Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?

Eine zurzeit heiß diskutierte Frage ist, welche Rolle der Betriebsrat im Sinne des Datenschutzes im Unternehmen überhaupt einnimmt“. Mit dieser Feststellung leitet der Landesbeauftragte aus Baden-Württemberg (LfDI) in seinem aktuellen Tätigkeitsbericht (pdf, ab S. 37) das Kapitel „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ ein und liefert in der Überschrift direkt auch seine Antwort auf diese praxisrelevante Frage. Die Begründung des LfDI: Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.

Warum ist die Frage praxisrelevant? Sollte der Betriebsrat (bzw. eine Interessenvertretung der Arbeitnehmer) als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, würden sich hieraus viele Umsetzungsaufgaben innerhalb eines Unternehmens ergeben. Angefangen mit der Pflicht des Betriebsrates, ein eigenes Verzeichnis der Verarbeitungstätitgkeiten (Art. 30 DSGVO) zu führen, selbst die Informationspflichten (Art. 13 / 14 DSGVO) zu erfüllen, eventuell einen eigenen Datenschutzbeauftragten (Art. 37 DSGVO) zu benennen und natürlich etwa auch eine eigene Rechtsgrundlage für Datenverarbeitungen (Art. 6 Abs. 1 DSGVO) zu finden. Viele weitere Themen wären relevant, so etwa, ob nicht das Unternehmen und der Betriebsrat für bestimmte Verarbeitungen als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO) anzusehen sind.

Orientiert man sich an der bisherigen Respr. des Bundesarbeitsgerichts (BAG) zum alten Datenschutzrecht, würde man davon ausgehen, dass der Betriebsrat Teil des Verantwortlichen ist (BAG, Beschl. v. 14.1.2014 – 1 ABR 54/12). Im Zuge der Anwendbarkeit der DSGVO, ist diese Einordnung jedoch auf den juristischen Prüfstand gestellt worden.

Ein Urteil des BAG oder auch des Bundesverwaltungsgerichts oder gar des Europäischen Gerichtshofs zu dieser Frage steht noch aus. Jedoch haben sich in Deutschland bereits einige Gerichte mit der Thematik auseinandergesetzt. Das Ergebnis: es ist umstritten.

Nachfolgend möchte ich einen kleinen Überblick zu den Entscheidungen geben. Interessant daran ist, dass es fast immer um das Verlangen des Betriebsrates bzw. der Personalvertretung geht, Einsicht in nicht anonymisierte Entgelt- oder Gehaltslisten zu erhalten. Entscheidende betriebsverfassungsrechtliche Norm ist dann auch zumeist § 80 Abs. 2 BetrVG. Dabei kommen die Gerichte am Ende oft zu demselben Ergebnis. Auf dem Weg dorthin sind die Argumente, ob der Betriebsrat eigener Verantwortlicher ist, jedoch verschieden.

LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18

Das LAG Niedersachsen geht davon aus, dass dem Anspruch des Betriebsrats auf einen Blick in die Bruttoentgeltlisten datenschutzrechtliche Belange nicht entgegenstehen. Das LAG verweist auf § 26 Abs. 6 BDSG, in dem ausdrücklich klargestellt ist, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Solange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt – was oben bereits bejaht wurde – handelt es sich bei ihm nicht um einen „Dritten“ iSv Art. 4 Nummer 10 EU-DSGVO. Eine Rechtmäßigkeit der Datenverarbeitung ist hier nach Art. 6 I c) Euro-DSGVO gegeben, da die Einsichtnahme in die Bruttolohn- und gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat dient.

Schön finde ich ja den Hinweis auf die „Euro-DSGVO“. Um aber beim Thema zu bleiben: das LAG sieht den Betriebsrat nicht als „Dritten“ an; zumindest, solange er sich im Rahmen der Wahrnehmung gesetzlicher Aufgaben bewegt.

LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17

Auch das LAG Sachsen-Anhalt geht davon aus, dass dem durch den Betriebsrat verfolgten Anspruch des Betriebsausschusses zur Einsichtnahme gemäß § 80 Abs. 2 S. 2 2. Halbsatz BetrVG datenschutzrechtliche Belange nicht entgegenstehen.

Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.

Das LAG Sachsen-Anhalt vertritt mithin die Ansicht, dass der Betriebsrat als eigener Verantwortlicher innerhalb des Unternehmens anzusehen ist.

LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18

Im Verfahren vor dem LAG Hessen ging es, etwas abweichend, um die Auskunft darüber, an welche Arbeitnehmer mit Ausnahme leitender Angestellter Sonderzahlungen geleistet wurden. Das LAG begründet seine Entscheidung aber auch hier mit Art. 80 Abs. 2 BetrVG.

Nach Ansicht des LAG bestehen im Übrigen datenschutzrechtliche Bedenken auch deshalb nicht,

weil der Betriebsrat selbst Teil der verantwortlichen Stelle im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung ist.

