Verwaltungsgericht Mainz mit einer wichtigen Entscheidung zu vielen strittigen DSGVO-Fragen: Abgrenzung Auftragsverarbeitung; Erforderlichkeit bei der Vertragsdurchführung; Vorliegen von Gesundheitsdaten

Das Verwaltungsgericht Mainz (VG) hat mit Urteil vom 20.02.2020 (Az. 1 K 467/19.MZ; noch nicht frei verfügbar; ich hoffe darauf, dass es nach Ostern frei verlinkbar ist; aktuelle Quelle: BeckRS 2020, 5397) einige sehr relevante Entscheidungen zu strittig diskutierten Fragen im Datenschutzrecht getroffen. In dem Urteil befasst sich das VG mit einer ganzen Variation aus praxisrelevanten Fragestellungen, deren Klärung für datenverarbeitende Stellen von großer Relevanz sind.

Sachverhalt

Der Kläger ist Tierarzt und klagte gegen eine datenschutzrechtliche Verwarnung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI).

Er schloss mit der Verrechnungsstelle für Tierärzte – VTX – einen Abrechnungsvertrag und eine Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO) ab. Danach kann der Kläger seine Abrechnungstätigkeit an den Verein delegieren, ohne dass dafür die ausdrückliche Einwilligung der Tierbesitzer, die ihr Tier bei ihm behandeln gelassen haben, erforderlich ist. Forderungen des Tierarztes gegen seine Patienten bzw. die Tierhalter sollen nach den Bestimmungen des Vertrags auf die VTX übertragen werden, wenn Verzug eingetreten ist und die VTX die Abtretung angenommen hat. Mit der Annahme der Abtretung wird die VTX Forderungsinhaberin.

Nach den Regelungen im Abrechnungsvertrags soll die VTX vor der Forderungsabtretung eine Auftragsverarbeitung durchführen, die in der Vereinbarung zur Auftragsverarbeitung näher ausgestaltet ist. Die Daten der Tierhalter werden für Abrechnungszwecke und die etwaige Durchsetzung von Forderungen der VTX übermittelt, bevor diese die Annahme einer Forderungsabtretung erklärt. Dieser Umstand ist für die Entscheidung des VG wichtig.

Nachdem ein Tierhalter eine Behandlungsrechnung nicht fristgemäß bezahlt hatte, stornierte der Kläger seine selbst erstellte Rechnung und übermittelte sie an die VTX zur Durchführung des Inkassos. Der Tierhalter hatte für diese Datenübermittlung keine Einwilligung erteilt und reichte eine Beschwerde bei dem LfDI ein, nachdem er von der VTX zur Zahlung aufgefordert worden war.

Nach der Anhörung des Klägers erging eine Verwarnung auf Grundlage von Art. 58 Abs. 2 lit. b DSGVO. Die Verwarnung (Ziffer 1 des Bescheids) wurde damit begründet, dass der Kläger personenbezogene Daten eines Tierhalters an die VTX übermittelt habe, obwohl die datenschutzrechtlichen Voraussetzungen dafür nicht vorgelegen hätten. Gleichzeitig wurde der Kläger darum gebeten mitzuteilen (Ziffer 2 des Bescheids), ob er zukünftig in vergleichbaren Fällen die Vorgaben des Datenschutzrechts beachten und nur mit vorheriger Einwilligung der Tierhalter deren Daten an die VTX übermitteln werde.

Hiergegen ging der Kläger mit einer Anfechtungsklage vor.

Bzgl. der unter Ziffer 2 des Bescheids vom Kläger geforderten Erklärung hat der LfDI Ziffer 2 der Verfügung im Rahmen der mündlichen Verhandlung aufgehoben.

Urteil

Das VG gab der Anfechtungsklage statt und hob den Bescheid des LfDI auf.

Verwarnung als Verwaltungsakt

Zunächst begründet das VG, dass es sich bei der angefochtenen Verwarnung um einen – zumindest feststellenden – Verwaltungsakt handelt. Mit der Verwarnung wird nämlich festgestellt, dass der Adressat gegen die DSGVO verstoßen hat. Mit der Verwarnung wird auch implizit ausgedrückt, dass sich der Adressat künftig datenschutzkonform verhalten soll.

Praktische Folge: Adressaten von Verwarnungen der Datenschutzbehörden können hiergegen gerichtlich vorgehen. Ein Widerspruch (also die Durchführung eines Vorverfahrens) muss und kann auch nicht eingelegt werden, da dieser nach § 20 Abs. 6 BDSG entbehrlich ist.

Datenübermittlung im Rahmen der Forderungsabtretung an VTX rechtmäßig

Danach befasst sich das VG mit der Datenweitergabe an VTX. Hierbei handelt es sich um eine Datenüberverarbeitung in Form der Übermittlung i.S.v. Art. 4 Nr. 2 DSGVO. Diese erfolgte rechtmäßig.

Keine Auftragsverarbeitung

Nach Ansicht des VG liegt hier aber keine Auftragsverarbeitung zwischen dem Tierarzt und VTX in der Phase vor der Forderungsabtretung vor.

Das VG begründet seine Ansicht zum einen mit der interessanten Erwägung, dass die Annahme der Parteien, wonach die Übermittlung der Daten vom Tierarzt zur Verrechnungs- und Inkassostelle vor der Forderungsabtretung als Auftragsverarbeitung zu bewerten wäre, einen Vertrag zu Lasten Dritter (gemeint sind wohl die betroffenen Personen) darstellen würde.

Dieses Vorgehen würde nämlich eine Umgehung der eigentlich anwendbaren Anforderungen der Art. 6 ff. DSGVO für eine Datenübermittlung an einen nicht weisungsgebundenen Dritten bedeuten.

Praktische Folge: geht man mit dieser Begründung mit, würde also eine „falsch“ abgeschlossene AVV gleichzeitig einen Vertrag zu Lasten Dritter darstellen.

Das VG geht weiter davon aus, dass die Übermittlung bereits tatbestandlich nicht als Auftragsverarbeitung zu bewerten ist. Gegen eine Auftragsverarbeitung und eine Weisungsgebundenheit der VTX spricht zunächst, dass die Abtretung – die nach der Vorstellung des Klägers den Wechsel von der Auftragsverarbeitung zur Datenverarbeitung der VTX als Verantwortliche bewirkt – letztlich auf einer freien Entscheidung der VTX beruht. Denn: Die Forderungsabtretung bedarf nach dem Vertrag zwingend der Annahmeerklärung der VTX.

Die von dem Kläger beabsichtigten weitreichenden datenschutzrechtlichen Veränderungen, die durch die Abtretung eingeleitet werden sollen, stehen damit nicht unter der Kontrolle des Verantwortlichen.

Das VG begründet seine Ansicht hier also vor allem mit der eigenen Entscheidungshoheit der VTX. Zwar habe der Tierarzt die Daten an die VTX möglicherweise zu einem Zeitpunkt übermittelt, als die Abtretung noch nicht wirksam war. Jedoch spreche gegen eine Auftragsverarbeitung, dass die VTX auch nach erfolgter Abtretung noch Zugriff auf die Daten habe. Hier ist die Begründung des VG meines Erachtens nicht mehr ganz konsistent. Zunächst wird noch allein auf die Phase vor der Abtretung abgestellt. Nun begründet das VG seine Ansicht aber auch mit der Nutzung der Daten nach der Abtretung.

Die VTX ist gegenüber dem betroffenen Tierhalter mit einer eigenen Rechnung über die Behandlungskosten in Erscheinung getreten. Diese Datenverarbeitung erfolgte nicht im Auftrag des Klägers, weil der Kläger gemäß dem Vertrag seine Forderungen gegenüber dem Tierhalter an die VTX abgetreten hat.

Die VTX kann als Zessionarin die Forderung gegenüber dem Tierhalter eigenständig durchsetzen und die ihr vorliegenden Daten selbständig und weisungsfrei verarbeiten. Weisungsbefugnisse des Klägers bestehen gegenüber der VTX nach erfolgter Abtretung auf Grundlage des Vertrages nicht.

Danach stellt das VG zurecht fest, dass, sofern die tatbestandlichen Voraussetzungen des Art. 28 DSGVO nicht erfüllt sind, es unerheblich sei, ob die VTX nach dem mit dem Kläger abgeschlossenen Abrechnungsvertrag im Zeitpunkt der Datenübermittlung als Auftragsverarbeiterin betrachtet werden soll. Es kommt also nach Ansicht des VG allein auf die faktischen Umstände der Datenverarbeitung an.

Praktische Folge: ob eine Auftragsverarbeitung anzunehmen ist, beurteilt sich allein nach den faktischen Gegebenheiten. Allein der Abschluss eines AVV ist noch kein Indiz für eine Auftragsverarbeitung.

Auslegung von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Da eine Übermittlung vorliegt, bedarf diese einer Rechtsgrundlage. Diese ist nach Ansicht des VG nach Art. 6 Abs. 1 lit. b DSGVO zulässig. Hier befasst sich das VG ausführlicher mit den Anforderungen dieser Erlaubnisnorm.

Praktische Folge: die Datenübermittlung im Rahmen einer Forderungsübertragung kann auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.

Zunächst stellt das VG richtigerweise klar, dass die in 6 Abs. 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig sind und sie gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste.

Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung.

Sodann geht das VG auf ein bisher durchaus diskutiertes Thema ein: wer kann sich auf die Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DSGVO berufen?

Der Vertrag, um dessen Erfüllung es geht, muss mit der Person, deren Daten verarbeitet werden, geschlossen worden sein.

Nicht erforderlich ist es, dass der Vertragspartner des Betroffenen und der die Daten verarbeitende Verantwortliche personenidentisch sind.

