Author Archives: Carlo Piltz

Europäischer Datenschutzbeauftragter: Internationaler Datentransfer auf Basis eines im Interesse der betroffenen Person geschlossenen Vertrags

Posted on by

In seinem neuesten Newsletter berichtet der EDPS über die Beratungsanfrage einer Bibliothek. Es ging dort unter anderem auch um die Frage, auf welcher Rechtsgrundlage die Daten von Abonnenten an Verlage in Drittländern außerhalb der EU übermittelt werden dürfen. Die Verlage hatten, für den Zugang zu ihren Werken, Verträge mit der Bibliothek abgeschlossen.

Bislang verlangte die Bibliothek für die Datenübermittlung an die Verlage in Drittländern eine Einwilligung der Betroffenen. Der EDPS vertrat jedoch eine andere Auffassung. Nach seiner Ansicht kann sich die Bibliothek, als Verantwortlicher, in diesem Fall auf die Ausnahmeregelung des Art. 50 Abs. 1 lit. c der Verordnung 2018/1725 berufen. Die Begründung des EDPS:

„…weil die Übermittlung von Abonnentendaten an Verlage außerhalb des EWR für den Zugang zu Veröffentlichungen mit Sitz außerhalb der EU/des EWR erforderlich ist.“

Zwar gilt die Verordnung 2018/1725 nur für die öffentliche Stellen der EU. Die entscheidende Vorschrift findet sich aber ebenso auch in der DSGVO, in Art. 49 Abs. 1 lit. c DSGVO: „die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich“.

Die Aufsichtsbehörde geht also davon aus, dass in diesem Fall die Datenübermittlung auf den Vertrag zwischen der Bibliothek und dem Verlag im Drittland gestützt werden darf. Dieser Fall ist eines der sehr seltenen Beispiele, wann eine Aufsichtsbehörde tatsächlich einmal diese Ausnahmevorschrift für anwendbar hält. Die Erwägungen der Behörde lassen sich sicher auch auf den Anwendungsbereich der DSGVO, also insbesondere privatwirtschaftliche Bibliotheken und Verlage übertragen.

Einhaltung des Grundsatzes der Rechenschaftspflicht nach der DSGVO – weitere Hinweise des Europäischen Datenschutzausschusses

Posted on by

In der Praxis führt der Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO häufig zu der Frage, wie Unternehmen die Anforderungen erfüllen können. Denn die rechtliche Anforderung ist sehr weit gefasst und vage: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Wie der Nachweis konkret erfolgen soll bzw. kann, wird nicht spezifiziert.

Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien zu „Dark Patterns“ (Leitlinien 3/2022, PDF) einige Präzisierungen zur Frage der Umsetzung dieser Verpflichtung vorgenommen (Rz. 11). Der EDSA stellt fest (inoffizielle Übersetzung):

  • Die Benutzeroberfläche und die User Journey können als Dokumentationsinstrument verwendet werden, um nachzuweisen, dass die Nutzer bei ihren Handlungen auf der Social-Media-Plattform die Datenschutzinformationen gelesen und berücksichtigt haben, dass sie ihre Einwilligung frei gegeben haben, dass sie ihre Rechte problemlos wahrgenommen haben, usw.
  • Qualitative und quantitative Nutzerforschungsmethoden wie A/B-Tests, Eye-Tracking oder Nutzerinterviews, ihre Ergebnisse und ihre Analyse können ebenfalls zum Nachweis der Einhaltung der Vorschriften verwendet werden.
  • Wenn die Nutzer beispielsweise ein Kästchen ankreuzen oder eine von mehreren Datenschutzoptionen anklicken müssen, können Screenshots der Schnittstellen dazu dienen, den Weg der Nutzer durch die Datenschutzinformationen zu zeigen und zu erklären, wie die Nutzer eine informierte Entscheidung treffen.

Die Hinweise des EDSA zeigen, dass man bei der Erfüllung der Rechenschaftspflicht durchaus kreativ sein kann und auch Prozesse bzw. Dokumentation relevant ist, die ohnehin, etwa im Rahmen der Produktentwicklung, genutzt werden. Spannend ist sicherlich, ob der EDSA mit diesen Hinweisen gleichzeitig auch ein Tracking als zulässig ansehen würde, welches das Verhalten der Nutzer in Bezug auf die Interaktion mit Datenschutzhinweisen oder z.B. Datenschutzeinstellungen erfasst und auswertet. In diesem Fall kann man sicher argumentieren, dass hierfür keine Einwilligung nach § 25 Abs. 1 TTDSG erforderlich ist, sondern eine Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG. Zur Erfüllung rechtlicher Pflichten aus der DSGVO.

Hamburger Datenschutzbehörde: Bußgeld bei mangelhaft durchgeführten Asset Deal

Posted on by

Die Hamburger Datenschutzbehörde hat jüngst ihren Tätigkeitsbericht für das Jahr 2021 veröffentlicht (PDF). Dort berichtet die Behörde (ab S. 70) auch über zwei Bußgelder gegen Unternehmen, weil Widersprüche von Kunden im Rahmen eines Asset Deals (fehlerhaft) nicht beachtet wurden.

Hintergrund der Ordnungswidrigkeitenverfahren war die Ausgliederung der Heizenergiesparte eines Energieversorgers und die anschließende Veräußerung der ausgegliederten Sparte. Hierbei sollten Kunden (mit ihren Verträgen) auf das kaufende Unternehmen übergehen. Die Kunden, die von dem Übergang betroffen waren, wurden über die Vertragsübergänge ihrer Strombelieferungsverträge informiert und ihnen wurde ein Widerspruchsrecht eingeräumt.

Rechtsgrundlage: Interessenabwägung

Relevant ist zunächst, dass die Aufsichtsbehörde hier nicht etwa das wohl durchgeführte Widerspruchs-Modell an sich kritisiert. Nach Ansicht der DSK in ihrem Beschluss aus dem Jahr 2019 zum Thema „Asset Deal“ (PDF), bedarf es beim Übergang von Daten in laufenden Vertragsbeziehungen einer „datenschutzrechtlichen Zustimmung“, die aber in der zivilrechtlichen Genehmigung als Minus enthalten sei. Gleichzeitig werden die Fallgruppen im Beschluss der DSK aber alle unter dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO (also der Interessenabwägung) diskutiert. In der Vergangenheit wurde daher diskutiert, was die DSK hiermit konkret meint. Ob nun eine Einwilligung erforderlich ist oder eine Interessenabwägung ebenfalls möglich erscheint. Die Informationen der Hamburger Behörde scheinen deutlich zu machen, dass es keiner datenschutzrechtlichen Einwilligung bedarf, sondern dass die Übermittlung von Daten der Kunden auf der Grundlage von einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erfolgen kann.

Fehler: Datenübermittlung trotz Widerspruch

In dem Verfahren aus Hamburg, sollten im Falle eines erklärten Widerspruchs keine personenbezogenen Daten der Kunden an das neue Unternehmen übermittelt werden. Natürlich schlug dann die Realität zu. Trotz ordnungsgemäß erklärtem Widerspruch von Kunden kam es in einem gewissen Ausmaß dennoch zur Migration von Strombelieferungsverträgen auf den Erwerber der Heizenergiesparte.