Das LAG Hessen schlägt sich hier auf die Seite jener, die den Betriebsrat nicht selbst als Verantwortlichen ansehen. Weiter begründet das LAG Hessen:

Die Zurverfügungstellung der im Antrag genannten Informationen an den Betriebsrat stellt daher keine Weitergabe des Arbeitgebers an Dritte dar.

Umfassender als die anderen Gerichte befasst sich das LAG Hessen aber mit der Frage, welche Rechtsgrundlage für die Datenverarbeitung herangezogen werden kann. Das LAG geht davon aus, dass, soweit der Betriebsrat im Rahmen seiner ihm gesetzlich zugewiesenen Aufgaben handele,

die Verarbeitung dieser Daten nach Art. 6 Absatz 1c Datenschutzgrundverordnung rechtmäßig ist.

Zudem stellt das LAG fest, dass der Betriebsrat an das Datenschutzrecht gebunden ist. Aus dieser Formulierung könnte man nun doch eine andere Ansicht ableiten. Jedoch macht das LAG in seiner weiteren Begründung deutlich, dass es den Betriebsrat als Teil des Verantwortlichen (Arbeitgeber) ansieht. Nach dem LAG gestatte das Datenschutzrecht – wie sich aus Art. 6 Abs. 1 lit. c DSGVO ergebe – die Verarbeitung von Daten durch den Betriebsrat,

wenn der Arbeitgeber insoweit einer rechtlichen Verpflichtung, z.B. aus § 80 Absatz 2 BetrVG, unterliegt. Dies ist hier der Fall“. Das LAG rechnet folglich die Verarbeitung durch den Betriebsrat dem Arbeitgeber zu, der sich wiederum hierfür auf Art. 6 Abs. 1 lit. c) DSGVO berufen kann.

Zwischenergebnis in der Rechtsprechung: 2:1 für die Ansicht, dass der Betriebsrat Teil des Verantwortlichen ist.

LAG Düsseldorf, Beschl. v. 23.10.2018 – 8 TaBV 42/18

In dem Fall des LAG Düsseldorf ging um Ansprüche auf Vorlage von Gehaltslisten in elektronischer bzw. gedruckter Form. Die Parteien stritten darüber, ob der Betriebsrat neben der Einsichtnahme auch eine Überlassung der Entgeltlisten verlangen kann. Nach Auffassung des LAG kann der Betriebsrat weder die Übergabe der Entgeltlisten in elektronischer oder gedruckter Form, noch die Überlassung eines PC, auf dem die Listen gespeichert sind, noch die Gestellung zusätzlichen Büropersonals zwecks Schaffung einer „Abschreibemöglichkeit“ der Listen verlangen. Konkret ging es hier, etwas abweichend, um einen möglichen Anspruch aus dem EntgTranspG. Nach Ansicht des LAG räumt das EntgTranspG dem Betriebsrat seinem Wortlaut nach an keiner Stelle einen Überlassungsanspruch ein, vielmehr spreche 13 Abs. 2 S. 1 EntgTranspG von „hat das Recht einzusehen“.

Da das LAG hier diesen Anspruch ablehnte, musste es (leider) zu der datenschutzrechtlichen Frage keine Stellung mehr nehmen.

Ob die Überlassung von Entgeltlisten an Betriebsrat und Betriebsausschuss weiterhin auch aus datenschutzrechtlichen Gründen unzulässig ist, bedarf in Anbetracht des vorstehenden, klaren Auslegungsergebnisses keiner Erörterung.

BVerwG, Beschl. v. 19.12.2018 – 5 P 6.17

Bisher soweit ersichtlich noch kaum beachtet, hatte auch das Bundesverwaltungsrecht (BVerwG) die Möglichkeit, sich zu der Frage zu äußern, wie eine Personalvertretung datenschutzrechtlich einzuordnen ist. Die Entscheidung betraf jedoch, anders als die obigen Entscheidungen, den öffentlichen Bereich. Das BVerwG geht davon aus, dass der Bezirkspersonalrat im konkreten Fall einen Informationsanspruch hat, weil sein Informationsbegehren einen Aufgabenbezug aufweist und die beanspruchten Informationen nach Art und Umfang zur Aufgabenwahrnehmung erforderlich sind. Entscheidende Norman waren hier jene aus dem Landespersonalvertretungsgesetz Rheinland-Pfalz.

Das Verwaltungsgericht ist im Ergebnis auch zutreffend davon ausgegangen, dass Regelungen des Datenschutzrechts der streitgegenständlichen Informationsübermittlung nicht entgegenstehen.

Das BVerwG geht in seiner Begründung zum Datenschutzrecht zunächst auf die Rechtlage vor Anwendbarkeit der DSGVO ein. Bislang wurde als geklärt angesehen, dass die Datenübermittlung der Dienststelle an den Personalrat nicht den Bestimmungen der Datenschutzgesetze unterliegt, sondern die einschlägigen personalvertretungsgesetzlichen Anspruchsnormen die insoweit maßgeblichen bereichsspezifischen Rechtsgrundlagen im Sinne des Datenschutzrechts bilden. Zudem stünden die Persönlichkeitsrechte der Betroffenen der Einsichtnahme des Personalrats in Unterlagen, die personenbezogene Daten der Beschäftigten enthalten, nicht entgegen, wenn die Einsichtnahme unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf den zur Aufgabenerfüllung erforderlichen Umfang begrenzt ist.