Daher geht das VG zurecht davon aus, dass auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO auch Datenverarbeitungen durch unbeteiligte Dritte legitimiert sind, die für die Erfüllung eines Vertrags, deren Partei der Betroffene ist, erforderlich sind.

Praktische Folge: auch Dienstleister, die datenschutzrechtliche als eigene Verantwortliche agieren und an der Vertragserfüllung mitwirken (jedoch nicht selbst Vertragspartner sind), können sich auf Art. 6 Abs. 1 lit. b DSGVO stützen (Bsp: Lieferanten, Spediteure, Handwerker).

Danach befasst sich das VG mit dem Merkmal der „Erforderlichkeit“ iRd Art. 6 Abs. 1 lit. b DSVGO. Eine Datenverarbeitung gemäß Art. 6 Abs. 1 lit. b DSGVO ist nur dann zulässig, wenn sie zu Vertragszwecken erforderlich ist.

Das VG geht davon aus, dass dies in der Regel der Fall ist, wenn die essentialia negotii des jeweiligen Vertrags betroffen sind. Das Gericht bezieht sich hier also ganz speziell auf die Mindestinhalte des Vertrages. Jedoch schließt die Auffassung des VG nicht andere Vertragsbestandteile als Basis der Verarbeitung aus. Denn das Gericht bezieht sich ausdrücklich nur regelhaft auf die essentialia negotii.

Danach führt das VG weiter aus:

Dabei werden an die Erforderlichkeit der Datenverarbeitung jedoch keine zu strengen Anforderungen gestellt: Eine Datenverarbeitung ist nicht erst dann zur Erfüllung des Vertrags erforderlich, wenn der Vertrag ohne die Datenverarbeitung gar nicht durchgeführt werden könnte; vielmehr reicht es aus, wenn die Datenverarbeitung objektiv sinnvoll im Hinblick auf den Vertragszweck ist.

Hier vertritt das VG (unter entsprechenden Verweisen in die Literatur) also eine weniger strenge Auffassung als etwa der EDSA in seiner Stellungnahme zu Art. 6 Abs. 1 lit. b DSGVO (die aktuell noch in der Entwurfsfassung vorliegt). „Erforderlich“ bedeutet nicht, dass die Datenverarbeitung zwingend stattfinden muss, damit der Vertrag durchgeführt werden kann. Es reiche aus, dass sie „objektiv sinnvoll“ mit Blick auf den Vertragszweck ist,

Praktische Folge: „erforderlich“ iSd Art. 6 Abs. 1 lit. b DSGVO darf nicht zu eng verstanden werden.

Auf den Fall bezogen, geht das Gericht von einer Erforderlichkeit der Datenübermittlung zur Durchführung des Vertrages aus. Der Tierhalter ist seiner Pflicht zur Zahlung des Rechnungsbetrages nicht innerhalb der Zahlungsfrist nachgekommen. Die Durchsetzung dieser Forderung dient dem Zweck des Behandlungsvertrags. Daher durften auch die für die Forderungsdurchsetzung durch das Inkassounternehmen erforderlichen Daten übermittelt werden.

Schließlich ist die Datenübermittlung notwendiges Mittel zum Zweck: Es geht darum, die fällige Forderung beim Schuldner eintreiben zu können.

Zweckänderung, Art. 6 Abs. 4 DSGVO?

Oft sieht man in gerichtlichen Entscheidungen zur DSGVO, dass die Möglichkeit einer zweckändernden Weiterverarbeitung von Daten gar nicht geprüft wird, obwohl dies nach den Umständen wohl zu erörtern wäre.

Das VG befasst sich hier, wenn auch kurz, mit diesem Thema: da sich der Vertragszweck durch die Forderungsabtretung nicht geändert habe, sei Art. 6 Abs. 4 DSGVO nicht einschlägig. Denn auch nach der Abtretung soll die vertragliche Hauptleistungspflicht des Tierhalters durchgesetzt und nicht etwa neue Ziele, wie zum Beispiel Werbezwecke, verfolgt werden.

Zur Not: Interessenabwägung, Art. 6 Abs. 1 lit. f DSGVO

Als alternative Rechtsgrundlage geht das VG auch noch auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ein. Jedenfalls sei die Datenübermittlung hier (auch) gemäß Art. 6 Abs. 1 lit. f DSGVO rechtmäßig.

Die Interessenabwägung falle hier zugunsten des Klägers aus. Die Übermittlung der Daten an die VTX war hier zur Wahrung seiner berechtigten Interessen erforderlich. Der Kläger hat als Tierarzt ein berechtigtes – rechtliches und wirtschaftliches – Interesse daran, dass seine tierärztlichen Leistungen von den jeweiligen Tierhaltern vergütet werden.

Sofern ein Tierhalter seiner vertraglichen Leistungspflicht nicht nachkommt, hat der Tierarzt darüber hinaus ein berechtigtes Interesse daran, seine vertragliche Forderung auch unter Zuhilfenahme Dritter durchzusetzen.

Überwiegende Interessen des betroffenen Tierhalters stehen diesem Interesse des Tierarztes nach Ansicht des VG richtigerweise nicht entgegen. Das VG begründet dies mit der Kausalität seines eigenen Verhaltens für die Verarbeitung.

Schließlich hat der Tierhalter durch die Verletzung seiner vertraglichen Zahlungspflicht selbst dazu beigetragen, dass die Datenübermittlung zur Forderungseinziehung erforderlich wurde.

Praktische Folge: Schuldner in Zahlungsverzug haben kein schutzwürdiges Interesse, dass offene Forderungen, auch unter Beteiligung Dritter, eingezogen werden.

Keine Verarbeitung von Gesundheitsdaten

Zum Abschluss schwenkt das VG noch kurz auf die Frage, ob denn hier evtl. Gesundheitsdaten nach Art. 9 DSGVO vorliegen.

Das Gericht geht davon aus, dass es sich bei den hier übermittelten Daten nicht um Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO handelt. Denn aus der Honorarrechnung, die der Kläger der VTX zur Forderungseinziehung übermittelt hat, ergeben sich nur Rückschlüsse auf die Gesundheit der Tiere. Dabei handelt es sich jedoch nicht um Daten, die die Gesundheit einer natürlichen Person betreffen.

Es scheint dann noch Thema gewesen zu sein, ob nicht doch Gesundheitsdaten vorliegen, weil es sich um Erkrankungen der Tiere gehandelt hat, die auf den Menschen und damit den betroffenen Tierhalter übergehen könnten. Dies haben die Beteiligten aber nicht vorgetragen.

Allein aufgrund der abstrakten Möglichkeit, dass aus Informationen über Tierbehandlungsverträge – wie Abrechnungsunterlagen – in besonderen Fällen Rückschlüsse auf die Gesundheit des Tierhalters gezogen werden können, werden diese noch nicht zu Gesundheitsdaten.

Praktische Folge: die abstrakte Möglichkeit, dass Gesundheitsdaten vorliegen könnten, reicht nicht aus, um deren Vorliegen nach Art. 9 DSVGO anzunehmen.

Fazit

Das VG Mainz entwickelt sich für mich in den letzten Monaten zu meinem Lieblings-DSGVO-Gericht. Einige Entscheidungen von dort sind wirklich interessant und auch gut begründet.

Zudem finde ich es sehr gut, dass hier der LfDI einen Verwaltungsakt erlassen hat, damit das VG diese wichtigen Fragen beurteilen konnte.

Inhaltlich halte ich die Begründung des VG, insbesondere was Art. 6 Abs. 1 lit. b DSGVO und Art. 9 DSGVO betrifft, für richtig.

Verwaltungsgericht Schleswig: Interne Übertragung der Aufgabe zur Erstellung eines Verarbeitungsverzeichnisses ist zulässig

Das Verwaltungsgericht (VG) Schleswig hat am 31.3.2020 entschieden (Beschl. v. 31.03.202012 B 79/19), dass die Übertagung der von einer öffentlichen Stelle nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation zulässig ist.

(Ja, mir ist bekannt, dass es unter der DSGVO nicht mehr „Verarbeitungsverzeichnis“ heißt; wenn ich aber stattdessen „Verzeichnis der Verarbeitungstätigkeiten“ in die Überschrift aufnehme, wird diese zu lang)

Sachverhalt

In dem Verfahren im Rahmen des vorläufigen Rechtsschutzes (Antrag auf Erlass einer einstweiligen Anordnung) ging ein Justizamtmann gegen die dienstliche Weisung an ihn vor, an einem Arbeitskreis zur DSGVO, der bei der Generalstaatsanwaltschaft eingerichtet wurde, teilzunehmen und die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO zu übernehmen. Zuvor war der Antragsteller gegenüber dem Generalstaatsanwalt als „Datenschutzverantwortlicher“ benannt worden.

Der Antragsteller ging davon aus, dass diese Weisung rechtswidrig sei, weil eine Tätigkeit als „Datenschutzverantwortlicher“ mit seiner Tätigkeit als Personalratsmitglied und als ständiger Vertreter der Personalratsvorsitzenden nicht vereinbar sei. Zudem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein.

Entscheidung

Das VG lehnte den Antrag als unbegründet ab.

Zunächst stellte das VG zurecht ein paar datenschutzrechtliche Begrifflichkeiten klar.

Die anfängliche Formulierung der Antragsgegnerin, nach der dem Antragsteller die Position als „Datenschutzverantwortlicher“ (vollumfänglich) übertragen werden sollte, dürfte schon aufgrund der Unbestimmtheit nicht zulässig sein.

Sodann führt das VG zu den rechtlichen Möglichkeiten der Übertragung von Pflichten nach der DSGVO aus.

Außerdem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein, wie der Personalrat mit seinem Schreiben vom 19. Dezember 2019 zutreffend ausführte.