„Dadurch waren Kundendaten auch in den Fällen an das neue Unternehmen übermittelt, in denen die Betroffenen ordnungsgemäß einen entsprechenden Widerspruch erklärt hatten“.

Hintergrund dessen waren nach Angabe der Aufsichtsbehörde Fehler bei der Verarbeitung der Widersprüche durch den eingesetzten Auftragsverarbeiter des veräußernden Unternehmens.

Die Aufsichtsbehörde benennt nicht konkret den DSGVO-Verstoß. Jedoch kann man vermuten, dass wohl von einer unzulässigen Übermittlung der Daten ausgegangen wurde, also ein Verstoß gegen Art. 6 Abs. 1 DSGVO oder eine Nichtbeachtung des Widerspruchs, also ein Verstoß gegen Art. 21 Abs. 1 DSGVO vorlag.  

Die Aufsichtsbehörde verhängt nach den Angaben im Tätigkeitsbericht zwei Bußgelder in Höhe von je 12.500 EUR. Im Bericht heißt es: „Aufgrund der Vielzahl der Verstöße war es angezeigt, Bußgeldverfahren gegen die Unternehmen einzuleiten“. Ich vermute, dass die Behörde hier also sowohl ein Bußgeld gegen den Verkäufer als auch gegen das erwerbende Unternehmen verhängt hat.

Fazit

Asset Deals sind in der Praxis bei der Übernahme von Kunden(verträgen) immer auch mit datenschutzrechtlichen Fragen verbunden. Der Fall aus Hamburg zeigt gut, dass der Datenschutz hier nicht unüberwindbare Hürden aufstellt. Dennoch ist bei der Umsetzung besonders darauf zu achten, dass personenbezogene Daten nicht aus Versehen oder fehlerhaft übermittelt werden. Daher sind auch Konstellationen, in denen zB zunächst einmal alle Kundendaten an ein erwerbendes Unternehmen übermittelt werden und man dann die widersprechenden Kunden aussortiert, kritisch zu sehen.

VG Düsseldorf: Kein DSGVO-Auskunftsanspruch in Bezug auf Mitarbeitergesprächsprotokolle von Kollegen

Posted on by

Das Verwaltungsgericht (VG) Düsseldorf hat mit Urteil vom 7.3.2022 (Az 26 K 406/19) zu der Frage entschieden, ob im Rahmen eines Auskunftsanspruchs nach Art. 15 DSGVO auch das Protokoll eines Mitarbeitergesprächs herauszugeben ist, in dem sich eine Arbeitskollegin kritisch über die Klägerin äußerte und ihr unter anderem vorwarf, Drohungen gegenüber Mitarbeitern auszusprechen.

Sachverhalt

Die Klägerin war als Fallmanagerin (Arbeitsvermittlerin) dem Beklagten zu 2 zugewiesen. Dort fand ein Personalgespräch statt, in dem ihr unangemessenes Verhalten gegenüber einer Mitarbeiterin vorgehalten wurde. Diese Mitarbeiterin habe in ihrem Mitarbeitergespräch im April 2017 geäußert, sie – die Klägerin – sei eine polarisierende und spaltende Kraft und agiere gegen die Teamleitung. Sie – die Klägerin – habe zum Nachteil der anderen Mitarbeiterin auch eine Drohung ausgesprochen.

Die Klägerin bewarb sich danach bei der Beklagten zu 1. Im Zuge des Bewerbungsverfahrens forderte die Beklagte zu 1. beim Beklagten zu 2. eine anlassbezogene dienstliche Beurteilung an. In dieser wurde u.a. festgehalten, dass es vereinzelt mit wenigen Mitarbeitern im Team zu immer wiederkehrenden Meinungsverschiedenheiten gekommen sei. Die dienstliche Beurteilung wurde gegenüber der Klägerin nicht eröffnet. Die ausgeschriebene Stelle wurde anderweitig vergeben.

Zuletzt beantragte die Klägerin noch, den Beklagten zu 2. zu verurteilen, ihr das Protokoll des Mitarbeitergesprächs der Kollegin aus April 2017 herauszugeben.

Entscheidung

Das VG wies die Klage als unbegründet ab.

Zunächst geht das VG davon aus, dass § 86 LBG NRW (Auskunftsrecht) vorliegend nicht auf das Protokoll des Mitarbeitergesprächs der Arbeitskollegin anwendbar ist. Diese Norm sei im vorliegenden Fall nicht einschlägig, soweit das von der Klägerin begehrte Dokument nicht Teil der eigenen Personalakte ist. Denn das streitbefangene Mitarbeiterprotokoll beziehe sich auf die dienstrechtlichen Beziehungen zwischen der Kollegin und dem Beklagten zu 2.

Der Beklagte zu 2. habe zudem entsprechend der bis 24. Mai 2018 geltenden Rechtslage Auskunft erteilt. Dort enthalten war auch das die Klägerin betreffende Protokoll über ihr eigenes Mitarbeitergespräch, welches die wesentlichen Angaben über die Vorwürfe aus dem Gespräch der Kollegin enthielt.

Art. 15 DSGVO trete, als allgemeine Norm, die ein Auskunftsrecht bei der Verarbeitung personenbezogener Daten vorsieht, gegenüber der Spezialregelung im LBG NRW bereits aus systematischen Gründen zurück (§ 5 Abs. 6 DSG NRW).

Jedoch nutzt das VG dennoch die Gelegenheit, sich zu der Ausnahmeregelung des Art. 15 Abs. 4 DSGVO in dem konkreten Fall zu äußern.

Art. 15 Abs. 4 DSGVO schränke das Recht auf Erhalt einer Kopie ein, wenn Rechte und Freiheiten anderer Personen beeinträchtigt werden. Das sei hier der Fall, da eine Kopie des Protokolls über das Mitarbeitergespräch vom April 2017 an die Klägerin herausgegeben werden würde.

Über ihre eigenen personenbezogenen Daten würde der Klägerin (als Betroffene) dann Einblick auch in solche personenbezogenen Daten ermöglicht werden, die ihre Kollegin oder weitere Personen betreffen.

Im Rahmen einer Abwägung aller Interessen ist ein solcher Eingriff nicht zu rechtfertigen, weil die Klägerin – wie bereits dargestellt – in anderer geeigneter Weise über die sie betreffenden personenbezogenen Daten informiert worden ist“.

Fazit

Die Ausführungen des VG sind recht kurz. Dennoch scheint das VG durchblicken zu lassen, dass Art. 15 DSGVO seiner Ansicht nach zum einen nicht dazu dient, personenbezogene Daten über andere Personen (hier der Arbeitskollegin und ihren Aussagen) zu erhalten. Zum anderen sieht das VG im konkreten Fall wohl auch die Rechte und Freiheiten der anderen Betroffenen beeinträchtigt, wenn deren Daten, in der Form von Gesprächsprotokollen, im Original herausgegeben würden. Das VG äußert sich nicht zu der Möglichkeit, ob eine geschwärzte Version des Protokolls zur Verfügung gestellt werden könnte.

