Webversion | abmelden
‌
de lege data Newsletter 5/2021
‌
‌

Liebe Abonnentinnen und Abonnenten,

heute erhalten Sie den de lege data Newsletter 5/2021. Ich wünsche Ihnen viel Freude beim Lesen und frohe Ostern.

‌
‌
‌
‌
‌

Aktuelle Beiträge im Blog

‌
‌

Urteil: DSGVO-Rechenschaftspflicht entbindet Aufsichtsbehörde nicht von eigener Prüfung und Sachverhaltsermittlung


Zum Beitrag

Bundesdatenschutzbeauftragter zur Anonymisierung: Rechtsgrundlage und DSFA erforderlich


Zum Beitrag
‌
‌
‌
‌
‌

Aktuelle Nachrichten

‌
‌

BfDI veröffentlicht seinen neuen Tätigkeitsbericht 2020

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit hat seinen neuen Tätigkeitsbericht für das Jahr 2020 veröffentlicht. Ein dort behandeltes Thema, welches auch für privatwirtschaftliche Unternehmen relevant ist, ist der Einsatz von Microsoft Office 365 und Windows 10.


Zum Tätigkeitsbericht (PDF)

BayLfD veröffentlicht Leitfaden zum Outsourcing kommunaler IT

Der Bayerische Landesbeauftragte hat einen neuen Leitfaden rund um das Thema Outsourcing kommunaler IT veröffentlicht. Zwar richtet sich der Leitfaden natürlich an den öffentlichen Bereich. Dennoch sind aber Aussagen zur Auslegung und Anwendung der DSGVO in diesem Zusammenhang sicher auch für private Unternehmen interessant.

Zum Leitfaden (PDF)
‌
‌

EDSA veröffentlicht finale Leitlinien zur Datenverarbeitung in vernetzten Fahrzeugen

Der Europäische Datenschutzausschuss hat die finale Version der Leitlinien zu vernetzten Fahrzeugen veröffentlicht. U.a. gehen die Behörden dort auch auf die Anwendbarkeit der ePrivacy Richtlinie (insd. von Art. 5 Abs. 3) ein. Nach Ansicht der Behörden sollten das verbundene Fahrzeug und das damit verbundene Gerät als "Endgerät" betrachtet werden (genau wie ein Computer, ein Smartphone oder ein Smart-TV) und die Bestimmungen von Art. 5 Abs. 3 ePrivacy-RL gelten.

Zu den Leitlinien (PDF)

‌
‌
‌
‌
‌

Praxisthemen

‌
‌

Entscheidung der Aufsichtsbehörde in Österreich: in welcher Sprache sind Informationen nach der DSGVO zu erteilen?

Die Datenschutzbehörde aus Österreich (DSB) hat in einer Entscheidung vom 7.1.2021 (2020-0.816.655) eine praxisrelevante Entscheidung zu der Frage getroffen, in welcher Sprache Informationen auf Grundlage von Art. 12 DSGVO erteilt werden müssen. Nach Art. 12 Abs. 1 DSGVO muss der Verantwortliche geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen gemäß den Art. 13 und 14 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

In dem Beschwerdeverfahren, welches von der Behörde entschieden wurde, brachte die Beschwerdeführerin vor, die ihr erteilten Informationen seien nicht in ihre Landessprache (Polnisch) übersetzt worden. 

Zunächst stellt die DSB fest, dass Informationen zwar in verständlicher und einfacher Sprache zu erteilen sind. Jedoch sehe die DSGVO gerade keine ausdrückliche Regelung dazu vor, in welcher Landessprache dies zu erfolgen hat. Hieraus folgert die DSB, dass folglich auf den jeweiligen Einzelfall abzustellen sei.

Für ihre Begründung orientiert sich die DSB, meines Erachtens durchaus verständlich, an dem in der DSGVO vorgeschriebenen Marktortprinzip (Art. 3 Abs. 2 DSGVO). Daher sei davon auszugehen, dass Informationen und Mitteilungen grundsätzlich in die Sprachen jener Länder zu übersetzen sind, in denen der Unternehmer die betreffenden Leistungen anbietet, wobei die Staatsangehörigkeit bzw. der Wohnsitz der betroffenen Person zu berücksichtigen ist.

