Liebe Abonnentinnen und Abonnenten,

Aktuelle Beiträge im Blog

Aktuelle Nachrichten

Praxisthemen

Keine Pflicht zur Information über die konkret verarbeiteten Daten?

Eigentlich kennt man aus dem Alltag Datenschutzerklärungen, in denen über die konkreten Datenarten einer Verarbeitung informiert wird. Beispiel: für die Durchführung eines Kaufvertrages wird darüber informiert, dass Adressdaten verarbeitet werden. Dies ist sicher auch im Sinne der Transparenz. Doch ist die Offenlegung der verarbeiteten Daten bzw. Datenkategorien wirklich verpflichtend?

Nach den Vorgaben der Art. 13 Abs. 1 und 2 DSGVO tatsächlich nicht. Davon geht sogar der EDSA in seinen Leitlinien zur Transparenz (WP 260 rev.01) aus. Dort wird im Anhang auf S. 45 (deutsche Version) bei der Informationskategorie „Betroffene Kategorien personenbezogener Daten“ im Kontext des Art. 13 DSGVO (Direkterhebung) festgestellt: „Nicht erforderlich“.

Dass im Rahmen des Anwendungsbereichs von Art. 13 DSGVO keine Information über die zu verarbeitenden Datenkategorien zu erteilen ist, ergibt sich zusätzlich aus einem Vergleich mit den Vorgaben aus Art. 14 Abs. 1 lit .d DSGVO, wonach explizit über die  „Kategorien personenbezogener Daten, die verarbeitet werden“ zu informieren ist. Wenn diese Pflicht also per se in der DSGVO vorhanden ist, nur nicht in Art. 13 DSGVO, spricht dies für eine bewusste Entscheidung des Gesetzgebers.

Man mag noch darüber nachdenken, aus dem Datenschutzgrundsatz der Transparenz (Art. 5 Abs. 1 lit. a DSGVO) eine solche Pflicht auch im Anwendungsbereich des Art. 13 DSGVO anzunehmen. Hiergegen spricht aber zum einen das bereits zuvor benannte Argument, dass dies eben in Art. 13 Abs. 1 oder 2 DSGVO (anders als in Art. 14 Abs. 1 DSGVO) gerade nicht vorgegeben wird. Zudem erläutert ErwG 39 DSGVO, dass der Grundsatz der Transparenz insbesondere die Informationen „über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden“ betrifft. Die Angabe der zu verarbeitenden Daten wird hier nicht erwähnt.

In der Praxis ist es natürlich dennoch nicht schädlich und sicher auch empfehlenswert, über die zu verarbeitenden Datenkategorien zu informieren. Hierdurch wird, unabhängig von den „harten“ gesetzlichen Vorgaben, die Transparenz für Betroffene erhöht. Wenn es jedoch einmal brenzlig werden sollte, kann sich eine datenverarbeitende Stelle durchaus darauf berufen, dass eine gesetzliche Pflicht zur Information über Datenkategorien in Art. 13 DGSVO nicht vorgesehen ist.

Adresshändler und deren Kunden als gemeinsam Verantwortliche?

Wer ist (wie) datenschutzrechtlich verantwortlich, wenn ein Unternehmen zum Zweck des Werbeversands per Post Adressen von Dritten mietet (oder evtl. einkauft)?

Mit dieser Frage haben sich zuletzt zwei deutsche Aufsichtsbehörden befasst und es scheint sich eine Tendenz bei der Einordnung abzuzeichnen. In ihrem aktuellen Jahresbericht 2019 (pdf) erläutert die Berliner Behörde, dass ihrer Ansicht nach im Fall der Adressvermietung zu Werbezwecken die werbende (mietende) Organisation maßgeblich mit über den Zweck der Nutzung der Adressen entscheidet. Sie sei es, die durch die Adressanmietung die damit verbundene Datenverarbeitung erst initiiert und möglich macht. „Sie ist damit auch gemeinsam mit dem vermietenden Unternehmen datenschutzrechtlich verantwortlich für die Verarbeitung“.

Und auch der LfDI Rheinland-Pfalz hat sich in seinem kürzlich veröffentlichten Tätigkeitsbericht (pdf) mit der Frage der Verantwortlichkeit befasst. Nach Ansicht des LfDI sind Verantwortliche mit Sitz in Rheinland-Pfalz, die sich zur Versendung der Werbung eines Adresshändlers mit Sitz im Ausland - zum Teil im außereuropäischen Raum – bedienen, gemeinsame Verantwortliche für die Datenverarbeitung zu Werbezwecken. Der LfDI weist darauf hin, dass daher betroffene Personen auch gegen den in Rheinland-Pfalz sitzenden Verantwortlichen (das Unternehmen, welches die Adressen mietet) einen Auskunftsanspruch haben. Gerade in Bezug auf den Auskunftsanspruch geht auch die Behörde aus Berlin davon aus, dass als gemeinsam für die Verarbeitung Verantwortliche auch die werbende Organisation sicherstellen muss, dass die Betroffenen alle Informationen erhalten, die ihnen zustehen. Dies gelte auch, wenn sie selbst nicht über diese Angaben verfügt.

Aktuelle Rechtsprechung

Nichtigkeit eines Vertrages wegen Datenschutzverstoß?