Bayerischer Verwaltungsgerichtshof: Datenschutz in der Lieferkette – Verantwortlicher muss DSGVO-Konformität von eingekauften Produkten sicherstellen

Posted on by

Der Bayerische Verwaltungsgerichtshof hat eine, wie ich finde, abstrakt relevante Ansicht zu den datenschutzrechtlichen Anforderungen an Produkte, über die personenbezogene Daten verarbeitet werden, geäußert (Beschluss v. 07.03.2022 – 4 CS 21.2254). Der VGH geht davon aus, dass eine datenverarbeitende Stelle als datenschutzrechtlich Verantwortlicher verpflichtet ist, sich bei Geräteherstellern zu vergewissern, dass die Produkte die DSGVO einhalten.  

Sachverhalt

In dem Verfahren ging es um die Frage, ob Eigentümer eines Hauses den Austausch analoger Wasserzähler durch elektronische Wasserzähler mit Funkmodul durch die öffentliche Wasserversorgungseinrichtung dulden müssen. Die Hauseigentümer wehrten sich hiergegen, u.a. mit Verweis auf das Datenschutzrecht. Ihrer Ansicht nach verfüge das einzusetzende Gerät über keine Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik und sei daher nicht sicher. Zudem sei die Erhebung von Wassertemperatur und Außentemperatur sowie das permanente Aufzeichnen zahlreicher weiterer Alarmcodes zum ordnungsgemäßen Betrieb der Wasserversorgung nicht erforderlich.

Entscheidung

Der VGH wies die Beschwerde der Eigentümer (gegen eine Entscheidung der Vorinstanz) zurück.

Der VGH geht zunächst davon aus, dass die in einem elektronischen (Funk-)Wasserzähler erfassten Verbrauchsmengen, wenn und soweit sich daraus Rückschlüsse auf das individuelle Verbrauchsverhalten einzelner Personen ziehen lassen, personenbezogene Daten der Bewohner oder sonstigen Nutzer des betreffenden Anwesens darstellen.

Es reiche nach Art. 4 Nr. 1 DSGVO aus, dass eine bestimmte natürliche Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie etwa einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einem besonderen identitätsprägenden Merkmal identifiziert werden kann. Dies sei bei dem Betrieb eines Wasserzählers zumindest dann der Fall, wenn die aufgezeichneten Verbrauchsdaten eine Wohnung oder eine sonstige Gebäudeeinheit betreffen, die von einer einzelnen Person genutzt wird. Aber auch bei gemeinsamer Nutzung durch mehrere Personen lasse sich, wenn der Wasserverbrauch durch einen elektronischen Zähler kontinuierlich aufgezeichnet wird, unter Umständen mit nur geringem Zusatzwissen Rückschlüsse auf die Verbrauchsgewohnheiten Einzelner ziehen,

Die damit einhergehende Datenverarbeitung qualifiziert der VGH als zulässig. Diese ist nach Art. 6 Abs. 1 lit. e DSGVO nur rechtmäßig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist. Die dafür nach Art. 6 Abs. 3 lit. b DSGVO notwendige Rechtsgrundlage habe der Bayerische Gesetzgeber mit der in Art. 24 Abs. 4 Satz 1 GO enthaltenen Sonderregelung zum Einsatz und Betrieb derartiger Wasserzähler geschaffen.

Zudem lehnt der VGH einen Verstoß gegen Vorschriften der DSGVO bzgl. der Sicherheit der Datenverarbeitung (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO) durch den Einsatz der Wasserzähler ab.

Relevant und meines Erachtens zu einem gewissen Grad auch allgemein zu beachten, ist die Ansicht des VGH zu den Anforderungen des Einsatzes von Geräten, über die personenbezogene Daten verarbeitet werden sollen.

Zum einen geht der VGH davon aus, dass der Einsatz der Wasserzähler nicht bereits deshalb datenschutzwidrig sei, weil die Geräte keine Zertifizierung des BSI besäßen.

Der Einsatz elektronischer Verbrauchserfassungsgeräte ist ihnen nicht deshalb verwehrt, weil diese keiner Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik bedürfen“.

Diese Ansicht ist meines Erachtens begrüßenswert und richtig. So ist etwa Art. 32 DSGVO bewusst offen formuliert, um verschiedenste Faktoren bei der Prüfung der Sicherheit der Datenverarbeitung berücksichtigen zu können. Eine Zertifizierung, etwas durch das BSI, kann natürlich positiv berücksichtigt werden. Jedoch entscheidet ein solches Zertifikat nicht zwingend allein über die DSGVO-Konformität eines Produkts.

Danach führt der VGH aus:

Die Wasserversorger sind unabhängig davon für die Einhaltung der allgemeinen Sicherheitsanforderungen nach Art. 5 Abs. 1 Buchst. f, Art. 32 DSGVO verantwortlich. Sie müssen sich daher vor dem Einsatz elektronischer (Funk-) Wasserzähler bei dem Gerätehersteller vergewissern, dass die gespeicherten und übermittelten Daten durch geeignete technisch-organisatorische Maßnahmen ausreichend vor dem Zugriff unberechtigter Dritter geschützt sind (LT-Drs. 17/19804 S. 2).

Das Gericht leitet hier aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO wohl die Pflicht des Verantwortlichen ab, in seiner Liefer- bzw. Einkaufskette zu prüfen, ob die eingekauften Produkte, über die später personenbezogene Daten verarbeitet werden, den Anforderungen der DSGVO genügen. Der VGH ist zwar nicht absolut klar hinsichtlich des Umfangs und der Tiefe der erforderlichen Prüfung. Er spricht aber zumindest davon, dass sich der Verantwortliche als Ausfluss seiner Pflichten aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO davon „vergewissern“ muss, dass die Geräte die datenschutzrechtlichen Vorgaben einhalten.

Fazit

Der VGH spricht in seinem Beschluss eine praxisrelevante Schutzlücke der DSGVO an. Diese verpflichtet nur Verantwortliche und Auftragsverarbeiter. Gerätehersteller und Produzenten, die selbst keine Daten verarbeiten, sondern „nur“ das Werkzeug hierfür bereitstellen, unterfallen nicht der DSGVO, im Sinne einer „Vorfeldpflicht“. Daher hängt es derzeit vor allem an den Abnehmern der Produkte, den Verantwortlichen, die DSGVO-Konformität in die Lieferkette (nach vorne) zu tragen. Etwa durch vertragliche Verpflichtungen und Zusicherungen der Hersteller. ErwG 78 DSGVO umschreibt dieses Problem wie folgt: „… sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

Landgericht Stuttgart: zur Zulässigkeit von Briefwerbung und eine Blacklist für Werbewidersprüche nach der DSGVO

Posted on by

Das LG Stuttgart hat mit Urteil vom 25.02.2022 (Az. 17 O 807/21; derzeit nur bei BeckOnline abrufbar, BeckRS 2022, 4821) einige praxisrelevante Fragen rund um die Brief-/Postwerbung behandelt. Unter anderem ging es um die Zulässigkeit von Postwerbung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO und die Frage, ob eine Speicherung von personenbezogenen Daten auf einer Blacklist, zur Umsetzung von Werbewidersprüchen, möglich ist.

