Das Verwaltungsgericht Mainz (VG) hat mit Urteil vom 20.02.2020 (Az. 1 K 467/19.MZ; noch nicht frei verfügbar; ich hoffe darauf, dass es nach Ostern frei verlinkbar ist; aktuelle Quelle: BeckRS 2020, 5397) einige sehr relevante Entscheidungen zu strittig diskutierten Fragen im Datenschutzrecht getroffen. In dem Urteil befasst sich das VG mit einer ganzen Variation aus praxisrelevanten Fragestellungen, deren Klärung für datenverarbeitende Stellen von großer Relevanz sind.
Sachverhalt
Der Kläger ist Tierarzt und klagte gegen eine datenschutzrechtliche Verwarnung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI).
Er schloss mit der Verrechnungsstelle für Tierärzte – VTX – einen Abrechnungsvertrag und eine Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO) ab. Danach kann der Kläger seine Abrechnungstätigkeit an den Verein delegieren, ohne dass dafür die ausdrückliche Einwilligung der Tierbesitzer, die ihr Tier bei ihm behandeln gelassen haben, erforderlich ist. Forderungen des Tierarztes gegen seine Patienten bzw. die Tierhalter sollen nach den Bestimmungen des Vertrags auf die VTX übertragen werden, wenn Verzug eingetreten ist und die VTX die Abtretung angenommen hat. Mit der Annahme der Abtretung wird die VTX Forderungsinhaberin.
Nach den Regelungen im Abrechnungsvertrags soll die VTX vor der Forderungsabtretung eine Auftragsverarbeitung durchführen, die in der Vereinbarung zur Auftragsverarbeitung näher ausgestaltet ist. Die Daten der Tierhalter werden für Abrechnungszwecke und die etwaige Durchsetzung von Forderungen der VTX übermittelt, bevor diese die Annahme einer Forderungsabtretung erklärt. Dieser Umstand ist für die Entscheidung des VG wichtig.
Nachdem ein Tierhalter eine Behandlungsrechnung nicht fristgemäß bezahlt hatte, stornierte der Kläger seine selbst erstellte Rechnung und übermittelte sie an die VTX zur Durchführung des Inkassos. Der Tierhalter hatte für diese Datenübermittlung keine Einwilligung erteilt und reichte eine Beschwerde bei dem LfDI ein, nachdem er von der VTX zur Zahlung aufgefordert worden war.
Nach der Anhörung des Klägers erging eine Verwarnung auf Grundlage von Art. 58 Abs. 2 lit. b DSGVO. Die Verwarnung (Ziffer 1 des Bescheids) wurde damit begründet, dass der Kläger personenbezogene Daten eines Tierhalters an die VTX übermittelt habe, obwohl die datenschutzrechtlichen Voraussetzungen dafür nicht vorgelegen hätten. Gleichzeitig wurde der Kläger darum gebeten mitzuteilen (Ziffer 2 des Bescheids), ob er zukünftig in vergleichbaren Fällen die Vorgaben des Datenschutzrechts beachten und nur mit vorheriger Einwilligung der Tierhalter deren Daten an die VTX übermitteln werde.
Hiergegen ging der Kläger mit einer Anfechtungsklage vor.
Bzgl. der unter Ziffer 2 des Bescheids vom Kläger geforderten Erklärung hat der LfDI Ziffer 2 der Verfügung im Rahmen der mündlichen Verhandlung aufgehoben.
Urteil
Das VG gab der Anfechtungsklage statt und hob den Bescheid des LfDI auf.
Verwarnung als Verwaltungsakt
Zunächst begründet das VG, dass es sich bei der angefochtenen Verwarnung um einen – zumindest feststellenden – Verwaltungsakt handelt. Mit der Verwarnung wird nämlich festgestellt, dass der Adressat gegen die DSGVO verstoßen hat. Mit der Verwarnung wird auch implizit ausgedrückt, dass sich der Adressat künftig datenschutzkonform verhalten soll.
Praktische Folge: Adressaten von Verwarnungen der Datenschutzbehörden können hiergegen gerichtlich vorgehen. Ein Widerspruch (also die Durchführung eines Vorverfahrens) muss und kann auch nicht eingelegt werden, da dieser nach § 20 Abs. 6 BDSG entbehrlich ist.