Nach zutreffender Ansicht des VG ist „Datenschutzverantwortlicher“ (nicht gemeint war hier der Datenschutzbeauftragte) nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die Letztverantwortung muss damit bei Behörde selbst als juristischer Person bleiben und kann nicht etwa zur Gänze wie die Position des Datenschutzbeauftragten i.S.v. Art. 37 DSGVO einem Beamten übertragen werden.

Jedoch konkretisierte die Antragsgegnerin die dem Antragsteller übertragenen Aufgaben nachträglich dahingehend, dass mit den übertragenen Aufgaben

  • die Teilnahme an einem Arbeitskreis bei der Generalstaatsanwaltschaft und
  • die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO gemeint seien.

Die Antragsgegnerin bezog sich hierbei anscheinend auch auf einen Beschluss der DSK, in dem die Empfehlung ausgesprochen wurde, „durch eine allgemeine Aufbauorganisation sicherzustellen, dass im Innenverhältnis die Anwendung des Datenschutzrechts in der Behörde organisiert und gewährleistet wird“.

Aus Sicht des VG bleibt daher die Antragsgegnerin (also die öffentliche Stelle) die eigentliche Verantwortliche, da sie die Verfügungsgewalt über die erhobenen Daten besitzt.

Die Übertagung der von der Antragsgegnerin nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation ist dagegen zulässig.

Gerade diese letzte Einschätzung des VG ist meines Erachtens auch für den privatwirtschaftlichen Bereich relevant. Es ist innerbetrieblich möglich (und rein faktisch oft anders gar nicht handhabbar), dass die Aufgabenerfüllung von der Führungsebene nach unten delegiert und bestimmten Personen übertragen wird. Wichtig zu beachten ist, dass nicht die gesetzliche Pflicht an sich übertragen werden kann, sondern nur die Aufgabe, bei der Erfüllung dieser Pflicht zu unterstützen.

Fazit

Die Entscheidung des VG ist meines Erachtens richtig und spiegelt auch die tatsächlichen Gegebenheiten in der Praxis wider, wenn man DSGVO-Anforderungen in größeren Einheiten umsetzen möchte. Dies erfordert eine arbeitsteilige Erledigung der verschiedenen Aufgaben. Intern kann eine solche Aufgabe dann im Rahmen des Weisungsrechts auch an Angestellte übertragen werden. Datenschutzrechtlich verpflichtet bleibt aber allein der Verantwortliche (oder Auftragsverarbeiter).

Einsatz von Dienstleistern im Rahmen der Erfüllung von Betroffenenrechten – LDA Brandenburg verhängt 50.000 EUR Bußgeld

In seinem aktuellen Tätigkeitsbericht für 2019 (S. 29 ff, pdf), berichtet das LDA Brandenburg über einen praktisch interessanten und relevanten Fall, in dem gegen ein Unternehmen wegen Verstößen gegen Art. 28 Abs. 9 DSGVO und Art. 12 DSGVO ein Bußgeld verhängt wurde.

Abschluss eines Auftragsverarbeitungsvertrages

Das Unternehmen setzte im Rahmen der Auskunftserteilung nach Art. 15 DSGVO einen Dienstleister ein, der Zugriff auf die für die Auskunftserteilung notwendigen personenbezogenen Daten der betroffenen Person hatte. Die Korrespondenz im Rahmen der Auskunftserteilung wurde unter dem Logo des Dienstleisters durchgeführt.

Erste wichtige Erkenntnis: das LDA scheint grundsätzlich davon auszugehen, dass Dienstleister als Auftragsverarbeiter Betroffenenrechte erfüllen dürfen.

Jedoch wurde hier ein Vertrag nach Art. 28 Abs. 9 DSGVO wohl nicht schriftlich abgeschlossen. Aus den Darstellungen geht nicht klar hervor, ob gar kein Vertrag abgeschlossen wurde oder nur nicht schriftlich. Leider geht das LDA nicht auf die Möglichkeit ein, dass der Vertrag auch in einem elektronischen Format abgeschlossen werden kann. Ich vermute aber daher, dass gar kein Vertrag vorlag.

Das LDA verweist mit Blick auf Art. 28 Abs. 9 DSGVO darauf, dass diese Regelung Dokumentations-, Beweissicherungs- und Authentizitätssicherungszwecke verfolge.

Die Schriftform soll sicherstellen, dass die Parteien, die in dem Dokument genannt sind, sich zu den eingegangenen Verpflichtungen mit dem konkreten Inhalt bekennen.

Ein Verstoß kann nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße von bis zu 10 Millionen Euro oder im Falle eines Unternehmens mit bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.

Transparenz der Auskunft

Ein zweiter Aspekt des Falles war, dass die Betroffenen nicht wussten, dass es sich bei dem antwortenden Unternehmen um den Dienstleister des Verantwortlichen handelte. Insofern konnten sie nach Ansicht des LDA nicht erkennen, wer der Verantwortliche der Datenverarbeitung war. Zudem erfolgte die erste Antwort an anfragende Betroffene nach Antragstellung zur Auskunftserteilung zunächst nur in englischer Sprache.

Nach Art. 12 Abs. 1 DSGVO muss der Verantwortliche geeignete Maßnahmen treffen, um der betroffenen Person zum Beispiel alle Mitteilungen gemäß dem Art. 15 DSGVO (also im Rahmen der Auskunftserteilung) in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln.

Vorliegend befand das LDA, dass das Unternehmen dadurch, dass es die Antragsteller nicht darüber aufklärte, dass es sich bei dem eingesetzten Dienstleister um einen Auftragsverarbeiter handelte und dass, trotz Erteilung der Auskunft unter dem Logo des Dienstleisters, das Unternehmen selbst für die Datenverarbeitung verantwortlich blieb, gegen den in Art. 12 DSGVO niedergelegten Transparenzgrundsatz verstieß.

Gleichzeitig habe das Unternehmen dadurch, dass es die Antragsteller zunächst in englischer Sprache kontaktierte, gegen den in Art. 12 DSGVO niedergelegten Grundsatz der Verständlichkeit verstoßen.

Die Ansicht des LDA ist hier meines Erachtens für die Praxis ziemlich relevant:

Wenn sich ein Unternehmen mit seinem Angebot an den deutschsprachigen Markt richtet, muss die Auskunftserteilung (zumindest auch) auf Deutsch erfolgen.

Das bedeutet, dass selbst international tätige Unternehmen in der jeweiligen Landessprache der von ihnen bedienten Märkte gegenüber Betroffenen kommunizieren müssen, wenn diese von ihren Rechten Gebrauch machen.

Das LDA beurteilte diesen Verstoß gegen Art. 12 DSGVO auf der Grundlage von Art. 83 Abs. 5 DSGVO. Danach können Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Insgesamt verhängte das LDA für die vorbenannten Verstöße ein Bußgeld in Höhe von 50.000 EUR.

Rechtsanwaltskammer Berlin: Tätigkeit als Datenschutzbeauftragter ist für den Rechtsanwalt grundsätzlich kein Nebenberuf, sondern ein Mandat

Anwälte als externe Datenschutzbeauftragte. Ein schon länger berufs- und steuerrechtlich diskutiertes Thema.

In beiden genannten Rechtsgebieten existieren nun auch höchstrichterliche Entscheidungen. Im Oktober 2018 entschied bereits der BGH (Urt. v. 15.10.2018 – AnwZ (Brfg) 20/18) u.a., dass die Tätigkeit als interner Datenschutzbeauftragter grundsätzlich die für eine Zulassung als Syndikusrechtsanwalt erforderlichen Tätigkeitsmerkmale erfülle und das Arbeitsverhältnis von diesen Merkmalen auch geprägt sein kann. Grund war insbesondere die gestiegene Komplexität des Datenschutzrechts auch im Zuge der Einführung der DSGVO. Das Amt des Datenschutzbeauftragten umfasse Tätigkeiten, welche die Merkmale anwaltlicher Tätigkeit nach § 46 Abs. 3 Nr. 1 bis 4 BRAO erfüllen.

Der Bundesfinanzhof (BFH) hat nun Anfang dieses Jahres zu der Frage entschieden (Urt. v. 14.1.2020 – VIII R 27/17), wie Umsätze eines als Datenschutzbeauftragter tätigen Rechtsanwalts steuerrechtlich einzuordnen sind. Nach Ansicht des BFH ist der Rechtsanwalt in Bezug auf seine Tätigkeit als externer Datenschutzbeauftragter gewerblicher Unternehmer i.S. des § 141 Abs. 1 AO. Der BFH geht davon aus, dass die Tätigkeit als Datenschutzbeauftragter weder eine dem Beruf des Rechtsanwalts vorbehaltene noch eine berufstypische Tätigkeit sei. Der BFH nimmt hierbei auch Bezug zum Urteil des BGH, verweist aber darauf, dass die Tätigkeit des (internen) Datenschutzbeauftragten zwar mit den für Rechtsanwälte geltenden berufsrechtlichen Vorschriften in Einklang steht. Dies aber für die steuerliche Qualifizierung der Tätigkeit als solche iSd § 18 EStG nicht maßgebend sei, wie der Umstand, dass eine Zulassung als Syndikusrechtsanwalt im Einzelfall möglich ist.

Man kann daher wohl aktuell folgendes Resümee ziehen: berufsrechtlich ist die Tätigkeit als Datenschutzbeauftragter zulässig. Die steuerrechtliche Beurteilung scheint, nach Ansicht des BFH, jedoch nicht zwingend gleichlaufen zu müssen. Umsätze können daher, auch bei der Tätigkeit als Anwalt, der Gewerbesteuer unterliegen. Insgesamt ist das, mit Blick auf die Rechtssicherheit, natürlich immer noch keine letztlich befriedigende Situation.