Das BVerwG befasst sich sodann mit der Frage, ob diese Rechtslage mit dem Inkrafttreten der DSGVO, die als Verordnung in den Mitgliedstaaten unmittelbare Anwendung findet und keiner nationalen Umsetzung bedarf, eine Änderung erfahren hat. Das Gericht verweist hierfür auf Ansichten der Literatur, dass nunmehr mangels hinreichend spezifischer und damit vorrangiger Regelungen der Personalvertretungsgesetze die datenschutzrechtlichen Regelungen über die Verarbeitung bzw. Weitergabe von personenbezogenen Daten in Dienst- und Beschäftigungsverhältnissen anzuwenden seien, wenn die Dienststellenleitung personenbezogene Daten an die Personalvertretung übermittelt und diese dort genutzt werden.

Es geht mithin um die Frage, ob nicht, neben den personalvertretungsrechtlichen Vorschriften, auch datenschutzrechtliche Regelungen zu beachten sind. Dies hätte dann eventuell auch die Frage nach der Einordnung des Personalrates umfasst.

Jedoch lässt das BVerwG eine abschließende Entscheidung in dieser Sache ausdrücklich offen.

Denn jedenfalls führt die geforderte Prüfung im vorliegenden Fall nicht zu einem anderen Ergebnis als es bei der Prüfung der personalvertretungsrechtlichen Erforderlichkeitsprüfung erzielt worden ist.

Ausblick

Die Frage, wie die Personalvertretung innerhalb eines Unternehmens oder einer öffentlichen Stelle datenschutzrechtlich einzuordnen ist, ist daher weiterhin nicht abschließend entschieden. Wie oben erwähnt, kann man hinsichtlich der Respr. verschiedener LAG von einer leichten Tendenz zur alten Rechtslage (Teil des Verantwortlichen) ausgehen.

Bis eine finale Entscheidung in Deutschland oder gar durch den EuGH vorliegt, wird es sicher noch ein wenig dauern. Unabhängig von der Stellung der Personal- oder Interessenvertretung muss aber für die Praxis beachtet werden, dass etwa ein Betriebsrat, auch wenn er Teil des Verantwortlichen ist, natürlich die Vorgaben der DSGVO, dann im Gewand des Verantwortlichen, einhalten muss. Hierzu zählen vor allem auch die Datenschutzgrundsätze in Art. 5 Abs. 1 DSGVO und weitere Normen, wie etwa angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO.

Hessischer Datenschutzbeauftragter veröffentlicht FAQ zur DSGVO – Unter anderem: vorsorgliche Einwilligung ist möglich

Immer noch sind viele Fragen bei der Anwendung der DSGVO unbeantwortet und umstritten. Die hessische Datenschutzbehörde hat, aufgrund „einer Flut von Anfragen beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI)“, Antworten zu den am häufigsten gestellten Fragen auf ihrer Webseite veröffentlicht.

Natürlich findet man dort als Suchender sicherlich nicht die Antwort auf jede Frage zur DSGVO. Dennoch sind die Antworten des HBDI, insbesondere für Unternehmen mit Hauptsitz in Hessen, sicherlich eine lesenswerte Ressource.

Interessant ist etwas die Aussage der Behörde zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich der HBDI der bereits vom BayLDA veröffentlichten Ansicht anzunähern und den Anwendungsbereich der Auftragsverarbeitung recht eng zu ziehen, nämlich nur auf solche Fälle, in denen tatsächlich ein Dritter mit der Verarbeitung von Daten beauftragt wird.

Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“

Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes nicht sicher ist.

„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“

Der HBDI scheint also davon auszugehen, dass eine Verarbeitung aus Sicht des Verantwortlichen auf zwei Erlaubnistatbestände, wovon einer die Einwilligung ist, gestützt werden kann, wenn man unsicher ist, ob die eigentlich avisierte Rechtsgrundlage wirklich eingreift. Der Kollege Tim Wybitul hat genau zu diesem Thema heute in einem Beitrag auf LinkedIn darauf hingewiesen, dass aus dem neues Kurzpapier (PDF) der DSK zur Einwilligung wohl eine andere Ansicht ableitbar ist. Eventuell vertritt der HBDI hier also eine nicht ganz so strenge Auffassung.

Bundeskartellamt erlasst Untersagungsverfügung gegen Facebook – Warum das Vorgehen der Behörde datenschutzrechtlich kritisch betrachtet werden muss

Ist der Umgang von Facebook Inc. u.a. mit personenbezogenen Daten ein Konditionsmissbrauch gemäß § 19 Abs. 1 GWB wegen unangemessener Datenverarbeitung? Dieser Frage ging das Bundeskartellamt in dem aktuell nun zunächst abgeschlossenen Verfahren nach. Am 7.2.2019 gab die Behörde bekannt, dass sie Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen untersagt.

