OVG Hamburg zur Datensicherheit: (Un)Verhältnismäßigkeit technischer & organisatorischer Maßnahmen

In einem Urteil vom 22.06.2017 (Az. 4 Bf 160/14) befasste sich das Hamburgische Oberverwaltungsgericht (OVG) unter anderem auch mit der Frage, welche technischen und organisatorischen Maßnahmen nach § 9 BDSG zu treffen sind, um die in der Anlage zum BDSG genannten Anforderungen zu gewährleisten.

Das Verfahren betraf im Kern kein datenschutzrechtliches Thema. Die Klägerin, ein Unternehmen aus Hamburg, begehrte die Erteilung einer Erlaubnis für die Vermittlung von Lotterien im Internet ohne beschränkende Nebenbestimmungen. In einem Bescheid aus 2012 erteilte die zuständige Behörde der Klägerin die Erlaubnis als gewerbliche Spielvermittlerin Glücksspiele unter ihrer Domain zu vermitteln. Weiter enthielt der Bescheid mehrere Nebenbestimmungen, u.a. auch folgende Nummer 14:

14. Bei der gegebenenfalls für die Vermittlungstätigkeit eingesetzten Hard- und Software hat die Datensicherheit bei der Abwicklung des Glücksspiels dem von Kreditinstituten im elektronischen Zahlungsverkehr eingehaltenen Stand der Technik zu entsprechen. Der Nachweis, dass ein entsprechender Standard eingehalten wird, gilt bei Vorlage eines Zertifikates nach ISO/IEC 27001:2005 als erbracht. Die vorliegende Erlaubnis wird mit der Auflage erteilt, dass unverzüglich ein entsprechendes Zertifikat nachgereicht oder ein gleichwertiger Nachweis erbracht wird.

U. a. gegen diese Nebenbestimmung ging die Klägerin vor, da sie sie als unverhältnismäßig ansah. Das Niveau der dort vorgesehenen Zertifizierung sei außerordentlich hoch und werde von den wenigsten Wirtschaftsunternehmen eingehalten.

Nach Auffassung des OVG ist die Regelung jedoch rechtmäßig.

Das Gericht begründet seine Ansicht damit, dass die die Auflage einerseits dem Ziel des § 1 Nr. 4 GlüStV diene, wonach sicherzustellen ist, dass Glücksspiele ordnungsgemäß durchgeführt werden und die Spieler vor betrügerischen Machenschaften geschützt werden.

Jedoch gehöre auch der allgemeine Datenschutz zum ordnungsgemäßen Ablauf des Glücksspiels. Mit anderen Worten: die Vorgaben des Datenschutzrechts, auch solche zu technischen und organisatorischen Maßnahmen, muss die Klägerin in jedem Fall beachten. Nach Ansicht des OVG ist  die Klägerin nach § 9 BDSG verpflichtet, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zum BDSG genannten Anforderungen, zu gewährleisten.

„Das geforderte Sicherheitsniveau ist auch nicht unverhältnismäßig. Bei dem Standard nach ISO/IEC 27001:2005 handelt es sich um den weltweit gültigen Standard für die Datensicherheit. Hierauf baut auch der IT-Grundschutz-Katalog des Bundesamtes für Sicherheit in der Informationstechnik auf, der im Übrigen u. a. auch den Anforderungen des § 9 BDSG i. V. m. der Anlage zu § 9 Satz 1 BDSG Rechnung trägt.“

Zu beachten ist, dass das Gesetz, also derzeit § 9 BDSG und in Zukunft Art. 32 DSGVO, keine spezifischen Vorgaben zu den umzusetzenden Maßnahmen machen, sondern allgemein beschreiben, welchen Anforderungen die Maßnahmen genügen müssen bzw. welche Zwecke mit ihnen erfüllt werde müssen. Nach § 9 S. 1 BDSG sind „technischen und organisatorischen Maßnahmen zu treffen“. Insbesondere sollen die in der Anlage zu § 9 BDSG genannten Anforderungen gewährleistet werden. § 9 S. 2 BDSG gibt zudem vor, dass Maßnahmen nur dann als erforderlich angesehen werden, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Bei der Umsetzung von technischen und organisatorischen Maßnahmen ist mithin auch stets die Verhältnismäßigkeit ihrer Implementierung in der konkreten Situation zu berücksichtigen.

Nach Ansicht des OVG ist dafür, dass der in der Nebenbestimmung angesprochene Standard für die Klägerin nicht erreichbar ist, nichts ersichtlich. Das Gericht verweist hierfür auch auf die Homepage der Klägerin, auf der, jedenfalls im Hinblick auf den Datenschutz, auf eine Zertifizierung nach ISO/IEC 27001 durch den TÜV Saarland hingewiesen wird. Nach Auffassung des OVG stellt die Anforderung, eine ISO/IEC 27001 Zertifizierung nachzuweisen (und natürlich vorher die Anforderungen zu erfüllen) also keine unverhältnismäßige Maßnahme dar. Hierbei muss aber beachtet werden, dass das Gericht nur die konkreten Umstände in diesem Fall beurteilte. Darauf zu schließen, dass § 9 BDSG nur erfüllt ist, wenn eine ISO/IEC 27001 Zertifizierung vorliegt, wäre daher nicht angemessen.

Auf diese vorhandenen alternativen Möglichkeiten geht auch das OVG ein. Zunächst stellt es jedoch fest, dass die Tatsache, dass zum Nachweis eine Zertifizierung gefordert werde, nicht zu beanstanden sei. Auch wenn eine Zertifizierung gesetzlich nicht vorgeschrieben sei, dürfe eine solche im Wege einer Auflage aufgegeben werden, wenn sie dem Zweck des Verwaltungsaktes in der Hauptsache bzw. den gesetzlichen Regelungen „dient“, die für den Erlass des Hauptverwaltungsaktes maßgeblich sind.

Zuletzt ist das Gericht der Ansicht, dass das Argument der Klägerin, dass die Pflicht zum Nachweis eines entsprechenden Zertifikats aufgrund der damit verbundenen Kosten unverhältnismäßig sei, nicht durchgreife, da dieser Gesichtspunkt als rein wirtschaftlicher hinter den mit der Auflage verfolgten schützenswerten Zielen zurücktreten muss. Im Übrigen dürfe die Klägerin zum Nachweis auch einen „gleichwertigen Nachweis“ vorlegen. Der letztgenannte Aspekt ist zu begrüßen, da das Gericht hiermit deutlich macht, dass die Umsetzung technischer und organisatorischer Maßnehmen eben gerade nicht an einem bestimmten Zertifikat hängt. Der Nachweis, dass solche Maßnahmen existieren, kann auch anders erbracht werden.

