Widerspruch gegen die Datenverarbeitung: wann liegen „Gründe, die sich aus ihrer besonderen Situation ergeben“ vor?

Nach Art. 21 Abs. 1 DSGVO hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung, die aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO erfolgt, Widerspruch einzulegen. Wann diese „besondere Situation“ vorliegt, erläutert das Gesetz aber nicht. 

Für die Praxis stellt Art. 6 Abs. 1 f) DSGVO in der Wirtschaft eine wichtige Rechtsgrundlage dar. Umso interessanter ist daher die Antwort auf die Frage, wann Betroffene einer Verarbeitung widersprechen können.

Wortlaut

Art. 21 Abs. 1 DSGVO gewährt eindeutig kein voraussetzungsloses Widerspruchsrecht, sondern macht dieses von Gründen abhängig, die sich aus der besonderen Situation des Betroffenen ergeben. Nur zu widersprechen, genügt daher nicht. Dies ergibt sich auch aus einem systematischen Vergleich mit Art. 21 Abs. 3 DSGVO, der gerade allein den Widerspruch (ohne Bezug zu einer besonderen Situation) genügen lässt, wenn Daten für Zwecke der Direktwerbung verwendet werden. 

Rechtsprechung

Landessozialgericht Hessen

Das LSG Hessen (Beschl. v. 29.1.2020 – L 4 SO 154/19 B) hat sich zu den Anforderungen der Darlegung der besonderen Situation des Betroffenen geäußert. 

Das LSG verlangt, dass konkrete Tatsachen zu dieser besonderen Situation vorgetragen werden müssen, die ausnahmsweise das Unterlassen der Erhebung von Daten rechtfertigen sollen. Dies ergebe sich aus der Normstruktur des Art. 21 Abs. 1 S. 2 DSGVO, die eine Abwägung erfordert.

Im konkreten Fall verwies der Kläger u.a. auf eine nach seiner Auffassung der Rechtsprechung des Bundessozialgerichts widersprechende Verwaltungspraxis. Dies genügte dem LSG nicht. Zudem brachte der Betroffene gegen die Verarbeitung seinen Gesundheitszustand vor. Auch dies lehnte das LSG als „besondere Situation“ ab. 

sind dies keine Gründe, die einen Bezug zu Datenschutzbelangen haben.“ 

Interessant an dieser Ansicht des LSG ist, dass das Gericht anscheinend bei den Gründen einen konkreten Datenschutzbezug verlangt. 

Bundesverwaltungsgericht Österreich

Im letzten Jahr hat sich auch das Bundesverwaltungsgericht (BVwG) Österreich (19.4.2023 – W287 2243166-1) mit den Anforderungen an den Widerspruch befasst. 

Das BVwG verlangt, dass der Betroffene im Widerspruch anzugeben hat, inwiefern eine Verarbeitung der Daten, die sich auf den Erlaubnistatbestand des Art. 6 Abs. 1 f) DSGVO stützt, aufgrund einer besonderen Situation dennoch nicht zulässig sein soll. 

Vom Betroffenen ist konkret darzulegen, 

worin im grundrechtlichen Schutzzweck des Datenschutzes seine besondere Situation liegt, die über die im Rahmen des Art. 6 Abs. 1 lit. e und lit. f DSGVO bereits erfolgte allgemeine Güterabwägung hinaus eine Ausnahme von der rechtmäßigen Verarbeitung gegeben sein soll“.

Interessant ist hier, dass das BVwG die besondere Situation des Betroffenen wohl eher als Ausnahme ansieht. Denn es führt aus, dass bei der Annahme der besonderen Situation Zurückhaltung geboten sei. 

Legt der Betroffene „nicht einmal ansatzweise dar, weshalb in seinem Fall eine besondere Situation im zuvor dargelegten Sinne vorliegen sollte“, sind die Anforderungen des Art. 21 Abs. 1 DSGVO nicht erfüllt. In dem Verfahren des BVwG hat übrigens auch die Österreichische Datenschutzbehörde genau diese Ansicht, die das Gericht stützt, vertreten. 

