EDSA: Zustimmung zu Datenschutzhinweisen als Verstoß gegen Grundsatz von „Treu und Glauben“ (Art. 5 Abs. 1 a) DSGVO)

Dass es keine gute Idee ist, sich eine Einwilligung oder Zustimmung zu den gesamten Datenschutzhinweisen / Datenschutzhinweisen erteilen zu lassen, ist insbesondere unter dem Blickwinkel der Anwendbarkeit des AGB-Rechts bekannt.

Rechtsprechung zur Anwendbarkeit des AGB-Rechts
So hat etwa jüngst der OGH aus Österreich (Urteil vom 23.11.2022 – 7 Ob 112/22d) sogar entschieden, dass Datenschutzhinweise auch dann der Klauselkontrolle des AGB-Rechts unterfallen, wenn der Betroffene „dem Datenschutzhinweis zwar nicht „zustimmen““ musste, jedoch in einem Versicherungsantrag bestätigen musste, „den Datenschutzhinweis „zur Kenntnis“ genommen zu haben“. Aus Sicht des OGH macht es keinen relevanten Unterschied zu der noch klareren Situation, in der den Datenschutzhinweisen an sich zugestimmt werden muss, „weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren kann“.

Verstoß gegen Art. 5 Abs. 1 a) DSGVO?
Sich eine Zustimmung in eine Datenschutzerklärung, die eigentlich nur der Informationserteilung nach Art. 13 DSGVO dient, einzuholen, ist nach Ansicht des EDSA aber auch noch aus einem anderen Grund unzulässig und kann gegen die DSGVO selbst verstoßen.

In seiner bindenden Entscheidung 5/2022 (Art. 65 DSGVO) vom 5.12.2022 (es ging um ein Verfahren der irischen Behörde gegen die WhatsApp Ireland Limited, befasst sich der EDSA mit der Frage, ob die Einholung einer zwingenden Zustimmung zu den Datenschutzhinweisen einen Verstoß gegen den Grundsatz der Verarbeitung nach Treu und Glauben nach Art. 5 Abs. 1 a) DSGVO darstellt.

Zum Grundsatz der Fairness / Treu und Glauben
Nach Art. 5 Abs. 1 a) DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) (im Englischen: „lawfulness, fairness and transparency“).

In seiner Entscheidung erläutert der EDSA (ab Rz 142) zunächst, wie er die Norm und speziell den Grundsatz von „Treu und Glauben“ bzw. „Fairness“ versteht. Die Grundsätze der Fairness, der Rechtmäßigkeit und der Transparenz, seien zwar drei unterschiedliche, aber dennoch untrennbar miteinander verbundene und voneinander abhängige Grundsätze, die jeder Verantwortliche bei der Verarbeitung personenbezogener Daten beachten muss.

Der Grundsatz der Fairness (Treu und Glauben) habe auch eine eigenständige Bedeutung, was dazu führt, dass etwa die Einhaltung des Grundsatzes der Transparenz nicht automatisch ausschließt, dass auch die Einhaltung des Grundsatzes der Fairness anders bewertet werden muss. Der Grundsatz der Verarbeitung nach Treu und Glauben umfasse unter anderem die „Anerkennung der berechtigten Erwartungen der betroffenen Personen, die Berücksichtigung möglicher nachteiliger Folgen, die die Verarbeitung für sie haben kann“ und auch „die Berücksichtigung des Verhältnisses und der möglichen Auswirkungen eines Ungleichgewichts“ zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen.

Der Grundsatz diene vor allem auch dazu, dass ein faires Gleichgewicht zwischen den geschäftlichen Interessen der Verantwortlichen einerseits und den Rechten und Erwartungen der betroffenen Personen nach der DSGVO andererseits hergestellt werden muss.

Falsche Darstellung der Rechtsgrundlage der Datenverarbeitung
Eine spezifische Ausformung des Grundsatzes „Treu und Glauben“ betrifft nach Ansicht des EDSA die Ermittlung der geeigneten Rechtsgrundlage durch den Verantwortlichen und insbesondere auch die Information bzw. Darstellung der Rechtsgrundlage gegenüber Betroffenen.

Der EDSA ist der Ansicht, dass eine Bewertung der Einhaltung des Grundsatzes von Treu und Glauben „auch eine Bewertung der Folgen erfordert, die die Wahl und Darstellung der Rechtsgrundlage“ für die Betroffenen mit sich bringt.

Im konkreten Fall stellt der EDSA in seiner Entscheidung fest, dass der Beschwerdeführer gezwungen war, den Nutzungsbedingungen und der Datenschutzrichtlinie zuzustimmen. Dies beeinträchtige aber eindeutig die angemessenen Erwartungen der Nutzer, da sie nicht wissen, „ob sie durch Anklicken der Schaltfläche „Akzeptieren“ ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben“. Im konkreten Fall war die Einwilligung nach Art. 6 Abs. 1 a) DSGVO auch nicht die einzige Rechtsgrundlage der Datenverarbeitung. Nach Auffassung des EDSA konnten Betroffene, durch die entsprechende Gestaltung und Einholung der Zustimmung zu den Datenschutzhinweisen, jedoch nicht sicher sein, ob dies eine Einwilligung in alle Datenverarbeitungen darstellt oder nicht.

