Bundesverwaltungsgericht Österreich: Übermittlung von Kundendaten zwischen Konzernunternehmen zur Verteidigung gegen Klagen

Das Bundesverwaltungsgericht Österreich (BVwG) hat in einer Entscheidung (11.12.2023, Geschäftszahl W137 2259819-1) einige relevante Aussagen zur Datenübermittlung in Unternehmensgruppen bzw. im Konzern auf Basis der Rechtsgrundlage des Art. 6 Abs. 1 f DSGVO getroffen.

Sachverhalt

Ein Betroffener beschwerte sich bei der österreichischen Datenschutzbehörde wegen unrechtmäßiger Datenverarbeitungen. Das Unternehmen A (ein Online-Glücksspielunternehmen) habe seine personenbezogenen Daten an ein weiteres Glücksspielunternehmen B (welches derselben Unternehmensgruppe angehört) unrechtmäßig weitergeleitet, bzw. ohne hinreichende Rechtfertigungsgründe gemäß Art. 6 DSGVO verarbeitet.

Die Besonderheit war hier, dass sich der Betroffene in zivilrechtlichen Gerichtsverfahren und Streitigkeiten mit Unternehmen A und Unternehmen B befand.

Der Betroffene forderte von Unternehmen A seine erlittenen Spielverluste zurück. Das Verfahren endete mit einem außergerichtlichen Vergleich. Kurz danach registrierte sich der Betroffene auf der Website des Glückspielunternehmens B und forderte im Rahmen eines Zivilverfahrens auch dort seine erlittenen Spielverluste zurück. Die Klage wurde aber abgewiesen, da das Zivilgericht Rechtsmissbrauch feststellte.

Diese letzte Klage wurde unter anderem deswegen abgewiesen, weil Unternehmen A dem Unternehmen B (aus derselben Unternehmensgruppe) Informationen zu dem Betroffenen weitergeleitet hatte, damit sich Unternehmen B gegen die Ansprüche wehren kann.

Die Frage für das Gericht war nun, ob die Datenübermittlung an das Konzernunternehmen zulässig war.

Entscheidung

Das BVwG führt für die in Rede stehende Datenübermittlung eine Prüfung der Voraussetzungen der Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO durch.

1.  Vorliegen eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden,

2.  Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und

3.  kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person.

Verarbeitung für andere Unternehmen (in der Gruppe) möglich

Zunächst stellt das BVwG fest, dass Art. 6 Abs. 1 f DSGVO es auch ermöglicht, eine entsprechende Verarbeitung für die berechtigten Interessen eines Dritten vorzunehmen. Hier, für Unternehmen B, welches mit Unternehmen A Teil einer Unternehmensgruppe ist. Dies ist ein wichtiger Hinweis für die Praxis, soweit es konzern- bzw. gruppenbezogene Verarbeitungen betrifft. Ein Unternehmen kann Daten zulässigerweise für die Interessen der verbundenen Unternehmen verarbeiten.

Berechtigtes Interesse

Das BVwG geht davon aus, dass hier ein berechtigtes Interesse sowohl von Unternehmen A als auch B vorlag. Unternehmen A stützte sich (wie auch die Datenschutzbehörde) auf ein Interesse zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen in Verbindung mit einem anhängigen Gerichtsverfahren,

um eine rechtsmissbräuchliche (risikolose) Spielweise in den Onlinecasinos der Unternehmensgruppe zu verhindern“.

Für die Praxis wird man dieser Ansicht etwas allgemeiner und unabhängig von Onlinecasinos entnehmen können, dass zur Verteidigung gegen rechtsmissbräuchliches Vorgehen von Kunden (oder ggfs. Beschäftigten) eine Datenübermittlung an Gruppenunternehmen ein berechtigtes Interesse darstellt.

Unternehmen A informierte das andere Mitglied der Gruppe, dass bereits zuvor durch den Betroffenen Spielverluste rückgefordert wurden und verhalf Unternehmen B, durch den sodann erhobenen Einwand des Rechtsmissbrauchs, zum Obsiegen im zivilgerichtlichen Verfahren.

Aus Sicht des BVwG ergibt sich das berechtigte Interesse aus dem legitimen Zweck zur Verteidigung von Rechtsansprüchen gegen eine betrügerische Spielweise von registrierten Kunden. Dieses Interesse ist auch rechtmäßig. Das BVwG verweist hierzu auf Art. 48 der Charta der Grundrechte, der grundrechtlichen Verankerung von Verteidigungsrechten in einem Gerichtsverfahren.

Erforderlichkeit der Datenverarbeitung

Zudem muss die Datenverarbeitung im Rahmen der Verarbeitungsgrundsätze nach Art. 5 Abs. 1 DSGVO auf das Notwendigste beschränkt sein. Nach Ansicht des BVwG beschränkte sich die Datenübermittlung auf ein Minimum an Information. Insbesondere hatte der Betroffene schon durch die Registrierung auf der Website von Unternehmen B bereits einige persönlichen Daten angegeben.

Der Informationsgehalt der Übermittlung bestand ausschließlich darin, dass der BF bereits gegen ein Mitglied der Unternehmensgruppe Spielverluste gerichtlich geltend gemacht hatte.“

Für das Gericht war damit klar, dass eine über den Zweck der Verteidigung von Rechtsansprüchen hinausgehende Datenverarbeitung nicht stattgefunden hat.

Interessenabwägung

Zuletzt nimmt das BVwG die erforderliche Abwägung der Interessen mit jenen des Betroffenen vor. Es ist zu beurteilen, ob das berechtigte Interesse des Betroffenen an seinen personenbezogenen Daten gegenüber jenem des Verantwortlichen überwiegt.

Der Betroffene sah dies natürlich so. Er gab an, dass die Datenübermittlung dazu geführt habe, dass er das zivilgerichtliche Verfahren betreffend die Rückforderung seiner Spielschulden verloren habe. Daraus sei ihm ein Nachteil entstanden.

Diese Argumente lässt aber das BVwG nicht gelten.

Zum einen stellt das Gericht fest, dass nicht jede negative Auswirkung zu einem Überwiegen im Rahmen der zu treffenden Interessensabwägung führt. Auch diese Feststellung ist für die Praxis wichtig: „nur“, weil eine Verarbeitung ggfs. negative Folgen für den Betroffenen hat, bedeutet dies noch nicht direkt, dass auch die Interessenabwägung zulasten des Verantwortlichen ausgeht.

Das Gericht legt als Maßstab das zu gegenüberstellende berechtigte Interesse des Verantwortlichen und Dritten an.