Wie wirkt sich ein Verstoß gegen datenschutzrechtliche Vorgaben einer Vertragspartei auf einen abgeschlossenen Vertrag aus? Mit dieser Frage hatte sich das OLG Düsseldorf in einem Urteil vom 7.5.2020 (Az. 10 U 178/19) zu befassen.

Dem Verfahren lag eine Beauftragung der späteren Klägerin (eine Detektei) mit Observationsmaßnahmen in Bezug auf Mitarbeiter der Beklagten zugrunde. Aufgrund unter anderem des Verdachtes des unerlaubten Handels mit städtischem Holz beauftragte die Beklagte durch ihren Oberbürgermeister die Klägerin mit der Observation der von ihr verdächtigten Mitarbeiter. Es kann am Ende zum Streit über die Leistungen an sich und auch die geforderten Zahlungen. Die Klägerin verlangte von der Beklagten Zahlung ausstehenden Honorars für detektivische Überwachungsmaßnahmen. Die Beklagte verlangte die Rückerstattung bereits gezahlten Honorars.

Die Beklagte brachte als Argument vor, dass der Vertrag wegen Verstoßes gegen ein gesetzliches Verbot von Anfang an unwirksam sei, da die Parteien eine zeitlich nicht befristete Observation vereinbart hätten. Jedenfalls verstoße die Vereinbarung gegen die guten Sitten mit der Folge der Nichtigkeit des Vertrages nach § 138 BGB.

Das OLG lehnt eine Nichtigkeit des Vertrages jedoch ab.

Nach Ansicht des Gerichts war der Eingriff in das Persönlichkeitsrecht der observierten Mitarbeiter durch § 32 Abs. 1 Satz 2 BDSG aF gedeckt. Das OLG geht danach auf die Voraussetzungen der Norm ein, die sich nun fast identisch im § 26 BDSG wiederfinden, ein.

Es lag kein Verstoß gegen § 32 Abs. 1 BDSG aF vor, da die Voraussetzungen, unter denen die Beklagte eine Überwachung ihrer einer Straftat verdächtigen Mitarbeiter vornehmen konnte, vorlagen. Die Beklagte verkenne hier insoweit die Schutzrichtung der Norm. Diese dient dazu, das allgemeine Persönlichkeitsrecht zu wahren, welches aber (noch) nicht verletzt ist, wenn der einer Straftat Verdächtige einer kurzzeitigen Überwachungsmaßnahme ausgesetzt sei. „In einem solchen Fall tritt das Interesse des Betroffenen an der Wahrung seines Persönlichkeitsrechtes hinter das Aufklärungsinteresse des Verantwortlichen zurück – unabhängig davon, wie der Vertrag mit der Detektei im Einzelnen ausgestaltet ist“.

Zudem argumentiert das OLG, dass § 32 Abs. 1 Satz 2 BDSG aF gar kein Verbotsgesetz im Sinne des § 134 BGB darstelle. Diese Begründung des OLG ist meiner Ansicht nach auch allgemein für Unternehmen von Relevanz. Wenn es also um die Frage geht, ob datenschutzrechtliche Regelungen „Verbotsgesetze“ darstellen.

Nach Ansicht des OLG ergibt sich aus der Vorschrift gerade umgekehrt, „dass eine solche Datenerhebung – anders etwa als Schwarzarbeit – nicht per se eine verbotene Handlung darstellt, sondern unter bestimmten Voraussetzungen zulässig ist“. Aus diesem Grund stelle § 32 Abs. 1 Satz 2 BDSG aF einen Erlaubnistatbestand dar und gerade kein Verbotsgesetz.

Das OLG weiter: „Der Schluss, dass immer dann, wenn die Voraussetzungen einer Erlaubnisnorm überschritten werden, ein Verbotsgesetz verletzt sei, welches die Nichtigkeitsfolge des § 134 BGB auslöse, verfängt jedoch nicht“. Auch diese Begründung kann für Unternehmen allgemein von Relevanz sein, sollte es mit Vertragspartner zu der Diskussion über die Nichtigkeit eines Vertrages wegen Verstoßes gegen Datenschutzgesetze kommen.

Das Gericht geht davon aus, dass jeweils geprüft werden muss, ob der Zweck des übertretenen Gesetzes dieses als Verbotsgesetz erscheinen lässt. Dies sei (zumindest für § 32 Abs. 1 BDSG aF) aber nicht der Fall. Denn der allein bezweckte Schutz des Betroffenen gebiete es nicht, eine Unwirksamkeit des Dienstvertrages zwischen dem Verantwortlichen und der ausführenden Detektei anzunehmen.

Auch das nachfolgende Argument finde ich interessant: „denn § 32 BDSG a.F. dient nicht dazu, ersteren vor Honoraransprüchen zu bewahren. Dem Schutz des Betroffenen ist vielmehr – ausreichend – dadurch gedient, dass der Verstoß gegen die datenschutzrechtlichen Bestimmungen durch zivilrechtliche Schadensersatzansprüche sanktioniert ist“.

Wie beschrieben, ist die Argumentation des OLG sicher in Teilen auch abstrahierbar und auf andere datenschutzrechtliche Regelungen übertragbar. Gleichzeitig sollte beachtet werden, dass es unterschiedliche Auffassungen dazu gibt, ob ein Verstoß gegen eine datenschutzrechtliche Norm (per se) zur Nichtigkeit eines Vertrages führt.