Kritisch betrachtet werden kann jedoch die Auffassung des OVG, dass die mit der Umsetzung der Maßnahmen verbundenen Kosten hinter den „verfolgten schützenswerten Zielen zurücktreten“ müssen. Leider wird nicht in Gänze deutlich, ob das OVG damit tatsächlich jegliche Abwägung im Rahmen der Frage der Angemessenheit der Maßnahmen ablehnt. Dies wäre mit den Vorgaben des § 9 BDSG nur schwer vereinbar. Eine Abwägung ist im Rahmen der Verhältnismäßigkeitsprüfung in jedem Fall vorzunehmen. Die Kosten für die Maßnahmen können als Abwägungskriterium nicht per se ausscheiden, weil die verfolgten Ziele schützenswert sind. Denn nach diesem Verständnis würden die Kosten niemals Eingang in die Abwägung nach § 9 S. 2 BDSG finden oder im Ergebnis ab einer gewissen Grenze überwiegen. Dieses Verständnis lässt sich jedoch dem Wortlaut des Gesetzes nicht entnehmen.

Das Urteil des OVG ist eine der wenigen Entscheidungen zu einer Einzelthematik des Datenschutzrechts und daher aus Praxissicht sicherlich willkommen. Zum Teil kann man die Auffassung des Gerichts jedoch mit guten Argumenten kritisch hinterfragen.

VGH München zum Umfang des datenschutzrechtlichen Auskunftsanspruchs

Der Bayerische Verwaltungsgerichtshof (VGH) hat mit Beschluss vom 29.08.2017 (Az. 5 ZB 16.2227) eine recht interessante und ausführlich begründete Entscheidung über den Umfang des datenschutzrechtlichen Auskunftsanspruchs getroffen. Zwar ging es in dem Verfahren insbesondere um die Auslegung des Art. 10 BayDSG. Jedoch ähnelt diese Vorschrift dem § 34 BDSG. Die Ausführungen des VGH lassen sich daher auch auf die Anwendung des § 34 BDSG übertragen.

Um was ging es?

Der Kläger begehrte eine umfassende Datenauskunft vom Beklagten, einer Rundfunkanstalt des öffentlichen Rechts. Dabei lag er mit der Rundfunkanstalt wohl schon länger im Clinch. So sprach die Rundfunkanstalt gegenüber dem Kläger wohl zuvor auch ein Hausverbot aus. Der Kläger wollte mit seiner Klage auf Auskunft über handschriftliche Notizen, hausinternen und der eingescannten Schriftverkehr, einschließlich der Verschlagwortung der Dokumente, Freitexte und Ordnungsmerkmale. Auch sollten Aktennotizen und Gesprächsnotizen übersendet werden. Zudem seien leere Datenfelder ebenso wie fachliche Annahmen zu beauskunften. Der Kläger meinte zudem, sein Auskunftsanspruch beziehe sich auch auf fachliche Annahmen, Abwesenheit von Datensätzen, offensichtlich bekannte Daten und Alternativschlüssel.

Der Beklagte erteilte in der Vergangenheit mehrfach Auskunft. Nur eben nicht in der Tiefe und Breite, wie sich dies der Kläger wünschte.

Urteil des VGH

Der VGH entschied vorliegend über den Antrag auf Zulassung zur Berufung. Diesen lehnte er ab.

Das Gericht begründet seine Entscheidung u.a. damit, dass der Kläger den Inhalt des Schriftverkehrs mit dem Beklagten kenne. Diesen in einer Datenauskunft zu wiederholen, weil der Schriftverkehr, wie heute weitgehend üblich, eingescannt wurde und daher „gespeichert“ ist, sei nicht Sinn und Zweck des Auskunftsanspruchs.

Der Kläger hielt hier dagegen und meinte, er kenne zwar den Schriftverkehr, aber nicht die ggf. vom Beklagten auf dem Schriftverkehr oder auf hinterlegten Freitexten angebrachten Bemerkungen, Verfahrenshinweise und Eingangsstempel mit den ggf. darauf angebrachten Vermerken. Nach Ansicht des Gerichts handelt es sich bei Eingangsstempeln (ggf. mit ergänzenden Angaben zu Umfang der Schreiben sowie zu den Anlagen und deren Umfang) und Verfahrensvermerken, die Anweisungen an Mitarbeiter enthalten wie z.B. „bitte Hausverbot beachten“ oder „gelegentlich kontrollieren“ oder auch „bitte Antwortschreiben entwerfen“, zumindest in der Regel um keine personenbezogenen Daten. Eingangsstempel und Verfahrensvermerke seien daher regelmäßig keine Einzelangaben über persönliche oder sachliche Verhältnisse einer Person.

Zudem habe der Kläger auch keinen Anspruch auf Auskunft über die Verschlagwortung der Dokumente, über Scan-Daten oder Ordnungsmerkmale, da es sich insoweit nicht um zur Person des Klägers gespeicherte Daten handelt.

Eine Verschlagwortung der Dokumente sowie Scan-Dateien und Ordnungsmerkmale schaffen keine zusätzlich gespeicherten Daten, sondern ermöglichen nur den erleichterten Zugriff auf die gespeicherten Daten.

Im Hinblick auf leere Datenfelder entschied der VGH, dass nicht besetzte (leere) Felder und „abwesende Datensätze“ zu bestimmten sachlichen oder persönlichen Einzelangaben in den Verfahrensverzeichnissen des Beklagten keine gespeicherten personenbezogenen Daten des Klägers enthielten.

Wenn eine Information nicht gespeichert ist, ergibt sich daraus keine Information über den Kläger außer der, dass darüber dem Beklagten keine Information vorliegt, jedenfalls aber keine gespeichert ist.

Der VGH befasst sich in seiner Entscheidung zudem auch noch mit weiteren Informationskategorien, die nicht beauskunftet werden müssen.

Da es in dem Beschluss auch um die Frage geht, welche Informationen „personenbezogene Daten“ darstellen, möchte ich in diesem Zusammenhang noch auf die Schlussanträge der Generalanwältin Kokott am EuGH vom 20.7.2017 (Rs. C-434/16) hinweisen. In dem Verfahren geht es um die Frage, ob Anmerkungen auf Prüfungsunterlagen durch den Korrektor als „personenbezogene Daten“ einer betroffenen Person (des Prüflings) eingestuft werden können.