Meines Erachtens verfängt diese Begründung aber nur in den Fällen, in denen das Marktortprinzip auch tatsächlich greift. Dies sind Situationen, in denen keine Niederlassung in der EU vorhanden ist und Anbieter aus Drittländern in der EU Dienstleistungen oder Waren anbieten. Dies deckt aber nicht Sachverhalte ab, die allein in der EU spielen. In diesem Fall würde, um im Bild der DSB zu bleiben, das Sitzland- bzw. Niederlassungsprinzip nach Art. 3 Abs. 1 DSGVO gelten (wobei dieses Konstrukt mit der innerhalb der EU allgemein bindenden DSGVO nicht mehr von großer Relevanz ist). Dann könnte man aber überlegen, ob denn nicht die Landessprache am Hauptsitz entscheidend ist oder Informationen in den Arbeitssprachen der EU übermittelt werden müssen. Am Ende wird man aber auch in dieser Situation das Erfordernis der „Verständlichkeit“ im Blick behalten müssen.

Gleichzeitig gesteht die DSB dem jeweils Verantwortlichen auch einen gewissen Entscheidungsspielraum zu.

Aus Sicht der DSB erfolgte in diesem konkreten Fall und zu beurteilenden Beschwerdeverfahren die Erteilung der Informationen auf Deutsch zurecht. Zum einen legte die betroffene Person die Beschwerde (trotz Hinweis auf die Möglichkeit, Beschwerde bei der polinischen Behröde einzulegen) unmittelbar bei der Österreichischen Datenschutzbehörde ein und das darauffolgende Verfahren wurde in deutscher Sprache geführt. Zudem behauptete die Beschwerdeführerin zu keinem Zeitpunkt, dass sie die ihr erteilten Informationen (sprachlich) nicht erfassen konnte.

Daraus folgert die DSB in diesem Fall, dass aus Sicht der Beschwerdegegnerin (also des Verantwortlichen) von einer ausreichend verständlichen Information im Sinne des Art. 12 Abs. 1 iVm. Art. 14 DSGVO auszugehen war.

‌
‌
‌
‌
‌

Befristung der Benennung eines Datenschutzbeauftragten „in der Regel“ unzulässig?

Dürfen (sowohl interne als auch externe) Datenschutzbeauftragte nur unbefristet benannt werden? So sieht es wohl, meines Erachtens zu Unrecht, die Datenschutzbehörde aus Bremen in ihrem aktuellen Tätigkeitsbericht (PDF, S. 24 f.).

Die Behörde geht dort davon aus, dass die DSGVO eine Befristung für die Benennung der oder des Datenschutzbeauftragten nicht vorsehe. Die scheint sie als Basis ihrer Ansicht zu verwenden, dass

„eine Befristung der Benennung [darf] daher nur ausnahmsweise und mit stichhaltiger und mit den Wertungen der Datenschutzgrundverordnung konformer Begründung erfolgen“ darf.

Die Behörde erwähnt auch eine konkrete Anfrage des DSB einer öffentlichen Einrichtung in Bremerhaven, dessen Nachfolger zunächst nur für ein Jahr bestellt werden solle. Nach Auffassung der Behörde sind derart kurze Benennungszeiträume „in der Regel unzulässig“.

Der Gedanke hinter dieser Ansicht ist sicher verständlich. Der interne oder externe DSB soll nicht befürchten, dass er bei Ausübung seiner Tätigkeit nicht den Wünschen anderer Bereiche des Unternehmens oder der Unternehmensleitung genügt und seine Benennung bzw. der Vertrag dann einfach nicht verlängert wird.

Jedoch muss man meines Erachtens auch darauf hinweisen, dass die DSGVO zwar eine Befristung nicht vorsieht. Dass dies freilich aber nicht im Umkehrschluss bedeuten muss, dass eine solche Befristung unzulässig ist. Man könnte das Argument der Behörde auch umdrehen: die DSGVO verbietet keine Befristung. Zudem würde ich die Ansicht der Bremer Behörde sicher nicht als überwiegende Auffassung einschätzen. Ein Beispiel: der hessische Datenschutzbeauftragte weist in seinem Arbeitspapier „Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht“ (PDF) darauf hin, dass der gesetzlich bezweckte Benachteiligungsschutz bei externen Beauftragten durch vertragliche Gestaltung „z.B. durch Vereinbarung von festen Vertragslaufzeitenmit gewisser Dauer“ (S. 65) umzusetzen ist. Die hessische Behörde empfiehlt also durchaus eine Befristung, die wohl aber nicht zu kurz ausfallen darf. Was hier die Minimumgrenze ist, obliegt meines Erachtens einer ordentlichen Begründung unter Beachtung der gesetzlichen Vorgaben zum DSB. Der hessische Datenschutzbeauftragte verweist auf ein altes Papier der DSK (aus 2010) zu § 4f BDSG aF, in dem  grundsätzlich eine Mindestvertragslaufzeit von 4 Jahren empfohlen wird. Bei Erstverträgen wird wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit von 1 – 2 Jahren empfohlen (PDF).