Datenübermittlung im Rahmen der Forderungsabtretung an VTX rechtmäßig
Danach befasst sich das VG mit der Datenweitergabe an VTX. Hierbei handelt es sich um eine Datenüberverarbeitung in Form der Übermittlung i.S.v. Art. 4 Nr. 2 DSGVO. Diese erfolgte rechtmäßig.
Keine Auftragsverarbeitung
Nach Ansicht des VG liegt hier aber keine Auftragsverarbeitung zwischen dem Tierarzt und VTX in der Phase vor der Forderungsabtretung vor.
Das VG begründet seine Ansicht zum einen mit der interessanten Erwägung, dass die Annahme der Parteien, wonach die Übermittlung der Daten vom Tierarzt zur Verrechnungs- und Inkassostelle vor der Forderungsabtretung als Auftragsverarbeitung zu bewerten wäre, einen Vertrag zu Lasten Dritter (gemeint sind wohl die betroffenen Personen) darstellen würde.
Dieses Vorgehen würde nämlich eine Umgehung der eigentlich anwendbaren Anforderungen der Art. 6 ff. DSGVO für eine Datenübermittlung an einen nicht weisungsgebundenen Dritten bedeuten.
Praktische Folge: geht man mit dieser Begründung mit, würde also eine „falsch“ abgeschlossene AVV gleichzeitig einen Vertrag zu Lasten Dritter darstellen.
Das VG geht weiter davon aus, dass die Übermittlung bereits tatbestandlich nicht als Auftragsverarbeitung zu bewerten ist. Gegen eine Auftragsverarbeitung und eine Weisungsgebundenheit der VTX spricht zunächst, dass die Abtretung – die nach der Vorstellung des Klägers den Wechsel von der Auftragsverarbeitung zur Datenverarbeitung der VTX als Verantwortliche bewirkt – letztlich auf einer freien Entscheidung der VTX beruht. Denn: Die Forderungsabtretung bedarf nach dem Vertrag zwingend der Annahmeerklärung der VTX.
Die von dem Kläger beabsichtigten weitreichenden datenschutzrechtlichen Veränderungen, die durch die Abtretung eingeleitet werden sollen, stehen damit nicht unter der Kontrolle des Verantwortlichen.
Das VG begründet seine Ansicht hier also vor allem mit der eigenen Entscheidungshoheit der VTX. Zwar habe der Tierarzt die Daten an die VTX möglicherweise zu einem Zeitpunkt übermittelt, als die Abtretung noch nicht wirksam war. Jedoch spreche gegen eine Auftragsverarbeitung, dass die VTX auch nach erfolgter Abtretung noch Zugriff auf die Daten habe. Hier ist die Begründung des VG meines Erachtens nicht mehr ganz konsistent. Zunächst wird noch allein auf die Phase vor der Abtretung abgestellt. Nun begründet das VG seine Ansicht aber auch mit der Nutzung der Daten nach der Abtretung.
Die VTX ist gegenüber dem betroffenen Tierhalter mit einer eigenen Rechnung über die Behandlungskosten in Erscheinung getreten. Diese Datenverarbeitung erfolgte nicht im Auftrag des Klägers, weil der Kläger gemäß dem Vertrag seine Forderungen gegenüber dem Tierhalter an die VTX abgetreten hat.
Die VTX kann als Zessionarin die Forderung gegenüber dem Tierhalter eigenständig durchsetzen und die ihr vorliegenden Daten selbständig und weisungsfrei verarbeiten. Weisungsbefugnisse des Klägers bestehen gegenüber der VTX nach erfolgter Abtretung auf Grundlage des Vertrages nicht.
Danach stellt das VG zurecht fest, dass, sofern die tatbestandlichen Voraussetzungen des Art. 28 DSGVO nicht erfüllt sind, es unerheblich sei, ob die VTX nach dem mit dem Kläger abgeschlossenen Abrechnungsvertrag im Zeitpunkt der Datenübermittlung als Auftragsverarbeiterin betrachtet werden soll. Es kommt also nach Ansicht des VG allein auf die faktischen Umstände der Datenverarbeitung an.
Praktische Folge: ob eine Auftragsverarbeitung anzunehmen ist, beurteilt sich allein nach den faktischen Gegebenheiten. Allein der Abschluss eines AVV ist noch kein Indiz für eine Auftragsverarbeitung.