Nach Ansicht der Generalanwältin sind auf der Arbeit befindliche Anmerkungen typischerweise in der Regel untrennbar mit der Arbeit verknüpft, weil sie ohne diese keinen sinnvollen Aussagewert erreichen würden. Die Arbeit selbst verkörpert personenbezogene Daten des Prüfungsteilnehmers. Und diese Daten, so die Generalanwältin, werden gerade zu dem Zweck erhoben und verarbeitet, die in den Korrekturanmerkungen verkörperte Bewertung der Leistung des Prüfungsteilnehmers zu ermöglichen.

Daher folgert sie:

Schon aufgrund dieser engen Verknüpfung zwischen der Prüfungsarbeit und den auf ihr vorgenommenen Korrekturanmerkungen sind auch Letztere personenbezogene Daten des Prüfungsteilnehmers gemäß Art. 2 Buchst. a der Datenschutzrichtlinie.

Die Generalanwältin erstreckt den Personenbezug mithin auch auf schriftliche Anmerkungen des Korrektors und geht folglich von einem weiten Verständnis des Personenbezugs aus. Die Entscheidung des EuGH steht noch aus.

Bayerische Aufsichtsbehörde veröffentlicht Hinweise und Anforderungen an den Einsatz von Facebook Custom Audience

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in der Vergangenheit bayernweiten 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird. Gestern veröffentlichte die Behörde nun das Ergebnis ihrer Prüfung und gleichzeitig auch allgemeine Hinweise und Anforderungen, die aus Sicht des BayLDA beim Einsatz von Custom Audience zu beachten sind (Pressemitteilung und Hinweise, pdf).

Wenn man sich die Informationen und Äußerungen des BayLDA zu Custom Audience aus der Vergangenheit vor Augen führt (hier mein Blogbeitrag zum Tätigkeitsbericht 2013/2014 und hier mein Blogbeitrag zum Tätigkeitsbericht 2015/2016), sind die Aussagen der Behörde zu den datenschutzrechtlichen Voraussetzungen beim Einsatz von Custom Audience wenig überraschend. Dennoch möchte ich bereits hier anfügen, dass die Auffassung des BayLDA zumindest zum Teil sicher auch streitbar ist.

Das BayLDA trennt in seinen Hinweisen klar strukturiert zwischen der Funktion „Facebook Custom Audience über die Kundenliste“ und „Facebook Custom Audience über das Pixel-Verfahren“, wobei in letzterer Variante noch die Funktion „Erweiterter Abgleich“ eine Rolle spielt.

Facebook Custom Audience über die Kundenliste

Die Funktion „Facebook Custom Audience über die Kundenliste“, in der ein Unternehmen eine Liste erstellt, die Name, Wohnort, E-Mail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält und diese Liste dann im Facebook-Konto des Unternehmens hochlädt, damit Facebook feststellen kann, welcher Kunde Facebook-Nutzer ist, ist nach Auffassung des BayLDA nur aufgrund einer informierten Einwilligung der Kunden zulässig. Zudem weist das BayLDA darauf hin, dass das Übermitteln dieser Liste an Facebook auch auf der Basis der ab 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) seiner Ansicht nach nicht ohne Einwilligung zulässig sein wird.

Facebook Custom Audience über das Pixel-Verfahren

Die Funktion „Facebook Custom Audience über das Pixel-Verfahren“ existiert in einer einfachen Variante und in der Variante des erweiterten Abgleichs. Auf der Webseite eines Unternehmens wird ein Facebook-Pixel eingebunden. Über dieses Pixel kann Facebook (nicht der Einbindende) das Online-Verhalten des Nutzers nachvollziehen. Das BayLDA nennt beispielhaft ein typisches Szenario: „Ein Nutzer besucht einen Webshop und interessiert sich für das neueste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet. Der Betreiber des Webshops möchte natürlich den Kunden zurückgewinnen und kann ihn über Facebook mittels Werbung des zuvor angesehenen Smartphones locken und zur Rückkehr auf die Webshop-Seite verleiten“.

Nach Auffassung des BayLDA ist der Webseiten-Betreiber, der den Facebook-Pixel auf seiner Webseite einbindet,

im datenschutz-rechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst.

Diese Auffassung des BayLDA ist sicherlich vertretbar. Jedoch existiert genau zu dieser Frage, inwieweit ein Webseitenbetreiber datenschutzrechtlich verantwortlich ist, wenn er Code einbindet, über den Dritte dann Daten der Besucher verarbeiten können, schon länger Streit. Die Frage der Verantwortlichkeit liegt derzeit dem Europäischen Gerichtshof (EuGH) im Fall der Einbindung des Facebook -Like-Buttons vor (C-40/17, Fashion ID). Das OLG Düsseldorf hat dem EuGH mit Beschluss vom 19.1.2017 (I-20 U 40/16) zur Haftung und Verantwortlichkeit übermittelt. Dies zeigt, dass die Frage der Verantwortlichkeit des Webseitenbetreibers in diesen Fällen zumindest derzeit nicht so klar zu beantworten ist, wie dies in den Hinweisen dargestellt wird. Man wird freilich davon ausgehen dürfen, dass die deutschen Aufsichtsbehörden in dieser Frage einer Meinung sein werden.

Was die Anforderungen an den Einsatz der Funktion „Facebook Custom Audience über das Pixel-Verfahren“ betrifft, so geht das BayLDA in seinen Hinweisen nur auf den „Erweiterten Abgleich“ ein. Die, wenn man so will, aus Datenschutzsicht „schlimmere“ Variante. Hierdurch ist es, über das Facebook-Pixel möglich, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. Nach Auffassung des BayLDA dürfen Webseiten-Betreiber die erweiterte Funktion nur einsetzen,

wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

Zusätzlich müssen Hinweispflichten erfüllt werden. Der Nutzer muss also wissen, welche Daten erhoben werden, für welche Zwecke usw. Außerdem muss der Webseiten-Betreiber ein geeignetes Opt-Out-Verfahren implementieren. Und Achtung, auch an dieses stellt das BayLDA gewisse Anforderungen. So sei ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) für ein Opt-Out nicht ausreichend. Auch ein Verweis auf die URL www.facebook.com/settings stelle kein geeignetes Opt-Out-Verfahren.

Keine Anforderungen stellt das BayLDA in seinen Hinweisen jedoch an die einfache Variante des Pixel-Verfahrens auf. Wenn also nicht noch zusätzliche Daten übermittelt werden. Das bedeutet sicherlich nicht, dass der Einsatz völlig voraussetzungslos möglich ist. Jedoch kann man meines Erachtens aus dem Schwiegen des BayLDA in seinen Hinweisen schließen, dass der Einsatz des einfachen Pixel-Verfahrens ohne Einwilligung der Webseiten-Besucher zulässig ist. Jedoch muss der Webseiten-Betreiber die Nutzer über die Funktionsweise des Pixels einwandfrei in der Datenschutzerklärung informieren und eine Opt-Out-Lösung anbieten. Wie gesagt, dass BayLDA äußert sich zu den Anforderungen an das einfache Verfahren jedoch nicht ausdrücklich.