‌
‌
‌
‌
‌

Aktuelle Rechtsprechung

‌
‌

LAG Baden-Württemberg mit einem umfassenden DSGVO-Urteil

Das LAG Baden-Württemberg  hat mit Urteil vom 25.2.2021 (Az. 17 Sa 37/20) ein sehr interessantes und praxisrelevantes Urteil zur Anwendung der DSGVO in den verschiedensten Facetten gefällt. Ursprung des Urteils ist zwar ein Streit in einem Arbeitsverhältnis (wie so oft, im Rahmen eines Auskunftsanfrage, der auch die Geltendmachung von Schadensersatz folgte). Das Urteil selbst befasst sich dann aber mit ganz vielen verschiedenen Themen der DSGVO, wie der Auftragsverarbeitung nach Art. 28, Drittlandstransfers nach Art. 44 f. DSGVO und dem Schadensersatzanspruch nach Art. 82 DSGVO. Daher eine klare Leseempfehlung von mir.

Nachfolgend möchte ich nur einige Highlights der Entscheidung beleuchten.

In dem Verfahren stritten die Parteien noch über einen immateriellen Schadensersatzanspruch im Zusammenhang mit der Übermittlung von personenbezogenen Daten des Klägers an die vormalige Konzernmutter der Beklagten in den USA. Streitgegenstand des Zahlungsantrags war das Bestehen eines immateriellen Schadensersatzanspruchs wegen der Verarbeitung der personenbezogenen Daten des Klägers im Zusammenhang mit der Einführung eines Personalinformationsmanagementsystems.

Das LAG wies die Klage als unbegründet ab. Dem Kläger stehe kein Anspruch gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der Datenübermittlung in den USA nach Art. 82 DSGVO zu.

Das LAG stellt sehr schön die Voraussetzungen für eine Schadensersatzverpflichtung nach der DSGVO heraus, die es danach detailliert prüft. Nach Ansicht des LAG obliegt es dem Kläger (also dem Betroffenen) darzulegen,

  • dass die Beklagte als in Anspruch genommene Person als Verantwortlicher (oder Auftragsdatenverarbeiter) an der Datenverarbeitung beteiligt war,
  • dass die Datenverarbeitung gegen Vorschriften der Datenschutzgrundverordnung oder anderer relevanter mitgliedstaatlicher Bestimmungen verstoßen hat, und
  • dass dieser Verstoß kausal war für einen Schaden welcher der betroffenen Person entstanden ist.

Wichtig ist u.a. die Ansicht des LAG zu Art. 82 DSGVO und der Frage, gegen welche Normen verstoßen werden muss, damit ein Schadensersatzanspruch entstehen kann. Denn Abs. 1 und Abs. 2 des Art. 82 DSGVO haben unterschiedliche Anknüpfungspunkt.

Abs. 1: „wegen eines Verstoßes gegen diese Verordnung“

Abs. 2: „eine nicht dieser Verordnung entsprechende Verarbeitung verursacht“

Abs. 1 ist also umfassender, was den möglichen DSGVO-Verstoß angeht und bezieht sich nicht nur auf die Verarbeitung.

Das LAG orientiert sich an Abs. 1. Nach Ansicht des Gerichts ist unter einem „Verstoß gegen diese Verordnung“ nicht nur ein Verstoß gegen Bestimmungen der DSGVO zu verstehen, sondern auch gegen Vorschriften des Unionsrechts die aufgrund delegierter Rechts- und Durchführungsrechtsakten erlassen wurden und gegen solche Rechtsvorschriften der Mitgliedsstaaten, welche die Bestimmungen der DSGVO präzisieren. Wichtig ist die daraus folgende Sichtweise des LAG für die Regelungen des BDSG in Deutschland.