Auslegung von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Da eine Übermittlung vorliegt, bedarf diese einer Rechtsgrundlage. Diese ist nach Ansicht des VG nach Art. 6 Abs. 1 lit. b DSGVO zulässig. Hier befasst sich das VG ausführlicher mit den Anforderungen dieser Erlaubnisnorm.
Praktische Folge: die Datenübermittlung im Rahmen einer Forderungsübertragung kann auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.
Zunächst stellt das VG richtigerweise klar, dass die in 6 Abs. 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig sind und sie gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste.
Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung.
Sodann geht das VG auf ein bisher durchaus diskutiertes Thema ein: wer kann sich auf die Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DSGVO berufen?
Der Vertrag, um dessen Erfüllung es geht, muss mit der Person, deren Daten verarbeitet werden, geschlossen worden sein.
Nicht erforderlich ist es, dass der Vertragspartner des Betroffenen und der die Daten verarbeitende Verantwortliche personenidentisch sind.
Daher geht das VG zurecht davon aus, dass auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO auch Datenverarbeitungen durch unbeteiligte Dritte legitimiert sind, die für die Erfüllung eines Vertrags, deren Partei der Betroffene ist, erforderlich sind.
Praktische Folge: auch Dienstleister, die datenschutzrechtliche als eigene Verantwortliche agieren und an der Vertragserfüllung mitwirken (jedoch nicht selbst Vertragspartner sind), können sich auf Art. 6 Abs. 1 lit. b DSGVO stützen (Bsp: Lieferanten, Spediteure, Handwerker).
Danach befasst sich das VG mit dem Merkmal der „Erforderlichkeit“ iRd Art. 6 Abs. 1 lit. b DSVGO. Eine Datenverarbeitung gemäß Art. 6 Abs. 1 lit. b DSGVO ist nur dann zulässig, wenn sie zu Vertragszwecken erforderlich ist.
Das VG geht davon aus, dass dies in der Regel der Fall ist, wenn die essentialia negotii des jeweiligen Vertrags betroffen sind. Das Gericht bezieht sich hier also ganz speziell auf die Mindestinhalte des Vertrages. Jedoch schließt die Auffassung des VG nicht andere Vertragsbestandteile als Basis der Verarbeitung aus. Denn das Gericht bezieht sich ausdrücklich nur regelhaft auf die essentialia negotii.
Danach führt das VG weiter aus:
Dabei werden an die Erforderlichkeit der Datenverarbeitung jedoch keine zu strengen Anforderungen gestellt: Eine Datenverarbeitung ist nicht erst dann zur Erfüllung des Vertrags erforderlich, wenn der Vertrag ohne die Datenverarbeitung gar nicht durchgeführt werden könnte; vielmehr reicht es aus, wenn die Datenverarbeitung objektiv sinnvoll im Hinblick auf den Vertragszweck ist.
Hier vertritt das VG (unter entsprechenden Verweisen in die Literatur) also eine weniger strenge Auffassung als etwa der EDSA in seiner Stellungnahme zu Art. 6 Abs. 1 lit. b DSGVO (die aktuell noch in der Entwurfsfassung vorliegt). „Erforderlich“ bedeutet nicht, dass die Datenverarbeitung zwingend stattfinden muss, damit der Vertrag durchgeführt werden kann. Es reiche aus, dass sie „objektiv sinnvoll“ mit Blick auf den Vertragszweck ist,
Praktische Folge: „erforderlich“ iSd Art. 6 Abs. 1 lit. b DSGVO darf nicht zu eng verstanden werden.
Auf den Fall bezogen, geht das Gericht von einer Erforderlichkeit der Datenübermittlung zur Durchführung des Vertrages aus. Der Tierhalter ist seiner Pflicht zur Zahlung des Rechnungsbetrages nicht innerhalb der Zahlungsfrist nachgekommen. Die Durchsetzung dieser Forderung dient dem Zweck des Behandlungsvertrags. Daher durften auch die für die Forderungsdurchsetzung durch das Inkassounternehmen erforderlichen Daten übermittelt werden.
Schließlich ist die Datenübermittlung notwendiges Mittel zum Zweck: Es geht darum, die fällige Forderung beim Schuldner eintreiben zu können.
Zweckänderung, Art. 6 Abs. 4 DSGVO?
Oft sieht man in gerichtlichen Entscheidungen zur DSGVO, dass die Möglichkeit einer zweckändernden Weiterverarbeitung von Daten gar nicht geprüft wird, obwohl dies nach den Umständen wohl zu erörtern wäre.
