EU-Kommission schlägt veränderte Fristenberechnung für die DSGVO und Meldungen von Datenschutzverletzungen vor

Zwischen den Jahren hat man (manchmal) die Zeit, sich mit Themen zu befassen, die während des Jahres zu kurz gekommen sind. Bei mir ist das zum Beispiel der Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO (COM(2023) 348 final).

Vielen dürfte der Vorschlag vor allem im Hinblick auf die geplanten Anpassungen bei der Zusammenarbeit der europäischen Datenschutzbehörden und auch Vorgaben zum Umgang mit Beschwerden bekannt sein.

Vorschlag der EU-Kommission zur Fristenberechnung

Interessant ist aus meiner Sicht aber ganz allgemein der vorgeschlagene Art. 29. Dieser lautet:

Beginn der Fristen und Definition eines Arbeitstages

(1)Die von den Aufsichtsbehörden nach der Verordnung (EU) 2016/679 festgelegten Fristen bzw. die darin enthaltenen Fristen werden im Einklang mit der Verordnung (EWG, Euratom) Nr. 1182/71 des Rates 17 berechnet.

(2)Die Fristen beginnen an dem Arbeitstag, der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679 oder der vorliegenden Verordnung bezieht.“

Absatz 1 birgt mittlerweile keine große Überraschung mehr. Fristen der DSGVO werden nicht nach nationalem Recht (etwa dem BGB) berechnet, sondern nach europäischem Recht. Konkret, der Verordnung (EWG, Euratom) Nr. 1182/71.

Wichtig ist in Absatz 1 dennoch die Klarstellung, dass dies nicht nur für die vorgeschlagene Verordnung zu den Verfahrensregeln gilt – sondern ausdrücklich auch für „darin enthaltenen Fristen“; darin bezieht sich auf die DSGVO insgesamt.

Jetzt kommen wir aber zu dem viel relevanteren Absatz 2.

Danach sollen Fristen an dem Arbeitstag beginnen, „der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679…bezieht“. Auch diese Vorgabe ist nicht allein auf die vorgeschlagene Verordnung bezogen, sondern ausdrücklich auf alle Fristen aus der DSGVO.

Die Besonderheit an dieser Regelung: sie führt im Vergleich zu den generellen Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71 zu einer abweichenden Fristenberechnung für solche Regelungen, die Stundenfristen vorsehen (wie Art. 33 Abs. 1 DSGVO).

Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71

Nach Art. 3 Abs. 1 und Abs. 2 a) gilt eigentlich folgendes.

Wenn für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend ist, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.

Und, eine nach Stunden bemessene Frist beginnt am Anfang der ersten Stunde und endet mit Ablauf der letzten Stunde der Frist.

Eine solche nach Stunden bemessene Frist findet sich in Art. 33 Abs. 1 DSGVO. Die Meldung an die Aufsichtsbehörde soll „möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde“ durch den Verantwortlichen erfolgen.

Das „Bekanntwerden“ ist hier das relevante Ereignis (auch dazu kann man trefflich streiten, soll hier aber nicht Thema sein).

Beispiel des BayLfD zur aktuellen Berechnungsvorgabe

In seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ bildet der BayLfD dazu das folgende Beispiel (ab Rz. 77 ff).

Das für den Anfang der Frist maßgebliche Ereignis ist das Bekanntwerden der Datenschutzverletzung. Die Frist tritt dann nicht sofort, sondern mit Anfang der nächsten Stunde in Lauf. Wird also eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72-Stunden-Frist um 17.00 Uhr.

Änderung durch den vorgeschlagenen Art. 29 Abs. 2

Sollte aber Art. 29 Abs. 2 der Verordnung zur Festlegung zusätzlicher Verfahrensregeln tatsächlich anwendbar werden, würde die Stundenfrist gerade nicht mit Anfang der nächsten Stunde zu laufen beginnen.

Denn nach Art. 29 Abs. 2 beginnt die Frist „an dem Arbeitstag, der auf das Ereignis folgt“. Die Art. 33-Frist würde also später zu laufen beginnen, als derzeit nach den Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71 und wie im Beispiel des BayLfD.

Hier am obigen Beispiel des BayLfD erläutert:

Wird eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72-Stunden-Frist erst um 00.00 Uhr des nächsten Arbeitstages. Man „gewinnt“ als Verantwortliche mithin einige Stunden.