Sachverhalt

Der Kläger macht gegen die Beklagte Ansprüche wegen behaupteter Verletzung seiner Rechte aus der DSGVO geltend. Der Kläger erhielt an seiner Wohnanschrift postalische Werbung für Produkte einer Versicherung. Dies Werbung wurde nicht von der Versicherung direkt, sondern von der Beklagten als Dienstleisterin für Werbetreibende versendet. Der Kläger machte gegenüber der Beklagten von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch und forderte die Beklagte auf, ihm Auskunft zur Verwendung seiner Daten zu erteilen sowie die bei der Beklagten vorhandenen personenbezogenen Daten des Klägers zu löschen.

In der Folge erhob der Kläger außergerichtlich Schadensersatzansprüche wegen Verletzung seiner Rechte aus der DSGVO (Art. 82 DSGVO). Der Kläger ist der Ansicht, dass die Beklagte gegen das Recht auf Löschung seiner Daten nach Art. 17 DSGVO verstoßen habe, nachdem sie diese nicht vollständig gelöscht (Sperrung) habe. Zudem ist der Kläger der Auffassung, dass persönlich adressierte Briefsendungen als Form der Direktwerbung hier nicht zulässig waren. Denn Direktwerbung setze nach Art. 6 Abs. 1 lit. f) DSGVO eine bereits bestehende Kundenbeziehung voraus, weil sie nur dann im berechtigten Interesse des Verantwortlichen liege.

Urteil

Das LG wies die Klage ab. Der Kläger habe gegen die Beklagte wegen der Zusendung der streitgegenständlichen Werbeschreibens keinen Schadensersatzanspruch aus Art. 82 DSGVO, denn es liege kein Verstoß gegen die DSGVO vor. Insbesondere war die Zusendung der Werbeschreiben und die dem zugrunde liegende Verarbeitung seiner Adressdaten rechtmäßig im Sinne von Art. 6 Abs. 1 f) DSGVO.

Rechtsgrundlage, Art. 6 Abs. 1 lit. f) DSGVO

Das Gericht geht davon aus, dass die Beklagte als datenschutzrechtlich Verantwortliche ihre Interessen und die ihres Kunden (eines Dritten) an der Werbemaßnahmen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO anführen kann. Die Verarbeitung der Kontaktdaten war zur Erreichung dieses Interesses auch erforderlich.

Die Beklagte habe

dargelegt, dass Werbebriefe wie der vorliegende ein notwendiges Mittel sind, um einerseits Bestandskunden zu pflegen, andererseits aber auch – wie hier – Neukunden zu gewinnen“.

Zudem überwiegen die Interessen des Klägers nicht die berechtigten Interessen der Beklagten bzw. die Interessen der (Werbe-) Kundin. Das LG stellt hier deutlich heraus, dass die Interessen des Betroffenen überwiegen müssen.

Bei gleichwertigen Interessen („non liquet“) darf eine Verarbeitung also stattfinden

Zudem sehe die DSGVO das Interesse der Wirtschaft an Direktwerbung als schutzwürdig an. Das LG verweist auf ErwG 47. Zwar sei damit noch nicht gesagt, dass jeder Fall der Direktwerbung gerechtfertigt ist. Allerdings lasse sich dem Erwägungsgrund entnehmen, dass die Beklagte und ihre Werbekunden hieran ein berechtigtes Interesse haben, dem gegenüber widerstreitende Interessen des Klägers überwiegen müssen.

Das LG konkretisiert in diesem Zusammenhang, was unter „Direktwerbung“ zu verstehen sei. Unter Direktwerbung im Sinne des Erwägungsgrundes sei

jede unmittelbare Ansprache der betroffenen Person etwa durch Zusendung von Briefen oder Prospekten, durch Telefonanrufe, E-Mails oder Übermittlung von SMS zu verstehen, unabhängig davon, ob zwischen Werbendem und Betroffenem zuvor ein Kundenverhältnis bestanden hat.“

Zudem lehnt das LG die Ansicht des Klägers ab. Der Wortlaut der Vorschrift setze kein bereits bestehendes Kundenverhältnis der Parteien voraus. „Direktwerbung“ betrifft also vor allem auch die Neukundenwerbung.

Zulässigkeit der Datenverarbeitung für Werbewiderspruch

Praxisrelevant ist auch die Ansicht des LG zu der Zulässigkeit der Datenverarbeitung zur Umsetzung eines Werbewiderspruchs. Der Kläger ging hier davon aus, dass die Beklagte zum Umsetzung seines Widerspruchs keine Daten verarbeiten durfte. Auch dieser Ansicht schließt sich das LG nicht an und liefert die passende Rechtsgrundlage.

Soweit die Beklagte die Daten des Klägers noch zum Zwecke der Berücksichtigung des Widerspruchs des Klägers vorhält, ist dies nach Art. 6 Abs. 1 lit. c) DS-GVO gerechtfertigt.

Fazit

Die Entscheidung des LG ist unter mehreren Gesichtspunkten praxisrelevant. Zum einen stärkt sie die grundsätzliche Zulässigkeit von Briefwerbung unter der DSGVO, die 1) ohne Einwilligung und 2) ohne das Erfordernis einer Kundenbeziehung zulässig ist. Zum andern bestätigt das Gericht die vormalige Rechtsprechung des BGH (unter altem BDSG) zur Zulässigkeit der Datenverarbeitung für die Umsetzung eines Werbewiderspruchs. Auf dieser Grundlage dürfte also etwa eine Blacklist geführt werden.

Oberlandesgericht Dresden: Gesetzliche Aufbewahrungspflichten müssen für das einzelne Datum in Dokumenten geprüft werden

Posted on by

In seinem Urteil vom 14.12.2021 (Az 4 U 1278/21) befasst sich das Gericht u.a. mit der Frage, ob nationale Pflichten zur Aufbewahrung von Dokumenten als Rechtsgrundlage für eine weitere Speicherung jeglicher in den Dokumenten enthaltenen Daten dienen können.

Nach Auffassung des Gerichts stellen gesetzliche Aufbewahrungspflichten keine Rechtfertigung dar, um nicht rechtmäßig erhobene Daten dauerhaft speichern zu dürfen.

es ist Aufgabe des Aufbewahrungspflichtigen, seinen Datenbestand so zu organisieren, dass der Zugriff auf rechtswidrig erlangte Daten des Betroffenen nicht möglich ist.“

Konkret befasst sich das Gericht auch mit einer möglichen Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der nationalen Regelung des § 147 AO. Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Die Datenverarbeitung könne zwar erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen.

Die Erlaubnis zur Datenverarbeitung ist jedoch nach Ansicht des OLG auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt. Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen.

