Liebe Abonnentinnen und Abonnenten,

Aktuelle Beiträge im Blog

Praxisthemen

EuGH-Urteil zu Art. 9 DSGVO – weitere relevante Aussagen des EuGH

Das Urteil des EuGH vom 1.8.2022 (Rechtssache C‑184/20) wird in der Datenschutz-Community (zurecht) vor allem im Hinblick auf die extrem weite Auslegung der „besondere Kategorien personenbezogener Daten“ diskutiert. Meinen Blogbeitrag dazu gibt es hier.

In dem Urteil sind aber daneben einige weitere praxisrelevante Feststellungen und Begründungen des EuGH enthalten, die man nicht übersehen sollte.

Der EuGH stellt noch einmal klar, dass personenbezogene Daten im Sinne der DSGVO vorliegen und damit ihr Anwendungsbereich eröffnet ist, unabhängig von dem Umstand, dass diese Informationen im Kontext der beruflichen Tätigkeit der Person stehen (Rz. 65). In der Praxis kommt es immer wieder zu der Fehlvorstellung, dass etwa der B2B Bereich nicht erfasst sei.

Art. 6 Abs. 1 Unterabs. 1 DSGVO enthält „eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann“ (Rz. 67). Auch diese Aussage mag einige Leser nicht besonders überraschen. Dennoch ist dies erneut ein deutlicher Hinweis des EuGH, dass national-staatlich gerade keine eigenen Erlaubnistatbestände (quasi, an der DSGVO vorbei) geschaffen werden dürfen.

Im Rahmen der Erforderlichkeit einer Datenverarbeitung (bzw. der ihr zugrundeliegenden nationalen Maßnahme, ab Rz. 85 ff.) befasst sich der EuGH mit der Frage, ob das verfolgte, im öffentlichen Interesse liegende Ziel nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte der betroffenen Personen eingreifen. In dem konkreten Fall argumentierte die nationale Behörde aus Litauen, um die Veröffentlichung der Erklärungen über private Interessen zu rechtfertigen, „dass sie nicht über ausreichende personelle Mittel verfüge, um alle ihr vorgelegten Erklärungen tatsächlich zu kontrollieren“. Ein solches Argument der Digitalisierung aufgrund von Personal-/Mittelknappheit, sieht der EuGH kritisch.

„Es ist jedoch zu betonen, dass die mangelnde Zuweisung von Mitteln an Behörden keinesfalls einen legitimen Grund darstellen kann, der einen Eingriff in die durch die Charta verbürgten Grundrechte rechtfertigen könnte“ (Rz. 89).

Verwaltungsgericht Stuttgart: Keine Befugnis der Datenschutzbehörden für Eingriffe in die Vertragsfreiheit

Das Verwaltungsgericht Stuttgart hat mit Urteil vom 11.11.2021 (Az 11 K 17/21) einige relevante Aussagen zu der Möglichkeit der befristeten Beschäftigung eines internen Datenschutzbeauftragten getroffen.

Meines Erachtens hat das Gericht daneben aber auch sehr relevante Aussagen zu den Befugnissen der Aufsichtsbehörden getroffen, die über den Bereich der Benennung des Datenschutzbeauftragten hinausgehen. Ich meine hier insbesondere die Relevanz von zivilrechtlichen Verträgen und deren konkreten Inhalt für eine Zulässigkeit der Datenverarbeitung, Art. 6 Abs. 1 lit. b DSGVO.

In dem Verfahren verfolgte der Kläger (interner DSB) den Hauptantrag, die Datenschutzbehörde anzuweisen, die Benennung des Klägers als Datenschutzbeauftragter zu entfristen.

Das Gericht stellt hierzu fest: Es existiert hierfür schon keine entsprechende Weisungsbefugnis des Aufsichtsbehörde.

Das Gericht argumentiert völlig richtig auf (primärrechtlich) europäischer Ebene. Auf Seiten des Unternehmens ficht „ihr Recht auf unternehmerische Freiheit aus Art. 16 GRCh“. Der durch Art. 16 GRCh gewährte Schutz umfasst, neben der Freiheit, eine Wirtschafts- oder Geschäftstätigkeit auszuüben, u.a. auch die Vertragsfreiheit.

Nach Auffassung des Gerichts wäre eine Weisung der Datenschutzbehörde gegenüber dem Unternehmen, „ein bestimmtes Vertragsverhältnis mit dem Kläger auf unbestimmte Zeit einzugehen“ ein erheblicher Eingriff in das Grundrecht aus Art. 16 GRCh. Und weiter: „Nach Auffassung der Kammer erfordert eine solch weitreichende Maßnahme in jedem Fall eine ausdrückliche Befugnisnorm“ (Rz. 53).