Die Verteidigung von Rechtsansprüchen bildet ein fundamentales Grundrecht der österreichischen Rechtsordnung sowie des europäischen Rechts.“

Möchte man bei der Ausübung dieses Grundrechts eine „unverhältnismäßige“ Schädigung des Betroffenen annehmen, sei ein strenger Maßstab anzulegen.

Vorliegend geht das BVwG nicht von einem Überwiegen der Interessen des Betroffenen aus. Die Datenübermittlung zwischen den Unternehmen war daher zulässig.

„personenbezogene Daten unverzüglich gelöscht werden“ – Datenschutzbehörde Irland: 49 Tage sind nicht mehr „unverzüglich“

Mit Entscheidung (PDF) vom 15. November 2023 hat die irische Datenschutzbehörde (DPC) unter anderem einen Verstoß der Microsoft Operations Ireland Limited gegen Art. 17 Abs. 1 DSGVO festgestellt.

Sachverhalt

In dem Verfahren ging es auch um das Auslisten von Links aus der Suchmaschine Bing. Der Betroffene beschwerte sich beim BayLDA und dieses leitete die Beschwerde nach Irland weiter. Unter anderem wandte sich der Betroffene am 9. Oktober 2021 mit mehreren Löschaufforderungen an Microsoft. Diese wurden zunächst zurückgewiesen – wie Microsoft aber später eingestand, fälschlicherweise. Der Löschprozess für die personenbezogenen Daten startete dann erst ab dem 26. November 2021. Aus Sicht der DPC sind hier 49 Tage vergangen (wobei man dafür den 9. Oktober mit einbezieht).

Entscheidung

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern bestimmte Voraussetzungen erfüllt sind.

Was genau „unverzüglich“ bedeutet, ist in der DSGVO nicht geregelt. Eine rein nationale Auslegung verbietet sich. Nach der Rechtsprechung des EuGH müssen Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten (zum Begriff „Schaden“ in Art. 82 DSGVO, C-300/21, Rz. 29).

Im konkreten Fall vergingen nach Ansicht der DPC 49 Tage, bis der der Löschprozess angestoßen wurde. Die Aufsichtsbehörde geht davon aus, dass diese Dauer nicht mehr als „unverzüglich“ im Sinne von Art. 17 Abs. 1 DSGVO angesehen werden kann.

Datenschutzbehörde Österreich: Datenschutzhinweise beeinflussen „vernünftige Erwartungen“ der Betroffenen (Art. 6 Abs. 1 f) DSGVO)

In einer Entscheidung vom 01.08.2023 (Geschäftszahl 2023-0.544.853) hat die Datenschutzbehörde Österreich (DSB) eine relevante Aussage zur Anwendung des Erlaubnistatbestandes der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO getroffen.

Sachverhalt

In dem Verfahren beschwerte sich eine Frau als Fahrgast eines Zuges bei der DSB, dass ihre Jahreskarte elektronisch überprüft worden sei. Das bloße Aushändigen der Jahreskarte sei von den Kontrollorganen nicht akzeptiert worden. Diese elektronische Kontrolle sei datenschutzwidrig gewesen.

Entscheidung der DSB

Die DSB prüft die Zulässigkeit der Datenverarbeitung im Rahmen der elektronischen Kontrolle. Sie stellt hier nicht auf Art. 6 Abs. 1 b) DSGVO (Vertragsdurchführung) ab, was meines Erachtens auch eine Möglichkeit gewesen wäre, sondern prüft den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO.

Im Rahmen der Prüfung der sich gegenüberstehenden Interessen verweist die DSB zurecht auf ErwG 47 DSGVO, in dem es heißt: „dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.“

Die DSB umschreibt diesen Aspekt wie folgt: „die vernünftige Erwartungshaltung einer betroffenen Person im Hinblick auf die Verwendung ihrer Daten im Rahmen einer Interessenabwägung als gewichtiger Faktor zu berücksichtigen“.

Spannend an der weiteren Prüfung der DSB ist nun, dass die Aufsichtsbehörde diese „vernünftigen Erwartungen“ der Betroffenen auch aus den Informationen der Datenschutzerklärung des Verantwortlichen ableitet. Diese Ansicht ist meines Erachtens zutreffend und aus Sicht der Praxis zu begrüßen. Denn ErwG 47 DSGVO nimmt hinsichtlich der Quelle bzw. des Ursprungs der „vernünftigen Erwartungen“ der Betroffenen keine Einschränkungen vor – die Erwartungen können sich also aus allen möglichen Informationsquellen ergeben, wie Werbung, Produktinformationen oder eben auch Datenschutzhinweisen.

Hierzu die Ansicht der DSB: „Wie den Feststellungen zu entnehmen ist, informiert die Beschwerdegegnerin ihre Kunden in transparenter Weise in ihrer Datenschutzerklärung sowie im Handbuch für Reisen mit den N*** in Österreich. Folglich hat die Beschwerdeführerin damit zu rechnen, dass bei Benützung von Personenverkehrszügen der Beschwerdegegnerin ihre Jahreskarte elektronisch validiert wird.

Abweichend die deutschen Aufsichtsbehörden

Die Ansicht der DSB ist vor allem deswegen interessant, weil unsere deutschen Aufsichtsbehörden zu den „vernünftigen Erwartungen“ eine strengere Ansicht vertreten (zumindest in jüngerer Vergangenheit). In der Orientierungshilfe der DSK zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung aus 2022 gehen die deutschen Behörden davon aus, dass Pflichtinformationen in Datenschutzhinweisen die Erwartungen der Betroffenen nicht erweitern könnten (S. 4):

Die Erwartungen der betroffenen Person können dabei nicht durch die nach der DS-GVO vorgesehenen Pflichtinformationen (Art. 13, 14 DS-GVO) erweitert werden.“

Ich fand diese Ansicht schon immer diskutabel, da, wie gesagt, ErwG 47 DSGVO gar keine Einschränkungen zu den vernünftigen Erwägungen vornimmt. Interessant ist, dass auch die DSK dies einmal so wie die österreichische DSB gesehen hat. Im Kurzpapier Nr. 3 (Verarbeitung personenbezogener Daten für Werbung, 2018) geben die deutschen Behörden nämlich an:

Die vernünftigen Erwartungen der betroffenen Person werden bei Maßnahmen zur werblichen Ansprache maßgebend durch die Informationen nach Art. 13, 14 DS-GVO zu den Zwecken der Datenverarbeitung bestimmt werden.“

EU-Kommission schlägt veränderte Fristenberechnung für die DSGVO und Meldungen von Datenschutzverletzungen vor

Zwischen den Jahren hat man (manchmal) die Zeit, sich mit Themen zu befassen, die während des Jahres zu kurz gekommen sind. Bei mir ist das zum Beispiel der Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO (COM(2023) 348 final).