Die Behauptungs- und Beweislast für das Vorliegen der Voraussetzungen liegt nach Ansicht des BVwG beim Betroffenen.

Dementsprechend hat sein Antrag eine qualifizierte Darlegung zu enthalten, die es dem Verantwortlichen ermöglicht, die Voraussetzungen zu prüfen.

Fazit

Abschließend geklärt scheint die Frage, wann eine „besondere Situation“ vorliegt, noch nicht. Gerade die Entscheidung und Begründung des BVwG enthält jedoch nützliche Hinweise dazu, wie Verantwortliche mit Widersprüchen gegen Datenverarbeitungen nach Art. 21 Abs. 1 DSGVO umgehen können.

Arbeitsgericht: Datenschutzverstöße des Betriebsrates können ein Grund für dessen Auflösung sein

Das Arbeitsgericht Elmshorn (ArbG) hat sich in seinem Beschluss vom 23.08.2023 (Az. 3 BV 31 e/23) unter anderem mit der Frage befasst, inwiefern Datenschutzverstöße eines Betriebsrates nach § 23 Abs. 1 BetrVG wegen grober Verletzung seiner gesetzlichen Pflichten zu dessen Auflösung führen können (die Beschwerde gegen den Beschluss ist beim Landesarbeitsgericht Schleswig-Holstein, Az. 5 TaBV 16/23 anhängig).

Sachverhalt

Über ein Viertel der Belegschaft sowie die Arbeitgeberin beantragten gem. § 23 Abs. 1 BetrVG die Auflösung des Betriebsrates. Es lägen grobe Verletzungen gesetzlicher Pflichten durch den Betriebsrat und einzelne Mitglieder vor. (Ich beschränke mich hier auf datenschutzrechtlich relevante Themen; daneben wurden auch noch andere Verstöße geltend gemacht)

Der Betriebsrat druckte jeweils einzeln pro Mitarbeiter per E-Mail verschickte Dienstpläne aus, sichtet, kontrolliert und bearbeitet diese. Sie werden jeweils in einem DIN A 4-Ordner für jeden einzelnen Mitarbeiter abgeheftet. Daneben werden alle Urlaubsanträge von allen Mitarbeitern durch die Arbeitgeberin per E-Mail an den Betriebsrat geschickt, welche dieser ebenfalls ausdruckt, sichtet und einsortiert. Zudem habe der Betriebsratsvorsitzende in einer Betriebsversammlung Gesundheitsdaten zweier Mitarbeiter veröffentlicht.

Die Antragsteller sind der Ansicht, der Betriebsrat verstoße mit einer umfassenden Speicherung von Personendaten im Rahmen der Dienstplannachkontrollen gegen den Datenschutz. Zudem stelle die Bekanntgabe von Gesundheitsdaten auf der Betriebsversammlung einen erheblichen Datenschutzverstoß dar.

Entscheidung

Das ArbG ging von mehreren Pflichtverletzungen aus und beschloss die Auflösung des Betriebsrates. 

Prüfungsmaßstab des Gerichts waren die Anforderungen des § 23 Abs. 1 BetrVG. Ein zur Auflösung des Betriebsrats führender grober Verstoß gegen gesetzliche Pflichten liegt dann vor, wenn die Pflichtverletzung objektiv erheblich und offensichtlich schwerwiegend ist. Dies kann nur unter Berücksichtigung aller Umstände des Einzelfalles, insbesondere den betrieblichen Gegebenheiten und des Anlasses der Pflichtverletzung beurteilt werden.

Unter anderem begründete das ArbG seine Entscheidung auch mit datenschutzrechtlichen Verstößen.

Mit der Mitteilung von Gesundheitsdaten von Arbeitnehmern wie auch der massenhaften Lagerung von Mitarbeiterdaten verstößt der Betriebsrat massiv gegen Geheimhaltungspflichten und die Verpflichtung zum Datenschutz.“

Nach Ansicht des ArbG ist der Betriebsrat zur Geheimhaltung von persönlichen Daten verpflichtet.