Das BayLDA informiert in seiner Pressemitteilung nicht allein zum Ausgang der Prüfung, sondern gibt Unternehmen erfreulicherweise auch direkt Handlungsempfehlungen mit auf den Weg. Für die Antwort auf Frage der Verantwortlichkeit des Webseiten-Betreibers dürfte die Entscheidung des EuGH in dem dort anhängigen Verfahren aus Deutschland von besonderer Relevanz sein.

Bundesländer passen Datenschutzgesetze an – Aktueller Stand der Gesetzesvorhaben und Anmerkungen (aktualisiert)

Der Bundesgesetzgeber hat es (zumindest teilweise) bereits hinter sich: die Anpassung des nationalen Datenschutzrechts an die ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO). Am 25. Mai 2018 tritt das neue Bundesdatenschutzgesetz (pdf) in Kraft. Die Aufgabe ist nur teilweise erledigt, da der Bundesgesetzgeber noch eine Vielzahl von Bundesgesetzen und auch Verordnungen anpassen muss. Aus der Antwort von Staatssekretär Engelke vom 12.9.2017 (pdf, S. 10) auf eine Anfrage von Konstantin von Notz ergibt sich ein durchaus noch umfassender Anpassungsbedarf. Demnach wird derzeit auch an einem Arbeitsentwurf für ein Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) gearbeitet. Der Prozess der Anpassung der Bundesvorschriften an die DSGVO sei zudem noch nicht abgeschlossen.

Auch die Bundesländer müssen ihre Datenschutzregeln, vor allem die Landesdatenschutzgesetze, an die Vorgaben der DSGVO anpassen. Erst seit Mitte August gelangen allmählich die ersten offiziellen Entwürfe ans Tageslicht:

Brandenburg: Gesetz zur Anpassung des Allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (pdf)

Sachsen: Gesetz zur Anpassung landesrechtlicher Vorschriften an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (pdf) (Sächsisches Datenschutzdurchführungsgesetz)

Sachsen-Anhalt: Entwurf eines Gesetzes zur Organisationsfortentwicklung des Landesbeauftragten für den Datenschutz (pdf) (wobei dieser Gesetzentwurf nur einen sehr kleinen Teilbereich der Vorgaben der DSGVO abdeckt und sich auf die Stellung und Aufgaben des Landesdatenschutzbeauftragten beschränkt; vglö hierzu meinen älteren Blogbeitrag)

Update vom 4.10.2017:

Bayern: Gesetzentwurf der Staatsregierung für ein Bayerisches Datenschutzgesetz (pdf) (derzeit zunächst in der Verbandsanhörung)

Auffällig ist, dass sich die Landesgesetzgeber sehr stark an dem neuen BDSG und den Vorschriften für nicht öffentliche Stellen orientieren. Zum Teil sind jedoch auch ganz individuelle Abweichungen vorgesehen. Nachfolgend möchte ich einige Gesetzentwürfe und dort enthaltene Regelungen vorstellen und kritisch kommentieren.

Brandenburg:

In § 3 soll der Begriff des „Anonymisieren“ ergänzend zu Art. 4 DSGVO definiert werden. Der Ausdruck bezeichnet das Verändern personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Aufgrund der bindenden Wirkung der DSGVO und ihres grundsätzlich abschließenden Regelungscharakters wird man aber die Frage stellen müssen, ob der nationale Gesetzgeber den Begriff des „Anonymisierens“ legal definieren darf. Laut der Gesetzesbegründung ergebe sich die Regelungsbefugnis hierfür aus Art. 6 Abs. 2 und 3 DSGVO (diese beiden Vorschriften nutzt der Gesetzentwurf aus Brandenburg im Übrigen sehr extensiv für verschiedenste Regelungen). Danach dürfen Mitgliedstaaten Regelungen einführen oder beibehalten, die spezifischen Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten. In ErwG 26 erwähnt die DSGVO anonyme Informationen. Dies sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die DSGVO nutzt folglich zum einen eine andere Umschreibung als § 3. Zum anderen dürfte die nationale Regelung an sich schon nicht zulässig sein, da die DSGVO (zumindest in einem ErwG) den Begriff abschließend umschreibt.

In § 4 Abs. 3 sieht der Gesetzesentwurf, abweichend von Art. 30 Abs. 4 DSGVO, vor, dass das Verzeichnis der Verarbeitungstätigkeiten von jedermann eingesehen werden kann. Auch diese Regelung stützt der Gesetzesentwurf auf Art. 6 Abs. 2 und 3 DSGVO, da es um eine Vorgabe zur Transparenz der Datenverarbeitung geht. Auch hier stellt sich aber die Frage, ob der nationale Gesetzgeber die Vorgaben der DSGVO (hier Art. 30 Abs. 4 DSGVO) insoweit aufbrechen darf, dass die Pflicht zur Offenlegung des Verzeichnisses auf jedermann erweitert wird.

Extensiv nutzt der Gesetzesentwurf in § 6 Abs. 1 Nr. 1 bis 8 die Erlaubnis nach Art. 6 Abs. 4 iVm Art. 23 Abs. 1 DSGVO, eine nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie ursprünglich erhoben wurden, zu schaffen. Jedoch ergibt sich aus der Gesetzesbegründung nicht, welche in Art. 23 Abs. 1 DSGVO abschließend benannten Ziele die jeweilige Erlaubnis in § 6 Abs. 1 Nr. 1 bis 8 nutzt. So soll die zweckändernde Verarbeitung nach Nr. 8 etwa zulässig sein, wenn die Daten aus allgemein zugänglichen Quellen erhoben werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das Interesse der betroffenen Person an dem Ausschluss der Speicherung oder einer Veröffentlichung der gespeicherten Daten offensichtlich überwiegt. Es bleibt unklar, welche in Art. 23 Abs. 1 DSGVO benannte Ziel mit dieser Regelung verfolgt. Eine Möglichkeit zur Weiterverarbeitung von Daten aus allgemein zugänglichen Quellen listet Art. 23 Abs. 1 DSGVO aber nicht auf. Auch hier besteht also das Risiko einer Europarechtswidrigkeit.

Sachsen:

Anders als die finale Fassung des neuen BDSG sieht § 22 Abs. 1 die Möglichkeit vor, dass auch Mitarbeiter öffentlicher Stellen ordnungswidrig handeln und als Folge mit einem Bußgeld von bis zu 50.000 EUR (Abs. 2) geahndet werden können. Eine solche Regelung dürfte jedoch europarechtswidrig sein.