In anderen Situationen kann der Zeitgewinn noch größer ausfallen. Zum Beispiel, wenn das Bekanntwerden der Datenschutzverletzung um 09.45 Uhr vormittags erfolgt. Dann gewinnt man im Vergleich zur aktuellen Berechnung (Frist würde um 10 Uhr starten) 14 Stunden.

Ausblick

Ich bin gespannt, ob der vorgeschlagene Art. 29 Abs. 2 so in kraft treten wird. Der EDSA und der EDSB haben in ihrer Stellungnahme zu dem Vorschlag der EU-Kommission diese Änderung der Fristenberechnung überhaupt nicht angesprochen. Ob bewusst oder unbewusst, ist aber nicht klar.

OLG Nürnberg zum Auskunftsanspruch eines Vorstandsmitglieds – langjährige Unternehmenszugehörigkeit und großer Aufwand für den Arbeitgeber steht der Geltendmachung nicht entgegen

Das OLG Nürnberg hat sich in seiner Entscheidung vom 29. November 2023 (4 U 347/21) mit einem „Klassiker“ des Datenschutzrechts befasst: dem Auskunftsanspruch eines ehemaligen Mitarbeiters gegen den Arbeitgeber und die Frage, ob diesem Anspruch eventuell ein Missbrauchseinwand entgegengehalten werden kann.

Sachverhalt

Der Kläger macht als ehemaliger Mitarbeiter, zuletzt als Vorstandsmitglied der Beklagten, Auskunfts- und Herausgabeansprüche nach Art. 15 Abs. 1 und Abs. 3 DSGVO gegenüber seinem ehemaligen Arbeitgeber geltend. Der Kläger war vom 1.1.2000 bis zum 30.09.2016 in verschiedenen Positionen im Unternehmen tätig. Zuletzt mehrere Jahre als Vorstandsmitglied. Die Beklagte erteilte Auskunft in Bezug auf gespeicherte Personalstamm- und BAV-Daten (ich vermute „betriebliche Altersvorsorge“) des Klägers. Jedoch verlangte der Kläger eine Kopie aller bei der Beklagten gespeicherten personenbezogenen Daten des Klägers.

Das LG Nürnberg-Fürth (Endurteil vom 29.01.2021 – 11 O 5353/20) wies die Klage ab.

Entscheidung

Das OLG gab der Berufung des Klägers statt und verurteilte die beklagte Arbeitgeberin:

  • dem Kläger Auskunft über alle bei ihr gespeicherten personenbezogenen Daten des Klägers zu erteilen
  • eine Kopie aller bei ihr gespeicherten personenbezogenen Daten des Klägers herauszugeben.

Relevant an der Entscheidung des OLG ist, dass sich das Gericht in seiner Begründung bereits auf die neueste Rechtsprechung des EuGH zum Auskunftsanspruch nach Art. 15 DSGVO stützt.

Die Beklagte machte geltend, dass der Anspruch aufgrund des Umfangs des damit verbundenen unverhältnismäßig hohen Erfüllungsaufwands exzessiv im Sinne von Art. 12 Abs. 5 S. 2 DSGVO sei. Ein verständlicher Einwand, da der Kläger über 15 Jahre im Unternehmen tätig war. Zudem brachte die Beklagte den Einwand des Missbrauchs vor, dass der Kläger die Daten wohl nicht aus datenschutzrechtlichen Motiven herausverlangte.

Das OLG lies beide Einwände jedoch nicht gelten.

Datenschutzfremde Zwecke

Nach Wortlaut und Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liege kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten (z.B. Auskunft über Konten, Versicherungsbedingungen etc.), da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DSGVO findet. Das OLG verweist hier auf das Urteil des EuGH vom 26.10.2023 – C-307/22, wonach Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO dahin auszulegen sind, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, auch dann gilt, wenn der betreffende Antrag mit einem anderen als den in ErwG 63 S. 1 DSGVO genannten Zwecken begründet wird.

Großer Aufwand = exzessiv?

Auch sei der Anspruch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach dieser Bestimmung kann der Verantwortliche bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.