Vielen dürfte der Vorschlag vor allem im Hinblick auf die geplanten Anpassungen bei der Zusammenarbeit der europäischen Datenschutzbehörden und auch Vorgaben zum Umgang mit Beschwerden bekannt sein.

Vorschlag der EU-Kommission zur Fristenberechnung

Interessant ist aus meiner Sicht aber ganz allgemein der vorgeschlagene Art. 29. Dieser lautet:

Beginn der Fristen und Definition eines Arbeitstages

(1)Die von den Aufsichtsbehörden nach der Verordnung (EU) 2016/679 festgelegten Fristen bzw. die darin enthaltenen Fristen werden im Einklang mit der Verordnung (EWG, Euratom) Nr. 1182/71 des Rates 17 berechnet.

(2)Die Fristen beginnen an dem Arbeitstag, der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679 oder der vorliegenden Verordnung bezieht.“

Absatz 1 birgt mittlerweile keine große Überraschung mehr. Fristen der DSGVO werden nicht nach nationalem Recht (etwa dem BGB) berechnet, sondern nach europäischem Recht. Konkret, der Verordnung (EWG, Euratom) Nr. 1182/71.

Wichtig ist in Absatz 1 dennoch die Klarstellung, dass dies nicht nur für die vorgeschlagene Verordnung zu den Verfahrensregeln gilt – sondern ausdrücklich auch für „darin enthaltenen Fristen“; darin bezieht sich auf die DSGVO insgesamt.

Jetzt kommen wir aber zu dem viel relevanteren Absatz 2.

Danach sollen Fristen an dem Arbeitstag beginnen, „der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679…bezieht“. Auch diese Vorgabe ist nicht allein auf die vorgeschlagene Verordnung bezogen, sondern ausdrücklich auf alle Fristen aus der DSGVO.

Die Besonderheit an dieser Regelung: sie führt im Vergleich zu den generellen Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71 zu einer abweichenden Fristenberechnung für solche Regelungen, die Stundenfristen vorsehen (wie Art. 33 Abs. 1 DSGVO).

Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71

Nach Art. 3 Abs. 1 und Abs. 2 a) gilt eigentlich folgendes.

Wenn für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend ist, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.

Und, eine nach Stunden bemessene Frist beginnt am Anfang der ersten Stunde und endet mit Ablauf der letzten Stunde der Frist.

Eine solche nach Stunden bemessene Frist findet sich in Art. 33 Abs. 1 DSGVO. Die Meldung an die Aufsichtsbehörde soll „möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde“ durch den Verantwortlichen erfolgen.

Das „Bekanntwerden“ ist hier das relevante Ereignis (auch dazu kann man trefflich streiten, soll hier aber nicht Thema sein).

Beispiel des BayLfD zur aktuellen Berechnungsvorgabe

In seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ bildet der BayLfD dazu das folgende Beispiel (ab Rz. 77 ff).

Das für den Anfang der Frist maßgebliche Ereignis ist das Bekanntwerden der Datenschutzverletzung. Die Frist tritt dann nicht sofort, sondern mit Anfang der nächsten Stunde in Lauf. Wird also eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72-Stunden-Frist um 17.00 Uhr.

Änderung durch den vorgeschlagenen Art. 29 Abs. 2

Sollte aber Art. 29 Abs. 2 der Verordnung zur Festlegung zusätzlicher Verfahrensregeln tatsächlich anwendbar werden, würde die Stundenfrist gerade nicht mit Anfang der nächsten Stunde zu laufen beginnen.

Denn nach Art. 29 Abs. 2 beginnt die Frist „an dem Arbeitstag, der auf das Ereignis folgt“. Die Art. 33-Frist würde also später zu laufen beginnen, als derzeit nach den Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71 und wie im Beispiel des BayLfD.

Hier am obigen Beispiel des BayLfD erläutert:

Wird eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72-Stunden-Frist erst um 00.00 Uhr des nächsten Arbeitstages. Man „gewinnt“ als Verantwortliche mithin einige Stunden.

In anderen Situationen kann der Zeitgewinn noch größer ausfallen. Zum Beispiel, wenn das Bekanntwerden der Datenschutzverletzung um 09.45 Uhr vormittags erfolgt. Dann gewinnt man im Vergleich zur aktuellen Berechnung (Frist würde um 10 Uhr starten) 14 Stunden.

Ausblick

Ich bin gespannt, ob der vorgeschlagene Art. 29 Abs. 2 so in kraft treten wird. Der EDSA und der EDSB haben in ihrer Stellungnahme zu dem Vorschlag der EU-Kommission diese Änderung der Fristenberechnung überhaupt nicht angesprochen. Ob bewusst oder unbewusst, ist aber nicht klar.

OLG Nürnberg zum Auskunftsanspruch eines Vorstandsmitglieds – langjährige Unternehmenszugehörigkeit und großer Aufwand für den Arbeitgeber steht der Geltendmachung nicht entgegen

Das OLG Nürnberg hat sich in seiner Entscheidung vom 29. November 2023 (4 U 347/21) mit einem „Klassiker“ des Datenschutzrechts befasst: dem Auskunftsanspruch eines ehemaligen Mitarbeiters gegen den Arbeitgeber und die Frage, ob diesem Anspruch eventuell ein Missbrauchseinwand entgegengehalten werden kann.

Sachverhalt

Der Kläger macht als ehemaliger Mitarbeiter, zuletzt als Vorstandsmitglied der Beklagten, Auskunfts- und Herausgabeansprüche nach Art. 15 Abs. 1 und Abs. 3 DSGVO gegenüber seinem ehemaligen Arbeitgeber geltend. Der Kläger war vom 1.1.2000 bis zum 30.09.2016 in verschiedenen Positionen im Unternehmen tätig. Zuletzt mehrere Jahre als Vorstandsmitglied. Die Beklagte erteilte Auskunft in Bezug auf gespeicherte Personalstamm- und BAV-Daten (ich vermute „betriebliche Altersvorsorge“) des Klägers. Jedoch verlangte der Kläger eine Kopie aller bei der Beklagten gespeicherten personenbezogenen Daten des Klägers.

Das LG Nürnberg-Fürth (Endurteil vom 29.01.2021 – 11 O 5353/20) wies die Klage ab.

Entscheidung

Das OLG gab der Berufung des Klägers statt und verurteilte die beklagte Arbeitgeberin:

  • dem Kläger Auskunft über alle bei ihr gespeicherten personenbezogenen Daten des Klägers zu erteilen
  • eine Kopie aller bei ihr gespeicherten personenbezogenen Daten des Klägers herauszugeben.