Das OLG verweist hier darauf, dass es auf die Form der Korrespondenz nicht ankommt, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind.

Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Nach Ansicht des OLG sind im vorliegenden Fall die Beklagten nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. HIer wird deutlich, dass das Gericht die Löschpflicht (und damit im Gegensatz dazu die legitimierende Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO) datumsbezogen versteht.

Das Gericht betrachtet folglich nicht das Dokument an sich (mit allen dort enthaltenen Daten) und knüpft daran eine mögliche Pflicht zur weiteren Speicherung der enthaltenen Daten. Sondern das Gericht verlangt wohl eine Prüfung der Rechtsgrundlge für jedes in dem Dokument enthaltene Datum.

Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige – und aufbewahrungspflichtige Daten zugreifen kann“.

Dies könne in der Praxis z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen.

Die Entscheidung des Gerichts ist praktisch relevant, da sie datenverarbeitende Stellen vor die Herausforderung stellt, Aufbewahrungspflichten nicht allein anhand von Dokumenten zu prüfen, sondern in dem Dokument jedes Datum näher zu betrachten und ggfs. entsprechene Maßnahmen zur Löschung, zB als Schwärzung, zu ergreifen.

§ 25 TTDSG – wem gegenüber ist eigentlich eine Einwilligung für Cookies zu erteilen?

Posted on by

Über das neue TTDSG und dort den § 25 TTDSG, habe ich schon einige Male berichtet. Heute möchte ich eine zunächst simpel anmutende Frage aufwerfen, die bei näherer Betrachtung eventuell nicht so einfach zu beantworten ist: wem gegenüber (also welcher Stelle) ist eine Einwilligung nach § 25 Abs. 1 TTDSG zu erteilen?

Man könnte meinen, dass das doch der Verantwortliche nach der DSGVO sein muss. Ganz klar. Vorab: es existieren verschiedenste Auslegungsmöglichkeiten. Und meines Erachtens ist es nicht zwingend der Verantwortliche nach der DSGVO.

Gesetzeswortlaut

Zunächst hilft natürlich (vermeintlich) immer der Blick ins Gesetz. § 25 Abs. 1 TTDSG lautet: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen“.

Die europäische Grundlage, Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie, lautet: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

Beim Lesen beider Vorschriften wird deutlich: es wird nicht spezifiziert, wem gegenüber die Einwilligung zu erteilen ist. Ich meine hier nicht (nur) die faktische Abgabe gegenüber einer Stelle, sondern die legitimierende Zielrichtung der Einwilligung. Welche Stelle muss also im Einwilligungstext stehen und sich auf die Wirkung der Einwilligung berufen, damit sie auf das Endgerät zugreifen kann?

Planet49-Verfahren

Sowohl in den Schlussanträgen als auch im Urteil des EuGH in der Rechtssache C-673/17 wird oft auf den „Diensteanbieter“ abgestellt.

Schlussanträge, etwa Rz. 111: „Mit der zweiten Frage möchte das vorlegende Gericht wissen, welche Informationen der Diensteanbieter im Rahmen des Erfordernisses in Art. 5 Abs. 3 der Richtlinie 2002/58, dass der Nutzer klare und umfassende Informationen erhalten muss, zu erteilen hat und ob hierzu auch die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten.“ und Rz. 117: „Wie sich aus den Erwägungsgründen 23 und 26 der Richtlinie 2002/58 ergibt, ist die Funktionsdauer der Cookies ein Bestandteil des Erfordernisses einer Einwilligung in Kenntnis der Sachlage, was bedeutet, dass die Diensteanbieter „die Teilnehmer stets darüber auf dem Laufenden halten [sollen], welche Art von Daten sie verarbeiten und für welche Zwecke und wie lange das geschieht“.“.

Urteil, etwa Rz. 81: „Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 3 der Richtlinie 2002/58 dahin auszulegen ist, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“.

Der Begriff „Diensteanbeiter“ wird in Art. 5 Abs. 3 ePrivacy-Richtlinie aber nicht verwendet. Auch findet sich in der RL 2002/58/EG keine Definition dieses Begriffs. Ich vermute eher, dass sowohl der Generalanwalt als auch der EuGH hier die Begrifflichkeiten der damaligen Vorschriften des TMG (insb. aus § 15 Abs. 3 TMG) aus den Vorlagefragen des BGH übernommen haben. Dort war vom „Diensteanbieter“ die Rede.

Legt man diesen Begriff als Einwilligungsadressaten fest (wie gesagt, ohne, dass sich dies aus dem Wortlaut von Art. 5 Abs. 3 ePrivacy-Richtlinie ergibt), so müsste man sich an der Legaldefinition des § 2 Nr. 1 TMG orientieren, der wiederum eine Umsetzung von Art. 2 lit. b der eCommerce-Richtlinie (2000/31/EG) darstellt. „Diensteanbieter“ ist danach jede natürliche oder juristische Person, die einen Dienst der Informationsgesellschaft anbietet.

Folgt man diesem Weg, würde dies aber bedeuten, dass eine Einwilligung eventuell dem Betreiber einer Webseite gegenüber erteilt werden muss, obwohl dieser selbst gar keine Cookies, Tags oder ähnliches einsetzt, sondern dies durch Dritte auf der Webseite durchgeführt wird. Er es diesen Dritten also „nur“ erlaubt. Die Konsequenz wäre dann, dass Nutzer diesen Dritten gegenüber keine Einwilligung erteilen müssten/könnten, sondern dem Betreiber der Webseite. Im Ergebnis erscheint dies aber wenig sinnvoll, da der Webseitenbetreiber, wenn er das Cookie nicht selbst setzt und den Zugriff auf das Endgerät nicht steuert, keine Einwirkungsmöglichkeit auf das Tracking hat, außer dieses technisch komplett zu unterbinden, indem er den Dritten „aussperrt“. Zudem spricht gegen diese Auslegung schlicht der Wortlaut von Art. 5 Abs. 3 ePrivacy-Richtlinie.

EDSA und alte Art. 29 Datenschutzgruppe

In der Vergangenheit haben sich bereits der EDSA und auch die Art. 29 Datenschutzgruppe mit der Frage befasst, für wen die Vorgaben des Art. 5 Abs. 3 ePrivacy-Richtlinie gelten; welche Stellen sie also verpflichten.

In seiner Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO geht der EDSA wohl von einem weiten Anwendungsbereich der Vorschrift aus. Dort heißt es in Rz. 28: „Im Lichte dieser Zielsetzung gelten Artikel 5 Absatz 3 und Artikel 13 der e-Datenschutz-Richtlinie für Anbieter elektronischer Kommunikationsdienste wie auch für Betreiber von Websites (z. B. für Cookies) oder andere Unternehmen (z. B. für Direktmarketing)“. Die Öffnung erfolgt am Ende durch „oder andere Unternehmen“. Der EDSA begrenzt den Adressatenkreis des Art. 5 Abs. 3 ePrivacy-Richtlinie ausdrücklich nur auf Betreiber einer Webseite.