Das Gericht geht, entsprechend der Unterscheidung der DSGVO von Aufgabennorm, Art. 57 DSGVO, und Befugnisnorm, Art. 58 DSGVO, davon aus, dass sich die Befugnis zum Eingriff in die Vertragsfreiheit zunächst aus Art. 58 Abs. 2 DSGVO („Abhilfebefugnisse“) ergeben müsste. Es käme zwar Buchstabe c) in Betracht. Jedoch hält das Gericht diese Befugnis nicht für ausreichend.

„Denn der Betroffene hätte es dann in der Hand, durch entsprechende Antragstellung - wie hier: auf Entfristung - eine Eingriffs- bzw. Abhilfebefugnis des Beklagten zu generieren. Eine „Verpflichtung zum Vertragsabschluss“ lässt sich auf Art. 58 Abs. 2 lit. c) DS-GVO nicht stützen“.

Zudem prüft das Gericht noch die Möglichkeit, eine solche Anweisung auf die Aufgabenzuweisung Art. 57 Abs. 1 lit. a) DSGVO zu stützen. Danach hat die Aufsichtsbehörde die Anwendung des Datenschutzrechts zu überwachen und auch durchzusetzen.

Auch dies genügt dem Gericht jedoch nicht. Mit dieser Umfassendheit in der Aufgabenzuweisung lässt sich eine Eingriffsbefugnis in die grundrechtlich geschützte Vertragsfreiheit nicht rechtfertigen. Es fehlt es an einer ausdrücklichen Bestimmung.

Die mögliche Konsequenz?

Hierzu wird man gut diskutieren können. Ich meine aber, dass Anforderungen des EDSA im Rahmen des Art. 6 Abs. 1 lit. b) DSGVO mit Bezug zu vertraglichen Fragestellungen durchaus hinsichtlich einer Befugnisnorm hinterfragt werden können. In seinen Leitlinien 2/2019 stellen die Aufsichtsbehörden etwa die Voraussetzung auf: „Wenn ein Verantwortlicher nicht nachweisen kann, dass a) ein Vertrag besteht, b) der Vertrag nach dem geltenden nationalen Vertragsrecht gültig ist und c) die Verarbeitung für die Erfüllung des Vertrags objektiv erforderlich ist, sollte der Verantwortliche eine andere Rechtsgrundlage für die Verarbeitung in Erwägung ziehen." Insbesondere hinsichtlich a) und b) wird man gut diskutieren können (müssen?), wo die kompetenzrechtliche Grenze zwischen Datenschutz und Vertragsfreiheit verläuft.

Offener E-Mail-Verteiler: Bußgeld gegen den Verantwortlichen, nicht den Mitarbeiter

Der Versand von E-Mails mit offenem Verteiler, also ohne Verwendung der bcc-Funktion, ist ein klassisches Problem in der Praxis. Und es ist auch schon lange klar, dass Datenschutzbehörden diese (bewusste oder unbewusste) Offenlegung von E-Mail-Adressen innerhalb des Verteilers als einen Verstoß gegen die DSGVO ansehen.

Interessant ist eine Entscheidung der Datenschutzbehörde des Saarlands zu diesem Thema. In ihrem aktuellen Tätigkeitsbericht (PDF, S. 134) informiert die Aufsichtsbehörde darüber, dass sie ein Bußgeldverfahren in einem Fall eröffnete, in dem durch einen Mitarbeiter eines Mitgliederbüros einer politischen Organisation ein solcher offener Versand erfolgte.

Der Versand durch den Mitarbeiter erfolgte hierbei versehentlich. Die Aufsichtsbehörde verhängte das Bußgeld in diesem Fall jedoch nicht gegen den, eventuell eigenverantwortlich handelnden Mitarbeiter selbst, sondern gegen die Organisation; also den Verantwortlichen.

Die Datenschutzbehörde beruft sich hierfür auf die (umstrittene, und nun beim EuGH liegende) Rechtsprechung in Deutschland, namentlich des LG Bonn (Urteil vom 11. November 2020 – 29 OWi 1/20 Rn. 30). Nach Ansicht der Aufsichtsbehörde war „das Fehlverhalten des Mitarbeiters – unabhängig von einem etwaigen Verhalten einer Leitungsperson – nach Art. 83 Abs. 4 bis 6 DSGVO jedoch der verantwortlichen Stelle zuzurechnen“. In der Konsequenz erging der Bußgeldbescheid nach Art. 83 Abs. 5 lit. a DSGVO an die verantwortliche Stelle.

Veranstaltungshinweis: Seminarreihe „Piltz Legal Update“ startet

Unter dem Thema „Tracking, Cookies, Advertising – § 25 TTDSG im Fokus“ findet am 09.09.2022 in Berlin das Piltz Legal Update statt. Gemeinsam mit Dr. Herbort von der Berliner Datenschutzbehörde informieren und diskutieren wir über Anwendungsbereich, Voraussetzungen und behördliche Durchsetzung des § 25 TTDSG, sowie den Einsatz und die Umsetzung von Cookies & Co.

Weitere Informationen zu der Veranstaltung und Anmeldung erhalten Sie hier.