Webversion | abmelden
‌
de lege data Newsletter 6/2021
‌
‌

Liebe Abonnentinnen und Abonnenten,

heute erhalten Sie den de lege data Newsletter 6/2021. Ich wünsche Ihnen viel Freude beim Lesen und einen guten Start in die kommende Woche.

‌
‌
‌
‌
‌

In eigener Sache

‌
‌

Start der Kanzlei Piltz Legal zum 1.7.2021

Zum 1.7.2021 bin ich als Partner in eigener Kanzlei in Berlin gestartet. Gründungspartner ist zudem mein Vater, Prof. Dr. Burghard Piltz. Bei Piltz Legal sind wir vor allem beratend und begleitend, bei Bedarf aber auch prozessführend für unsere Mandanten tätig. Wir beraten zu den Themen Digitalisierung, Datenschutz- und IT-Recht ebenso, wie im klassischen, insbesondere internationalen Vertrags-, Handels- und Wirtschaftsrecht (insbesondere UN-Kaufrecht, Incoterms).

‌
‌
‌
‌
‌

Aktuelle Beiträge im Blog

‌
‌

Generalanwalt am EuGH: Inbox-Werbung bei Freemail-Diensten ist wie E-Mail-Werbung zu behandeln – Einwilligung erforderlich


Zum Beitrag

Haftungsbegrenzung in den neuen SCC – rein kommerziell oder unzulässige Abweichung?




Zum Beitrag
‌
‌
‌
‌
‌

Aktuelle Nachrichten

‌
‌

EDSA veröffentlicht finale Version der Empfehlungen für Drittstaatentransfers

Der Europäische Datenschutzausschuss hat die finale Version seiner Empfehlungen für die Prüfung von Drittstaatentransfers und die Umsetzung zusätzlicher Schutzmaßnahmen veröffentlicht (PDF). Das Dokument und dort enthaltenen Vorgaben sollten Unternehmen in jedem Fall bei der Prüfung ihrer eigenen Datenübermittlung mit beachten.

Empfehlungen (PDF)

LfDI BaWü veröffentlicht Broschüre zum Scoring

Die Datenschutzbehörde aus Baden-Württemberg hat auf ihrer Webseite eine neue Broschüre zu datenschutzrechtlichen Anforderungen des Scorings veröffentlicht. Die dort enthaltenen Vorgaben dürften vor allem für Banken und Versicherungen, aber auch generell für Unternehmen relevant sein, die langfristige Verträge mit Ausfallrisiken abschließen.


Zur Broschüre (PDF)
‌
‌

Länderübergreifende Kontrolle zur Umsetzung der Schrems-II-Entscheidung

Mehrere deutsche Datenschutzbehörden haben eine länderübergreifende Kontrolle für Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) gestartet. Die Fragebögen sind online abrufbar (Webseite des BayLDA). Im Blog habe ich ein paar Tipps zur Beantwortung der Fragebögen gegeben.

Zur Meldung des BayLDA

DSK: Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln für Datenexporte nötig

Die DSK weist in einer Pressemitteilung vom 21.6.2021 darauf hin, dass die EU-Kommission zwar nun die neuen EU-Standardvertragsklauseln beschlossen und veröffentlicht hat. Aber, so die DSK, dies entbindet Unternehmen nicht von der Pflicht einer ergänzenden Prüfung, ob die Rechtslage oder die Praxis in dem jeweiligen Drittland negativen Einfluss auf das durch die Standardvertragsklauseln gewährleistete Schutzniveau haben können.

Zur Pressemitteilung (PDF)
‌
‌
‌
‌
‌

Praxisthemen

‌
‌

Kennt die DSGVO eine „missbräuchliche“ Ausübung von Betroffenenrechten?

Im Rahmen der Diskussion um die Geltendmachung von Auskunftsansprüchen nach Art. 15 DSGVO, wird immer wieder die Frage diskutiert, ob denn nicht der Einwand des Rechtsmissbrauchs bzw. der missbräuchlichen Ausübung des Betroffenenrechts vorgebracht werden kann. Denn machen wir uns nichts vor: in der Praxis werden in Situationen Art. 15 Anträge gestellt, in denen jeder weiß, dass es der betroffenen Person sicher nicht darum geht zu erfahren, welche Daten ein Verantwortlicher verarbeitet, sondern um Aufwand zu generieren und den Verantwortlichen ggfs. zu Fehlern zu zwingen.

Ich habe einmal grob einige Ratsdokumente zur Entstehung der DSGVO zu dieser Frage ausgewertet. Denn im Rahmen der Anwendung der DSGVO ist die historische Auslegung eines von mehreren Elementen, die man in der Praxis nutzen kann und sollte.