Noch deutlicher war hier in der Vergangenheit die Art. 29 Datenschutzgruppe. In der Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting führen die Aufsichtsbehörden auf S. 11 aus: „Darüber hinaus findet Artikel 5 Absatz 3 unabhängig davon Anwendung, ob es sich bei der das Cookie platzierenden Stelle um einen für die Verarbeitung Verantwortlichen oder um einen Auftragsverarbeiter handelt“. Diese Ansicht ist meines Erachtens zutreffen. Zum einen kennt die ePrivacy-Richtlinie nicht die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“. Zum anderen dient Art. 5 Abs. 3 ePrivacy-richtlinie auch nicht dem Schutz personenbezogener Daten (deren Verarbeitung aber zwingend notwendig ist, damit etwa ein Verantwortlicher nach der alten DS-RL oder jetzt der DSGVO existiert). Diese Auslegungen sind also eher weit und beschränken sich vor allem nicht allein auf einen „Diensteanbieter“ oder Betreiber einer Webseite. Ganz deutlich wird dies auf S. 13 der Stellungnahme 2/2010: „die Verpflichtungen gemäß Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation finden auf diejenigen Anwendung, die Cookies auf den Endgeräten der betroffenen Personen platzieren und/oder Informationen von Cookies abrufen, die bereits auf diesen Geräten gespeichert sind“. Die Art. 29 Datenschutzgruppe folgt hier einem faktischen Ansatz: diejenige Stelle, die auf Informationen zugreift oder Informationen ablegt ist nach Art. 5 Abs. 3 ePrivacy-Richtlinie verpflichtet. Ihr gegenüber muss die Einwilligung Wirkung entfalten.

Orientierungshilfen der DSK und des BayLfD

Spannend sind zudem noch die jüngsten Ansichten der deutschen Behörden.

Auf S. 4 der Orientierungshilfe der DSK aus Dezember 2021 heißt es: „Adressaten des TTDSG sind neben den Anbieter:innen von Telekommunikationsdiensten vor allem Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG“. Und speziell zur Einwilligung nach § 25 Abs. 1 TTDSG auf S. 19: „Die Verantwortlichkeit für die Wirksamkeit der eingeholten Einwilligungen verbleibt bei den jeweiligen Anbieter:innen des Telemedienangebotes“. Die DSK scheint also, durchaus entsprechend der nationalen Vorgabe und Definition des Begriffs im TTDSG, eine einschränkende Auslegung vorzunehmen. Verantwortlich soll der Anbieter des Telemedienangebots sein. Diese Auslegung dürfte für das TTDSG rein national nachvollziehbar sein. Die Frage ist aber, ob sie europarechtlich zwingend und vor allem mit Art. 5 Abs. 3 ePrivacy-Richltinie konform ist. Denn stellt man allein auf den Anbieter des Telemedienangebots ab, würde man (etwa anders als die damalige Art. 29 Gruppe) solche Stellen ausschließen, dass das Telemedien nicht anbieten, aber dennoch auf diesem Cookies setzen oder anderes Tracking durchführen.

Oder anders ausgedrückt und mE für die Praxis extrem relevant: soll das bedeuten, dass der App- oder Webseiten-Betreiber dafür verantwortlich ist, dass ihm und/oder dem das Cookie platzierenden Dritten gegenüber eine wirksame Einwilligung abgegeben wird, obwohl er nicht die Stelle ist, die im Sinne des Art. 5 Abs. 3 ePrivacy-Richtlinie auf Informationen zugreift oder solche im Endgerät ablegt?

Und zum Abschluss möchte ich dann auf die, meines Erachtens eventuell im Ergebnis nicht unbedingt zur DSK abweichende, aber doch schon inhaltlich deutlichere Ansicht des BayLfD in seiner neuen Orientierungshilfe zum TTDSG eingehen. Dort heißt es in Rz. 24: „Folgerichtig ist auch der Adressatenkreis der durch die Endnutzerin oder den Endnutzer erteilten Einwilligungen beziehungsweise der Ausnahmen von der Einwilligungspflicht nach § 25 Abs. 2 TTDSG nicht auf die Telemedienanbieterinnen und Telemedienanbieter beschränkt, deren Dienste die Endnutzerin oder der Endnutzer unmittelbar in Anspruch nimmt“. Ja, richtig: „nicht auf die Telemedienanbieterinnen und Telemedienanbieter beschränkt“! Das scheint mit eine andere Auslegung, als jene der DSK. Nämlich eher im Sinne des Wortlauts von Art. 5 Abs. 3 ePrivacy-Richtlinie. Der BayLfD gesetht in Rz. 25 aber auch zu, dass faktisch Telemedienanbieter die Hauptadressaten der Norm (§ 25 TTDSG) sind.

Fazit

Ich habe hier nur auszugsweise einige Quellen und Materialien kurz zusammengefasst. Allein auf dieser Basis zeigt sich bereits das Spektrum an Auslegungen. Die Frage, wem gegenüber inhaltlich die Einwilligung nach § 25 TTDSG zu erteilen ist, hat in der Praxis aus meiner Sicht aber extreme Relevanz. Allein wenn man an die Gestaltung von Cookie-Bannern oder ein CMP denkt. Sind wir gespannt, wie sich die Anwendung in der Praxis entwickelt.

Französische Datenschutzbehörde: Empfehlungen für die Bearbeitung von Auskunftsansprüchen nach Art. 15 DSGVO im Arbeitsverhältnis – speziell zu beruflichen E-Mails

Posted on by

Die Geltendmachung von Art. 15 DSGVO hat insbesondere im Bereich des Arbeitsverhältnisses Hochkonjunktur. Vor allem in Situationen, in denen es nicht (mehr) so funktioniert oder ein Kündigungsschutzprozess läuft.

In der Literatur und Rechtsprechung gibt es einige Diskussionen zu der Frage, wie in diesem Fall Art. 15 DSGVO auszulegen und anzuwenden ist.

Die französische Datenschutzbehörde (CNIL) hat nun auf ihrer Webseite (bisher nur auf Französisch) Empfehlungen ausgesprochen und ihre Ansicht dargelegt, wie mit Auskunftsansprüchen im Arbeitsverhältnis umzugehen ist („Das Recht der Arbeitnehmer auf Auskunft zu ihren Daten und beruflichen E-Mails“). Interessant an der Veröffentlichung ist, dass sich die CNIL speziell auch mit der Frage der Herausgabe von beruflichen E-Mails befasst.

Nachfolgend möchte ich einige Aussagen der CNIL darstellen (aus dem Französischen per deepl übersetzt).

Identitätsfeststellung

Der Verantwortliche muss sich über die Identität des Antragstellers vergewissern. Wenn begründete Zweifel an der Identität der Person bestehen, die ihr Recht ausüben möchte, kann der Verantwortliche Informationen anfordern, um die Identität der Person zu verifizieren. Jedoch, so die CNIL, dürfen keine Nachweise verlangt werden, die missbräuchlich, irrelevant und im Verhältnis zum Antrag unverhältnismäßig wären.