Erwägungsgründe des Bundeskartellamts

Das Bundeskartellamt stützt sich im Rahmen seiner Entscheidung u.a. auf folgende Untersuchungsergebnisse:

  • Die Datenverarbeitungskonditionen für die Nutzung von Facebook stellen eine missbräuchliche Ausnutzung der marktbeherrschenden Stellung auf dem Markt für soziale Netzwerke für private Nutzer dar.
  • Die beabsichtigten Datenverarbeitungskonditionen verstoßen gegen die Wertungen des Datenschutzrechts, wie sie in der DSGVO zum Ausdruck kommen.

Nach Ansicht der Wettbewerbsbehörde liege ein Missbrauch im Sinne des § 19 Abs. 1 GWB (Konditionenmissbrauch) bereits dann vor, wenn als Ausfluss der Marktmacht die von einem Normadressaten verwendete Datenverarbeitungskonditionen gegen die Wertungen der DSGVO verstoßen. Oder auch, wenn die verwendeten allgemeinen Geschäftsbedingungen nach den gesetzlichen Wertungen der §§ 307 ff. BGB unzulässig sind.

Einen möglichen Konflikt zwischen den Anwendungsbereichen von Kartellrecht und Datenschutzrecht sieht das Bundeskartellamt hier überraschenderweise nicht.

Insbesondere sieht sich das Bundeskartellamt offensichtlich als zuständige Behörde an, die bei der Anwendung des § 19 Abs. 1 GWB auch auf Datenschutzwertungen Rückgriff nehmen und materiell-rechtliche Prüfungen vornehmen zu können. Sie sei an der Durchsetzung des Missbrauchsverbots von der Heranziehung datenschutzrechtlicher Wertungen nicht gehindert. Es würden lediglich die Wertungen des europäischen Datenschutzrechts als bedeutende Anhaltspunkte für die kartellrechtliche Beurteilung der Angemessenheit des Verhaltens eines marktbeherrschenden Unternehmens berücksichtigt. Die Datenverarbeitung sei ein unternehmerisches und in hohem Maße wettbewerbsrelevantes Verhalten. Die wirtschaftliche Nutzung von Kunden- und Nutzerdaten sowie Daten Dritter sei zudem ein wettbewerblich bedeutender Faktor.

Grundsätzlich fehle es zudem an der Rechtfertigung zur Datenverarbeitung (wohl nach Art. 6 oder Art. 9 DSGVO). Weder entspreche die derzeitige Einwilligung den Anforderungen nach Art. 6 Abs. 1 Satz 1 lit. a und Art. 9 Abs. 2 lit. b DSGVO, noch sei die Datenverarbeitung im Rahmen des Datenaustausch für die Vertragserfüllung nach Art. 6 Abs. 1 Satz 1 lit. b DSGVO erforderlich. Ein überwiegendes Interesse von Facebook oder den Drittanbietern im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DSGVO sei ebenfalls nicht gegeben.

Mehr Informationen findet sich in dem veröffentlichten Hintergrundpapier (pdf).

Kritik an dem Vorgehen des Bundeskartellamts

Zuständigkeit nach Art. 51 Abs. 1, Art. 55 DSGVO

Besonders überraschend ist hier die selbstverständliche Haltung der Wettbewerbsbehörde zur doch fragwürdigen Zuständigkeit bei angeblich vorliegenden Verstößen gegen die DSGVO. Die Zulässigkeit zur datenschutzrechtlichen Ahndung von Verstößen als Befugnis nach Art. 58 DSGVO (insbesondere die Verhängung von Bußgeldern nach Art. 58 Abs. 2 lit. i) iVm Art. 83 ff. DSGVO) ist für die nach Art. 51 Abs. 1 DSGVO von den Mitgliedstaaten bestimmten und zuständigen Behörden vorgesehen. Das Bundeskartellamt ist jedoch keine weitere Instanz, die zur Einhaltung datenschutzrechtlicher Bestimmungen befähigt ist. Das Bundeskartellamt wurde von Deutschland auch nicht errichtet oder mit Befugnissen auf der Grundlage der DSGVO ausgestattet, um Verstöße gegen das Datenschutzrecht mit hoheitlichen Sanktionen zu ahnden. Unter Beachtung des Vorrangs des EU-weiten und einheitlichen Datenschutzrechts können meines Erachtens nicht einfach durch nationale Regelungen aus anderen Rechtsgebieten die Tatbestände für Sanktionen (wie Untersagungen) oder gar Bußgelder ausgeweitet und auch auf andere, nicht auf der Grundlage der DSGVO zuständige Behörden übertragen werden, wie es hier die Wettbewerbsbehörde durch § 19 Abs. 1 GWB versucht. Es gehört zu den grundlegenden Aufgaben der Datenschutzbehörde, DSGVO-relevante Untersuchungen durchzuführen (Art. 58 DSGVO) und gegebenenfalls durch Bußgelder oder Sanktionen zu ahnden (Art. 83 ff.). Im Grunde würde aus dem Vorgehen des Bundeskartellamts eine parallele Datenschutzaufsicht folgen. Dann müsste sich das Bundeskartellamt aber auch die Frage gefallen lassen, ob es alle Anforderungen an eine Aufsichtsbehörde nach der DSGVO erfüllt.