Zunächst zeigt sich, dass im Rahmen der Verhandlungen zur DSGVO und Art. 12 Abs. 4 (jetzt Art. 12 Abs. 5 DSGVO) mehrere Delegationen anstelle von „offenkundig unbegründet“ lieber „missbräuchlich“ in den Gesetzestext aufgenommen hätten (vgl. etwa Ratsdokument 7978/1/15REV 1, Fn. 59, PDF). Hierzu gehörten Deutschland, Spanien, Ungarn und Polen. Die Mehrzahl der Delegationen war dagegen. Dies zeigt, dass das Thema „Missbrauch“ durchaus gesehen und diskutiert wurde. Nur scheint es starke Meinungen gegen eine Aufnahme direkt im damaligen Art. 12 Abs. 4 DSGVO gegeben zu haben. Fraglich ist, was der Grund der Ablehnung war.

Noch bis zum 11. Juni 2015 (Ratsdokument 9565/15, PDF) enthielt die Ratsfassung der DSGVO in ErwG 47 Abs. 2 folgenden Wortlaut:

Bei offenkundig unbegründeten oder unverhältnismäßigen Anträgen, zum Beispiel wenn die betroffene Person ungebührlich und wiederholt Informationen verlangt oder wenn die betroffene Person ihr Recht auf Information missbraucht, beispielsweise indem sie in ihrem Antrag falsche oder irreführende Angaben macht, könnte sich der für die Verarbeitung Verantwortliche weigern, aufgrund des Antrags tätig zu werden.

Es wird dort explizit auf einen Missbrauch durch Betroffene abgestellt. Man kann diesen Abs. 2 durchaus auch so lesen, dass der Missbrauch ein Unterfall des offenkundig unbegründeten Antrags ist. Wenn dem so wäre, kann man den Missbrauch auch jetzt in Art. 12 Abs. 5 DSGVO hineinlesen und als Ausnahme zulassen.

Der damalige Gesetzestext des Art. 12 Abs. 4 DSGVO enthielt den Begriff „Missbrauch“ nicht.

Zuvor fragte die Ratspräsidentschaft ab, wie Delegationen dazu stehen, dass im damaligen Art. 12 Abs. 4 „missbräuchlich“ aufgenommen wird. Polen befürwortete eine Aufnahme in Abs. 4 (Ratsdokument 7586/1/15 REV 1, 10. April 2015, S. 50, PDF). Interessant ist die Ansicht der portugiesischen Delegation. Dort sprach man sich für eine Beibehaltung von „offenkundig unbegründet“ aus, stellte jedoch zugleich die Verständnisfrage, ob denn nicht „offenkundig unbegründet“ ohnehin mit „offenkundig missbräuchlich“ gleichzusetzen bzw. davon erfasst wäre (S. 58). Die portugiesische Delegation schien also davon auszugehen, dass man ruhig „offenkundig unbegründet“ im Text belassen könne, da dies wohl „missbräuchlich“ umfasse.

Der komplette obige Abs. 2 des ErwG 47 wurde dann im Dokument zur allgemeinen Ausrichtung (General Approach) des Rates gestrichen (Ratsdokument 10391/15, 8. Juli 2015, PDF). Ohne nähere Begründung und insbesondere auch ohne Änderung des damaligen Art. 12 Abs. 4 DSGVO. Dieser blieb unverändert, wie in der Fassung, in der ErwG 47 Abs. 2 noch vorhanden war.

Was bedeutet dies?

Nun, darüber lässt sich sicher gut diskutieren. Eventuell meinten die Delegationen, dass Abs. 2 des ErwG 47 überflüssig sei, da er ohnehin so in Art. 12 Abs. 4 abgebildet war und man „missbräuchlich“ (wohl wie etwa Portugal) in Abs. 4 mit hineinlesen kann. Das hätte natürlich durchaus Auswirkungen auf unsere Praxis. Oder aber, Abs. 2 des ErwG 47 war dann im Rat zu umstritten und man hat ihn lieber in Gänze entfernt. Fraglich ist dann, ob der mögliche Streit an der Ausnahmeregelung einer „missbräuchlichen“ Ausübung hing. Dazu habe ich leider keine Begründung gefunden.

Meines Erachtens, bietet diese historische Analyse daher Argumente für beide Seiten der Diskussion: jene, die einen Missbrauch von Betroffenenrechten in der DSGVO nicht geregelt sehen und daher ablehnen, als auch jene, die den Missbrauch als Unterfall der „unbegründeten“ Ausübung mit in den jetzigen Art. 12 Abs. 5 DSGVO hineinliest.
‌
‌
‌
‌
‌

Datenschutzbeauftragter – Verantwortlicher oder Auftragsverarbeiter?

In seinem aktuellen Tätigkeitsbericht 2020 (PDF) informiert der sächsische Datenschutzbeauftragte u.a. darüber, in welche Verantwortlichkeitsrolle sowohl ein interner als auch externer Datenschutzbeauftragter nach der DSGVO einzuordnen sind (Ziff. 2.1.2).