Zudem stelle die Verletzung von Datenschutzverpflichtungen zugleich eine Verletzung von Pflichten aus § 23 Abs. 1 BetrVG dar.

Mit der Mitteilung von Gesundheitsdaten von zwei Mitarbeitern auf einer Betriebsversammlung verletze der Betriebsrat das allgemeine Persönlichkeitsrecht dieser Mitarbeiter.

Der Betriebsrat verteidigte sich damit, dass auf der Betriebsversammlung keine Gesundheitsdaten bekannt gemacht worden seien. Denn die Erkrankungen seien bereits betriebsöffentlich bekannt gewesen und die Äußerungen seien zudem jedenfalls nicht protokolliert worden.

Diese Argumente ließ das ArbG nicht gelten. Auch wenn die Vorfälle bereits anderweitig im Betrieb „die Runde gemacht“ haben sollten bzw. sich als Arbeitsunfälle ereigneten, stehe dem Betriebsratsvorsitzende eine Äußerung über den Gesundheitszustand einzelner Arbeitnehmer in der Betriebsversammlung nicht zu.

Zudem bemängelte das ArbG, dass der Betriebsrat mit dem Ausdruck und der Ablage von allen Dienstplänen, Krankheitsmitteilungen und Urlaubsanträgen quasi eine doppelte Personalakte führe. Er lege Unterlagen doppelt an, deren Zweck der Speicherung mehr als zweifelhaft sei.

Auch der Betriebsrat ist grundsätzlich zur sog. Datensparsamkeit angehalten“.

Ein permanenter Lesezugriff örtlicher Betriebsräte auf die elektronischen Personalakten der Arbeitnehmer zu Kontrollzwecken im Rahmen einer Gesamtbetriebsvereinbarung zur Regelung eines elektronischen Ablagesystems für Personalakten wäre unwirksam, da hiermit unverhältnismäßig in das allgemeine Persönlichkeitsrecht der Arbeitnehmer eingegriffen wird.

Eine solche lege der Betriebsrat aber gerade an, wenn er für jeden Mitarbeiter einen Aktenordner führt, aus dem sich die Arbeits- und Abwesenheitszeiten inkl. Urlaub ergeben.

Der Betriebsrat könne gegebenenfalls bei der Arbeitgeberin Einsicht verlangen.

Es ist gerade nicht erforderlich, dass es zu einer Art doppelten Buchführung durch den Betriebsrat kommt. Dies verstößt gegen die erforderliche Sparsamkeit im Umgang mit personenbezogenen Daten.“

Bundesverwaltungsgericht Österreich: Übermittlung von Kundendaten zwischen Konzernunternehmen zur Verteidigung gegen Klagen

Das Bundesverwaltungsgericht Österreich (BVwG) hat in einer Entscheidung (11.12.2023, Geschäftszahl W137 2259819-1) einige relevante Aussagen zur Datenübermittlung in Unternehmensgruppen bzw. im Konzern auf Basis der Rechtsgrundlage des Art. 6 Abs. 1 f DSGVO getroffen.

Sachverhalt

Ein Betroffener beschwerte sich bei der österreichischen Datenschutzbehörde wegen unrechtmäßiger Datenverarbeitungen. Das Unternehmen A (ein Online-Glücksspielunternehmen) habe seine personenbezogenen Daten an ein weiteres Glücksspielunternehmen B (welches derselben Unternehmensgruppe angehört) unrechtmäßig weitergeleitet, bzw. ohne hinreichende Rechtfertigungsgründe gemäß Art. 6 DSGVO verarbeitet.

Die Besonderheit war hier, dass sich der Betroffene in zivilrechtlichen Gerichtsverfahren und Streitigkeiten mit Unternehmen A und Unternehmen B befand.