Das VG befasst sich hier, wenn auch kurz, mit diesem Thema: da sich der Vertragszweck durch die Forderungsabtretung nicht geändert habe, sei Art. 6 Abs. 4 DSGVO nicht einschlägig. Denn auch nach der Abtretung soll die vertragliche Hauptleistungspflicht des Tierhalters durchgesetzt und nicht etwa neue Ziele, wie zum Beispiel Werbezwecke, verfolgt werden.
Zur Not: Interessenabwägung, Art. 6 Abs. 1 lit. f DSGVO
Als alternative Rechtsgrundlage geht das VG auch noch auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ein. Jedenfalls sei die Datenübermittlung hier (auch) gemäß Art. 6 Abs. 1 lit. f DSGVO rechtmäßig.
Die Interessenabwägung falle hier zugunsten des Klägers aus. Die Übermittlung der Daten an die VTX war hier zur Wahrung seiner berechtigten Interessen erforderlich. Der Kläger hat als Tierarzt ein berechtigtes – rechtliches und wirtschaftliches – Interesse daran, dass seine tierärztlichen Leistungen von den jeweiligen Tierhaltern vergütet werden.
Sofern ein Tierhalter seiner vertraglichen Leistungspflicht nicht nachkommt, hat der Tierarzt darüber hinaus ein berechtigtes Interesse daran, seine vertragliche Forderung auch unter Zuhilfenahme Dritter durchzusetzen.
Überwiegende Interessen des betroffenen Tierhalters stehen diesem Interesse des Tierarztes nach Ansicht des VG richtigerweise nicht entgegen. Das VG begründet dies mit der Kausalität seines eigenen Verhaltens für die Verarbeitung.
Schließlich hat der Tierhalter durch die Verletzung seiner vertraglichen Zahlungspflicht selbst dazu beigetragen, dass die Datenübermittlung zur Forderungseinziehung erforderlich wurde.
Praktische Folge: Schuldner in Zahlungsverzug haben kein schutzwürdiges Interesse, dass offene Forderungen, auch unter Beteiligung Dritter, eingezogen werden.
Keine Verarbeitung von Gesundheitsdaten
Zum Abschluss schwenkt das VG noch kurz auf die Frage, ob denn hier evtl. Gesundheitsdaten nach Art. 9 DSGVO vorliegen.
Das Gericht geht davon aus, dass es sich bei den hier übermittelten Daten nicht um Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO handelt. Denn aus der Honorarrechnung, die der Kläger der VTX zur Forderungseinziehung übermittelt hat, ergeben sich nur Rückschlüsse auf die Gesundheit der Tiere. Dabei handelt es sich jedoch nicht um Daten, die die Gesundheit einer natürlichen Person betreffen.
Es scheint dann noch Thema gewesen zu sein, ob nicht doch Gesundheitsdaten vorliegen, weil es sich um Erkrankungen der Tiere gehandelt hat, die auf den Menschen und damit den betroffenen Tierhalter übergehen könnten. Dies haben die Beteiligten aber nicht vorgetragen.
Allein aufgrund der abstrakten Möglichkeit, dass aus Informationen über Tierbehandlungsverträge – wie Abrechnungsunterlagen – in besonderen Fällen Rückschlüsse auf die Gesundheit des Tierhalters gezogen werden können, werden diese noch nicht zu Gesundheitsdaten.
Praktische Folge: die abstrakte Möglichkeit, dass Gesundheitsdaten vorliegen könnten, reicht nicht aus, um deren Vorliegen nach Art. 9 DSVGO anzunehmen.
Fazit
Das VG Mainz entwickelt sich für mich in den letzten Monaten zu meinem Lieblings-DSGVO-Gericht. Einige Entscheidungen von dort sind wirklich interessant und auch gut begründet.
Zudem finde ich es sehr gut, dass hier der LfDI einen Verwaltungsakt erlassen hat, damit das VG diese wichtigen Fragen beurteilen konnte.
Inhaltlich halte ich die Begründung des VG, insbesondere was Art. 6 Abs. 1 lit. b DSGVO und Art. 9 DSGVO betrifft, für richtig.
Auch wenn es nicht in den Zuständigkeitsbereich des VG gehört: Kein Wort zu § 203 StGB?