Relevant an der Entscheidung des OLG ist, dass sich das Gericht in seiner Begründung bereits auf die neueste Rechtsprechung des EuGH zum Auskunftsanspruch nach Art. 15 DSGVO stützt.

Die Beklagte machte geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO sei. Ein verständlicher Einwand, da der Kläger über 15 Jahre im Unternehmen tätig war. Zudem brachte die Beklagte den Einwand des Missbrauchs vor, dass der Kläger die Daten wohl nicht aus datenschutzrechtlichen Motiven herausverlangte.

Das OLG lies beide Einwände jedoch nicht gelten.

Datenschutzfremde Zwecke

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liege kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Das OLG verweist hier auf das Urteil des EuGH vom 26.10.2023 – C-307/22, wonach Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in ErwG 63 S. 1 DSGVO genannten Zwecken begründet wird.

Großer Aufwand = exzessiv?

Auch sei der Anspruch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.

Nach Ansicht des OLG liegt kein Missbrauch vor,

wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen“.

Weiter geht das OLG davon aus, dass es kein Fall des Missbrauchs (in Form der „exzessiv“) darstelle, wenn die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist.

denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt

Auch, dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, stehe der Geltendmachung seiner Rechte nicht entgegen.

Ausblick – Missbrauchseinwand bleibt möglich

Die Entscheidung des OLG zeigt, wie die Vorgaben der EuGH-Urteile aus 2023 zu Art. 15 DSGVO in der Praxis Anwendung finden können. Gleichzeitig sollte man aus Sicht der Verantwortlichen beachten, dass auch der EuGH die Tür für Einwände gegen unbegründete oder missbräuchliche Ansprüche nicht in Gänze „geschlossen“ hat.

In seiner Entscheidung C-307/22 verweist der EuGH etwa auf Art. 15 Abs. 4 DSGVO und dass „[d]as Recht auf Erhalt einer Kopie … die Rechte und Freiheiten anderer Personen nicht beeinträchtigen [darf].“ Zudem geht der EuGH davon aus, dass das der betroffenen Person zuerkannte Recht, eine erste unentgeltliche Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zu erhalten, nicht uneingeschränkt gilt.

Zu beachten ist zudem, dass der EuGH in der Rechtssache C-307/22 einen möglichen Missbrauch gar nicht geprüft hat. Denn er ging davon aus, dass das vorlegende Gericht (der BGH) ausdrücklich festgestellt hat, dass der Antrag der betroffenen Person gerade nicht missbräuchlich sei. Der Missbrauchseinwand auf EU-Ebene ist damit aber nicht ausgeschlossen, wie auch der Generalanwalt in Fn. 20 seiner Schlussanträge klargestellt hat. Sollte der Auskunftsantrag missbräuchlich erfolgen, würde dies den Kläger

nach ständiger Rechtsprechung des Gerichtshofs daran hindern [würde], die ihm durch das Unionsrecht verliehenen Rechte geltend zu machen. Vgl. u. a. Urteil vom 27. Oktober 2022, Climate Corporation Emissions Trading (C‑641/21, EU:C:2022:842, Rn. 39 und die dort angeführte Rechtsprechung).

Gleichzeitig sollte man aber auch beachten, dass der Missbrauchseinwand natürlich die Ausnahme wäre und damit vom Verantwortlichen solide begründet sein muss. Pauschale Verweise auf einen möglichen hohen Arbeitsaufwand oder eine fehlende Begründung des Antrags, dürften dafür nicht genügen.

Hat das OLG Köln das EU-US Data Privacy Framework für unzulässig erklärt? Natürlich nicht.

Die Antwort lautet: natürlich nicht. Könnte das OLG auch gar nicht, da das EU-US Data Privacy Framework (genauer: der Durchführungsbeschluss (EU) 2023/1795 der EU-Kommission) für die Mitgliedstaaten und deren Gerichte bindend ist (vgl. schon EuGH, Schrems I, Rz. 51 & 52).

Sachverhalt

Das OLG Köln hat sich in seinem Urteil vom 3.11.2023 (6 U 58/23) u.a. mit der Frage von Datentransfers an Stellen in den USA auseinandergesetzt. Im Ergebnis sah das OLG diese Datenübermittlung als unzulässig an. Jedoch nicht, wie zum Teil im Internet zu lesen war, weil das EU-US Data Privacy Framework (DPF) ungenügend sei oder im DPF Rechtsschutzmöglichkeit in den USA fehlten.

Entscheidung

Das OLG prüft in seiner Entscheidung die Zulässigkeit von Datentransfers in die USA einmal für die Rechtslage vor Erlass des DPF und einmal danach. Das OLG lehnt im Ergebnis die Zulässigkeit wie folgt ab:

Die Datenübermittlung war auch unzulässig, da sie nicht von einem Erlaubnistatbestand der DSGVO gedeckt war.“

Und hier erkennt man eigentlich schon, um was es geht: den Erlaubnistatbestand der Datenübermittlung. Also Art. 6 DSGVO – nicht Vorgaben aus Kap. V zu Drittlandstransfers.

Vor Erlass des DPF

Für die Zeit vor Erlass des DPF geht das OLG Köln aber tatsächlich davon aus, dass Übermittlung weder nach 46 Abs. 1 DSGVO aufgrund geeigneter Garantien für ein angemessenes Datenschutzniveau in den USA als Drittland zulässig war – also auf Basis von EU-Standarddatenschutzklauseln. Zudem sei die Übermittlung auch nicht aufgrund einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO zulässig.

Hinsichtlich der EU-Standarddatenschutzklauseln sieht das OLG hier Probleme bei der Effektivität der zusätzlichen Schutzmaßnahmen, insbesondere um den Mangel des Fehlens von Rechtsschutzmöglichkeiten für Betroffene in den USA zu heilen.

Nach Erlass des DPF

Spannend und für uns in der aktuellen Situation relevant, ist natürlich die Frage, ob das OLG Datentransfers in die USA auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 Abs. 1 DSGVO nun für unzulässig erklärt hat. Wie bereits erwähnt: hat das OLG nicht.

Das OLG geht sogar davon aus, dass die empfangende Stelle unter dem DPF zertifiziert ist:

„Eine solche Teilnahme als „certified organisation“, …, ist auch für die G. L. festzustellen, wie aus dem Ausdruck der vom Department of Commerce betriebenen Webseite www.dataprivacyframework.gov…hervorgeht“ (Rz. 81)

Das Gericht prüft im Grund den bekannten datenschutzrechtlichen Standard bei Drittlandstransfers. Eine Datenübermittlung in ein Drittland muss auf zwei Ebenen zulässig sein:

  • Einmal als Verarbeitung nach Art. 6 DSGVO. Wir benötigen eine Rechtsgrundlage.
  • Und parallel dazu als Drittlandstransfer nach Kap. V DSGVO.  