Das Bundeskartellamt kann sich vorliegend auch nicht auf die Argumentation zurückziehen, dass ja materielles Datenschutzrecht nicht geprüft werde, sondern nur Wertungen aus der DSGVO übernommen würden. Die Informationen im Hintergrundpapier zeigen deutlich, dass die Wettbewerbsbehörde klar eine detailreiche materiellrechtliche Prüfung der Vorgaben der DSGVO vornimmt.

Eine Parallelität von mehreren Datenschutzaufsichten für einen Verantwortlichen (was die Folge der Sichtweise des Bundeskartellamts wäre) ist in der DSGVO gerade nicht vorgesehen und sogar explizit nicht gewollt (dazu sogleich).

Zusammenarbeit und Kohärenzverfahren nach Art. 60 ff. DSGVO

Sind mehrere Datenschutz(!)behörden zuständig, sieht die DSGVO nun das sog. Kohärenzverfahren vor. Datenschutzbehörden (ob in Deutschland oder auch EU-Ebene) müssen sich im Zweifel untereinander abstimmen. Am Ende soll es für Unternehmen eine verbindliche, zwischen mehreren zuständigen Behörden abgestimmte, Entscheidung geben. Das Bundeskartellamt verweist zwar auf die Zusammenarbeit mit  Datenschutzbehörden, doch umgeht sie dabei die nach der DSGVO vorgeschriebene Zusammenarbeit der Behörden untereinander. Die federführende Behörde ist hinsichtlich Facebook nun einmal die irische Datenschutzbehörde, die hier wohl völlig übergangen wurde. Der Austausch mit der federführenden Aufsichtsbehörde soll insbesondere bei der Beurteilung von Verarbeitungsvorgängen, die Personen in mehreren Mitgliedstaaten betreffen, stattfinden. Nur so kann eine einheitliche Anwendung dieser Verordnung in der gesamten Union sichergestellt werden (ErwG 123 DSGVO). Im Grunde wird durch das Vorgehen des Bundeskartellamts das Kohärenzverfahren nach der DSGVO und, in Streitfällen zwischen Aufsichtsbehörden, die Entscheidungsbefugnis des Europäischen Datenschutzausschusses schlicht übergangen. Würde sich dieses Vorgehen durchsetzen, würde am Ende gerade nicht mehr ein einheitliches Vorgehen der fachlich zuständigen Behörden stehen.

Kartell- und Datenschutzrecht

Die anzuzweifelnde Zuständigkeit des Bundeskartellamts versucht es durch die Vereinbarkeit der Prüfung von Datenschutzrecht innerhalb des Kartellrechts zu widerlegen. Die Behörde geht davon aus, dass die Datenverarbeitung durch Unternehmen grundsätzlich ein wettbewerbsrelevantes Verhalten darstelle und folglich den wettbewerbsrechtlichen Vorschriften unterliege. Doch für eine Trennung von Kartell- und Datenschutzrecht haben sich bereits die Europäische Kommission und auch der EuGH ausgesprochen, die in Anbetracht der europarechtlichen Auslegung der DSGVO auch eingehalten werden sollte:

„Etwaige Fragen im Zusammenhang mit der Sensibilität personenbezogener Daten, sind als solche nicht wettbewerbsrechtlicher Natur sind, [sind] nach den einschlägigen Bestimmungen zum Schutz solcher Daten zu beantworten.“ (EuGH, Urteil vom 23.11.2006 – C238/05

Noch strikter trennt die Europäische Kommission, indem sie auf die jeweiligen geschützten Rechtsgüter der legislativen Vorgaben abstellt:

„COM said that both competition law and data protection concern economic values, whereas data protection protects values of the data subject.“ (Ratsdokument 17831/13, S. 226, Fn. 567). Das Kartellrecht verfolgt gerade nicht dieselben Ziele wie das Datenschutzrecht.

„For the purposes of this decision, the Commission notes that any privacy-related concerns flowing from the use of data within the control of the Parties do not fall within the scope of the EU competition law rules but within the scope of the EU data protection rules.“ (Entscheidung der Kommission vom 23/02/2016 zur Vereinbarkeit eines Zusammenschlusses mit dem Gemeinsamen Markt (Fall COMP/M.7813 – SANOFI / GOOGLE / DMI JV) gemäß der Verordnung (EG) Nr. 139/2004 des Rates; S. 11 Rn. 70)

Fazit

Das hochinteressante Verfahren, das einige diskussionswürdige Fragen aufwirft, wird sicherlich seinen Weg in den Instanzenzug der Gerichte finden. Eventuell muss am Ende der EuGH noch einmal zu der Frage entscheiden, wie sich das Kartell- und Datenschutzrecht zueinander und insbesondere die Zuständigkeit der Behörden verhalten.