Nach Ansicht des OLG liegt kein Missbrauch vor,

wenn die Auskunft gem. Art. 15 DSGVO beim Verantwortlichen sehr viel Aufwand verursacht, da der Aufwand des Verantwortlichen für Art. 15 DSGVO keine Rolle spielt, oder wenn der Betroffene mehrfache Auskunftsansprüche geltend macht, da sie nur im Rahmen des Exzesses einen Rechtsmissbrauch begründen“.

Weiter geht das OLG davon aus, dass es kein Fall des Missbrauchs (in Form der „exzessiv“) darstelle, wenn die Datenauskunft für den Beklagten mit viel Mühe oder Zeitaufwand verbunden ist.

denn der Aufwand ist unerheblich. Exzessiv ist die Datenauskunft schon deswegen nicht, weil es sich um den ersten Antrag handelt

Auch, dass für den Kläger aufgrund der Dauer und Art seiner Tätigkeit sehr viele Daten angefallen sind, stehe der Geltendmachung seiner Rechte nicht entgegen.

Ausblick – Missbrauchseinwand bleibt möglich

Die Entscheidung des OLG zeigt, wie die Vorgaben der EuGH-Urteile aus 2023 zu Art. 15 DSGVO in der Praxis Anwendung finden können. Gleichzeitig sollte man aus Sicht der Verantwortlichen beachten, dass auch der EuGH die Tür für Einwände gegen unbegründete oder missbräuchliche Ansprüche nicht in Gänze „geschlossen“ hat.

In seiner Entscheidung C-307/22 verweist der EuGH etwa auf Art. 15 Abs. 4 DSGVO und dass „[d]as Recht auf Erhalt einer Kopie … die Rechte und Freiheiten anderer Personen nicht beeinträchtigen [darf].“ Zudem geht der EuGH davon aus, dass das der betroffenen Person zuerkannte Recht, eine erste unentgeltliche Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zu erhalten, nicht uneingeschränkt gilt.

Zu beachten ist zudem, dass der EuGH in der Rechtssache C-307/22 einen möglichen Missbrauch gar nicht geprüft hat. Denn er ging davon aus, dass das vorlegende Gericht (der BGH) ausdrücklich festgestellt hat, dass der Antrag der betroffenen Person gerade nicht missbräuchlich sei. Der Missbrauchseinwand auf EU-Ebene ist damit aber nicht ausgeschlossen, wie auch der Generalanwalt in Fn. 20 seiner Schlussanträge klargestellt hat. Sollte der Auskunftsantrag missbräuchlich erfolgen, würde dies den Kläger

nach ständiger Rechtsprechung des Gerichtshofs daran hindern [würde], die ihm durch das Unionsrecht verliehenen Rechte geltend zu machen. Vgl. u. a. Urteil vom 27. Oktober 2022, Climate Corporation Emissions Trading (C‑641/21, EU:C:2022:842, Rn. 39 und die dort angeführte Rechtsprechung).

Gleichzeitig sollte man aber auch beachten, dass der Missbrauchseinwand natürlich die Ausnahme wäre und damit vom Verantwortlichen solide begründet sein muss. Pauschale Verweise auf einen möglichen hohen Arbeitsaufwand oder eine fehlende Begründung des Antrags, dürften dafür nicht genügen.

Hat das OLG Köln das EU-US Data Privacy Framework für unzulässig erklärt? Natürlich nicht.

Die Antwort lautet: natürlich nicht. Könnte das OLG auch gar nicht, da das EU-US Data Privacy Framework (genauer: der Durchführungsbeschluss (EU) 2023/1795 der EU-Kommission) für die Mitgliedstaaten und deren Gerichte bindend ist (vgl. schon EuGH, Schrems I, Rz. 51 & 52).

Sachverhalt

Das OLG Köln hat sich in seinem Urteil vom 3.11.2023 (6 U 58/23) u.a. mit der Frage von Datentransfers an Stellen in den USA auseinandergesetzt. Im Ergebnis sah das OLG diese Datenübermittlung als unzulässig an. Jedoch nicht, wie zum Teil im Internet zu lesen war, weil das EU-US Data Privacy Framework (DPF) ungenügend sei oder im DPF Rechtsschutzmöglichkeit in den USA fehlten.