Und das OLG prüft hier für die Frage der Zulässigkeit der Datenübermittlung konsequenterweise dann eben die Rechtmäßigkeit nach Art. 6 DSGVO. Ob also für die Übermittlung ein Erlaubnistatbestand vorliegt.

Hinsichtlich des DPF erfolgen nur kurze Aussagen, die deutlich machen, dass das OLG den Beschluss der EU-Kommission akzeptieren muss.

Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ … stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen … . Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, die an dem DPF teilnehmen

Zurecht verweist das OLG aber darauf, dass auch bei Vorliegen eines Angemessenheitsbeschlusses

„die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein“

müssen. Hierzu zählt das OLG unter anderem das Erfordernis der in Kapitel II der DSGVO geregelten Einwilligung. Und hier sieht das OLG dann die rechtlichen Probleme. Bei dem Erlaubnistatbestand. Nicht jedoch bei der Frage, ob Datentransfers auf Grundlage des DPF in die USA übermittelt werden dürfen. Hierzu noch einmal der EuGH, hier aus Schrems II (Rz. 117 & 118):

„Nach Art. 288 Abs. 4 AEUV bindet ein Angemessenheitsbeschluss der Kommission in allen seinen Teilen alle Mitgliedstaaten und ist damit für alle ihre Organe verbindlich, soweit darin festgestellt wird, dass das betreffende Drittland ein angemessenes Schutzniveau gewährleistet, und die Übermittlung personenbezogener Daten im Ergebnis genehmigt wird“.

„Solange der Angemessenheitsbeschluss vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihre Organe, zu denen ihre unabhängigen Aufsichtsbehörden gehören, somit zwar keine diesem Beschluss zuwiderlaufenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich der Beschluss bezieht, kein angemessenes Schutzniveau gewährleistet…, und mit denen infolgedessen die Übermittlung personenbezogener Daten in dieses Drittland ausgesetzt oder verboten wird.“

Also, bitte keine unnötige Panik aufkommen lassen. Das DPF gilt derzeit noch. Gleichzeitig zeigt die Entscheidung aber gut, dass man bei Drittlandstransfers den Fokus eben nicht allein auf Kap. V DSGVO legen sollte, sondern auch alle anderen Anforderungen einer Verarbeitung beachten muss.

BAG konkretisiert datenschutzrechtliche Unterstützungspflichten des Betriebsrats

In seinem Beschluss vom 9. Mai 2023 hatte sich das BAG unter anderem mit den Vorgaben von § 79a BetrVG und damit dem datenschutzrechtlichen Verhältnis zwischen Arbeitgeber und Betriebsrat zu befassen. 

Sachverhalt

In dem Verfahren stritten die Parteien um einen Auskunftsanspruch des Betriebsrats. Der Betriebsrat verlangte von der Arbeitgeberin, ihm ein Verzeichnis über alle im Betrieb und Unternehmen beschäftigten schwerbehinderten und diesen gleichgestellten behinderten Menschen zu übermitteln. Die Arbeitgeberin erteilte daraufhin lediglich die Auskunft, der Schwellenwert für die Wahl einer Schwerbehindertenvertretung im Betrieb sei erreicht.

U.a. ging es um die Frage, ob dem Auskunftsanspruch datenschutzrechtliche Gründe entgegenstünden. 

Entscheidung

Das BAG geht davon aus, dass aus dem Datenschutzrecht nichts gegen die Erfüllung des Auskunftsanspruchs spreche. Die Weitergabe der begehrten Daten an den Betriebsrat sei nach § 26 Abs. 3 iVm. § 22 Abs. 2 BDSG zulässig.

In der Begründung befasst sich das BAG auch mit den (relativ neuen) Regelungen des § 79a BetrVG. 

§ 79a BetrVG

Bekanntlich legte der Gesetzgeber in § 79a BetrVG gesetzlich die datenschutzrechtliche Verantwortlichkeit zwischen Arbeitgeber und Betriebsrat fest (wenn auch, aus meiner Sicht, nicht besonders klar).

Nach Satz 1 der Norm hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Gemäß Satz 2 ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet.

Und zuletzt ist in § 79a S. 3 BetrVG vorgesehen, dass Arbeitgeber und Betriebsrat sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen.

Ansicht des BAG

Nach Auffassung des BAG bewirkt die Vorschrift des § 79a Satz 2 BetrVG nicht, dass das verlangte Datenschutzniveau nicht mehr gewährleistet wäre. 

Hierbei könne, so das Gericht, dahinstehen, ob die Norm, die die umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat nun ausdrücklich dem Arbeitgeber zuweist im Einklang mit Art. 4 Nr. 7 DSGVO stehe. 

Denn den Betriebsrat treffen datenschutzrechtliche Pflichten unabhängig davon, ob er Teil der verantwortlichen Stelle oder selbst Verantwortlicher ist.

Er hat bei jeder Datenverarbeitung – und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten – die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten (sh. schon BAG 7. Mai 2019 – 1 ABR 53/17 – Rn. 45, BAGE 166, 309; nun ausdrücklich in § 79a Satz 1 BetrVG vorgesehen)

Spannend ist die Ansicht des BAG dazu, wie die in § 79a S. 3 BetrVG vorgesehene Unterstützungspflicht in der Praxis umzusetzen ist. 

Das Gericht weist darauf hin, dass die Betriebsparteien nach § 79a S. 3 BetrVG verpflichtet sind, einander bei der Einhaltung der datenschutzrechtlichen Vorschriften zu unterstützen.

Dem Betriebsrat obläge es damit nicht nur, dem Arbeitgeber diejenigen Informationen zu übermitteln, die er für die Erfüllung der ihm als verantwortliche Stelle obliegenden Pflichten benötigt, sondern er hätte auch an der Erfüllung einer Pflicht zur Löschung von personenbezogenen Daten mitzuwirken“.

Das BAG formuliert hier ganz konkret die Pflicht des Betriebsrates, den Verantwortlichen (Arbeitgeber) bei der Erfüllung der datenschutzrechtlichen Pflichten zu unterstützen. Dies zum einen durch Bereitstellung von Informationen an den Arbeitgeber. Und zum anderen aber auch in der Form der Umsetzung datenschutzrechtlicher Pflichten im Bereich des Betriebsrates. Hier nennt das BAG etwa die Löschung von personenbezogenen Daten. 