Besonders interessant ist vor diesem Hintergrund ein Beschluss des Vorstandes der Rechtsanwaltskammer Berlin vom 8. Mai 2019. Die RAK überträgt die vom BGH aufgestellten Grundsätze zur Einordnung des internen Datenschutzbeauftragten folgerichtig auf die des externen Datenschutzbeauftragten.

Nach Ansicht der RAK Berlin unterscheidet die BRAO

nicht zwischen einer anwaltlichen Tätigkeit des Syndikusrechtsanwalts und einer solchen des Rechtsanwalts. Der Gesetzgeber verfolgt ein einheitliches Berufsbild des Rechtsanwalts. Daher ist schon nach dem Wortlaut des Gesetzes zu schlussfolgern, dass Tätigkeiten, die für den Syndikusrechtsanwalt als anwaltliche gelten, auch anwaltliche Tätigkeiten für den Rechtsanwalt sind.

Daher geht die RAK (meines Erachtens zutreffend) davon aus, dass die Tätigkeit als Datenschutzbeauftragter für den Rechtsanwalt regelmäßig kein Nebenberuf ist, wenn er zugleich als Rechtsanwalt auftritt. Dieser Zusatz ist meines Erachtens wichtig. Diese Feststellung ist insbesondere für ein in der Vergangenheit diskutiertes Tätigkeitsverbot nach § 45 Abs. 1 Nr. 4 BRAO relevant, was, nach dem Beschluss der RAK Berlin, nicht vorliegen dürfte. Auch das Risiko eines Widerrufs der Zulassung nach § 14 Abs. 2 Nr. 8 BRAO besteht vor diesem Hintergrund wohl nicht mehr.

Es handelt sich grundsätzlich um ein Mandat, auf das das Berufsrecht Anwendung findet.

Die RAK weist auf das damals noch anhängige Verfahren am BFH und evtl. folgende steuer- und versicherungsrechtliche Auswirkungen hin.

Sehr aufschlussreich, mit weiterem Inhalt und Begründungen zu dem Beschluss, ist das Protokoll (PDF) zur Sitzung des Vorstandes der RAK. Unter anderem wird dort auch ausgeführt, dass ein Vorstandsmitglied die Auffassung des Berichterstatters bestätigt, dass auch bei einer abweichenden Entscheidung des BFH die Arbeit des externen Datenschutzbeauftragten als  anwaltliche Tätigkeit gewertet werden könne.

Eigentlich wäre diese Situation, dass zwei oberste Gerichtshöfe in einer Rechtsfrage unterschiedlicher Auffassung sind, nun ein Fall für den Gemeinsamen Senat der obersten Gerichtshöfe des Bundes. Dieser existiert, um die Einheitlichkeit der Rechtsprechung zu gewährleisten. Er entscheidet, wenn ein Senat eines obersten Gerichtshofs in einer Rechtsfrage von der Entscheidung eines Senats eines anderen obersten Gerichtshofs abweichen will. Dass der BFH, in Kenntnis der Entscheidung des BGH, jedoch keinen entsprechenden Vorlegungsbeschluss gefasst hat, wird man wohl so interpretieren können, dass der BFH gerade nicht von der Auffassung des BGH in berufsrechtlicher Sicht abweichen wollte.

Gesetzentwurf des Gesundheitsministeriums: Festlegung der federführenden Datenschutzbehörde für Forschungsvorhaben bei mehreren Verantwortlichen

Das Bundeskabinett hat heute eine Formulierungshilfe des Bundesministeriums für Gesundheit zu einem „Entwurf eines Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ (pdf) beschlossen. Medial wurde vor allem über die vorgeschlagenen Anpassungen des Infektionsschutzgesetzes berichtet.

Jedoch wird daneben in Artikel 4 des Entwurfs auch vorgeschlagen, im SGB V einen neuen § 287a SGB V einzufügen. Dieser Vorschlag ist aus datenschutzrechtlicher Sicht sehr interessant, da er nicht nur Auswirkungen im Gesundheitsbereich oder in der jetzigen Zeit haben könnte.

Der Vorschlag lautet:

§ 287a

Federführende Datenschutzaufsicht in der Versorgungs- und Gesundheitsforschung

Bei länderübergreifen Vorhaben der Versorgungs- und Gesundheitsforschung, an denen nicht-öffentliche Stellen oder öffentliche Stellen des Bundes oder der Länder aus zwei oder mehr Ländern als Verantwortliche beteiligt sind, findet § 27 des Bundesdatenschutzgesetzes Anwendung. Die beteiligten Verantwortlichen benennen einen Hauptverantwortlichen und melden diesen der für die Hauptniederlassung des Hauptverantwortlichen zuständigen Aufsichtsbehörde. Artikel 56 und Artikel 60 der Verordnung (EU) 2016/679 sind entsprechend anzuwenden.

(Hervorhebungen durch mich)

Zweck der Regelung

Was das BMG mit der Regelung bezweckt, wird schon aus der Überschrift deutlich. Es soll eine federführende Datenschutzbehörde für Datenverarbeitungen im Rahmen der Gesundheitsforschung geben, auch wenn mehrere Verantwortliche beteiligt sind.

Warum nach Ansicht des BMG eine solche Regelung erforderlich ist, ergibt sich aus der weiteren Gesetzesbegründung und liest sich durchaus wie eine implizite Kritik an der föderalen Struktur der Datenschutzaufsicht in Deutschland, die oft untereinander abweichende Ansichten der Datenschutzbehörden bedingt.

Die Heterogenität der Landesdatenschutz- und Krankenhausgesetze und die Zuständigkeit verschiedener Landesdatenschutzbehörden erschweren und verlangsamen in Folge derzeit länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung.

(S. 15)

Daher sieht der Entwurf für länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung an denen öffentliche und nichtöffentliche Stellen des Bundes und der Länder beteiligt sind, Regelungen vor, die eine Klarstellung der Zuständigkeiten der datenschutzrechtlichen Aufsichtsbehörden bei Vorhaben der Versorgungs- und Gesundheitsforschung im Sinne eines „One-Stop-Shop“ ermöglichen sollen. Dadurch soll die die länderübergreifende Versorgungs- und Gesundheitsforschung unter Wahrung des Datenschutzes beschleunigt und eine einheitliche Rechtsauslegung zum Wohle aller Betroffenen gewährleistet werden.

Inhalt der Regelung selbst

Zunächst geht es dem BMG in dem vorgeschlagenen § 287a SGB V um länderübergreifende Forschungsvorhaben, an denen mehrere datenschutzrechtlich Verantwortlichen (ob als öffentliche oder nicht-öffentliche) Stellen beteiligt sind. Die Stellen müssen aber als „Verantwortliche“ beteiligt sein.

Nicht klar ist, ob hiervon auch eine gemeinsame Verantwortlichkeit umfasst wäre. Zudem geht weder die Vorschrift selbst noch die Begründung darauf ein.

Sind mehrere Verantwortliche beteiligt, so sieht § 287a SGB V die Pflicht vor („benennen“), dass die Beteiligten untereinander einen Hauptverantwortlichen wählen und diesen bei der Datenschutzbehörde seiner Hauptniederlassung als Hauptverantwortlichen des Forschungsvorhabens melden. Der Vorschlag ist hier meines Erachtens nicht besonders präzise, da etwa nicht konkretisiert wird, für das der Hauptverantwortliche als solcher benannt werden soll: allein für das Vorhaben oder die damit zusammenhängende Datenverarbeitung? Die Datenschutzbehörde dürfte sich nur für Letztere interessieren.

Begründung der Regelung

Nach der Gesetzesbegründung werden für länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung an denen öffentliche und nichtöffentliche Stellen des Bundes und der Länder beteiligt sind, Regelungen vorgesehen, die eine Klarstellung der Zuständigkeiten der datenschutzrechtlichen Aufsichtsbehörden bei Vorhaben der Versorgungs- und Gesundheitsforschung im Sinne eines „One-Stop-Shop“ ermöglichen (S. 16).

§ 287a SGB V sehe die verfahrensrechtliche Koordinierung der Zuständigkeiten verschiedener datenschutzrechtlicher Landesbehörden vor (S. 30). Hierdurch möchte das BMG den der DSGVO vorgesehene One-Stop-Shop zur Zuständigkeit der Datenschutzaufsichtsbehörden auf die länderübergreifende Versorgungs- und Gesundheitsforschung anwenden.

Der wichtige Unterschied zu den Regeln des Art. 56 und 60 DSGVO ist natürlich, dass es vorliegend um mehrere Verantwortliche (sicher getrennte, evtl. auch gemeinsam Verantwortliche?) geht. Art. 56 und 60 DSGVO beziehen sich jedoch zumindest ausdrücklich nur auf die Zuständigkeit der federführenden Behörde eines Verantwortlichen mit mehreren Niederlassungen (das sieht auch der EDSA in WP 244).

Laut Begründung sind bei länderübergreifenden Forschungsvorhaben  für die beteiligten verantwortlichen Stellen regelmäßig unterschiedliche Landesaufsichtsbehörden für den Datenschutz zuständig.

Es bedarf daher einer Regelung für eine federführende Aufsichtsbehörde. Hierzu finden sich Vorbilder in der Datenschutz-Grundverordnung selbst (Artikel 56, 60 der Verordnung (EU) 2016/679),…

(S. 31)

Der Entwurf referenziert auf die Regelungen der DSGVO wohl bewusst nur als Beispiel, da, wie beschrieben, gerade nicht ausdrücklich die Festlegung einer federführenden Aufsichtsbehörde bei mehreren Verantwortlichen geregelt wird.