Der Betroffene forderte von Unternehmen A seine erlittenen Spielverluste zurück. Das Verfahren endete mit einem außergerichtlichen Vergleich. Kurz danach registrierte sich der Betroffene auf der Website des Glückspielunternehmens B und forderte im Rahmen eines Zivilverfahrens auch dort seine erlittenen Spielverluste zurück. Die Klage wurde aber abgewiesen, da das Zivilgericht Rechtsmissbrauch feststellte.

Diese letzte Klage wurde unter anderem deswegen abgewiesen, weil Unternehmen A dem Unternehmen B (aus derselben Unternehmensgruppe) Informationen zu dem Betroffenen weitergeleitet hatte, damit sich Unternehmen B gegen die Ansprüche wehren kann.

Die Frage für das Gericht war nun, ob die Datenübermittlung an das Konzernunternehmen zulässig war.

Entscheidung

Das BVwG führt für die in Rede stehende Datenübermittlung eine Prüfung der Voraussetzungen der Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO durch.

1.  Vorliegen eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden,

2.  Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und

3.  kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person.

Verarbeitung für andere Unternehmen (in der Gruppe) möglich

Zunächst stellt das BVwG fest, dass Art. 6 Abs. 1 f DSGVO es auch ermöglicht, eine entsprechende Verarbeitung für die berechtigten Interessen eines Dritten vorzunehmen. Hier, für Unternehmen B, welches mit Unternehmen A Teil einer Unternehmensgruppe ist. Dies ist ein wichtiger Hinweis für die Praxis, soweit es konzern- bzw. gruppenbezogene Verarbeitungen betrifft. Ein Unternehmen kann Daten zulässigerweise für die Interessen der verbundenen Unternehmen verarbeiten.

Berechtigtes Interesse

Das BVwG geht davon aus, dass hier ein berechtigtes Interesse sowohl von Unternehmen A als auch B vorlag. Unternehmen A stützte sich (wie auch die Datenschutzbehörde) auf ein Interesse zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen in Verbindung mit einem anhängigen Gerichtsverfahren,

um eine rechtsmissbräuchliche (risikolose) Spielweise in den Onlinecasinos der Unternehmensgruppe zu verhindern“.

Für die Praxis wird man dieser Ansicht etwas allgemeiner und unabhängig von Onlinecasinos entnehmen können, dass zur Verteidigung gegen rechtsmissbräuchliches Vorgehen von Kunden (oder ggfs. Beschäftigten) eine Datenübermittlung an Gruppenunternehmen ein berechtigtes Interesse darstellt.

Unternehmen A informierte das andere Mitglied der Gruppe, dass bereits zuvor durch den Betroffenen Spielverluste rückgefordert wurden und verhalf Unternehmen B, durch den sodann erhobenen Einwand des Rechtsmissbrauchs, zum Obsiegen im zivilgerichtlichen Verfahren.

Aus Sicht des BVwG ergibt sich das berechtigte Interesse aus dem legitimen Zweck zur Verteidigung von Rechtsansprüchen gegen eine betrügerische Spielweise von registrierten Kunden. Dieses Interesse ist auch rechtmäßig. Das BVwG verweist hierzu auf Art. 48 der Charta der Grundrechte, der grundrechtlichen Verankerung von Verteidigungsrechten in einem Gerichtsverfahren.

Erforderlichkeit der Datenverarbeitung

Zudem muss die Datenverarbeitung im Rahmen der Verarbeitungsgrundsätze nach Art. 5 Abs. 1 DSGVO auf das Notwendigste beschränkt sein. Nach Ansicht des BVwG beschränkte sich die Datenübermittlung auf ein Minimum an Information. Insbesondere hatte der Betroffene schon durch die Registrierung auf der Website von Unternehmen B bereits einige persönlichen Daten angegeben.

Der Informationsgehalt der Übermittlung bestand ausschließlich darin, dass der BF bereits gegen ein Mitglied der Unternehmensgruppe Spielverluste gerichtlich geltend gemacht hatte.“

Für das Gericht war damit klar, dass eine über den Zweck der Verteidigung von Rechtsansprüchen hinausgehende Datenverarbeitung nicht stattgefunden hat.