Denn nationale Bußgeldtatbestände, die Sanktionen gegen Mitarbeiter öffentlicher Stellen vorsehen würden, sind nicht mit Art. 83 DSGVO vereinbar. Art. 83 Abs. 7 DSGVO enthält zwar eine Öffnungsklausel für Bußgeldtatbestände, die öffentliche Stellen adressieren. Dem ausdrücklichen Wortlaut nach bezieht sich die Regelungsbefugnis der Mitgliedstaaten aber allein darauf, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. Art. 83 Abs. 7 DSGVO erwähnt nicht die Mitarbeiter der öffentlichen Stellen.

Weitere Landesdatenschutzgesetze sind derzeit in Arbeit bzw. liegen in Referentenentwürfen vor. Man darf gespannt sein, ob jedes Bundesland bis zum 25.5.2018 ein angepasstes Landesdatenschutzgesetz vorweisen kann.

Mecklenburg-Vorpommern:

Auch für Mecklenburg-Vorpommern liegt nun ein Gesetzentwurf (pdf), u.a. auch für ein neues Landesdatenschutzgesetz, vor. Wie der Entwurf aus Sachsen, will auch der Landesgesetzgeber Bußgeldtatbestände für die direkte Sanktionierung von Mitarbeitern der öffentlichen Stellen schaffen. Auch hierzu lässt sich meines Erachtens feststellen, dass eine solche Regelung europarechtswidrig wäre.

Hessen:

In Hessen wurde am 5.12.2107 ein Gesetzentwurf (pdf) für ein Hessisches Gesetz zur Anpassung des Hessischen Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 und zur Informationsfreiheit vorgelegt. Mit diesem Gesetz möchte der Landesgesetzgeber zudem einen gesetzlichen Anspruch auf Informationszugang für Bürger schaffen (ab §§ 80 ff.). Anders als in den übrigen Bundesländern, möchte der hessische Gesetzgeber die Vorgaben der JIRL nicht (nur) im speziellen Fachrecht (etwa im Polizeirecht), sondern allgemein im Hessischen Landesdatenschutzgesetz umsetzen (ab §§ 40 ff.). Mit Blick auf die Anpassung des Hessischen Landesdatenschutzgesetzes an die DSGVO, orientiert sich der Gesetzgeber zu einem großen Teil an dem neuen BDSG. Meines Erachtens mit dem bestehenden Risiko der Schaffung europarechtswidrigen Rechts, wie etwa § 4 Abs. 1 HDSIG zur Videoüberwachung.

Wie in dem Entwurf aus Brandenburg soll in Hessen eine gesetzliche Definition der “anonymen Informationen” eingeführt werden. Auch hier wird man durchaus darüber streiten können, ob der nationale Gesetzgeber im Anwendungsbereich der DSGVO überhaupt befugt ist, diesen Begriff landesgesetzlich zu definieren. Zwar enthält die DSGVO keine Begriffsbestimmung der “Anonymisierung” in ihrem verfügenden Teil; jedoch kennt sie den Begriff und umschreibt ihn in ErwG 26.

In § 19 Abs. 5 HDSIG wird, richtigerweise, die Möglickeit des Insichprozesses aufgenommen. Nach der DSGVO dürfen die Aufsichtsbehörden ihre Befugnisse, also etwa auch den Erlass untersagender Verwaltungsakte, gegenüber öffentlichen Stellen ausüben. Mit § 19 Abs. 5 wird klargestellt, dass in Zukunft der Hessische Datenschutzbeauftragte auch gegenüber Landesbehörden Verwaltungsakte erlassen kann und es hierüber eventuell auch zu einem gerichtlichen Verfahren kommt. Entweder kann die Landesbehörde gegen die Entscheidung des Hessischen Datenschutzbeauftragten klagen oder aber der Hessische Datenschutzbeauftragte darf selbst die Rechtmäßigkeit seiner Entscheidung feststellen lassen.

Leider wird auch mit dem Entwurf auf Hessen wieder deutlich, wie unterschiedlich die einzelnen Landesgesetzgeber an die Anpassung des Landesrechts an die DSGVO und die Umsetzung der JIRL herangehen. Die Entwürfe unterscheiden sich zum Teil erheblich und dürften, wenn sie in dieser Form Gesetz werden, für zusätzliche Rechtsunsicherheit sorgen.

German Court: Data Protection Authorities may not base administrative orders before the 25 May 2018 on the EU General Data Protection Regulation

The General Data Protection Regulation (GDPR) applies from 25 May 2018 (Art. 99 (2) GDPR). The GDPR has already entered into force on 24 May 2016. However, it does not apply until 25 May 2018. Only from this date on, the requirements of the GDPR are binding and enforceable by the data protection authorities (DPAs) in the Member States.

Facts

In Germany, the DPA of the state of Baden-Wuerttemberg at the end of 2016 was of another opinion. On 6 July 2017, the Administrative Court of Karlsruhe (with its decision in case 10 K 7698/16, pdf; in German) (Court) annulled an administrative order by the DPA of 25 November 2016, in which a credit bureau was obligated to delete claims within the meaning of Sec. 28a of the German Federal Data Protection Act (Act) and the related information about persons which the credit bureau stored, after the 24 May 2018, after the expiry of three years, starting with the date of the due date, unless the person concerned is insolvent or unwilling to pay at that time.

The DPA based its decision, among other things, on the purpose to prevent any abuses which the DPA expected to occur after 24 May 2018. The currently still valid Sec. 35 (2) sentence 2 no. 4 of the Act, which stipulates certain deadlines for the examination for the deletion of data, finds no correspondence in the GDPR and also not in the new German Federal Data Protection Act.

Although the credit bureau had announced that it intends to adapt its data erasure concept to the GDPR as of 25 May 2018, in the view of the DPA, this the announcement was merely a declaration of intent.

The judgement

The Court rightly upheld the complaint by the credit bureau against the administrative order of the DPA. There exists no legal basis for the administrative order.

The DPA also based its decision on Recital 39 GDPR, according to which, in order to ensure that personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. However, Recital 39 GDPR does not indicate that the controller would already be obliged to create appropriate review and deletion periods before the GDPR applies.

The Court notices:

An authorization to act before the application of the GDPR – to ensure at an early stage that the regulations applicable in the future will be respected by the controller in the light of the legal opinion of the supervisory authority – cannot be inferred from the GDPR or the current Act.

This finding of the Court is relevant for companies during the time period until 25 May 2018. The Court correctly clarifies that a DPA is not allowed to enforce any provisions that are not yet applicable at all.