Aus diesem Grund geht der EDSA davon aus, dass der Verantwortliche in dieser Situation die Rechtsgrundlage der Verarbeitung falsch darstellt und die Betroffenen über die möglichen Zusammenhänge zwischen den angestrebten Zwecken, der anwendbaren Rechtsgrundlage und den entsprechenden Verarbeitungstätigkeiten „im Unklaren“ gelassen werden.

Die Verarbeitung könne daher nicht als ethisch und wahrheitsgemäß angesehen werden kann, „da sie im Hinblick auf die Art der verarbeiteten Daten, die verwendete Rechtsgrundlage und die Zwecke der Verarbeitung verwirrend ist“.

Der EDSA geht daher von einem Verstoß gegen den Grundsatz von „Treu und Glauben“ (Fairness) gemäß Art. 5 Abs. 1 a DSGVO aus.

Fazit
Die Einschätzung des EDSA sollte in der Praxis als zusätzlicher Aspekt Beachtung finden, wenn es um die Ausgestaltung der Einbindung von Datenschutzhinweisen gegenüber Betroffenen geht.

EuGH zum Löschanspruch: Betroffener Person obliegt der Nachweis, dass Informationen unrichtig sind

In seiner Entscheidung C-460/20 (vom 8.12.2022) befasst sich der Gerichtshof der Europäischen Union (EuGH) mit der Beweislast in Fällen, in denen eine betroffene Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt.

Die Entscheidung des Gerichtshofs

Von hoher Relevanz für die Praxis sind die Argumente des EuGH zur Beweislast in Fällen von Art. 17 DSGVO. Konkret ging es hier um die Frage, wer im Rahmen der Ausnahmevorschrift des Art. 17 Abs. 3 lit. a DSGVO die Beweislast dafür trägt nachzuweisen, dass auf einer Webseite aufgelistete Inhalte unrichtige Behauptungen enthalten.

Beantragt eine betroffene Person die Löschung bestimmter Daten mit der Begründung, diese seien unrichtig, so obliegt nach dem EuGH „dieser Person der Nachweis, dass die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist“ (Rz. 68).

Dem EuGH zufolge darf jedoch keine übermäßige Belastung auferlegt werden, die geeignet wäre, die praktische Wirkung des Rechts auf Löschung zu beeinträchtigen. Daher muss die Person den Nachweis der Unrichtigkeit erbringen, kann aber nicht verpflichtet werden, eine gerichtliche Entscheidung gegen den Betreiber der betreffenden Website vorzulegen.

Was die andere Seite betrifft, so kann von dem für die Verarbeitung Verantwortlichen nicht verlangt werden, dass er den Sachverhalt ermittelt und eine kontradiktorische Debatte mit dem Anbieter der Inhalte führt. Der EuGH geht davon aus, dass der Verantwortliche nicht verpflichtet ist, „bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken, um festzustellen, ob dieser Antrag stichhaltig ist“ (Rz. 70).

Eine ähnliche Argumentation für Art. 16 DSGVO?

In einer Entscheidung aus März 2022 (BVerwG 6 C 7.20) hatte sich das Bundesverwaltungsgericht (BVerwG) ebenfalls mit einem ähnlichen Fall zu befassen, allerdings verlangte die betroffene Person eine Datenberichtigung nach Art. 16 DSGVO. Das BVerwG hat darauf hingewiesen, dass der Maßstab für die Qualifizierung eines Datums als „richtig“ oder „unrichtig“ im Sinne des Art. 16 S. 1 DSGVO zunächst die objektive Wirklichkeit ist.

Was die Beweislast betrifft, so verwies das Gericht auf Art. 5 Abs. 2 DSGVO. Nach Auffassung des BVerwG enthält die DSGVO enthält in Art. 5 Abs. 2 DSGVO eine spezifische Bestimmung, wer die Beweislast für die Richtigkeit des nach dem Begehren der betroffenen Person neu einzutragenden Datums trägt. Die Vorschrift regelt auch die Beweislast, soweit die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.

Konkret bezogen auf einen Berichtigungsanspruch, bei dem die Richtigkeit eines Datums umstritten ist, ist damit auch die Frage verbunden, ob der für die Verarbeitung Verantwortliche mit der Verarbeitung des „alten“ oder aber des „neuen“ Datums seiner Pflicht zur Einhaltung des Grundsatzes der Datenrichtigkeit gerecht wird.

Das BVerwG führt aus, dass „die Nichterweislichkeit der Richtigkeit des Datums, dessen Verarbeitung der jeweilige Anspruchsteller mit dem Berichtigungsanspruch nach Art. 16 Satz 1 DSGVO begehrt, zu Lasten des Anspruchstellers geht“. Der Verantwortlichen muss im Zweifel in Zukunft nachweisen, dass ein durch ihn verarbeitetes Datum richtig ist. Wenn ihm aber dieser Nachweis obliegt, so das BVerwG, kann von ihm nicht verlangt werden, „ein vom Antragsteller angegebenes Datum, dessen Richtigkeit sich nicht feststellen lässt, einzutragen und weiter zu verarbeiten“.