Beispiele:

Wenn ein Arbeitnehmer von seinem Arbeitgeber über seine geschäftliche E-Mail oder das Intranet des Unternehmens Auskunft zu den über ihn gespeicherten personenbezogenen Daten und deren Offenlegung verlangt, ist die Vorlage eines Personalausweises oder eines Reisepasses a priori nicht erforderlich, um die Identität des Antragstellers sicherzustellen.

Ein ehemaliger Arbeitnehmer könne seine Identität grundsätzlich z.B. durch die Nennung seiner früheren Mitarbeiter-ID nachweisen.

Das Recht auf Auskunft bezieht sich auf personenbezogene Daten und nicht auf Dokumente

Das Recht auf Auskunft bezieht sich nach Ansicht der CNIL nur auf personenbezogene Daten und nicht auf Dokumente: „Eine Person kann also nicht aufgrund des Rechts auf Auskunft die Herausgabe eines Dokuments verlangen“. Es steht dem Verantwortlichen jedoch frei, Dokumente statt nur Daten herauszugeben, wenn er der Meinung ist, dass dies praktischer ist.

Beispiel: Wenn eine betroffene Person ihr Recht auf Auskunft zu E-Mails ausüben möchte, muss der Arbeitgeber sowohl die Metadaten (Zeitstempel, Empfänger …) als auch den Inhalt der E-Mails zur Verfügung stellen. In dieser Situation scheint die Bereitstellung einer Kopie der E-Mails die einfachste Lösung für die Organisation zu sein, um dem Antrag nachzukommen, ist aber nicht zwingend erforderlich.

Wie antwortet man einem Arbeitnehmer, der Zugang zu dienstlichen E-Mails oder eine Kopie davon erhalten möchte?

Nach Ansicht der CNIL muss der Arbeitgeber im Fall eines Auskunftsersuchens auf Zugang zu dienstlichen E-Mails die Beeinträchtigung der Rechte Dritter durch diese Anfrage bewerten. Er muss also eine Auswahl treffen zwischen Nachrichten, die weitergegeben werden dürfen, und solchen, die nicht weitergegeben werden dürfen.

Die CNIL schlägt vor, dass Arbeitgeber zwischen zwei Situationen unterscheiden, je nachdem, ob der antragstellende Arbeitnehmer 1) der Absender oder der Empfänger der E-Mails ist/war oder 2) nur im Inhalt der E-Mails erwähnt wird. Die CNIL nimmt diese Trennung vor allem mit Blick auf die Ausnahme nach Art. 15 Abs. 4 DSGVO (Beeinträchtigung der Rechte anderer Personen) vor.

Zu 1)

Wenn der Arbeitnehmer bereits Kenntnis von den Informationen in den Nachrichten, auf die sich der Antrag bezieht, hatte oder davon ausgegangen werden kann, dass er davon Kenntnis hat, geht die CNIL davon aus, dass die Weitergabe der E-Mails die Rechte Dritter respektiert und nicht die Ausnahme nach Art. 15 Abs. 4 DSGVO greift.

In diesem Zusammenhang ist die Anonymisierung oder Pseudonymisierung von Daten Dritter zwar empfehlenswert, jedoch nach Ansicht der CNIL keine Vorbedingung für die Übermittlung von E-Mails.

In Ausnahmefällen kann der Zugang zu oder die Weitergabe von E-Mails, die dem Antragsteller schon bekannt sind, jedoch ein Risiko für die Rechte Dritter darstellen, z. B. aufgrund der Art der Daten, die weitergegeben werden könnten. Dann muss der Arbeitgeber zunächst versuchen, Daten, die Dritte betreffen oder ein Geheimnis verletzen, zu löschen, zu anonymisieren oder zu pseudonymisieren, um dem Antrag stattgeben zu können. Wenn sich diese Maßnahmen als unzureichend erweisen, darf der Arbeitgeber den Antrag auf Auskunft verweigern, wobei er seine Entscheidung gegenüber der betroffenen Person begründen und rechtfertigen muss.

Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Herausgabe von E-Mails mit Informationen, die die nationale Sicherheit oder ein Betriebsgeheimnis verletzen würden, stattzugeben. Diese Argumente können vom Arbeitgeber aber nicht ohne eine Begründung gegenüber dem Antragsteller geltend gemacht werden.

Zu 2)

Wenn ein Arbeitnehmer die Herausgabe von Informationen aus E-Mails, in denen er erwähnt wird, erhalten möchte, muss der Arbeitgeber nach Ansicht der CNIL ein Gleichgewicht zwischen der Befriedigung des Auskunftsrechts des Arbeitnehmers und der Achtung der Rechte und Freiheiten anderer Arbeitnehmer, insbesondere mit Blick auf das Fernmeldegeheimnis, finden.

Die CNIL empfiehlt, in zwei Schritten vorgehen:

Schritt 1: Zunächst vergewissert sich der Arbeitgeber, dass die Mittel, die zur Identifizierung der angeforderten E-Mails eingesetzt werden müssen, nicht zu einem unverhältnismäßigen Eingriff in die Rechte aller Arbeitnehmer der Organisation führen.

Wenn die Identifizierung der E-Mails, auf die sich der Antrag bezieht, den Einsatz besonders einschneidender Mittel voraussetzt, wie z. B. das Scannen sämtlicher E-Mail-Nachrichten der Beschäftigten der Organisation, muss der Antragsteller aufgefordert werden, seinen Antrag zu präzisieren. Wenn er sich dagegen wehrt, kann sich der Arbeitgeber in einer solchen Situation auf die Achtung der Rechte Dritter berufen, um ihm eine positive Antwort zu verweigern.

Wenn die Angaben des Antragstellers es ermöglichen, die angeforderten E-Mails zu identifizieren, ohne das Fernmeldegeheimnis der Arbeitnehmer unverhältnismäßig zu verletzen, muss der für die Verarbeitung Verantwortliche den zweiten Schritt durchführen.

Schritt 2:

Der Verantwortliche untersucht den Inhalt der angeforderten E-Mails und beurteilt das Ausmaß der Beeinträchtigung der Rechte Dritter durch ihre Übermittlung, insbesondere im Hinblick auf das Fernmeldegeheimnis und das Privatleben des Absenders und der Empfänger. Dieser Schritt setzt eine Einzelfallanalyse voraus, da das Ergebnis von der Art der in den E-Mails enthaltenen Informationen abhängt.

Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Übermittlung von E-Mails stattzugeben, die sich auf eine Disziplinaruntersuchung beziehen und deren Inhalt, selbst wenn er geschwärzt ist, dem Antragsteller die Identifizierung von Personen ermöglichen könnte, von denen er keine Kenntnis haben sollte.

Fazit

Die Empfehlungen der CNIL stellen eine gute Unterstützung und Argumentationshilfe für die Praxis dar. Zwar dürften die Vorgaben der CNIL in der Praxis zu einem gewissen Aufwand auf Seiten der Arbeitgeber führen. Andererseits ist zu beachten, dass man sich im Bereich einer Ausnahme von einem Betroffenenrecht befindet und daher ein gewisser Begründungsaufwand unausweichlich ist. Andere Möglichkeit: man schließt berufliche E-Mails per se vom Anwendungsbereich des Art. 15 DSGVO aus. Auch das ist aber natürlich sehr umstritten.