In addition, the DPA relied on Art. 58 (2) d) GDPR. Thereafter, a supervisory authority shall have the corrective power to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period. Like the entire GDPR, of course, Art. 58 GDPR is only applicable and enforceable if the GDPR applies. Therefore, only from 25 May 2018.

Urteil zur EU Datenschutz-Grundverordnung – Landesdatenschutzbehörde scheitert vor Gericht

Eigentlich ist die EU Datenschutz-Grundverordnung (DSGVO) erst ab 25. Mai 2018 anwendbar (Art. 99 Abs. 2 DSGVO). Die DSGVO ist zwar bereits am 24.5.2016 in Kraft getreten. Sie gilt jedoch erst ab dem 25.5.2018. Erst ab diesem Datum sind die Vorgaben der DSGVO verbindlich anzuwenden und durch die Aufsichtsbehörden durchsetzbar.

Sachverhalt

Der Landesbeauftragte für Datenschutz in Baden-Württemberg (LfDI) sah dies Ende 2016 offenbar anders. Mit Urteil vom 6.7.2017 (Az. 10 K 7698/16, pdf) hob das Verwaltungsgericht Karlsruhe (VG) nun einen Bescheid des LfDI vom 25.11.2016 auf, mit dem eine Auskunftei verpflichtet werden sollte, Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Auskunftei in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.5.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei.

Der LfDI stützte den Verwaltungsakt unter anderem darauf, dass zwar keine gegenwärtigen Datenschutzverstöße der Auskunftei unterbunden werden, jedoch Missstände verhindert werden sollten, die nach dem 24.5.2018 zu erwarten seien. Hintergrund ist, dass der noch geltende § 35 Abs. 2 S. 2 Nr. 4 BDSG, der bestimmte Fristen zur Prüfung für die Löschung von Daten vorsieht, keine Entsprechung in der DSGVO und auch nicht im neuen BDSG findet.

Die Auskunftei hatte zuvor im Schriftverkehr nicht verbindlich zugesichert, ihre Datenspeicherungspraxis ab dem 24.5.2018 entsprechend zu ändern. Zwar hatte die Auskunftei angekündigt, ihre Datenlöschkonzeption zum 25.5.2018 der DSGVO anpassen zu wollen. Bei der Ankündigung handelte es sich nach Ansicht des LfDI aber lediglich um eine Absichtserklärung, nicht hingegen um eine konkrete, vollstreckbare Zusicherung.

Daher, so der LfDI, seien künftige Datenschutzverstöße nicht auszuschließen. Zudem sei ungewiss, ob die Auskunftei den Zeitraum bis zur Geltung der DSGVO nutzen werde, um die Verarbeitung personenbezogener Daten an die neuen Vorgaben anzupassen.

Urteil des VG

Völlig zurecht gab das VG der Anfechtungsklage der Auskunftei gegen den Verwaltungsakt der Aufsichtsbehörde statt. Für die datenschutzrechtliche Verfügung liegt nämlich bereits keine Ermächtigungsgrundlage vor.

Zum einen liegen festgestellte Datenschutzverstöße durch die Auskunftei, welche seitens der Aufsichtsbehörde gerügt worden wären, der Verfügung nicht zugrunde. Dies wäre jedoch nach § 38 Abs. 5 S. 1 BDSG erforderlich; in jedem Fall müsste das künftige Verhalten durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet sein.

Unverständlicherweise wollte der LfDI seine Verfügung zudem auf § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 DSGVO stützen, nach dem der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen soll, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden. Aus Erwägungsgrund 39 DSGVO ergibt sich aber nicht, dass die Verantwortliche bereits vor Geltung DSGVO verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit DSGVO durch die Aufsichtsbehörde verpflichtet werden könnte.

Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

Diese Feststellung des VG ist für Unternehmen bis zum Stichtag am 25.5.2018 durchaus relevant. Denn hierdurch stellt das VG richtigerweise klar, dass eine Aufsichtsbehörde keine Vorschriften durchsetzen darf, die noch gar nicht anwendbar sind.

Der LfDI hatte zur Begründung zudem auf Art. 58 Abs. 2 lit. d) DSGVO verwiesen. Danach verfügt jede Aufsichtsbehörde über Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen. Wie die gesamte DSGVO, so ist aber natürlich auch Art. 58 DSGVO erst anwendbar und durchsetzbar, wenn die DSGVO Anwendung findet. Also erst ab dem 25.5.2018.

In dem Urteil äußert sich das VG zudem auch implizit zu einigen Vorschriften der DSGVO in Bezug auf die Löschung von personenbezogenen Daten.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG wird mit Neufassung des Bundesdatenschutzgesetz nicht fortbestehen. Die DSGVO enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 lit. e) DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Lediglich aus Erwägungsgrund 39 DSGVO ist zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 DSGVO regelmäßig zu überprüfen hat. Das VG ist der Auffassung, dass eine Überprüfung in bestimmten Intervallen erfolgen kann, so wie es beispielsweise bislang nach § 35 Abs. Absatz 2 S. 2 Nr. 4 BDSG möglich und zulässig war. Zudem weist das VG darauf hin, dass die vom LfDI für angemessen erachtete Frist, wonach Forderungen und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, keineswegs die einzig mögliche Speicher- und Löschkonzeption darstellt, die mit der DSGVO in Einklang steht bzw. sich aus selbiger zwingend ergibt.

Vielmehr muss sich die künftige Prüf- und Löschpraxis (hier der Auskunfteien) am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e) DSGVO messen lassen, der aber gerade in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Das VG geht aber davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig ist.

Anpassung an die DSGVO: Sachsen-Anhalt reformiert Stellung des Landesdatenschutzbeauftragten

Als soweit ersichtlich erstes Bundesand ist nun ein Gesetzentwurf der Landesregierung Sachsen-Anhalt zur Anpassung des geltenden Landesdatenschutzgesetzes (DSG LSA) veröffentlicht worden (LT-Drs. 7/1736, 15.08.2017, pdf).

Mit dem „Entwurf eines Gesetzes zur Organisationsfortentwicklung des Landesbeauftragten für den Datenschutz“ soll die Organisation des Landesbeauftragten für den Datenschutz in Sachsen-Anhalt an die Vorgaben der EU Datenschutz-Grundverordnung (DSGVO) angepasst werden.