Fazit

Beide Entscheidungen enthalten relevante Klarstellungen hinsichtlich der Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit Anfragen von betroffenen Personen konfrontiert sind, die die Berichtigung oder Löschung von Daten beantragen, ohne etwa einen Beweis für die Unrichtigkeit der vorhandenen Daten vorzulegen, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen müssen, an den Gründen dieser Entscheidungen orientieren.

EU-Kommission plant Anpassung der DSGVO – Überblick zur Initiative

Die Europäische Kommission hat eine Initiative für die Anpassung ausgewählter Bereich der DSGVO gestartet. Bis zum 24.3.23 können interessierte Gruppen hierzu Stellungnahmen abgeben.

Um was geht es?

Direkt vorab: die Kommission plant (zumindest nach ihrem Vorschlag) nicht, die DSGVO „komplett auf zu machen“. Vielmehr ist die Idee der Kommission, eine Verordnung zur Anpassung ganz spezifischer Vorschriften der DSGVO bzw. auch zum Erlass eigenständiger Regelungen zu entwerfen. Hier kann man sich dazu einen Überblick verschaffen und auch eine Stellungnahme abgeben.

Laut den Angaben der Kommission zielt die Initiative darauf ab, „die Zusammenarbeit zwischen den nationalen Datenschutzaufsichtsbehörden bei der Durchsetzung der Datenschutz-Grundverordnung (DSGVO) in grenzüberschreitenden Fällen zu optimieren“.

Es soll die „Harmonisierung einiger Aspekte der Verwaltungsverfahren, die die Datenschutzaufsichtsbehörden in diesen Fällen anwenden, vorgeschlagen“ werden. Aus diesen Angaben lässt sich bereits der beschränkte Anwendungsbereich der Initiative erkennne. Es geht der Kommission um die Zusammenarbeit und die Vereinheitlichung von Verfahren bei „grenzüberschreitenden Fällen“; betroffen dürften daher Vorschriften in Kapitel VII (ab Art. 60 DSGVO) sein.

Was wird vorgeschlagen?

Auf der oben verlinkten Webseite ist im unteren Bereich ein Sondierungsdokument der Kommission mit weiteren Informationen verfügbar (PDF), aus dem sich ein guter erster Überblick zu dem Inhalt des Vorschlags ergibt.

Bei den nachfolgend genannten Themen sieht die Kommission Änderungsbedarf:

  • Bearbeitung von Beschwerden
  • Beschwerdeformular
  • Verfahrensdauer
  • Umfang des Anspruchs auf rechtliches Gehör und Zeitpunkt des Verfahrens, zu dem es gewährt wird
  • die Einbeziehung der Beschwerdeführer während des Verfahrens, einschließlich der Bereitstellung von Informationen über den Fortgang der Untersuchung

Es geht also vor allem um Aspekte auf Verfahrensebene, wenn Aufsichtsbehörden zusammenarbeiten und Betroffenenbeschwerden bearbeiten. Die Anpassungen bzw. Neuregelungen sollen in der Form einer EU-Vorordnung erlassen werden, also mit unmittelbarer Wirkung in den Mitgliedstaaten.

Vor allem geht es der Kommission auch darum, dass eine Untersuchung durch Datenschutzbehörden sowohl für die betroffenen Personen als auch für die von der Untersuchung betroffenen Parteien schneller abgeschlossen werden kann. Hierzu sollen im Rahmen der Initiative weitere Schritte für die Zusammenarbeit zur Konsensbildung zwischen den Aufsichtsbehörden festgelegt werden.

Wenn man sich dafür interessiert, was dies konkret bedeutet, lohnt sich ein Blick in ein Dokument (PDF) des EDSA, welches der Kommission im Oktober 2022 übersendet wurde. Die Kommission verweist in ihrer Initiative explizit auf diesen, wenn man so will, Vorschlagskatalog der Aufsichtsbehörden.

Was ist nicht von der Initiative umfasst?

Im Grunde alle anderen Vorschriften der DSGVO. Die Initiative zielt also etwa nicht darauf ab, Änderungen bei den Informationspflichten nach Art. 13 und 14 DSGVO oder bei dem Auskunftsanspruch nach Art. 15 DSGVO oder den Vorgaben zum Umgang mit besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) vorzuschlagen.

Zumindest ist dies derzeit nicht die Intention der Kommission. Man darf gespannt sein, ob es bei diesem sehr eng begrenzten Themenfeld der Initiative bleibt und ob die Kommission sich hier gegen Änderungsvorschläge- und wünsche für weitere Bereiche der DSGVO „wehren“ kann. Es würde mich nicht wundern und wäre verständlich, wenn die Initiative der Kommission von interessierten Gruppen auch dazu verwendet wird, den Umfang der geplanten Anpassungen zu erweitern. Nach dem Motto: „Wenn wir die DSGVO jetzt schon einmal auf machen, dann aber richtig.“