Interessenabwägung

Zuletzt nimmt das BVwG die erforderliche Abwägung der Interessen mit jenen des Betroffenen vor. Es ist zu beurteilen, ob das berechtigte Interesse des Betroffenen an seinen personenbezogenen Daten gegenüber jenem des Verantwortlichen überwiegt.

Der Betroffene sah dies natürlich so. Er gab an, dass die Datenübermittlung dazu geführt habe, dass er das zivilgerichtliche Verfahren betreffend die Rückforderung seiner Spielschulden verloren habe. Daraus sei ihm ein Nachteil entstanden.

Diese Argumente lässt aber das BVwG nicht gelten.

Zum einen stellt das Gericht fest, dass nicht jede negative Auswirkung zu einem Überwiegen im Rahmen der zu treffenden Interessensabwägung führt. Auch diese Feststellung ist für die Praxis wichtig: „nur“, weil eine Verarbeitung ggfs. negative Folgen für den Betroffenen hat, bedeutet dies noch nicht direkt, dass auch die Interessenabwägung zulasten des Verantwortlichen ausgeht.

Das Gericht legt als Maßstab das zu gegenüberstellende berechtigte Interesse des Verantwortlichen und Dritten an.

Die Verteidigung von Rechtsansprüchen bildet ein fundamentales Grundrecht der österreichischen Rechtsordnung sowie des europäischen Rechts.“

Möchte man bei der Ausübung dieses Grundrechts eine „unverhältnismäßige“ Schädigung des Betroffenen annehmen, sei ein strenger Maßstab anzulegen.

Vorliegend geht das BVwG nicht von einem Überwiegen der Interessen des Betroffenen aus. Die Datenübermittlung zwischen den Unternehmen war daher zulässig.

„personenbezogene Daten unverzüglich gelöscht werden“ – Datenschutzbehörde Irland: 49 Tage sind nicht mehr „unverzüglich“

Mit Entscheidung (PDF) vom 15. November 2023 hat die irische Datenschutzbehörde (DPC) unter anderem einen Verstoß der Microsoft Operations Ireland Limited gegen Art. 17 Abs. 1 DSGVO festgestellt.

Sachverhalt

In dem Verfahren ging es auch um das Auslisten von Links aus der Suchmaschine Bing. Der Betroffene beschwerte sich beim BayLDA und dieses leitete die Beschwerde nach Irland weiter. Unter anderem wandte sich der Betroffene am 9. Oktober 2021 mit mehreren Löschaufforderungen an Microsoft. Diese wurden zunächst zurückgewiesen – wie Microsoft aber später eingestand, fälschlicherweise. Der Löschprozess für die personenbezogenen Daten startete dann erst ab dem 26. November 2021. Aus Sicht der DPC sind hier 49 Tage vergangen (wobei man dafür den 9. Oktober mit einbezieht).

Entscheidung

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern bestimmte Voraussetzungen erfüllt sind.

Was genau „unverzüglich“ bedeutet, ist in der DSGVO nicht geregelt. Eine rein nationale Auslegung verbietet sich. Nach der Rechtsprechung des EuGH müssen Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten (zum Begriff „Schaden“ in Art. 82 DSGVO, C-300/21, Rz. 29).

Im konkreten Fall vergingen nach Ansicht der DPC 49 Tage, bis der der Löschprozess angestoßen wurde. Die Aufsichtsbehörde geht davon aus, dass diese Dauer nicht mehr als „unverzüglich“ im Sinne von Art. 17 Abs. 1 DSGVO angesehen werden kann.

Datenschutzbehörde Österreich: Datenschutzhinweise beeinflussen „vernünftige Erwartungen“ der Betroffenen (Art. 6 Abs. 1 f) DSGVO)

In einer Entscheidung vom 01.08.2023 (Geschäftszahl 2023-0.544.853) hat die Datenschutzbehörde Österreich (DSB) eine relevante Aussage zur Anwendung des Erlaubnistatbestandes der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO getroffen.