Das BMG begründet die Regelung weiter, dass den Verantwortlichen in der Neuregelung auferlegt (!) wird, eine hauptverantwortliche Stelle zu benennen,

die dann der für sie zuständigen Aufsichtsbehörde die Verantwortung für das länderübergreifende Forschungsvorhaben in der Versorgungs- und Gesundheitsforschung anzuzeigen hat. Maßgeblich ist der in Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 definierte Begriff der „Hauptniederlassung““ (S. 31)

Anmerkung

Meines Erachtens hat der Vorschlag durchaus potential für Diskussionen. Besonders interessant (gerade aus Sicht der Wirtschaft) ist, dass das BMG ganz offensichtlich davon ausgeht, dass mehrere datenschutzrechtlich (ob nun getrennt oder gemeinsam) Verantwortliche einen Verantwortlichen als „Hauptverantwortlichen“ bestimmen können und dann über diese Festlegung auch die Hauptniederlassung und hieran anknüpfend dann die federführende Datenschutzbehörde festlegen können.

Erinnert Sie dieses Thema an ein aktuell immer noch offenes Verfahren? Ja, die Verfahren der Berliner Datenschutzbehörde zum Betrieb von Facebook Fanpages. Dort geht es mitentscheidend um die Frage, ob gemeinsam Verantwortliche einen Verantwortlichen (und damit seine Hauptniederlassung) als umsetzungsbefugt für Entscheidungen zur Datenverarbeitung bestimmen können. Der nun vorliegende Entwurf des BMG spricht meines Erachtens ganz klar für eine solche Möglichkeit.

Daneben ist an der Regelung natürlich noch interessant, dass hier der Gesetzgeber kurzerhand die Datenschutzaufsicht bei Forschungsvorhaben durch die Verantwortlichen zentralisieren lassen möchte, um „eine koordinierte und einheitliche Anwendung der datenschutzrechtlichen Vorschriften ermöglichen und so Verzögerungen und Aufwände bei der Konzeption und Durchführung länderübergreifender Forschungsvorhaben“ (S. 30) verhindern.

Covid-19 als „höhere Gewalt“ im Datenschutzrecht? Unternehmen sind nicht in der Haftung

In mehreren europäischen Ländern wurden aufgrund des sich verbreitenden Corona-Virus bereits Ausgangssperren verhängt. In Bayern wurde der Katastrophenfall ausgerufen. Bürger sind zudem angehalten, im Home-Office zu arbeiten. Für viele Unternehmen bedeutet dies, dass interne (Verwaltungs)Prozesse nicht mehr uneingeschränkt oder, bei einer Schließung des Unternehmens, sogar gar nicht mehr funktionieren.

Die Folge im Datenschutzrecht ist, dass Betroffenenanfragen nach der DSGVO, etwa auf Auskunft nach Art. 15 DSGVO, entweder nur stark verzögert oder in nächster Zeit gar nicht adäquat bearbeitet werden können. So kann es sein, dass aufgrund von Home-Office nicht alle internen Dokumente auf personenbezogene Daten geprüft werden können. Eventuell ist Unternehmen auch generell die Erfüllung von Pflichten nach der DSGVO aufgrund der aktuellen Umstände nicht (mehr) vollumfänglich möglich.

Aus Sicht der Praxis stellt sich für datenverarbeitende Stellen die Frage, wie sie mit dieser Situation umgehen können. Gestattet es die DSGVO etwa, dass vorgegebene Fristen nach Art. 12 Abs. 3 DSGVO (max. 3 Monate zur Beantwortung von Betroffenenanfragen) noch weiter verlängert oder nicht beachtet werden müssen? Kann sich ein Unternehmen im Fall eines Verstoßes gegen die DSGVO, der auf der aktuellen Ausnahmesituation beruht, irgendwie entlasten oder besteht die Gefahr, dass Verwaltungsverfahren oder Bußgelder durch Behörden verhängt (Art. 83 DSGVO) oder Schadensersatzansprüche von Betroffenen geltende gemacht (Art. 82 DSGVO) werden?

Aktuelle Ansichten von Datenschutzbehörden

Die englische Behörde, ICO, wird nach eigenen Angaben bei Verzögerungen der Erfüllung von datenschutzrechtlichen Pflichten die derzeitigen Umstände berücksichtigen (ICO, Data protection and coronavirus: what you need to know). Insoweit nimmt die Behörde an, dass die gesetzlichen Fristen nicht verlängert werden können, aber Verzögerungen in der Bearbeitung der Betroffenenrechte aufgrund des Corona-Virus jedoch nicht geahndet würden.

Der EDSA äußert sich zur (Nicht-)Geltung der Fristen nicht. Allerdings ist der EDSA der Ansicht, dass die besonderen Umstände nichts an den bestehenden Pflichten der Verantwortlichen ändern würden (EDSA, Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak, pdf).

Nach Ansicht der irischen Datenschutzbehörde DPC ist eine Änderung der Fristenregelungen der DSGVO nicht möglich. Jedoch spricht die DPC einige praktische Empfehlungen aus (DPC, Data Protection and COVID-19). Die DPC verweist darauf, dass unter Darlegung der entsprechenden Gründe die Frist zur Bearbeitung des Betroffenenrechts um bis zu zwei Monate verlängert werden. Die Pflicht zur Information über die Fristverlängerung obliegt dabei nach Art. 12 Abs. 3 S. 3 DSGVO dem Verantwortlichen. Zudem ist auch ein gestuftes Vorgehen bei der Beantwortung von Betroffenenanfragen denkbar. So könnte der Verantwortliche elektronisch verfügbare Dokumente, auf die die Mitarbeiter auch im Home-Office zugreifen können, zuerst bearbeiten.

Ausnahmen nach der Fristen-Verordnung?

Die für die Berechnung europarechtlich vorgegebener Fristen (also auch jener nach Art. 12 Abs. 3 DSGVO oder Art. 33 Abs. 1 DSGVO) unmittelbar anwendbare Fristen-Verordnung (Verordnung (EWG, Euratom) Nr. 1182/71) sieht keine Ausnahme von bestehenden Fristen im Ausnahmefall vor.

Ausnahmen in der DSGVO?

Art. 12 DSGVO sieht keine Ausnahmen von den dort geregelten Fristen vor. Hinsichtlich der allgemeinen Pflichten nach der DSGVO finden sich in einzelnen Artikel zum Teil Ausnahmevorschriften. So etwa in Art. 14 Abs. 5 lit. b DSGVO, für den Fall, dass die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Jedoch gilt diese Ausnahme nur für die Vorgaben des Art. 14 DSGVO. Im Rahmen der Löschpflicht wird etwa in Art. 17 Abs. 3 lit. c DSGVO als Ausnahme auf Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit nach Art. 9 Abs. 2 lit. i DSGVO verwiesen. Auch hierbei handelt es sich aber nur um eine spezielle Ausnahme zu Art. 17 DSGVO.

Höhere Gewalt: keine Haftung der Unternehmen

In der aktuellen Situation ist meines Erachtens über eine, in der DSGVO zwar nicht ausdrücklich benannte, dem Sinn und Zweck nach jedoch angelegte, allgemeine Ausnahme bzw. Privilegierung nachzudenken: das Vorliegen „höherer Gewalt“.

Wichtig ist hierbei, die europarechtlichen Vorgaben zu dieser Ausnahme heranzuziehen, da die DSGVO als europäisches Recht auf europarechtsautonom anzuwenden ist.

Nach ständiger Rechtsprechung des EuGH sind unter „höherer Gewalt“ ungewöhnliche und unvorhersehbare Ereignisse zu verstehen, auf die derjenige, der sich auf höhere Gewalt beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können (vgl. etwa EuGH, Urt. v. 18.3.2010, Rs. C?218/09). Zu beachten ist, dass es ebenfalls ständiger Rechtsprechung entspricht, dass die Bedeutung des Begriffs der höheren Gewalt, da er auf den verschiedenen Anwendungsgebieten des Unionsrechts nicht den gleichen Inhalt hat, anhand des rechtlichen Rahmens zu bestimmen ist, innerhalb dessen er seine Wirkungen entfalten soll (EuGH, Urt. v. 25.1.2017, Rs. C?640/15). Maßgebend für seine Anwendung ist insofern die Zweckbestimmung der jeweiligen Verordnung (vgl. EuGH, Urt. v. 17.10.2002). Die Besonderheit des jeweiligen Rechtsgebiets beeinflusst vor allem die Auslegung des Begriffs im Einzelfall (vgl. EuGH, Urt. v. 22.1.1986).

Es ist daher zu prüfen, ob auch die DSGVO eine solche Ausnahme vorsieht, auf die sich eventuell datenverarbeitende Stellen in den aktuellen Zeiten berufen können. Bezogen auf die DSGVO fällt zunächst auf, dass diese den Begriff „höhere Gewalt“ nicht kennt. Zumindest nicht in der finalen Fassung. Betrachtet man den ersten Entwurf der EU Kommission und auch die Vorschläge des EU Parlaments im Gesetzgebungsverfahren, wird deutlich, dass der Umstand höherer Gewalt sehrwohl eine Rolle spielte: konkret im Rahmen der Haftung von Unternehmen auf Schadensersatz gegenüber Betroffenen.

ErwG 146 DSGVO lautet: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist.“ (Hervorhebung durch mich)

In den früheren Fassungen der DSGVO war dieser Erwägungsgrund aber noch mit konkretem Verweis auf „höhere Gewalt“ formuliert. ErwG 118 (Ratsdokument 9398/15, 1.6.2015, pdf):

„Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, die von ihrer Haftung befreit werden sollten, wenn sie nachweisen, dass ihnen der Schaden nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.“ (Hervorhebungen durch mich)

Die beispielhafte Aufzählung von Umständen („insbesondere“), wann keine Haftung vorliegen soll, wurde auf Vorschlag des Rates gestrichen und durch eine generelle und umfassende Formulierung („in keiner Weise…verantwortlich ist“) ersetzt.