Entscheidung

Das OLG prüft in seiner Entscheidung die Zulässigkeit von Datentransfers in die USA einmal für die Rechtslage vor Erlass des DPF und einmal danach. Das OLG lehnt im Ergebnis die Zulässigkeit wie folgt ab:

Die Datenübermittlung war auch unzulässig, da sie nicht von einem Erlaubnistatbestand der DSGVO gedeckt war.“

Und hier erkennt man eigentlich schon, um was es geht: den Erlaubnistatbestand der Datenübermittlung. Also Art. 6 DSGVO – nicht Vorgaben aus Kap. V zu Drittlandstransfers.

Vor Erlass des DPF

Für die Zeit vor Erlass des DPF geht das OLG Köln aber tatsächlich davon aus, dass Übermittlung weder nach 46 Abs. 1 DSGVO aufgrund geeigneter Garantien für ein angemessenes Datenschutzniveau in den USA als Drittland zulässig war – also auf Basis von EU-Standarddatenschutzklauseln. Zudem sei die Übermittlung auch nicht aufgrund einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO zulässig.

Hinsichtlich der EU-Standarddatenschutzklauseln sieht das OLG hier Probleme bei der Effektivität der zusätzlichen Schutzmaßnahmen, insbesondere um den Mangel des Fehlens von Rechtsschutzmöglichkeiten für Betroffene in den USA zu heilen.

Nach Erlass des DPF

Spannend und für uns in der aktuellen Situation relevant, ist natürlich die Frage, ob das OLG Datentransfers in die USA auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 Abs. 1 DSGVO nun für unzulässig erklärt hat. Wie bereits erwähnt: hat das OLG nicht.

Das OLG geht sogar davon aus, dass die empfangende Stelle unter dem DPF zertifiziert ist:

„Eine solche Teilnahme als „certified organisation“, …, ist auch für die G. L. festzustellen, wie aus dem Ausdruck der vom Department of Commerce betriebenen Webseite www.dataprivacyframework.gov…hervorgeht“ (Rz. 81)

Das Gericht prüft im Grund den bekannten datenschutzrechtlichen Standard bei Drittlandstransfers. Eine Datenübermittlung in ein Drittland muss auf zwei Ebenen zulässig sein:

  • Einmal als Verarbeitung nach Art. 6 DSGVO. Wir benötigen eine Rechtsgrundlage.
  • Und parallel dazu als Drittlandstransfer nach Kap. V DSGVO.  

Und das OLG prüft hier für die Frage der Zulässigkeit der Datenübermittlung konsequenterweise dann eben die Rechtmäßigkeit nach Art. 6 DSGVO. Ob also für die Übermittlung ein Erlaubnistatbestand vorliegt.

Hinsichtlich des DPF erfolgen nur kurze Aussagen, die deutlich machen, dass das OLG den Beschluss der EU-Kommission akzeptieren muss.

Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ … stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen … . Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, die an dem DPF teilnehmen

Zurecht verweist das OLG aber darauf, dass auch bei Vorliegen eines Angemessenheitsbeschlusses

„die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein“

müssen. Hierzu zählt das OLG unter anderem das Erfordernis der in Kapitel II der DSGVO geregelten Einwilligung. Und hier sieht das OLG dann die rechtlichen Probleme. Bei dem Erlaubnistatbestand. Nicht jedoch bei der Frage, ob Datentransfers auf Grundlage des DPF in die USA übermittelt werden dürfen. Hierzu noch einmal der EuGH, hier aus Schrems II (Rz. 117 & 118):

„Nach Art. 288 Abs. 4 AEUV bindet ein Angemessenheitsbeschluss der Kommission in allen seinen Teilen alle Mitgliedstaaten und ist damit für alle ihre Organe verbindlich, soweit darin festgestellt wird, dass das betreffende Drittland ein angemessenes Schutzniveau gewährleistet, und die Übermittlung personenbezogener Daten im Ergebnis genehmigt wird“.

„Solange der Angemessenheitsbeschluss vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihre Organe, zu denen ihre unabhängigen Aufsichtsbehörden gehören, somit zwar keine diesem Beschluss zuwiderlaufenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich der Beschluss bezieht, kein angemessenes Schutzniveau gewährleistet…, und mit denen infolgedessen die Übermittlung personenbezogener Daten in dieses Drittland ausgesetzt oder verboten wird.“

Also, bitte keine unnötige Panik aufkommen lassen. Das DPF gilt derzeit noch. Gleichzeitig zeigt die Entscheidung aber gut, dass man bei Drittlandstransfers den Fokus eben nicht allein auf Kap. V DSGVO legen sollte, sondern auch alle anderen Anforderungen einer Verarbeitung beachten muss.