Österreichische Datenschutzbehörde: Löschung von personenbezogenen Daten ist auch durch Anonymisierung möglich

Die Österreichische Datenschutzbehörde (DSB) hat mit Bescheid vom 5.12.2018 (DSB-D123.270/0009-DSB/2018) eine äußerst relevante Praxisfrage für die Anwendung der DSGVO entschieden. Genügt für eine Löschung von personenbezogenen Daten (und damit der Erfüllung des Löschungsanspruchs eines Betroffenen nach Art. 17 Abs. 1 DSGVO), dass diese Daten anonymisiert werden? Die Einschätzung der DSB: die Anonymisierung von personenbezogenen Daten kann grundsätzlich ein mögliches Mittel zur Löschung im Sinne der DSGVO sein.

Sachverhalt

In dem Verfahren ging es um die Beschwerde einer betroffenen Person, die gegenüber einem Unternehmen (mit dem ursprünglich auch vertragliche Beziehungen bestanden) einen Antrag auf Löschung all ihrer Daten gestellt hatte. Die Beschwerdegegnerin hat die vollständige Löschung seiner Daten jedoch verweigert. In dem Fall ging es zudem noch um eine zunächst nicht eindeutig durchführbare Identifizierung des Beschwerdeführers. Nachdem diese bei dem Unternehmen intern jedoch vollzogen war, hat es die dem Beschwerdeführer eindeutig zuordenbaren Daten entweder sofort gelöscht, oder „DSGVO-konform anonymisiert“.

Besonders relevant war vorliegend die durch das Unternehmen an die DSB übermittelte Information, wie es die Anonymisierung vornimmt. Diese erfolgte in Umsetzung folgender kombinierter Schritte aus Löschung und Anonymisierung:

  • Löschung des Vertragsangebots: Sowohl die Kundenanfrage als auch das Angebot, das aufgrund der Onlineangaben des Kunden vom Kundenmanagementsystem erstellt worden wären, wären gelöscht worden.
  • Löschung aller elektronischer Kontakte (E-Mail-Adresse, Telefonnummer, etc.) des Kunden.
  • Änderung der Person (Name, Vorname, Adresse): Sowohl Name, als auch Adresse seien durch eine anonyme, nicht zuordenbare Person (Max Mustermann) mit identem Geschlecht und Geburtsdatum unwiderruflich manuell überschrieben worden.
  • Die nun inhaltsleere Kundenverbindung sei nur mehr Max Mustermann zugeordnet.
  • Der mit einer Kundenverbindung automatisch gestartete interne Ablauf sei sofort gestoppt worden.
  • Zusammenlegung der zu löschenden Person auf die neue anonyme Person zur Sicherstellung, dass die Überschreibung auch technisch nachhaltig verankert sei.
  • Löschen des Kunden im Elektronischen Akt (Historie).

Durch die Umsetzung all dieser beschriebenen Schritte sei eine faktische Anonymisierung der ursprünglichen Kundenverbindung durch das Überschreiben mit einer „Dummy Kundenverbindung“ herbeigeführt worden.

Auf Nachfrage der DSB ergänzte das Unternehmen, dass des Weiteren keine personenbezogenen Daten in den Logdaten gespeichert werden, da die Identifikation ausschließlich über Kennzahlen („ID´s“) erfolge. Dort wäre die Verknüpfung aber irreversibel entfernt worden. Eine Wiederherstellung oder Rekonstruktion der Daten auch aus den Logdaten sei nicht möglich.

Entscheidung der DSB

Zutreffend verweist die DSB einleitend darauf, dass der verbindliche Teil der DSGVO den Begriff der „Anonymisierung“ nicht kennt. Nur in ErwG 26 DSGVO wird dieser erwähnt (jedoch nicht definiert) und festgehalten, dass die DSGVO keine Anwendung auf anonymisierte Daten findet, worunter Informationen verstanden werden, „die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.

Danach befasst sich die DSB mit der Definition des Begriffs der „Verarbeitung“ (Art. 4 Nr. 2 DSGVO), in dem jedoch keine Definition des Begriffs „Löschung von personenbezogenen Daten“ (wie er in Art. 17 Abs. 1 DSGVO) verwendet wird, zu finden ist.

Nach Art. 4 Nr. 2 DSGVO sind aber nach Ansicht der DSB das Löschen und die Vernichtung als alternative Formen der Verarbeitung angeführt („das Löschen oder die Vernichtung“), die nicht zwingend deckungsgleich sind.

Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt.

Diese Klarstellung der DSB ist bereits die erste wichtige Aussage des Bescheids. Löschung bedeutet nicht, dass Daten faktisch vernichtet werden müssen.