Zwar fehlt der konkrete Begriff „höhere Gewalt“. Jedoch meiner Meinung nach nicht, weil eine Berufung hierauf nicht mehr möglich sein soll, sondern vielmehr, weil der Gesetzgeber die Möglichkeit der (Ent)Nichthaftung allgemeiner umschreiben wollte, ohne spezielle Beispiele zu nennen.

Daher halte ich es auf jeden Fall für vertretbar, dass Unternehmen sich im Rahmen von Verstößen gegen die DSGVO, die ihren nachweisbaren Grund in den aktuellen Umständen des Corona-Virus und damit einhergehenden staatlichen Maßnahmen haben, auf den Umstand „höhere Gewalt“ berufen können. In diesem Fall haften Unternehmen dann Betroffenen nicht auf Schadensersatz.

Ich würde zudem auch vertreten, dass dieser, in der DSGVO klar angelegte Gedanke der Enthaftung in Ausnahmesituationen, nicht nur in Bezug auf Schadensersatzansprüche nach Art. 82 DSGVO greift, sondern auch hinsichtlich der Einhaltung von Fristen (zB Art. 12 Abs. 3 DSGVO oder Art. 33 Abs. 1 DSGVO) oder gegebenenfalls sogar anderen Pflichten. Denn, wenn schon keine Haftung angenommen wird, wenn ein Schaden eingetreten ist, dann muss es erst recht möglich sein, mit dieser Ausnahme einer Verlängerung gesetzlicher Fristen zu begründen. Es geht Unternehmen ja aktuell nicht darum, dass man Pflichten gar nicht mehr erfüllen möchte. Man kann es derzeit nur nicht in den regulatorisch vorgegebenen Parametern. Dies ist meine (in einer etwas längeren Nachsitzung entstandene) Meinung zur Auslegung und Anwendung der DSGVO in aktuellen Zeiten ist. Das bedeutet aber auch, wie oben schon angemerkt, dass andere Rechtsauffassungen (gerade auch von Aufsichtsbehörden) möglich sind.

Für die hier gefundene Lösung spricht meines Erachtens auch das Verständnis des Bundesverwaltungsgerichts zu diesem Begriff: „Der Begriff der höheren Gewalt ist ein allgemeiner Begriff des Gemeinschaftsrechts, dessen Funktion es ist, Härten aus der Anwendung von Präklusions- und Sanktionsvorschriften in besonders gelagerten Fällen zu vermeiden und damit dem Gebot der Verhältnismäßigkeit im Einzelfall zu entsprechen“ (BVerwG, Urt. v. 29.4.2004 – BVerwG 3 C 27.03; Hervorhebung durch mich)

Zuletzt sei im Hinblick auf mögliche Bußgelder wegen Verstößen gegen die DSGVO darauf verwiesen, dass nach Art. 82 Abs. 2 lit. k DSGVO von den Aufsichtsbehörden zwingend „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ beachtet werden müssen. Hierzu zählt meines Erachtens auch ein Fall „höherer Gewalt“.

Wichtig ist jedoch, dass die Anforderungen des EuGH an die Anwendbarkeit der Ausnahme „höhere Gewalt“ beachtet werden und, dass Unternehmen nachweisbar dokumentieren, warum diese Voraussetzungen vorliegen. Es muss also ein ungewöhnliches und unvorhersehbares Ereignisse vorliegen, auf das derjenige, der sich darauf beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können.

Hessische Datenschutzbehörde zum Umfang des Auskunftsrechts und zur Einsicht in Patientenakten

Der Hessische Datenschutzbeauftragte (HBDI) hat auf seiner Webseite eine kurze Information mit seiner Position zu der Frage veröffentlicht, wie der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO und das Recht auf Einsichtnahme in die Patientenakte nach § 630g BGB zueinander stehen.

Genau zu diesem Thema hatte sich auch schon zuvor das BayLDA in seinem Tätigkeitsbericht 2017/18 (pdf, S. 46) geäußert. Dort geht das BayLDA davon aus, dass § 630g BGB, als bereichsspezifische Vorschrift, über den datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO hinausgeht. In Bezug auf Art. 15 Abs. 3 DSGVO („Kopie“) geht das BayLDA darauf ein, dass nur eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung zu stellen ist. Es sei hier jedoch nicht die Rede von Kopien der betreffenden Akten oder von sonstigen Unterlagen.

Die nun veröffentlichte Position des HBDI geht im Grunde in dieselbe Richtung.

Art. 15 DSGVO

Art. 15 Abs. 3 DSGVO normiert ein Recht auf Zurverfügungstellung einer Kopie der personenbezogenen Daten.

Einen Anspruch auf Herausgabe einzelner Kopien, z. B. im Sinne einer Fotokopie bestimmter Dokumente, enthält Art. 15 Abs. 3 DS-GVO in aller Regel jedoch nicht. Vielmehr ist der Kopie-Begriff des Art. 15 Abs. 3 DS-GVO im Sinne einer sinnvoll strukturierten Zusammenfassung zu verstehen.

Der HBDI begründet weiter, dass dem Betroffenen daher nicht sämtliche, ihn betreffenden Dokumente in Kopie zur Verfügung gestellt werden müssen. Denn der Wortlaut von Art. 15 Abs. 3 S. 1 DSGVO spreche lediglich von einer Kopie der „personenbezogenen Daten“ und gerade nicht von einer Kopie der Unterlagen, Dokumente oder Akten, in denen diese enthalten sind.

Meines Erachtens ist diese Ansicht richtig und auch gut vertretbar.

§ 630g BGB

Danach geht der HBDI auf den Anspruch des Patienten auf Einsicht in die ärztlichen Patientenunterlagen nach § 630g BGB ein, der von Art. 15 DSGVO zu unterscheiden ist. Danach hat der Patient das Recht auf Kopie der gesamten Akte unter den Voraussetzungen der Absätze 1 und 2. Dies sind vor allem der therapeutische Vorbehalt und Rechte Dritter. Der Patient hat dem Behandelnden die entstandenen Kosten zu erstatten. Der HBDI verweist darauf, dass diese Norm vom Bundesgesetzgeber trotz der Vorschrift des Art. 15 DSGVO nicht geändert wurde.

Verhältnis

Bei der Darstellung des Verhältnisses der Normen geht der HBDI zunächst auf einen weiteren relevanten Aspekt ein.

Im Hinblick auf den therapeutischen Vorbehalt sei es vertretbar davon auszugehen, dass

§ 630g BGB eine zulässige Beschränkung des Art. 15 DS-GVO gem. Art. 23 Abs. 1 lit. i) DS-GVO darstellt (Schutz der betroffenen Person), im Hinblick auf die Kostenerstattung wäre diese Beschränkung jedoch unzulässig.

Der HBDI wertet denUmstand der unterbliebenen Gesetzesanpassung daher in dem Sinne, dass der Bundesgesetzgeber in der Akteneinsicht nach § 630g BGB eine von dem Auskunftsanspruch und dem Recht auf Kopie des Art. 15 DSGVO unabhängige Regelung mit anderem Inhalt und anderem Zweck sehe. § 630g BGB sei damit keine Einschränkung des Rechts auf Auskunft nach Art. 15 DSGVO. Die Norm diene vielmehr ganz anderen Patienteninteressen als Art. 15 DSGVO, wie etwa eine gut geführte Patientenakte für den Arztwechsel zu erhalten und dadurch die nochmalige Durchführung diagnostischer oder therapeutischer Maßnahmen zu vermeiden. Auch die Beweissicherungsfunktion der Dokumentation bzw. ihre Funktion als Beweismittel in einem Arzthaftungsprozess sei vom Gesetzgeber anerkannt worden.

Dieser Ansicht widersprechen auch nicht die in ErwG 63 S. 2 DSGVO enthaltenen Ausführungen, dass die betroffene Person das Recht auf Auskunft über ihre eigenen gesundheitsbezogenen Daten hat, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.

Denn diese sollen der betroffenen Person zu den in Satz 1 des ErwG genannten Zwecken zur Verfügung gestellt werden, namentlich um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.

Weitergehende Zwecke, wie die des § 630g BGB, würden hier in der DSGVO aber gerade nicht genannt.

Im Ergebnis geht der HBDI davon aus, dass es zur Erfüllung des Anspruchs aus Art. 15 Abs. 1 und 3 DSGVO reichen muss, wenn die in ErwG 63 DSGVO genannten Daten vom Verantwortlichen zusammengefasst werden. Aus Praktikabilitätsgründen dürfen die Verantwortlichen natürlich auch für die Herausgabe von gesamten Dokumenten entscheiden.

Die Kopie der gesamten Krankenhausakte des Patienten wäre aber nur nach § 630g BGB herauszugeben.

Generalanwalt am EuGH: hohe Anforderungen an eine wirksame Einwilligung und ihre Nachweisbarkeit

Im Rahmen der am 4.3.2020 veröffentlichten Schlussanträge in der Rechtssache C?61/19, hat Generalwalt (GA) Szpunar seine Interpretation zu den Anforderungen an eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO dargelegt. Die Ausführungen des GA sind für den EuGH (wie immer) nicht bindend. Dennoch lohnt sich ein Blick in die Begründung.

Nachfolgend möchte ich auf einige „Highlights“ der Schlussanträge eingehen.

Was bedeutet der Grundsatz des Art. 5 Abs. 1 lit. a DSGVO?

Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Zu der entsprechenden Vorgängernorm in der RL 95/46/EG (Art. 6 Abs. 1 lit. a) stellt der GA fest, dass in den Erlaubnistatbeständen (jetzt in Art. 6 Abs. 1 DSGVO) der in Art. 6 Abs. 1 lit. a der Richtlinie niedergelegte Grundsatz zum Ausdruck, dass personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden müssen. Hieraus lässt sich mit Blick auf die DSGVO ableiten, dass mit der Erfüllung eines Erlaubnistatbestandes somit auch die Anforderungen der Datenschutzgrundätze „Rechtmäßigkeit sowie Verarbeitung nach Treu und Glauben“ erfüllt sind.

Freiwilligkeit der Einwilligung

Hinsichtlich des Merkmals der „Willensbekundung“ der betroffenen Person führt der GA aus, dass dies klar auf ein aktives und nicht passives Verhalten hindeute und erfordere, dass die betroffene Person über ein hohes Maß an Autonomie verfügt, wenn sie sich entscheidet, ihre Einwilligung zu erteilen oder nicht zu erteilen. Der GA verweist insoweit auf das Urteil des EuGH in Sachen Planet49.

Nach Ansicht des GA gelten die dort getroffenen Feststellungen auch gleichermaßen für die analoge Welt.

Wenn es schon zu hohe Anforderungen an den Kunden stellt, das in einem Ankreuzkästchen auf einer Website voreingestellte Häkchen zu entfernen, dann kann von einem Kunden vernünftigerweise erst recht nicht erwartet werden, dass er seine Verweigerung der Einwilligung in handschriftlicher Form erklärt.

In einer solchen Situation wisse man nämlich nicht, ob ein solcher vorformulierter Text gelesen und verstanden wurde. Die Situation sei nicht frei von Zweifeln. Der Text mag gelesen worden sein oder auch nicht. Der „Leser“ mag dies aus reiner Nachlässigkeit vergessen haben; es sei daher unmöglich, klar festzustellen, ob die Einwilligung freiwillig erteilt wurde.

„in informierter Weise“

Dieses Merkmal legt der GA so aus, dass völlig außer Zweifel stehen muss, dass die betroffene Person ausreichend informiert wurde.

Er fordert:

Die betroffene Person muss über alle die Datenverarbeitung und deren Folgen betreffenden Umstände informiert werden. Insbesondere muss sie wissen, welche Daten verarbeitet werden, wie lange die Verarbeitung andauert, in welcher Weise und zu welchem spezifischen Zweck sie erfolgt.

Leider wird nicht deutlich, ob der GA hier den Inhalt der Einwilligung selbst anspricht oder ob diese Information nicht auch über die Erfüllung der Informationspflichten entsprechend Art. 13 DSGVO erfolgen kann. Denn sollte es zu einer Dopplung von Informationen kommen, einmal in der Erklärung, einmal in den Datenschutzinformationen, dürfte man wohl die Frage stellen, welchen Sinn eine doppelte Informationserteilung hat.

Doch die Anforderungen gehen weiter:

Die betroffene Person muss außerdem wissen, wer die Daten verarbeitet und ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden.

Zudem sei entscheidend, dass der Betroffene darüber informiert wird, welche Folgen es hat, wenn er die Einwilligung verweigert, d. h., ob die Einwilligung in die Datenverarbeitung Voraussetzung für den Vertragsabschluss ist oder nicht. Dem Betroffenen wurde hier im konkreten Fall jedoch nicht unmissverständlich erklärt, dass der Vertragsabschluss dadurch, dass er die Anfertigung und Aufbewahrung einer Kopie seines Personalausweises verweigert, nicht unmöglich wird.

Wenn man die Anforderungen des GA allesamt in dem Text der Einwilligungserklärung selbst abbilden wollen würde, müsste diese folgende Informationen beinhalten:

  • alle die Datenverarbeitung betreffenden Umstände
  • deren Folgen betreffenden Umstände (Anm: was immer mit den Folgen gemeint ist)
  • welche Daten verarbeitet werden
  • wie lange die Verarbeitung andauert
  • in welcher Weise sie erfolgt
  • zu welchem spezifischen Zweck sie erfolgt
  • wer die Daten verarbeitet
  • ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden
  • welche Folgen es hat, wenn sie die Einwilligung verweigert

Ich persönlich bin auf transparente und verständliche Einwilligungserklärungen gespannt, die diesen Anforderungen gerecht werden. Zudem muss beachtet werden, dass der Text der Einwilligung ja eine statische Momentaufnahme ist. Was geschieht, wenn sich die „Folgen“ der Datenverarbeitung ändern oder Daten nun etwa nicht mehr an Dritte übermittelt werden sollen? Ist die Einwilligung dann unwirksam?

Beweislast und Nachweispflicht

Zudem geht der GA auf die praktisch sehr relevante Frage ein, was konkret durch den Verantwortlichen nachzuweisen ist, wenn er darlegen will oder muss, dass eine Einwilligung vorliegt.

Der GA bezieht sich ganz konkret auf Art. 7 Abs. 1 DSGVO. Danach muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Nach Ansicht des GA ist Art. 7 Abs. 1 DSGVO eindeutig und lässt keinen Raum für Zweifel:

Beruht die Verarbeitung auf einer Einwilligung, so muss der Verantwortliche nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese Bestimmung stellt einen besonderen Ausdruck des in Art. 5 Abs. 2 der Verordnung 2016/679 verankerten Grundsatzes der Rechenschaftspflicht dar.

Der GA verknüpft hier also die Rechenschaftspflicht, die ja ansonsten oft doch recht alleine in der DSGVO steht bzw. sich „nur“ auf die Grundsätze nach Art. 5 Abs. 1 DSGVO bezieht, nicht mit einem solchen Grundsatz, sondern mit einem anderen Artikel der DSGVO, der auf einen Nachweis abstellt.

Und nun eine entscheidende Aussage:

Meines Erachtens erfordert der Zweck dieser Bestimmung eine weite Auslegung, da der Verantwortliche nicht nur nachweisen muss, dass die betroffene Person ihre Einwilligung erteilt hat, sondern auch nachweisen muss, dass sämtliche Wirksamkeitsvoraussetzungen vorliegen.

Das bedeutet, dass Verantwortliche nicht nur das Vorliegen der Einwilligung nachweisen müssen. Also etwa den abgehakten Text. Zudem muss der Verantwortliche die Erfüllung aller gesetzlichen Anforderungen nach der DSGVO nachweisen, die sich auf die Einwilligung beziehen.

Und wenn es zum Streit kommt? Auch hier ist der GA klar.

Jegliche Zweifel an der Erteilung der Einwilligung durch die betroffene Person müssen durch vom Verantwortlichen zu erbringenden Beweis ausgeräumt werden. Die Beweislast dafür, dass die betroffene Person in die Lage versetzt wurde, ihre Einwilligung ohne Zwang, auf den konkreten Fall bezogen und in voller Kenntnis der Sachlage zu erteilen, liegt daher eindeutig bei der Stelle, die die Verarbeitung durchführt.

Meines Erachtens legt der GA hier strenge Anforderungen an. Sollte der EuGH dieser Argumentation folgen, würde dies bedeuten, dass Verantwortliche also nicht nur den einzelnen Text der Einwilligung, sondern tatsächlich alle Umstände der Abgabe bzw. Einholung der Einwilligung nachweisen können müssen. Nicht unerwähnt sollte bleiben, dass für einen solchen Nachweis wohl zusätzlich personenbezogene Daten (etwa eine Klickstrecke, Screenshots, usw.) verarbeitet werden müssen.

Bayerisches Oberstes Landesgericht: Kein Anspruch auf Datenlöschung gegen Staatsanwaltschaft, solange keine Verjährung eingetreten ist

Mit Beschluss vom 27.01.2020 (Az. 203 VAs 1846/19) hat das Bayerische Oberste Landesgericht zu der Frage entschieden, ob eine Person, gegen die ein Ermittlungsverfahren geführt wurde, nach der Einstellung einen datenschutzrechtlichen Anspruch auf Löschung und Berichtigung ihrer Daten bei der Staatsanwaltschaft hat.

Sachverhalt

Gegen den Antragsteller wurde bei der Staatsanwaltschaft ein Ermittlungsverfahren wegen des Verdachts des Totschlags geführt, welches mit Verfügung gemäß § 170 Abs. 2 StPO eingestellt wurde. Die durchgeführten Ermittlungen hatten keinen hinreichenden Tatverdacht gegen den Beschuldigten ergeben. Zu der Person des Betroffenen speicherte die Staatsanwaltschaft seine Personalien und persönlichen Verhältnisse zum Zwecke der Durchführung des gegen ihn geführten Ermittlungsverfahrens. Die Daten sind Bestandteil der Ermittlungsakte und wurden zur Durchführung der Ermittlungen gespeichert.

Zudem wurde darauf hingewiesen, dass die Aufbewahrungsfrist vorliegend nach der Aufbewahrungsverordnung vom 29.7.2010 30 Jahre betrage, beginnend mit Ablauf des Jahres 2018, in welchem die das Verfahren einstellende Entscheidung getroffen worden sei.

Daraufhin beantragte der Beschuldigte die genaue Angabe, welche konkreten Daten gespeichert seien. Hierauf wurden ihm entsprechende Daten mitgeteilt, u.a. „Stellung im Verfahren 105 Js 4832/18: Beschuldigter wegen Totschlags (§ 212 StGB), Tatzeit vom 10.9.2009 bis 8.1.2017, zum Nachteil von C.M.“. § 170 Abs. 2 StPO als Verfahrensbeendigungsgrund sei nicht gespeichert.

Der Beschuldigte stellte daraufhin Antrag auf gerichtliche Entscheidung gegen die abgelehnte Löschung/Berichtigung seiner Daten. Er beantragte die Löschung der Daten, hilfsweise die Speicherung nur der notwendigen Daten sowie die zusätzliche Aufnahme von § 170 Abs. 2 StPO.