EuGH: Verantwortliche haftet für Datenverarbeitungen des Auftragsverarbeiters

Neben dem Urteil in der Rechtssache C-807/21 (Deutsche Wohnen) hat der EuGH am 5. Dezember 2023 eine weitere wichtige Entscheidung (C-683/21) getroffen. Die dortigen Feststellungen sind aus meiner Sicht für die alltägliche Praxis im Datenschutzrecht besonders wichtig – denn es geht um das Verhältnis zwischen dem Verantwortlichen und seinem Auftragsverarbeiter und die Haftung für Tätigkeiten des Dienstleisters.

Sachverhalt

Der Hintergrund der Entscheidung ist einigermaßen skurril. Der Gesundheitsminister der Republik Litauen beauftragte den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) damit, den Erwerb eines IT‑Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Covid-Pandemie zu organisieren.

Eine Person, die sich als Vertreter des NZÖG ausgab, teilte einem Unternehmen (App-Entwickler) mit, dass das NZÖG das Unternehmen als Entwickler einer entsprechenden mobilen Anwendung ausgewählt habe. Diese Person versendete in der Folge E‑Mails an das Unternehmen (mit Kopie an den Direktor des NZÖG) hinsichtlich verschiedener Aspekte der Entwicklung dieser Anwendung.

Die App, in der der App-Entwickler und das NZÖG in der Datenschutzerklärung gemeinsam genannt waren, war irgendwann im Google Play Store und im Apple App Store zum Herunterladen verfügbar und wurde von mehreren Tausend Personen genutzt.

An den App-Entwickler wurde aber nie ein öffentlicher Auftrag zum Erwerb der App vergeben. Das NZÖG forderte dann den App-Entwickler auf, es in der mobilen Anwendung in keiner Weise zu erwähnen. Außerdem teilte es mit, dass das Vergabeverfahren wegen fehlender Mittel für den Erwerb der Anwendung beendet worden sei.

Wer ist Verantwortlicher?

Die erste durch den EuGH zu beantwortende Frage war, ob das NZÖG in dieser Konstellation datenschutzrechtlich Verantwortlicher für die Datenverarbeitung über App sein konnte. Wohlgemerkt wurde ein offizieller Auftrag im Rahmen einer Ausschreibung nicht erteilt.

Der EuGH geht aber dennoch davon aus, dass

die Entwicklung der in Rede stehenden mobilen Anwendung vom NZÖG in Auftrag gegeben wurde und dazu dienen sollte, das von ihm gesetzte Ziel umzusetzen, nämlich die Covid‑19-Pandemie durch ein IT‑Tool zur Erfassung und Überwachung der Daten von Personen, die mit Trägern des Covid‑19-Virus in Kontakt standen, zu bewältigen“.

Zudem habe das NZÖG vorgesehen, dass zu diesem Zweck personenbezogene Daten der Nutzer der mobilen Anwendung verarbeitet werden.

Außerdem, so der EuGH, geht aus der Vorlageentscheidung hervor, dass die Parameter dieser Anwendung, z. B. welche Fragen gestellt werden und wie diese formuliert sind, an den Bedarf des NZÖG angepasst wurden und dass das NZÖG bei ihrer Festlegung eine aktive Rolle gespielt hat.

Der EuGH prüft also hier die zwei entscheidenden Merkmale der Verantwortlichkeit: Entscheidung über Mittel und Zwecke der Verarbeitung und kommt zu folgendem Ergebnis:

Unter diesen Umständen ist grundsätzlich davon auszugehen, dass das NZÖG tatsächlich an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt hat.“

Der EuGH nimmt hier also eine Rolle als Verantwortlicher für NZÖG an.

Wichtig für die Praxis sind die Hinweise des EuGH dazu, welche Kriterien nicht zwingend für eine Verantwortlichkeit sprechen:

  • Der bloße Umstand, dass das NZÖG in der Datenschutzerklärung der mobilen Anwendung als Verantwortlicher genannt wurde
  • Dass die Anwendung Links zum NZÖG enthielt

Diese Umstände sind auch Sicht des EuGH nur dann für die Frage der Verantwortlichkeit relevant,

„wenn feststeht, dass das NZÖG dem ausdrücklich oder stillschweigend zugestimmt hat.“

Gleichzeitig macht der EuGH (wieder einmal) deutlich, wie weit er die Figur der Verantwortlichkeit nach der DSGVO versteht.

Die Umstände

  • dass das NZÖG selbst keine personenbezogenen Daten verarbeitet hat
  • dass kein Vertrag zwischen dem NZÖG und dem App-Entwickler bestand
  • dass das NZÖG die mobile Anwendung nicht erworben hat
  • dass es die Verbreitung dieser App über Online-Shops nicht genehmigt hat

schließen es nach Ansicht des EUGH gerade nicht aus,

dass das NZÖG als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann.“

Bedeutet für uns in der Praxis: die Verantwortlichkeit beginnt früh und eventuell schneller als man denkt. Der EuGH stellt sehr klar allein auf die entscheidenden Merkmale der Entscheidung über Mittel und Zwecke ab. Für die Verantwortlichkeit spielen rein formelle Aspekte, wie etwa ein Vertrag oder der Erwerb der Anwendung, keine Rolle, solange Anhaltspunkte dafür vorhanden sind, dass eine Stelle an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirkt.

Beauftragt also eine Stelle ein anderes Unternehmen mit der Entwicklung einer App und hat es in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die App vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt, kann dies Stelle als Verantwortlicher angesehen werden, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt.

Bußgeld gegen den Verantwortlichen für Tätigkeiten des Auftragsverarbeiters

Als Parallele zu dem Verfahren Deutsche Wohnen, ging es auch hier um die Frage der Haftung des Verantwortlichen.

Im hiesigen Fall war nun aber die Besonderheit, dass die NZÖG ja selbst keine Daten verarbeitet hat. Dies erfolgte vielmehr durch den App-Entwickler.

Die Frage war dann, ob eine Geldbuße gegen einen Verantwortlichen für Verarbeitungsvorgänge verhängt werden kann, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden.

Der EuGH ist in diesem Punkt, dass muss man so sagen, ganz klar und beantwortet die Frage mit „ja“.

In seiner Begründung erinnert der EuGH etwa daran, dass ein Auftragsverarbeiter nach der Definition in Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Hierauf folgt, dass ein Verantwortlicher,

nicht nur für jedwede Verarbeitung personenbezogener Daten, die durch ihn selbst erfolgt, sondern auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich ist“.

Die rechtliche Verantwortlichkeit und damit Haftung erstreckt also auch auf Tätigkeiten des eingesetzten Auftragsverarbeiters.

Daher, so der EuGH,

kann gegen ihn eine Geldbuße nach Art. 83 der DSGVO verhängt werden, wenn personenbezogene Daten unrechtmäßig verarbeitet werden und die Verarbeitung nicht durch ihn, sondern durch einen Auftragsverarbeiter, an den er sich gewandt hat, in seinem Namen erfolgt ist“.