BAG konkretisiert datenschutzrechtliche Unterstützungspflichten des Betriebsrats

In seinem Beschluss vom 9. Mai 2023 hatte sich das BAG unter anderem mit den Vorgaben von § 79a BetrVG und damit dem datenschutzrechtlichen Verhältnis zwischen Arbeitgeber und Betriebsrat zu befassen. 

Sachverhalt

In dem Verfahren stritten die Parteien um einen Auskunftsanspruch des Betriebsrats. Der Betriebsrat verlangte von der Arbeitgeberin, ihm ein Verzeichnis über alle im Betrieb und Unternehmen beschäftigten schwerbehinderten und diesen gleichgestellten behinderten Menschen zu übermitteln. Die Arbeitgeberin erteilte daraufhin lediglich die Auskunft, der Schwellenwert für die Wahl einer Schwerbehindertenvertretung im Betrieb sei erreicht.

U.a. ging es um die Frage, ob dem Auskunftsanspruch datenschutzrechtliche Gründe entgegenstünden. 

Entscheidung

Das BAG geht davon aus, dass aus dem Datenschutzrecht nichts gegen die Erfüllung des Auskunftsanspruchs spreche. Die Weitergabe der begehrten Daten an den Betriebsrat sei nach § 26 Abs. 3 iVm. § 22 Abs. 2 BDSG zulässig.

In der Begründung befasst sich das BAG auch mit den (relativ neuen) Regelungen des § 79a BetrVG. 

§ 79a BetrVG

Bekanntlich legte der Gesetzgeber in § 79a BetrVG gesetzlich die datenschutzrechtliche Verantwortlichkeit zwischen Arbeitgeber und Betriebsrat fest (wenn auch, aus meiner Sicht, nicht besonders klar).

Nach Satz 1 der Norm hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Gemäß Satz 2 ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet.

Und zuletzt ist in § 79a S. 3 BetrVG vorgesehen, dass Arbeitgeber und Betriebsrat sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen.

Ansicht des BAG

Nach Auffassung des BAG bewirkt die Vorschrift des § 79a Satz 2 BetrVG nicht, dass das verlangte Datenschutzniveau nicht mehr gewährleistet wäre. 

Hierbei könne, so das Gericht, dahinstehen, ob die Norm, die die umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat nun ausdrücklich dem Arbeitgeber zuweist im Einklang mit Art. 4 Nr. 7 DSGVO stehe. 

Denn den Betriebsrat treffen datenschutzrechtliche Pflichten unabhängig davon, ob er Teil der verantwortlichen Stelle oder selbst Verantwortlicher ist.

Er hat bei jeder Datenverarbeitung – und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten – die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten (sh. schon BAG 7. Mai 2019 – 1 ABR 53/17 – Rn. 45, BAGE 166, 309; nun ausdrücklich in § 79a Satz 1 BetrVG vorgesehen)

Spannend ist die Ansicht des BAG dazu, wie die in § 79a S. 3 BetrVG vorgesehene Unterstützungspflicht in der Praxis umzusetzen ist. 

Das Gericht weist darauf hin, dass die Betriebsparteien nach § 79a S. 3 BetrVG verpflichtet sind, einander bei der Einhaltung der datenschutzrechtlichen Vorschriften zu unterstützen.

Dem Betriebsrat obläge es damit nicht nur, dem Arbeitgeber diejenigen Informationen zu übermitteln, die er für die Erfüllung der ihm als verantwortliche Stelle obliegenden Pflichten benötigt, sondern er hätte auch an der Erfüllung einer Pflicht zur Löschung von personenbezogenen Daten mitzuwirken“.

Das BAG formuliert hier ganz konkret die Pflicht des Betriebsrates, den Verantwortlichen (Arbeitgeber) bei der Erfüllung der datenschutzrechtlichen Pflichten zu unterstützen. Dies zum einen durch Bereitstellung von Informationen an den Arbeitgeber. Und zum anderen aber auch in der Form der Umsetzung datenschutzrechtlicher Pflichten im Bereich des Betriebsrates. Hier nennt das BAG etwa die Löschung von personenbezogenen Daten. 