Nach Ansicht der DSB steht dem Verantwortlichen hinsichtlich der Mittel (also der vorgenommenen Art und Weise der Löschung) ein Auswahlermessen zu (hierzu verweist die DSB auch umfangreich auf Kommentarliteratur).

Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten kann somit grundsätzlich ein mögliches Mittel zur Löschung iSv Art. 4 Z 2 iVm Art. 17 Abs. 1 DSGVO sein.

Jedoch verlangt die DSB, meines Erachtens zurecht, dass sichergestellt sein muss, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Wann ein solcher unverhältnismäßiger Aufwand anzunehmen sein wird, ist natürlich am Ende stets eine Einzelfallfrage. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann nach Ansicht der DSB der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (hierzu verweist die DSB auch auf die Stellungnahme 5/2014 der ehemaligen Art. 29-Datenschutzgruppe).

Im vorliegenden Fall hat das Unternehmen die personenbezogenen Daten nach Ansicht der DSB

„teils vernichtet (also ohne „Hinterlassen“ von anonymisierten Daten), teils durch Entfernung des Personenbezugs zum Beschwerdeführer „gelöscht“.

Diese Kombination aus Vernichtung und Entfernung des Personenbezugs (auch durch Ersetzen mit Dummy Daten) ist nach Auffassung der DSB ausreichend, um eine Löschung iSd DSGVO annehmen zu können.

Die DSB verweist abschließend auf einen weiteren wichtigen Aspekt: hypothetische Verläufe, insbesondere die Weiterentwicklung der Technologie, müssen an dem Ergebnis nichts ändern. Der Beschwerdeführer führte an, dass „die Daten zu einem späteren Zeitpunkt „de-anonymisiert werden könnten“. Nach Ansicht der DSB liegt eine Löschung dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person nicht mehr möglich ist.

Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität ist daher – unabhängig vom verwendeten Mittel zur Löschung – nicht notwendig.

Die DSB beurteilt die Frage, wann Daten iSd DSGVO gelöscht sind, mithin aus dem Blickwinkel des zu erzielenden Ergebnisses. Die Verarbeitung personenbezogener Daten darf nicht mehr möglich sein. Auf welchem Wege und vor allem mit welchen Mitteln ein Verantwortlicher zu diesem Ergebnis gelangt, ist in der DSGVO gerade nicht vorgegeben und daher durch den Verantwortlichen individuell umsetzbar. Aus Sicht der Praxis dürfte diese Entscheidung zum Begriff des „Löschens“ in der DSGVO besondere Relevanz besitzen.

Bundesverwaltungsgericht entscheidet zu Öffnungsklauseln: Übermittlungsvorschrift im Bayerischen Datenschutzgesetz ist mit der DSGVO unvereinbar

Das Bundesverwaltungsgericht (BVerwG) hat mit Urteil vom 27. September 2018 (BVerwG 7 C 5.17) entschieden, dass der Übermittlungstatbestand des Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG gegen die Vorgaben der DSGVO verstößt. Daneben trifft das Gericht einige relevante Äußerungen zum Umsetzungsspielraum der Mitgliedstaaten bei der Ausfüllung der Öffnungsklauseln in Art. 6 Abs. 2 und 3 DSGVO sowie zum Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO.

Sachverhalt

In dem Verfahren ging es um die Aufklärung der sog. „Verwandtenaffäre“ des Bayerischen Landtags. Ein Journalist bei einer Tageszeitung machte einen presserechtlichen Auskunftsanspruch gegenüber dem Landtagsamt des Freistaates Bayern geltend. Ursprünglich lehnte die Präsidentin des Bayerischen Landtags den Antrag des Klägers ab. Zuletzt wies auch der VGH Bayern die Klage ab. Unter anderem ging es bei der Ablehnung des Auskunftsanspruchs auch um die Daten von Dritten (der Ehefrau eines Landtagsabgeordneten) und der Frage, ob eine Herausgabe ihrer Daten als auch der personenbezogenen Daten des Landtagsabgeordneten selbst dem Anspruch entgegestünden. Hiergegen wendete sich der Journalist vor dem BVerwG.

Entscheidung

Nach Art. 4 des Bayerischen Pressegesetzes (BayPrG) hat die Presse gegenüber Behörden ein Recht auf Auskunft. Die Auskunft darf nur verweigert werden, soweit auf Grund beamtenrechtlicher oder sonstiger gesetzlicher Vorschriften eine Verschwiegenheitspflicht besteht.

Das BVerwG fußt seine Entscheidung darauf, dass die Auslegung und Anwendung von Art. 4 BayPrG durch den VGH Bayern nicht mit dem verfassungsrechtlichen Schutz der Presse aus Art. 5 Abs. 1 Satz 2 GG vereinbar ist.