„Damit sind auch sämtliche Verstöße gegen Rechtsvorschriften erfasst, welche aufgrund einer Öffnungsklausel der DSGVO erlassen wurden, wie bspw. Verstöße gegen § 26 BDSG“.

Streng ist das LAG bei der Frage der Beweislast. Nach Ansicht des Gerichts ist der Verantwortliche für die Einhaltung der Bestimmungen des Art. 5 Abs. 1 DSGVO verantwortlich und muss die Einhaltung nachweisen können (Rechenschaftspflicht).

„Auf der Ebene der Darlegungs- und Beweislast hat dies zur Folge, dass der Anspruchsteller lediglich darlegen und ggf. beweisen muss, dass der Anspruchsgegner irgendwie an der Verarbeitung beteiligt war, während der Anspruchsgegner darlegen und ggf. beweisen (Vollbeweis) muss, sämtliche Vorschriften … eingehalten zu haben“.

Das bedeutet für Unternehmen, dass man sich im Zweifel vor Gericht, sollte diese Ansicht herrschend werden, nur durch eine saubere interne Dokumentation zum Datenschutz und DSGVO-Compliance verteidigen kann. Es wird in der Literatur aber durchaus diskutiert, inwieweit die Rechenschaftspflicht der DSGVO direkten Einfluss auf zivilrechtliche Verfahrens- und Beweisverteilungsregeln hat.

Und zuletzt noch ein praxisrelevanter Aspekt. Eventuell wissen Sie, dass die Datenschutzbehörden der Ansicht sind, dass die (noch geltenden) EU-Standardvertragsklauseln nicht alle Voraussetzungen des Art. 28 DSGVO für einen Auftragsverarbeitungsvertrag erfüllen. Daher verlangen die Behörden ergänzende Regelungen der Standardvertragsklauseln.

Das LAG sieht dies im Grunde ebenso.

„Zwar erfüllen die Standardvertragsklauseln des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU) nicht sämtliche Anforderungen des Art. 28 Abs. 3 DSGVO“.

Jedoch fordert das LAG wegen Art. 46 Abs. 5 DSGVO gerade keine weiteren Zusätze in Standardvertragsklauseln. Nach Ansicht des Gerichts ist zu beachten, dass nach Art. 46 Abs. 5 DSGVO, wonach die von der Kommission erlassenen Feststellungen so lange in Kraft bleiben, bis sie erforderlichenfalls mit einem nach Art. 46 Abs. Absatz 2 DSGVO erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden,

„eine die Anforderungen von Art. 28 Abs. 3 DSGVO überlagernde Bestimmung getroffen wurde, mit der Folge, dass die bisherigen Standardvertragsklauseln genügen, um die DSGVO-Anforderungen zu erfüllen“.

Nach Ansicht des LAG geht mithin Art. 46 Abs. 5 DSGVO und die Geltungsfiktion zu den Standardvertragsklauseln den Anforderungen zu Art. 28 Abs. 3 DSGVO vor. Aus Sicht von Unternehmen eine relevante Ansicht.

‌
‌
‌
‌
‌

Veröffentlichungen

‌
‌

Ausnahmevorschriften bei Cookie-Einwilligungen - Auslegung des Begriffs „unbedingt erforderlich“ nach der ePrivacy-RL

Im März-Heft der Zeitschrift für Datenschutz (ZD 2021, 123) haben Jasmin Kühner und ich einen Aufsatz zu der praxisrelevanten Frage veröffentlicht, in welchen Fällen die Ausnahmeregelung des Art. 5 Abs. 3 S. 2 ePrivacy-RL beim Einsatz von Cookies und anderen Trackingtechnologien greift. Wann also ein Speichern von oder ein Zugriff auf Informationen „unbedingt erforderlich“ ist und keine Einwilligung des Nutzers vorliegen muss. Der Beitrag befasst sich mit der Auslegung und Anwendung dieser Ausnahmevorschrift, insbesondere mit Blick auf die Planet49-Entscheidung des BGH, und gibt praktische Hinweise dazu, wann ein Tracking auch ohne Einwilligung möglich sein kann.

‌
‌
Sie erhalten diese E-Mail, weil Sie sich mit der Adresse für den Newsletter angemeldet haben. Wenn Sie keine weiteren E-Mails erhalten möchten, können Sie sich hier austragen abmelden.
‌