EuGH: Verantwortliche haftet für Datenverarbeitungen des Auftragsverarbeiters

Neben dem Urteil in der Rechtssache C-807/21 (Deutsche Wohnen) hat der EuGH am 5. Dezember 2023 eine weitere wichtige Entscheidung (C-683/21) getroffen. Die dortigen Feststellungen sind aus meiner Sicht für die alltägliche Praxis im Datenschutzrecht besonders wichtig – denn es geht um das Verhältnis zwischen dem Verantwortlichen und seinem Auftragsverarbeiter und die Haftung für Tätigkeiten des Dienstleisters.

Sachverhalt

Der Hintergrund der Entscheidung ist einigermaßen skurril. Der Gesundheitsminister der Republik Litauen beauftragte den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) damit, den Erwerb eines IT‑Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Covid-Pandemie zu organisieren.

Eine Person, die sich als Vertreter des NZÖG ausgab, teilte einem Unternehmen (App-Entwickler) mit, dass das NZÖG das Unternehmen als Entwickler einer entsprechenden mobilen Anwendung ausgewählt habe. Diese Person versendete in der Folge E‑Mails an das Unternehmen (mit Kopie an den Direktor des NZÖG) hinsichtlich verschiedener Aspekte der Entwicklung dieser Anwendung.

Die App, in der der App-Entwickler und das NZÖG in der Datenschutzerklärung gemeinsam genannt waren, war irgendwann im Google Play Store und im Apple App Store zum Herunterladen verfügbar und wurde von mehreren Tausend Personen genutzt.

An den App-Entwickler wurde aber nie ein öffentlicher Auftrag zum Erwerb der App vergeben. Das NZÖG forderte dann den App-Entwickler auf, es in der mobilen Anwendung in keiner Weise zu erwähnen. Außerdem teilte es mit, dass das Vergabeverfahren wegen fehlender Mittel für den Erwerb der Anwendung beendet worden sei.

Wer ist Verantwortlicher?

Die erste durch den EuGH zu beantwortende Frage war, ob das NZÖG in dieser Konstellation datenschutzrechtlich Verantwortlicher für die Datenverarbeitung über App sein konnte. Wohlgemerkt wurde ein offizieller Auftrag im Rahmen einer Ausschreibung nicht erteilt.

Der EuGH geht aber dennoch davon aus, dass

die Entwicklung der in Rede stehenden mobilen Anwendung vom NZÖG in Auftrag gegeben wurde und dazu dienen sollte, das von ihm gesetzte Ziel umzusetzen, nämlich die Covid‑19-Pandemie durch ein IT‑Tool zur Erfassung und Überwachung der Daten von Personen, die mit Trägern des Covid‑19-Virus in Kontakt standen, zu bewältigen“.

Zudem habe das NZÖG vorgesehen, dass zu diesem Zweck personenbezogene Daten der Nutzer der mobilen Anwendung verarbeitet werden.

Außerdem, so der EuGH, geht aus der Vorlageentscheidung hervor, dass die Parameter dieser Anwendung, z. B. welche Fragen gestellt werden und wie diese formuliert sind, an den Bedarf des NZÖG angepasst wurden und dass das NZÖG bei ihrer Festlegung eine aktive Rolle gespielt hat.

Der EuGH prüft also hier die zwei entscheidenden Merkmale der Verantwortlichkeit: Entscheidung über Mittel und Zwecke der Verarbeitung und kommt zu folgendem Ergebnis:

Unter diesen Umständen ist grundsätzlich davon auszugehen, dass das NZÖG tatsächlich an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt hat.“

Der EuGH nimmt hier also eine Rolle als Verantwortlicher für NZÖG an.

Wichtig für die Praxis sind die Hinweise des EuGH dazu, welche Kriterien nicht zwingend für eine Verantwortlichkeit sprechen:

  • Der bloße Umstand, dass das NZÖG in der Datenschutzerklärung der mobilen Anwendung als Verantwortlicher genannt wurde
  • Dass die Anwendung Links zum NZÖG enthielt

Diese Umstände sind auch Sicht des EuGH nur dann für die Frage der Verantwortlichkeit relevant,

„wenn feststeht, dass das NZÖG dem ausdrücklich oder stillschweigend zugestimmt hat.“

Gleichzeitig macht der EuGH (wieder einmal) deutlich, wie weit er die Figur der Verantwortlichkeit nach der DSGVO versteht.