Sachverhalt

In dem Verfahren beschwerte sich eine Frau als Fahrgast eines Zuges bei der DSB, dass ihre Jahreskarte elektronisch überprüft worden sei. Das bloße Aushändigen der Jahreskarte sei von den Kontrollorganen nicht akzeptiert worden. Diese elektronische Kontrolle sei datenschutzwidrig gewesen.

Entscheidung der DSB

Die DSB prüft die Zulässigkeit der Datenverarbeitung im Rahmen der elektronischen Kontrolle. Sie stellt hier nicht auf Art. 6 Abs. 1 b) DSGVO (Vertragsdurchführung) ab, was meines Erachtens auch eine Möglichkeit gewesen wäre, sondern prüft den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO.

Im Rahmen der Prüfung der sich gegenüberstehenden Interessen verweist die DSB zurecht auf ErwG 47 DSGVO, in dem es heißt: „dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.“

Die DSB umschreibt diesen Aspekt wie folgt: „die vernünftige Erwartungshaltung einer betroffenen Person im Hinblick auf die Verwendung ihrer Daten im Rahmen einer Interessenabwägung als gewichtiger Faktor zu berücksichtigen“.

Spannend an der weiteren Prüfung der DSB ist nun, dass die Aufsichtsbehörde diese „vernünftigen Erwartungen“ der Betroffenen auch aus den Informationen der Datenschutzerklärung des Verantwortlichen ableitet. Diese Ansicht ist meines Erachtens zutreffend und aus Sicht der Praxis zu begrüßen. Denn ErwG 47 DSGVO nimmt hinsichtlich der Quelle bzw. des Ursprungs der „vernünftigen Erwartungen“ der Betroffenen keine Einschränkungen vor – die Erwartungen können sich also aus allen möglichen Informationsquellen ergeben, wie Werbung, Produktinformationen oder eben auch Datenschutzhinweisen.

Hierzu die Ansicht der DSB: „Wie den Feststellungen zu entnehmen ist, informiert die Beschwerdegegnerin ihre Kunden in transparenter Weise in ihrer Datenschutzerklärung sowie im Handbuch für Reisen mit den N*** in Österreich. Folglich hat die Beschwerdeführerin damit zu rechnen, dass bei Benützung von Personenverkehrszügen der Beschwerdegegnerin ihre Jahreskarte elektronisch validiert wird.

Abweichend die deutschen Aufsichtsbehörden

Die Ansicht der DSB ist vor allem deswegen interessant, weil unsere deutschen Aufsichtsbehörden zu den „vernünftigen Erwartungen“ eine strengere Ansicht vertreten (zumindest in jüngerer Vergangenheit). In der Orientierungshilfe der DSK zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung aus 2022 gehen die deutschen Behörden davon aus, dass Pflichtinformationen in Datenschutzhinweisen die Erwartungen der Betroffenen nicht erweitern könnten (S. 4):

Die Erwartungen der betroffenen Person können dabei nicht durch die nach der DS-GVO vorgesehenen Pflichtinformationen (Art. 13, 14 DS-GVO) erweitert werden.“

Ich fand diese Ansicht schon immer diskutabel, da, wie gesagt, ErwG 47 DSGVO gar keine Einschränkungen zu den vernünftigen Erwägungen vornimmt. Interessant ist, dass auch die DSK dies einmal so wie die österreichische DSB gesehen hat. Im Kurzpapier Nr. 3 (Verarbeitung personenbezogener Daten für Werbung, 2018) geben die deutschen Behörden nämlich an:

Die vernünftigen Erwartungen der betroffenen Person werden bei Maßnahmen zur werblichen Ansprache maßgebend durch die Informationen nach Art. 13, 14 DS-GVO zu den Zwecken der Datenverarbeitung bestimmt werden.“