Hintergrund der Befassung mit dieser Frage war für die Behörde eine Beschwerde wegen eines Auskunftsersuchens an einen externen Datenschutzbeauftragten.

Nach Ansicht der Behörde ist der interne Datenschutzbeauftragte ein dem Verantwortlichen zuzuordnenden Funktionsträger. Dies gilt auch vor dem Hintergrund, dass der Datenschutzbeauftragte weisungsfrei agiert. Anders sei dies jedoch hinsichtlich des externen Datenschutzbeauftragten zu beurteilen. Dieser betreibe selbst die personenbezogenen Datenverarbeitungsprozesse und bestimme über den Zweck und die Mittel der Verarbeitung. Damit mach die Aufsichtsbehörde auch klar, dass der Datenschutzbeauftragte nicht auf Basis eines Auftragsverarbeitunsvertrages eingesetzt werden kann oder muss (mag komisch anmuten, habe ich aber alles schon erlebt).  Die Datenverarbeitung ist beim externen Datenschutzbeauftragten ausgegliedert und mit der Verarbeitung des Verantwortlichen, der den externen Datenschutzbeauftragten benannt hat, nur teilidentisch.

Die Konsequenz hieraus ist natürlich aber auch, dass insoweit für betroffene Personen grundsätzlich ein Auskunftsrecht gemäß Art. 15 DSGVO gegenüber externen Datenschutzbeauftragten besteht. Nach Auffassung der Aufsichtsbehörde sind Auskunftsersuchen gegenüber internen Datenschutzbeauftragten hingegen als Auskünfte gegenüber dem Verantwortlichen zu werten. Sollte es jedoch um Vorgänge oder Daten gehen, bei denen der interne Datenschutzbeauftragte Geheimhaltungspflichten unterliegt (vgl. § 6 Abs. 5 BDSG), soll nach Ansicht der Behörde der interne Datenschutzbeauftragte aber gegebenenfalls selbst auskunftserfüllend tätig werden.

‌
‌
‌
‌
‌

Aktuelle Rechtsprechung

‌
‌

AG Wiesbaden: keine Negativauskunft zu Datenübermittlungen in Drittländer

Das AG Wiesbaden (Urt. v. 31.05.2021 – 93 C 3382/20) hatte sich mit einer Klage gegen die SCHUFA zu befassen, in der es um eine Auskunft nach Art. 15 DSGVO ging.

Die Entscheidung enthält unter anderem folgende interessante Begründungen.

Zum einen geht das AG davon aus, dass der Vorwurf einer unvollständigen Auskunft durch den Betroffenen als Kläger substantiiert werden muss. Die reine Vermutung bzw. Unterstellung, dass Information unvollständig erteilt wurden und es deshalb andere Informationen über den Betroffenen gäbe, die die Verantwortliche auch verarbeite, gleichwohl aber in der Auskunft nicht dargestellt sind, reicht nicht aus, um einen Verstoß gegen Art. 15 DSGVO nachzuweisen. Das AG weist den entsprechenden Sachvortrag des Betroffenen zurück, da dieser weder substantiiert noch unter Beweis gestellt wurde. Es handele sich vielmehr um ins Blaue hinein vorgenommenen Ausführungen, die von der Verantwortlichen zudem ausdrücklich bestritten wurden.

Zum anderen befasst sich das AG mit der Pflicht nach Art. 15 Abs. 2 DSGVO: „Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden“. Im vorliegenden Fall informierte die Verantwortliche nicht zur Übermittlung an Drittländer oder internationale Organisationen. Nach Ansicht des AG war dies auch nicht erforderlich.

„Allerdings ist bereits aus dem Wortlaut der Norm zu erkennen, dass eine solche Mitteilung nur erforderlich ist, wenn eine entsprechende Datenübermittlung erfolgt ist. Eine Negativauskunft schuldet die Klägerin dagegen nicht“.

Praktisch relevant könnte diese Ansicht auch für entsprechende Informationspflichten in Art. 13 Abs. 1 lit. f DSGVO und Art. 14 Abs. 1 lit. f DSGVO sein. Denn auch dort bezieht sich die Pflicht dem Wortlaut der Norm nach nur darauf, Informationen zu erteilen, wenn die Absicht des Verantwortlichen besteht, Daten zu übermitteln. Wenn dies jedoch nicht der Fall ist, könnte man überlegen, mit der Argumentation des AG auch hier eine Pflicht zur Negativinformation abzulehnen.

‌
‌
‌
‌
‌
Sie erhalten diese E-Mail, weil Sie sich mit der Adresse für den Newsletter angemeldet haben. Wenn Sie keine weiteren E-Mails erhalten möchten, können Sie sich hier austragen abmelden.
‌