Die Umstände

  • dass das NZÖG selbst keine personenbezogenen Daten verarbeitet hat
  • dass kein Vertrag zwischen dem NZÖG und dem App-Entwickler bestand
  • dass das NZÖG die mobile Anwendung nicht erworben hat
  • dass es die Verbreitung dieser App über Online-Shops nicht genehmigt hat

schließen es nach Ansicht des EUGH gerade nicht aus,

dass das NZÖG als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann.“

Bedeutet für uns in der Praxis: die Verantwortlichkeit beginnt früh und eventuell schneller als man denkt. Der EuGH stellt sehr klar allein auf die entscheidenden Merkmale der Entscheidung über Mittel und Zwecke ab. Für die Verantwortlichkeit spielen rein formelle Aspekte, wie etwa ein Vertrag oder der Erwerb der Anwendung, keine Rolle, solange Anhaltspunkte dafür vorhanden sind, dass eine Stelle an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirkt.

Beauftragt also eine Stelle ein anderes Unternehmen mit der Entwicklung einer App und hat es in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die App vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt, kann dies Stelle als Verantwortlicher angesehen werden, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt.

Bußgeld gegen den Verantwortlichen für Tätigkeiten des Auftragsverarbeiters

Als Parallele zu dem Verfahren Deutsche Wohnen, ging es auch hier um die Frage der Haftung des Verantwortlichen.

Im hiesigen Fall war nun aber die Besonderheit, dass die NZÖG ja selbst keine Daten verarbeitet hat. Dies erfolgte vielmehr durch den App-Entwickler.

Die Frage war dann, ob eine Geldbuße gegen einen Verantwortlichen für Verarbeitungsvorgänge verhängt werden kann, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden.

Der EuGH ist in diesem Punkt, dass muss man so sagen, ganz klar und beantwortet die Frage mit „ja“.

In seiner Begründung erinnert der EuGH etwa daran, dass ein Auftragsverarbeiter nach der Definition in Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Hierauf folgt, dass ein Verantwortlicher,

nicht nur für jedwede Verarbeitung personenbezogener Daten, die durch ihn selbst erfolgt, sondern auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich ist“.

Die rechtliche Verantwortlichkeit und damit Haftung erstreckt also auch auf Tätigkeiten des eingesetzten Auftragsverarbeiters.

Daher, so der EuGH,

kann gegen ihn eine Geldbuße nach Art. 83 der DSGVO verhängt werden, wenn personenbezogene Daten unrechtmäßig verarbeitet werden und die Verarbeitung nicht durch ihn, sondern durch einen Auftragsverarbeiter, an den er sich gewandt hat, in seinem Namen erfolgt ist“.

Von der Bußgeldhaftung des Verantwortlichen für den Auftragsverarbeiter gibt es jedoch Ausnahmen, die der EuGH benennt:

  • In Fällen, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet
  • diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist
  • auf eine Weise verarbeitet, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.

In diesen drei Fällen gilt der Auftragsverarbeiter nach Art. 28 Abs. 10 DSGVO nämlich in Bezug auf eine solche Verarbeitung als Verantwortlicher.

Die Ausführungen des EuGH bedeuten in der Praxis, dass man besonderes Augenmerk auf den Inhalt der Auftragsverarbeitungsverträge und der Weisungen zur Verarbeitung legen sollte. Im Grunde haftet der Verantwortliche für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der Weisungen bleibt. Je weiter eine Weisung bzw. der Zweck der beauftragten Verarbeitung aber nun definiert ist, desto größer ist natürlich auch ein potentielles Haftungsrisiko für den Verantwortlichen.

Die Formulierung „Zur Durchführung des Hauptvertrages“ in einem AV-Vertrag wird in der Praxis viel mehr Interpretationsspielraum bieten, ob eine Verarbeitung wirklich im Rahmen des Auftrages erfolgt, als etwa eine genau Beschreibung der einzelnen Leistungen und Datenverarbeitungen.