Lau der Begründung zum Entwurf ist dieser Teil eines zweistufigen Verfahrens zur Anpassung des DSG LSA an das EU-Recht. In dem vorliegenden Entwurf sollen die organisationsrechtlichen Fragestellungen behandelt werden. Dabei ist es das Ziel, zum 1. Januar 2018 eine arbeitsfähige Aufsichtsstruktur zu schaffen. In der zweiten Stufe sollen die materiell-rechtlichen Anpassungen an die neuen europarechtlichen Vorgaben vorgenommen werden. Dies betrifft z. B. die Neuregelung von sogenannten Betroffenenrechten in einem die DSGVO ausfüllenden Landesgesetz.

Momentan ist die Geschäftsstelle des Landesbeauftragten für den Datenschutz ist noch bei der Präsidentin des Landtags angesiedelt. Die Beibehaltung dieses Status quo scheidet jedoch als europarechtlich nicht zulässig in Zukunft aus. Hierzu wird § 21 Abs. 3 DSG LSA neu gefasst. Mit der Änderung soll der gesetzgeberische Auftrag aus Art. 52 DSGVO umgesetzt werden. Nach Art. 52 Abs. 1 DSGVO handelt jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig. Um diese „völlige“ Unabhängigkeit herzustellen, wird die Geschäftsstelle aus der Landtagsverwaltung herausgelöst und verselbständigt.

Ganz interessant ist, dass Sachsen-Anhalt laut der Gesetzesbegründung auch darüber nachgedacht hatte, eine große Datenschutzbehörde für die Bundesländer Sachsen, Sachsen-Anhalt und Thüringen zu schaffen. Diese Idee wird aber nicht weiter verfolgt, die entsprechende Bereitschaft von Sachsen und Thüringen nicht signalisiert worden ist.

Nachfolgend noch ein kurzer Überblick zu ein paar Neuerungen im DSG LSA.

In § 20 Abs. 1 S. 2 DSG LSA werden die Anforderungen an den Landesdatenschutzbeauftragten neu gefasst und der DSGVO angeglichen. So wird der Tatbestand der besonderen Sachkunde für das Mitglied der Aufsichtsbehörde aus Art. 53 Abs. 2 DSGVO übernommen und als Ernennungserfordernis für den Landesbeauftragten für den Datenschutz normiert. Nach der Gesetzesbegründung wird diese ein Berufsanfänger nicht haben. Zudem wird die Altersdiskriminierung hinsichtlich der Vollendung des 35. Lebensjahres wird gestrichen.

Der Landesbeauftragte wird durch eine entsprechende Regelung in § 21 DSG LSA sowohl Aufsichtsbehörde im Sinne der DSGVO als auch Aufsichtsbehörde für den Bereich von Polizei und Justiz bis hin zur Strafvollstreckung im Sinne der RL (EU) 2016/680.

Die Möglichkeit, Bußgelder gegenüber öffentlichen Stellen des Landes zu verhängen, soll in § 22 Abs. 1 DSG LSA ausgeschlossen werden. Diese Möglichkeit eröffnet Art. 83 Abs. 7 DSGVO. Nach dem geplanten § 22 Abs. 1 DSG LSA erfüllt der Landesbeauftragte für den Datenschutz gegenüber allen öffentlichen Stellen die Aufgaben aus Art. 57 DSGVO und dazu stehen ihm die Befugnisse aus Art. 58 DSGVO, also auch gegenüber öffentlichen Stellen, zu. Geldbußen können durch den Landesbeauftragten gegenüber öffentlichen Stellen aber nicht verhängt werden. Nach Auffassung der Landesregierung sollten die europarechtlich normierten Befugnisse (Art. 58 DSGVO) der Aufsichtsbehörde ausreichen, hier zu rechtmäßigem Verhalten bei den Behörden anzuhalten. Ob das in der Praxis tatsächlich der Fall sein wird, muss man wohl abwarten.

Klarstellend ist jedoch anzumerken, dass gegen öffentliche Stellen, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, wie auch derzeit Bußgelder nach den für nicht-öffentliche Stellen geltenden Vorschriften verhängt werden können.

Der neue § 31b Abs. 1 S. 1 DSG LSA konzentriert die Zuständigkeit für Streitigkeiten in Datenschutzangelegenheiten aus allen Verwaltungsgerichtsbezirken des Landes beim Verwaltungsgericht Magdeburg. Nach § 31b Abs. 3 DSG LSA kann auch eine Landesbehörde gegen eine sie betreffende Anordnung des Landesbeauftragten für den Datenschutz Anfechtungsklage erheben. Diese Regelung ist, aufgrund der Befugnisse des Datenschutzbeauftragten nach Art. 58 DSGVO, erforderlich. Soweit sich auf der Klägerseite das Land bzw. eine Landesbehörde und auf der Beklagtenseite der Landesbeauftragte gegenüberstehen, handelt es sich um einen Insichprozess. Diese sind u. a. dann statthaft, wenn der Gesetzgeber die Zulassung des Insichprozesses ausdrücklich normiert, was mit Abs. 3 geschieht.

Germany extends territorial scope of its new Federal Data Protection Act

Germany was the first EU Member State to pass its new national data protection law in order to align existing legislation with the General Data Protection Regulation (GDPR). The new Federal Data Protection Act (BDSG, pdf in German) will enter into force on 25 May 2018.

What should be of utmost importance to companies outside the European Economic Area are the provisions in the BDSG concerning the territorial application of the new law. The relevant provision is Sec. 1 para 4 BDSG. Mind you that the GPDR is absolutely silent on the issue of applicability of national data protection laws beside the GDPR.

Sec. 1 para 4 BDSG consists of three alternative possibilities with regard to the questions of application of the law.

No. 1: The law applies to data processing in Germany. No. 2 stipulates that the provisions of the BDSG apply to the processing of personal data in the context of the activities of an establishment of a controller or a processor in Germany.

I will now focus on the important provision in No. 3, but also would like to mention that No. 1 seems to contradict Art. 3 para 1 GDPR since according to Art. 3 para 1 GDPR, the regulation applies regardless of whether the processing takes place in the Union or not. Sec. 4 para 1 No. 1 BDSG however surprisingly really only refers to the location of the processing. So one might conclude that No. 1 violates European law.

Now to Sec. para 1 No. 3 BDSG, the relevant provision for controllers and processors with no establishment in the EU.

According to No. 3, this “Act shall apply to non-public bodies, provided that the controller or processor has no establishment in a Member State of the European Union or in any other Contracting State to the Agreement on the European Economic Area, but falls within the scope of the” GDPR.

No. 3 clearly refers to Art. 3 para 2 GDPR according to which the GDPR applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union in two different situations. The problem is that No. 3 does in no way establish a connecting factor with Germany. The provision only refers to the “scope of the GDPR”. But in order to fall within the scope of the GPDR, a company located outside the EU must not necessarily offer goods or services to persons in Germany (Art. 3 para 2 (a) GDPR) or monitor their behaviour as far as their behaviour takes place within Germany (Art. 3 para 2 (b) GDPR). The GDPR will apply according to Art. 3 para 2, if for example, a company in Russia offers services to persons in Poland or Austria, or if a company from the US monitors the behavior of persons in Spain or the Netherlands.