Cookie-Einwilligung: Ist die Information, dass Dritte keinen (!) Zugriff auf Cookies haben, zwingend erforderlich?

Posted on by

Nach § 25 Abs. 1 TTDSG sind die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. (Hervorhebung durch mich)

Diese Information des Endnutzers und die Einwilligung haben gemäß Satz 2 nach der DSGVO zu erfolgen.

Wenn nun Unternehmen darüber nachdenken, ihre Produkte, Apps und Webseiten diesen Vorgaben anzupassen, wird sich unweigerlich die Frage stellen, welche „umfassenden Informationen“ hier zu erteilen sind?

Da § 25 TTDSG auf Art. 5 Abs. 3 ePrivacy-Richtlinie beruht, lohnt sich natürlich ein Blick in die Rechtsprechung des EuGH zu dieser Vorschrift. In Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie ist geregelt: „… wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

In dem Planet49 Verfahren (C-673/17) haben sich sowohl der Generalanwalt (Schlussanträge) als auch danach der EuGH (Urteil) mit der Frage auseinandergesetzt, welche Angaben unter den „klaren und umfassenden Informationen“ zu verstehen sind.

Was gilt, wenn keine personenbezogenen Daten vorliegen?

Sowohl der Generalanwalt als auch der EuGH verweisen für die Informationspflichten auf die entsprechenden Vorgaben der alten DS-RL und der DSGVO (dort: 13, 14 DSGVO). Hier dürfte bereits eine erste Anmerkung wichtig sein: in dem Verfahren ist der EuGH davon ausgegangen, dass personenbezogene Daten vorlagen. Daher war es auch kein Problem, auf Artt. 13, 14 DSGVO zu verweisen. Für die Praxis interessant ist aber sicher die Frage, ob man die Informationspflichten der DSGVO auch (entsprechend) beachten muss, wenn „nur“ Informationen und noch keine personenbezogenen Daten verarbeitet werden.

Zwei mögliche Lösungsansätze: entweder, man geht davon aus, dass die DSGVO mangels personenbezogener Daten keine Anwendung findet. Oder man wendet die Informationspflichten auf „Informationen“ nach der ePrivacy-Richtlinie zumindest entsprechend. Ich würde eher zur zweiten Sichtweise tendieren. Schlicht aus dem Grund, weil Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie für die zu erteilenden Informationen ausdrücklich auf die alte DS-RL und damit (nach Art. 94 DSGVO) jetzt auf die DSGVO verweist.

Spezifische Anforderungen an „klare und umfassende Informationen“ bei Cookies?

Sowohl der Generalanwalt als auch der EuGH gehen mithin davon aus, dass die allgemeinen Informationspflichten der Art. 13, 14 DSGVO zu erfüllen sind. Etwa in einer Datenschutzerklärung.

Spannend sind jedoch cookie-spezifsche Informationspflichten, die zusätzlich erfüllt werden müssen.

„Klare und umfassende Informationen“ bedeutet nach Ansicht des Generalanwalts, dass „ein Nutzer imstande ist, die Konsequenzen jeder etwa von ihm erteilten Einwilligung leicht zu ermitteln“. Und, speziell mit Blick auf Cookies: „Sie müssen detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der tatsächlich verwendeten Cookies zu verstehen“ (Rz. 115)

Und hiervon sind zwei spezielle Merkmale umfasst:

  • die Funktionsdauer der Cookies
  • die Frage, ob Dritte auf die Cookies Zugriff erhalten (Rz. 116)

Das Merkmal der „Funktionsdauer“ erhebt der Generalanwalt sogar zum Bestandteil einer wirksamen Einwilligung. Nach seiner Ansicht hängt die Funktionsdauer des Cookies „mit den die Einwilligung in Kenntnis der Sachlage betreffenden ausdrücklichen Erfordernissen bezüglich der Qualität und Zugänglichkeit der Information für die Nutzer zusammen“ (Hervorhebung durch mich; Rz. 118).

Die Frage, ob Dritte Zugriff auf verwendete Cookies haben oder nicht, scheint aus Sicht des Generalanwalts im Grunde auch zur Einwilligung selbst zu gehören. Praxisrelevant ist die Ansicht des Generalanwalts vor allem deshalb, da er fordert, dass Nutzer „ausdrücklich darüber informiert werden, ob Dritte Zugriff auf die gesetzten Cookies haben oder nicht“ (Rz. 120). Dem Generalanwalt reicht es ausdrücklich gerade nicht aus, nur dann zu informieren, wenn tatsächlich ein Zugriff durch Dritte erfolgt. Er verlangt, dass auch eine Negativ-Information erteilt wird, dass ein solcher Zugriff nicht erfolgt.

Interessanterweise verlangt der EuGH ebenfalls, dass beide oben benannten cookie-spezifischen Informationen erteilt werden. Jedoch verknüpft er diese Anforderung sehr konkret mit dem zu beurteilenden Fall und den Zwecken der Cookies: es geht um „Cookies zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner des Veranstalters eines Gewinnspiels dienen“. Nach dem EuGH „zählen Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können“ (Rz. 75) in diesem Fall zu den zu erteilenden umfassenden Informationen. Bedeutet: wenn man denn möchte, könnte man bei dem Einsatz von Cookies für andere Zwecke (zB statistische Analyse) argumentieren, dass dann nicht die strengen cookie-spezifischen Vorgaben gelten.

Das Merkmal „Funktionsdauer der Cookies“ verortet der EuGH in Art. 13 Abs. 2 lit. a DSGVO: danach sind Informationen über die Dauer, für die die personenbezogenen Daten gespeichert werden, zu erteilen.

Interessant und meines Erachtens eventuell abweichend vom Generalanwalt ist die Ansicht des EuGH zu dem Merkmal, „ob Dritte auf die Cookies Zugriff erhalten“. Der EuGH verweist hierzu auf Art. 13 lit. e DSGVO „denn dort sind ausdrücklich die Empfänger oder Kategorien von Empfängern der Daten genannt“ (Rz. 80). Der Unterschied zur Ansicht des Generalanwalts ist, dass der EuGH nicht ausdrücklich verlangt, dass auch negativ informiert werden muss, wenn kein Zugriff erfolgt. Er bestätigt, dass Informationen dazu, „ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“ (Rz. 81). Durch den Verweis auf die DSGVO-Informationspflicht bzgl. der Empfänger kann man meines Erachtens aber argumentieren, dass dies allein eine positive Information umfasst. Wenn also tatsächlich Zugriffe auf die Cookies stattfinden (übertragen auf DSGVO: wenn Empfänger vorhanden sind). Denn Art. 13 Abs. 2 lit. e DSGVO verpflichtet gerade nicht dazu, auch zu informieren, wenn keine Empfänger vorhanden sind.