Entscheidung

Das Gericht entschied, dass der Antragsteller weder Anspruch auf Berichtigung noch auf Löschung der durch die Staatsanwaltschaft gespeicherten Daten habe.

Zunächst verweist das Gericht auf die hier anwendbaren datenschutzrechtlichen Regelungen. Nach § 500 Abs. 1 StPO i.V.m. § 75 Abs. 1 BDSG bestehe einen Berichtigungsanspruch, wenn gespeicherte personenbezogene Daten unrichtig oder unvollständig sind.

Nach § 500 Abs. 1 StPO i.V.m. § 75 Abs. 2 BDSG, § 500 Abs. 2 Nr. 1 StPO i.V.m. § 489 Abs. 1 Nr. 1, Abs. 2 Satz 3 StPO (als ergänzende Sonderregelungen) bestehe ein Löschungsanspruch hinsichtlich gespeicherter personenbezogener Daten, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Einstellung, die die Wiederaufnahme (wie bei § 170 Abs. 2 StPO) nicht hindert, mit Eintritt der Verjährung.

Es besteht aber kein Berichtigungsanspruch, da die gespeicherten Daten nicht unrichtig und nicht unvollständig sind. Der Tatvorwurf sei zu Recht gespeichert, denn der Gegenstand eines Ermittlungsverfahrens muss zweifelsfrei erfasst sein, insbesondere auch um den Eintritt der Verjährung konkret bestimmen zu können, der maßgeblich ist für den Zeitpunkt der Löschung. Das Interesse der Strafverfolgungsbehörden an der Speicherung der Daten gehe dem Interesse des Beschuldigten an der Vermeidung einer Stigmatisierung vor.

Zudem sei auch nicht erforderlich, dass die Vorschrift des § 170 Abs. 2 StPO auch ausdrücklich genannt wird, da die gewählte Formulierung eindeutig ergibt, dass eine Sachbehandlung nach § 170 Abs. 2 StPO erfolgt ist.

Zudem bestehe auch kein Löschungsanspruch. Denn eine Löschung sei erst dann vorzunehmen, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Verfahrenseinstellung nach § 170 Abs. 2 StPO mit Eintritt der Verjährung. Hier stellt das Gericht auf den Straftatbestand des Totschlags ab. Dieser verjährt nach § 78 Abs. 3 Nr. 1 StGB in dreißig Jahren.

Während des Laufs der Verjährungsfrist ist die Datenspeicherung zur Aufgabenerfüllung der Staatsanwaltschaft erforderlich, weil während dieses Zeitraums neue Beweismittel auftauchen könnten, die Anlass zur Wiederaufnahme der Ermittlungen geben.

Fazit

Auch wenn der Beschluss in einem datenschutzrechtlichen Spezialbereich erging, so lässt sich der Argumentation des Gerichts doch auch für den privatwirtschaftlichen Bereich eine relevante Begründung zur Aufbewahrung von Daten entnehmen. Personenbezogene Daten sind nicht zu löschen, wenn ihre Aufbewahrung dem Zweck eines Unternehmens dient, innerhalb von Verjährungs- oder etwa Gewährleistungsfristen eigene Ansprüche durchzusetzen oder sich gegen solche Ansprüche verteidigen zu können. Die weiterhin gespeicherten Daten können in diesem Zusammenhang als wertvolle Tatsachenbasis für eine notwendige Beweisführung dienen. Entsprechend sieht Art. 17 Abs. 3 lit. e DSGVO vor, dass personenbezogene Daten nicht zu löschen sind, wenn ihre Speicherung (bzw. weitere Verarbeitung) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Verwaltungsgericht Mainz: Betroffene haben keinen Anspruch auf die Vornahme bestimmter aufsichtsbehördlicher Maßnahmen

Kann eine betroffene Person, wen sie sich bei einer Datenschutzbehörde beschwert hat, von dieser Datenschutzbehörde die Vornahme einer ganz bestimmten aufsichtsbehördlichen Maßnahme verlangen und dies auch einklagen? Um diese Frage ging u.a. in einem Fall, den das Verwaltungsgericht Main (VG) entschieden hat (Beschluss vom 29.08.2019 – 1 L 605/19.MZ).

Sachverhalt

In dem Verfahren im Rahmen des einstweiligen Rechtsschutzes (§ 123 Abs. 1 VwGO) hat die Antragstellerin vorgetragen, sie führe einen Rechtsstreit mit ihrem früheren Anwalt, der sie gegen die B. GmbH vertreten habe. Der Anwalt sei später als Zeuge von der B. GmbH angeboten worden, was ihrer Ansicht nach dafür spreche, dass er einen Geheimnisverrat begangen habe. Um dies feststellen zu können, benötige sie nunmehr die Auskunft von der B. GmbH.

Hierzu hatte die Antragstellerin offensichtlich einen Auskunftsanspruch nach Art. 15 DSGVO gegenüber der B. GmbH geltend gemacht. Dieser scheint nicht erfüllt worden zu sein, worauf hin sich die Antragstellerin bei dem Landesbeauftragten für Datenschutz in Rheinland-Pfalz (LfDI) beschwerte. Der LfDI hat das Beschwerdeverfahren durch einen rechtsverbindlichen Beschluss, der auch mit einer Rechtsbehelfsbelehrung versehen war, abgeschlossen.

Die Antragstellerin begehrte nun vom LfDI, dass er das gegen die B. GmbH gerichtete Beschwerdeverfahren nach Art. 77 Abs. 1 DSGVO wieder aufnimmt und fortsetzt.

Entscheidung

Das VG lehnt die begehrte einstweilige Anordnung gegenüber dem LfDI ab. Die Antragstellerin habe einen Anordnungsgrund nicht glaubhaft gemacht. Es könne damit offenbleiben, ob ein Anordnungsanspruch bestehe.

Der Antrag der Antragstellerin ist quasi auf eine Fortsetzung des Beschwerdeverfahrens gerichtet. Nach Art. 77 Abs. 1 DSVGO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Da hier die Fortsetzung des Verfahrens Antragsziel ist, könnte die besondere Form der Untätigkeitsklage nach Art. 78 Abs. 2 DSGVO statthaft sein. Danach hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

Jedoch verweist das VG in seiner Begründung zurecht darauf, dass der LfDI als Aufsichtsbehörde hier das Verfahren bereits durch einen rechtsverbindlichen Beschluss abgeschlossen hat.

Gegen diesen Verwaltungsakt als Abschlussverfügung des LfDI kann die betroffene Person grundsätzlich nach Art. 78 Abs. 1 DSGVO vorgehen. Jedoch ist der Antrag hier gerade nicht nur auf die Aufhebung eines Verwaltungsakts bzw. die Anfechtung eines rechtsverbindlichen Beschlusses der Aufsichtsbehörde gerichtet, sondern zumindest auch auf ein Tätigwerden des LfDI.

Grundsätzlich relevant ist die Ansicht des VG, dass Art. 78 Abs. 1 DSGVO nicht nur auf Anfechtungsklagen gegen die rechtsverbindlichen Beschlüsse der Aufsichtsbehörde beschränkt ist, sondern darüber hinaus

auch Verpflichtungs- und Leistungsklagen zur Gewährung eines effektiven Rechtsschutzes für die betroffene Person

umfasst.

Danach geht das VG noch auf die Frage ein, was konkret die Antragstellerin überhaupt von dem LfDI verlangen könnte.

In diesem Zusammenhang verweist das VG auf die durchaus (auch schon gerichtlich) divers diskutierte Frage nach dem Umfang der – gerichtlich gegebenenfalls durchsetzbaren – Pflichten der Auskunftsbehörde.

Zum einen wird die Auffassung vertreten, dass von der Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO und Art. 57 Abs. 1 lit. f) DSGVO nur eine Bearbeitung der Beschwerde bzw. eine zeitnahe Unterrichtung über den Stand und das Ergebnis der Untersuchungen verlangt werden kann.

Andererseits gibt es aber auch die Rechtsmeinung, dass die Aufsichtsbehörde zu konkreten Maßnahmen verpflichtet werden kann.

Nach Ansicht des VG (nach der im Eilverfahren gebotenen summarischen Prüfung) spricht einiges dafür,

dass der Aufsichtsbehörde ein (weiter) Ermessensspielraum zusteht, ob und welche Maßnahmen sie ergreift, um einen etwaigen Verstoß gegen die DSGVO festzustellen oder einen Auskunftsanspruch des Beschwerdeführers durchzusetzen.

Danach kann eine betroffene Person nur Ermessensfehler rügen, jedoch nicht in Form eines Anspruchs direkt nur eine bestimmte aufsichtsbehördliche Maßnahme fordern. Vorliegend begehrt die Antragstellerin aber nicht den Erlass einer ermessensfehlerfreien Entscheidung und etwa einen Anspruch auf behördliches Einschreiten des Antragsgegners gegen die B. GmbH, sondern sie hat nur eine Fortsetzung des Beschwerdeverfahrens beantragt.

Offen lässt das VG im Rahmen der Prüfung des Anordnungsanspruchs, welche Pflichten die nach Art. 77 Abs. 1 DSGVO angerufene und mit einer Beschwerde befasste Aufsichtsbehörde hat, ob ein (weiter) Ermessensspielraum besteht oder ob sie zum Erlass bestimmter Maßnahmen verpflichtet ist bzw. verpflichtet werden kann. Denn das Gericht lehnt den Antrag bereits wegen Fehlens eines Anordnungsgrundes (keine hinreichende Glaubhaftmachung, dass ihr ein Abwarten einer Entscheidung in der Hauptsache nicht zumutbar ist) ab.