According to Sec. 1 para 4 No. 3 BDSG though, in both aforementioned cases the BDSG will apply, since the company falls within the “scope of the GPDR”. The wording is clear.

One might of course think of an interpretation of that provision in the BDSG in a way that one must read Art. 3 para 2 GDPR always with a connecting factor to Germany in mind. For example: offer goods or services to persons in Germany (Art. 3 para 2 (a) GDPR). But the wording of the BDSG is quite clear here and might not allow such an interpretation. Also the reasoning by the legislator does not shed any light on this issue.

In the end, controllers and processors with no establishment in the EU should carefully follow the developments and also the application of the BDSG in the future. Perhaps we will only get certainty on this issue if Sec. 1 para 4 BDSG will be interpreted by national courts or finally by the European Court of Justice.

Saarländische Datenschutzbehörde: SmartHome nur mit Einwilligung der Mieter?

Am 21. Juni 2017 hat das Unabhängige Datenschutzzentrum Saarland seinen 26. Tätigkeitsbericht der saarländischen Landesbeauftragten für Datenschutz und Informationsfreiheit für die Jahre 2015/2016 vorgestellt (PDF).

In dem Tätigkeitsbericht informiert die Behörde auch über einen interessanten Fall aus dem Bereich des „Smart Home“, also der vernetzen bzw. mit Sensoren ausgestatteten Wohnung (ab S. 169).

Ein Unternehmen wandte sich mit der Frage an die Datenschutzbehörde, unter welchen datenschutzrechtlichen Bedingungen von dem Unternehmen angebotene Klimasensoren in Mietwohnungen im Saarland auf Wunsch der Vermieter dauerhaft angebracht werden können.

Der Nutzen dieser Sensoren lag darin, dass das Unternehmen ein Sensorsystem anbieten würde, welches in „gefährdeten“ Räumen einer Mietwohnung die relative Luftfeuchtigkeit, die Temperatur, den Luftdruck sowie den CO- und CO2-Gehalt permanent erfasst. Die Daten würden dann von dem einzelnen Sensor an das Unternehmen übermittelt und dort gespeichert. Bei der Feststellung eines den Schimmel begünstigenden Raumklimas sollte der Mieter über eine automatisch durch das System erzeugte Meldung informiert werden, damit dieser Gegenmaßnahmen ergreifen kann.

Gleichzeitig sollte auch der Vermieter informiert werden. Sowohl Mieter als auch Vermieter sollten zudem auf die gespeicherten Daten zugreifen können.

Nach Auffassung der Datenschutzbehörde werde im Rahmen des Einsatzes des Sensorsystems mit personenbezogenen Daten von Mietern umgegangen, da gerade eine Personenbeziehbarkeit der systemseitig im Wohnraum erfassten und gespeicherten Werte intendiert wird.

Zudem ging die Behörde davon aus, dass der Vermieter als „verantwortliche Stelle“ agieren würde. Das Unternehmen würde als Auftragsdatenverarbeiter nach § 11 BDSG fungieren.

Beide Auffassungen der Behörde kann man sicherlich nachvollziehen und gut begründbar vertreten. Interessant wäre jedoch die Frage, inwiefern der Zugriff der Mieter auf die Daten im System Einfluss auf die Verantwortlichkeitsverhältnisse hat. Dies würde wohl auch davon abhängen, was genau die Mieter überhaupt mit den Daten machen könnten. Dazu enthält der Bericht leider keine Informationen.

Doch nun kommt die Behörde zum entscheidenden Teil ihrer Prüfung. Nach ihrer Ansicht ist Grundlage für den Datenumgang

allenfalls die Einwilligung des betroffenen Mieters.

Auf andere Erlaubnistatbestände des Datenschutzrechts geht die Aufsichtsbehörde unverständlicherweise überhaupt nicht ein. Dabei könnte man hier, im Verhältnis zwischen Vermieter und Mieter, doch daran denken, dass die im System durchgeführte Datenverarbeitung erforderlich ist, um das bestehende Vertragsverhältnis durchzuführen (§ 28 Abs. 1 S. 1 Nr. 1 BDSG). Denn der Mieter wird vertraglich dazu verpflichtet sein, die Mietsache nicht zu beschädigen und damit z.B. auch der Schimmelbildung entgegenzuwirken. Gerade hierfür dient ja das System.

Auch der Erlaubnistatbestand des § 28 Abs. 1 S. 1 Nr. 2 BDSG (die Interessabwägung) käme zur Legitimation der Verarbeitungen in Betracht. Danach ist die Verarbeitung zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Berechtigte Interessen des Vermieters bestehen in jedem Fall. Er möchte verhindern, dass sein Eigentum Schaden nimmt. Gerade auf Seiten des Mieters bestehen aber auch schutzwürdige Interessen, die für die Datenverarbeitung sprechen. Dem Mieter wird, gerade aus Gesundheitsaspekten, daran gelegen sein, eine Schimmelbildung zu verhindern. Wenn der Mieter zudem noch angemessen über die Datenverarbeitung informiert ist, sprechen meines Erachtens durchaus gute Argumente dafür, hier eine Zulässigkeit der Verarbeitung in Betracht zu ziehen.

Die Behörde hielt an ihrer Auffassung zur Einwilligung als einzige Möglichkeit fest und kommunizierte dies dem Unternehmen. Seitdem erfolgte keine Rückmeldung des Unternehmens.

German Data Protection Authority publishes questionnaire for GDPR implementation

The Bavarian Data Protection Authority for the Private Sector (DPA) has published a questionnaire for the GDPR implementation (pdf) in companies. This questionnaire has already been published a while ago in German (pdf), but the DPA now translated this helpful set of questions into English.

Why is this of help to you? One has to know that the questionnaire is fictional and the DPA in fact sent it out to companies but did not except answers. The purpose of the questionnaire is to help companies and offer them the possibility to examine the status quo of the GDPR implementation by answering the questions.

However, this set of questions to some extent reveals the focus of a data protection authority when it comes to the question of GDPR compliance. Of course, these questions may in the end be altered and companies (especially in Bavaria) might be faced with other questions by the DPA. But companies should have a proper look at this catalogue, because in my opinion, these questions really form the very basis of topics companies must address in the time remaining till 25th May 2018.

The questions by the DPA concern (among other topics) overview of processing activities, the involvement of third parties and accountability and risk management.