Von der Bußgeldhaftung des Verantwortlichen für den Auftragsverarbeiter gibt es jedoch Ausnahmen, die der EuGH benennt:

  • In Fällen, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet
  • diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist
  • auf eine Weise verarbeitet, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.

In diesen drei Fällen gilt der Auftragsverarbeiter nach Art. 28 Abs. 10 DSGVO nämlich in Bezug auf eine solche Verarbeitung als Verantwortlicher.

Die Ausführungen des EuGH bedeuten in der Praxis, dass man besonderes Augenmerk auf den Inhalt der Auftragsverarbeitungsverträge und der Weisungen zur Verarbeitung legen sollte. Im Grunde haftet der Verantwortliche für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der Weisungen bleibt. Je weiter eine Weisung bzw. der Zweck der beauftragten Verarbeitung aber nun definiert ist, desto größer ist natürlich auch ein potentielles Haftungsrisiko für den Verantwortlichen.

Die Formulierung „Zur Durchführung des Hauptvertrages“ in einem AV-Vertrag wird in der Praxis viel mehr Interpretationsspielraum bieten, ob eine Verarbeitung wirklich im Rahmen des Auftrages erfolgt, als etwa eine genau Beschreibung der einzelnen Leistungen und Datenverarbeitungen.

Verwaltungsgerichtshof Österreich: „unbedingt erforderlich“ nach Art. 5 Abs. 3 ePrivacy RL (TTDSG) ist etwas anderes als „erforderlich“ nach Art. 6 Abs. 1 lit. f DSGVO

In der Entscheidung vom 31.10.2023 (Ro 2020/04/0024) ging es um die Genehmigung von Verhaltensregeln gemäß Art. 40 Abs. 5 DSGVO für „Presse- und Magazin-Medienunternehmen“ bei der österreichischen Datenschutzbehörde. Die DSB wies den Antrag auf Genehmigung der vorgelegten Verhaltensregeln teilweise im Hinblick auf mehrere Punkte aus den Verhaltensregeln ab. Ein relevanter Punkt war hierbei Punkte D.1.3 (Zwingend erforderliche datenverarbeitende Cookies). Hinsichtlich Punkt D.1.3 ging es u.a. um die Frage der Auslegung der Wortfolge „unbedingt erforderlich“ in Art. 5 Abs. 3 RL 2002/58/EG und zwar dahingehend, ob davon eine näher beschriebene „wirtschaftliche unbedingte Erforderlichkeit“ umfasst sei. Punkt D.1.3 betrifft die Verarbeitung personenbezogener Daten unter Einsatz von Cookies ohne Einwilligung der betroffenen Person, wenn der Verarbeitungsvorgang für die Angebotserbringung zwingend erforderlich ist, wobei nach Punkt D.1.3 erster Absatz der Begriff „erforderlich“ unter Beachtung von Art. 6 Abs. 1 lit. f DSGVO auszulegen sei.

In seiner Entscheidung weist das Gericht (unter Verweis auf die EuGH-Rechtsprechung) darauf hin, dass für die Zulässigkeit der Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. f DSGVO es allein nicht ausreichend ist, dass die Datenverarbeitung zur Verwirklichung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Vielmehr bedarf es zusätzlich einer Abwägung der berechtigten Interessen des Verantwortlichen oder eines Dritten mit den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person.

Das Gericht unterscheidet hierbei klar zwischen den beiden Schutz- und Anwendungsbereichen der DSGVO und der RL 2002/58/EG. Während sich der Begriff „erforderlich“ in Art. 6 Abs. 1 lit. f DSGVO auf die Verarbeitung [personenbezogener Daten] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten bezieht, betreffe der Begriff „unbedingt erforderlich“ in Art. 5 Abs. 3 zweiter Satz RL 2002/58/EG die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, „damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“.

Im Gegensatz zu Art. 6 Abs. 1 lit. f DSGVO setzt daher Art. 5 Abs. 3 zweiter Satz der Richtlinie 2002/58/EG für die Zulässigkeit der Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, keine Interessensabwägung voraus.“

Auf diese unterschiedlichen Prüfkriterien und auch -umfänge hat in der Vergangenheit etwa auch die DSK in ihrer Orientierungshilfe Telemedien hingewiesen (S. 21 f). Die Ausnahmen gemäß § 25 Abs. 2 TTDSG unterscheiden sich danach wesentlich von Art. 6 Abs. 1 lit. f) DSGVO. „Während das TTDSG starre Kriterien benennt, die erfüllt sein müssen, eröffnet die DS-GVO eine gewisse Abwägungsflexibilität“. Nach Ansicht der DSK ist eine Interessenabwägung, die zu Art. 6 Abs. 1 lit. f) DSGVO vorgenommen wurde, daher nicht geeignet, automatisch die Voraussetzungen von § 25 Abs. 2 Nr. 2 TTDSG (bzw. Art. 5 Abs. 3 RL 2002/58/EG zu erfüllen.

Für die Praxis bedeutet diese Auslegung, dass „unbedingt erforderlich“ nach § 25 Abs. 2 Nr. 2 TTDSG gerade nicht eins zu eins wie die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zu prüfen ist. Die RL 2002/58/EG sieht keine Abwägungsmöglichkeit in ihrem Wortlaut vor. Dies mag man aus Sicht von Unternehmen positiv oder negativ verstehen. Negativ, da keine Abwägung mit Interessen möglich ist, um so ggfs. ein passendes Ergebnis zu erzielen. Oder auch positiv, da eben keine entgegenstehenden Interessen berücksichtigt werden müssen, jedoch die Erforderlichkeit nachgewiesen werden muss.

750 EUR DSGVO-Schadenersatz wegen Auskunft „erst“ nach 19 Tagen? Ich meine: nein. 

Derzeit wird in der Datenschutzszene ein Urteil des Arbeitsgerichts (ArbG) Duisburg vom 03.11.2023 (Az. 5 Ca 877/23) diskutiert. Das ArbG sprach dem Kläger 750 EUR Schmerzensgeld zu, weil ein Unternehmen eine (Negativ)Auskunft nach Art. 15 DGSVO „erst“ nach 19 Kalendertagen erteilt hatte. Der Kläger war ein früherer Bewerber. Nach Ansicht des ArbG stellt diese Verzögerung der Auskunft einen Verstoß gegen Art. 12 Abs. 3 DSGVO. 

Nach Sichtung des Urteils und der Gründe würde ich als Verantwortlicher jedoch nicht in Panik verfallen. Unter datenschutzrechtlichen Gesichtspunkten ist, meines Erachtens, die Begründung des ArbG an mehreren Stellen angreifbar und ebenso ein anderes Ergebnis vertretbar. 