Verwaltungsgerichtshof Österreich: „unbedingt erforderlich“ nach Art. 5 Abs. 3 ePrivacy RL (TTDSG) ist etwas anderes als „erforderlich“ nach Art. 6 Abs. 1 lit. f DSGVO

In der Entscheidung vom 31.10.2023 (Ro 2020/04/0024) ging es um die Genehmigung von Verhaltensregeln gemäß Art. 40 Abs. 5 DSGVO für „Presse- und Magazin-Medienunternehmen“ bei der österreichischen Datenschutzbehörde. Die DSB wies den Antrag auf Genehmigung der vorgelegten Verhaltensregeln teilweise im Hinblick auf mehrere Punkte aus den Verhaltensregeln ab. Ein relevanter Punkt war hierbei Punkte D.1.3 (Zwingend erforderliche datenverarbeitende Cookies). Hinsichtlich Punkt D.1.3 ging es u.a. um die Frage der Auslegung der Wortfolge „unbedingt erforderlich“ in Art. 5 Abs. 3 RL 2002/58/EG und zwar dahingehend, ob davon eine näher beschriebene „wirtschaftliche unbedingte Erforderlichkeit“ umfasst sei. Punkt D.1.3 betrifft die Verarbeitung personenbezogener Daten unter Einsatz von Cookies ohne Einwilligung der betroffenen Person, wenn der Verarbeitungsvorgang für die Angebotserbringung zwingend erforderlich ist, wobei nach Punkt D.1.3 erster Absatz der Begriff „erforderlich“ unter Beachtung von Art. 6 Abs. 1 lit. f DSGVO auszulegen sei.

In seiner Entscheidung weist das Gericht (unter Verweis auf die EuGH-Rechtsprechung) darauf hin, dass für die Zulässigkeit der Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. f DSGVO es allein nicht ausreichend ist, dass die Datenverarbeitung zur Verwirklichung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Vielmehr bedarf es zusätzlich einer Abwägung der berechtigten Interessen des Verantwortlichen oder eines Dritten mit den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person.

Das Gericht unterscheidet hierbei klar zwischen den beiden Schutz- und Anwendungsbereichen der DSGVO und der RL 2002/58/EG. Während sich der Begriff „erforderlich“ in Art. 6 Abs. 1 lit. f DSGVO auf die Verarbeitung [personenbezogener Daten] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten bezieht, betreffe der Begriff „unbedingt erforderlich“ in Art. 5 Abs. 3 zweiter Satz RL 2002/58/EG die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, „damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“.

Im Gegensatz zu Art. 6 Abs. 1 lit. f DSGVO setzt daher Art. 5 Abs. 3 zweiter Satz der Richtlinie 2002/58/EG für die Zulässigkeit der Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, keine Interessensabwägung voraus.“

Auf diese unterschiedlichen Prüfkriterien und auch -umfänge hat in der Vergangenheit etwa auch die DSK in ihrer Orientierungshilfe Telemedien hingewiesen (S. 21 f). Die Ausnahmen gemäß § 25 Abs. 2 TTDSG unterscheiden sich danach wesentlich von Art. 6 Abs. 1 lit. f) DSGVO. „Während das TTDSG starre Kriterien benennt, die erfüllt sein müssen, eröffnet die DS-GVO eine gewisse Abwägungsflexibilität“. Nach Ansicht der DSK ist eine Interessenabwägung, die zu Art. 6 Abs. 1 lit. f) DSGVO vorgenommen wurde, daher nicht geeignet, automatisch die Voraussetzungen von § 25 Abs. 2 Nr. 2 TTDSG (bzw. Art. 5 Abs. 3 RL 2002/58/EG zu erfüllen.

Für die Praxis bedeutet diese Auslegung, dass „unbedingt erforderlich“ nach § 25 Abs. 2 Nr. 2 TTDSG gerade nicht eins zu eins wie die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zu prüfen ist. Die RL 2002/58/EG sieht keine Abwägungsmöglichkeit in ihrem Wortlaut vor. Dies mag man aus Sicht von Unternehmen positiv oder negativ verstehen. Negativ, da keine Abwägung mit Interessen möglich ist, um so ggfs. ein passendes Ergebnis zu erzielen. Oder auch positiv, da eben keine entgegenstehenden Interessen berücksichtigt werden müssen, jedoch die Erforderlichkeit nachgewiesen werden muss.