wenn die Gerichte Daten bei den Beteiligten eines gerichtlichen Verfahrens zum Zweck der Rechtspflege erheben und die Daten zu diesem Zweck verwenden.

Der VGH verweist hierzu insbesondere auf die gesetzliche Pflicht der Verwaltungsgerichte, den Sachverhalt von Amts wegen zu ermitteln und dabei die Beteiligten heranzuziehen (§ 86 Abs. 1 S. 1 VwGO). Zudem widmet sich der VGH der Frage, ob auch die Behörde befugt ist, personenbezogene Daten an das Gericht zu übermitteln. Diese Datenübermittlung ist zur Erfüllung einer rechtlichen Verpflichtung, nämlich jener aus § 99 Abs. 1 S. 1 VwGO, erforderlich und kann daher auf den Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO gestützt werden.

Auch geht der VGH auf die Frage ein, ob § 99 VwGO als nationale Vorschrift mit den Vorgaben der DSGVO im Einklang steht. Hierbei befasst sich das Gericht jedoch nicht mit den Vorgaben des Art. 6 Abs. 2 und 3 DSGVO und den dort aufgestellten Anforderungen an Rechtsgrundlagen im nationalstaatlichen Recht. Vielmehr geht der VGH anscheinend davon aus, dass § 99 VwGO eine die Rechte der Betroffenen beschränkende Vorschrift im Sinne des Art. 23 DSGVO darstellt. Zumindest geht das Gericht nur hierauf ein.

Gemäß Art. 23 Abs. 1 Buchst. f DS-GVO können insbesondere zum Schutz der Unabhängigkeit der Justiz und zum Schutz von Gerichtsverfahren durch Rechtsvorschriften der Mitgliedstaaten, denen der Verantwortliche unterliegt, unter anderem die Pflichten und Rechte gemäß den Art. 12 bis 22 DS-GVO beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt.

Und nach Ansicht des VGH enthalten solche Regelungen zum Schutz von Gerichtsverfahren und zur Datenverarbeitung durch die Gerichte insbesondere die nationalen Vorschriften über das Verfahrensrecht der Gerichte betreffend die Datenerhebung zum Zweck der Rechtsprechung.