Der rein nationale Blick auf das Merkmal „unverzüglich“

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 

Nach Ansicht des ArbG sei unter „unverzüglich“, angelehnt an § 121 BGB, „ohne schuldhaftes Zögern“ zu verstehen. Zwar gesteht das Gericht ein, dass „unverzüglich“ nicht „sofort“ bedeutet. Jedoch geht es, unter Verweis auf eine Entscheidung des Bundesarbeitsgerichts, davon aus, dass nach einer Zeitspanne von mehr als einer Woche, ohne das Vorliegen besonderer Umstände, grundsätzlich keine Unverzüglichkeit mehr gegeben sei. 

Vorliegend gab das Unternehmen an, dass aufgrund von Wochenenden, Feiertagen und Brückentagen in dem betreffenden Zeitraum (Pfingsten), die Auskunft innerhalb von 9 Arbeitstagen erteilt wurde. Für das ArbG waren diese 9 Arbeitstage jedoch zu lang. 

Das ArbG legt hier also eine unmittelbar anwendbare EU-Verordnung und deren Vorgaben rein aus dem nationalen Rechtsverständnis aus. Dies verstößt gegen die Rechtsprechung des EuGH, konkret auch zur DSGVO. Der EuGH geht davon aus, dass (nach ständiger Rechtsprechung) die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (C-300/21, Rz. 29). 

Art. 12 Abs. 3 DSGVO verweist hinsichtlich des Begriffs „unverzüglich“ nicht auf das Recht der Mitgliedstaaten. Nach dem EuGH ist die Auslegung daher insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln (C-300/21, Rz. 29).

In diesem Fall ist der Begriff „unverzüglich“ für die Anwendung der DSGVO als autonomer Begriff des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen (so zum Begriff „Schaden“ in Art. 82 Abs. 1 DSGVO, C-300/21, Rz. 30).

Genau diese Auslegung nimmt das ArbG hier aber nicht. 

Zusatz: man könnte, völlig unabhängig von diesen europarechtlichen Erwägungen, auch noch entgegenhalten, dass bereits ein Landesarbeitsgericht eine andere Auffassung zu dem Begriff „unverzüglich“ vertreten hat; dies auch zeitlich vor dem Urteil des ArbG. Mit Blick auf die Monatsfrist des Art. 12 Abs. 3 DSGVO hat das LAG Baden-Württemberg entschieden, dass der Verantwortliche „vor Ablauf dieser Frist“ die Ansprüche nicht erfüllen braucht (hierzu mein Blogbeitrag).

Im Ergebnis bin ich sogar bei dem ArbG, dass hier keine starren Fristen gelten können; außer eben jene Monatsfrist. Dann jedoch, unter Verweis auf die Rechtsprechung des BAG, davon auszugehen, dass die Erteilung einer Negativauskunft nach 9 Arbeitstagen einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt, halte ich mit Blick auf die Rechtsprechung des EuGH für nicht richtig. 

Der angenommene Schaden – Kontrollverlust ohne Daten?

Selbst wenn man einen Verstoß gegen Art. 12 Abs. 3 DSGVO annehmen würde, sind meines Erachtens die Ausführungen des ArbG zum materiellen Schaden (750 EUR) angreifbar. Nach Ansicht des Gerichts hat er Kläger „durch die verspätete Auskunft einen Kontrollverlust hinsichtlich seiner Daten erlitten“. 

Einige werden sich fragen: aber, der Verantwortliche hatte doch gar keine Daten? Genau. Die wurden (wohl) mittlerweile gelöscht.

Nach Ansicht des ArbG „war der Kläger im Ungewissen und ihm die weitere Prüfung verwehrt, ob und ggf. wie die Beklagte seine personenbezogenen Daten verarbeitet“. Dies sei der Schaden. 

Eine solche Auslegung kollidiert aber meines Erachtens mit der aktuellen Rechtsprechung des EuGH und auch Schlussanträgen von Generalanwälten. 

Generalanwalt Collins geht etwa hinsichtlich des Schadens nach Art. 82 DSGVO davon aus, dass, auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, es eindeutiger und präziser Beweise dafür bedarf, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus (C‑182/22 und C‑189/22, Rz. 24).

Generalanwalt Pitruzzella geht davon aus, dass sich empirisch feststellen lasse, dass jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person führt. Eine Entschädigung, die für das bloße Gefühl des Unwohlseins über die Nichteinhaltung des Gesetzes durch einen Dritten geschuldet wird, könnte aber leicht mit einer Entschädigung ohne Schaden verwechselt werden, was aber nicht vom Tatbestand von Art. 82 DSGVO erfasst zu sein scheint (C‑340/21, Rz. 81).

Nach Ansicht des EuGH geht aus dem Wortlaut des Art. 82 Abs. 1 DSGVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (C-300/21, Rz. 32). Zudem ist eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, gerade nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (Rz. 50).

Vorliegend hatte der Kläger nur begründet, dass ein immaterieller Nachteil vorliege, wenn eine betroffene Person einen Kontrollverlust hinsichtlich eigener Daten erleide oder eine Einschränkung in ihren Rechten erfahre. Er habe auch ein emotionales Ungemach erfahren. Der Kläger trug hier aber gerade keine vom EuGH und auch den Generalanwälten geforderten konkreten Beweise für den Schaden an sich vor. Im Gegenteil spricht etwa die Auslegung von Generalanwalt Collins gegen die Anerkennung von „Ungemach“ als Schaden. 

Zuletzt muss man sich hier auch die konkrete Situation vor Augen halten: der Kläger hatte sich vor Jahren bei dem Verantwortlichen beworben – also selbst Daten übersendet. Wenn der Kläger aber nun einen, wohl gemerkt, hypothetischen Kontrollverlust als Schaden ersetzt verlangt, dann muss meines Erachtens auch berücksichtigt werden, dass die Daten ja erst durch den Kläger selbst in den Verantwortungsbereich des Unternehmens gelangten. 

Um es noch drastischer zu sagen: auf Basis der Argumentation des ArbG sende ich einfach wild meine Daten an verschiedene Unternehmen und mache danach Auskunftsanträge geltend. Wenn ein Unternehmen hierauf nicht, sagen wir innerhalb von 14 Tagen (kennen wir ja aus Deutschland als Richtschnur für die „Unverzüglichkeit“) antwortet, mache ich Schadenersatz nach Art. 82 DSGVO geltend, da ja in diesen 14 Tagen nicht klar war, ob ich nicht die Kontrolle über die Daten habe oder nicht. P.S.: die Kontrolle habe ich vorher selbst abgegeben.