Die in Art. 4 Abs. 2 Satz 2 BayPrG erwähnten Verschwiegenheitspflichten können sich aus Grundrechten Dritter (zB dem Recht auf informationelle Selbstbestimmung) ergeben. In diesem Fall muss eine Abwägung des verfassungsrechtlich geschützten Interesses der Presse mit dem Interesse der Betroffenen vorgenommen werden. Das BVerwG verweist hierzu auch auf den in Art. 5 Abs. 1 Satz 2 GG verbürgten verfassungsunmittelbaren presserechtlichen Auskunftsanspruch. Zudem muss sich der mit der Weitergabe personenbezogener Daten verbundene Eingriff in das Grundrecht auf informationelle Selbstbestimmung auf eine bereichsspezifische Ermächtigungsgrundlage stützen, die insbesondere den Anforderungen an die Normenklarheit genügt.

Der VGH Bayern prüfte die Weitergabe jedoch nur anhand der Offenbarungspflichten nach dem Gesetz über die Rechtsverhältnisse der Mitglieder des Bayerischen Landtags (Bayerisches Abgeordnetengesetz). Dies kritisiert das BVerwG mit der Begründung, dass die diesem Vorgehen zugrunde liegende Rechtsauffassung, dass damit die Offenlegung mandatsbezogener Informationen grundsätzlich abschließend geregelt werde, und der daraus folgende absolute Schutz der von diesen Vorschriften nicht erfassten Informationen, die Anforderungen des Art. 5 Abs. 1 Satz 2 GG verfehlt. Mit dieser einschränkenden Rechtsauffassung verschließe sich der VGH

„der Heranziehung weiterer Rechtsvorschriften, die den Anforderungen für einen Eingriff in das informationelle Selbstbestimmungsrecht genügen und deswegen Grundlage einer umfassenden Abwägung sein können“.

Zwar existiere eine solche weitere Vorschrift weder allein im presserechtlichen Normbestand (1), noch in Gestalt einer eigenständigen Rechtsgrundlage in den datenschutzrechtlichen Bestimmungen (2). Die presserechtliche Anspruchsgrundlage ist jedoch nach Ansicht des BVerwG insoweit um datenschutzrechtliche Vorgaben zu ergänzen (3).

(1)

Das BVerwG erachtet Art. 4 Abs. 2 S. 2 BayPrG allein für unzureichend, da schutzwürdige Interessen der betroffenen Dritten nicht einmal erwähnt werden.

(2)

Auch eine eigenständige datenschutzrechtliche Rechtsgrundlage existiert nicht. Das BVerwG prüft diesbezüglich den in Betracht kommenden Erlaubnistatbestand nach Art. 5 Abs. 1 S. 1 Nr. 2 des Bayerischen Datenschutzgesetzes (BayDSG, in der Fassung vom 15.5.2018, also in Umsetzung der DSGVO).

Nach Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG ist eine Übermittlung personenbezogener Daten zulässig, wenn der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.

Diese Vorschrift, die an den Vorgaben der DSGVO zu messen ist, ist nach Ansicht des BVerwG allerdings keine taugliche Rechtsgrundlage.

„Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG ist mit der Datenschutz-Grundverordnung nicht vereinbar“.

Zunächst stellt das BVerwG klar, dass die DSGVO gemäß Art. 288 Abs. 2 AEUV unmittelbar gilt und grundsätzlich weder auf eine Umsetzung angewiesen, noch dies überhaupt zulässig ist. Auch eine Normwiederholung im nationalen Recht ist dem Grunde nach ausgeschlossen. Nur im Rahmen ausdrücklicher Ermächtigungen können ihre Regelungen vom nationalen Gesetzgeber spezifiziert, präzisiert und konkretisiert werden.

Der bayerische Landesgesetzgeber benennt als Grundlage für Art. 5 BayDSG die Art. 6 Abs. 2 bis 4 DSGVO, „soweit dem nationalen Gesetzgeber darin Regelungsspielräume eingeräumt werden“. Der Landesgesetzgeber stützt sich also auf die Öffnungsklauseln der DSGVO. Genau diesen Regelungsspielraum sieht das BVerwG aber für Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG als nicht gegeben.

Zum einen kann Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG auf die Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO schon deswegen nicht gestützt werden,

weil danach nur eine Konkretisierung der Regelungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO erlaubt ist, während die landesrechtliche Bestimmung an Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO anknüpft“.

Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG enthält eine Interessenabwägung nach dem Vorbild des Art. 6 Abs. 1 lit. f) DSGVO. Art. 6 Abs. 1 lit. f) DSGVO gilt jedoch, nach Unterabs. 2, gerade nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. Hierzu gehören nach Ansicht des BVerwG sowohl „eigennützige“ als auch „fremdnützige“ Aufgaben.

Erfasst sind

„die durch Gesetz übertragenen Aufgaben im Rahmen der Eingriffs- und Leistungsverwaltung. Damit fällt jegliche Datenverarbeitung in Erfüllung hoheitlicher Funktionen, wozu auch die Beantwortung von Presseanfragen zählt, unter den Ausschlusstatbestand und ist den Erlaubnistatbeständen nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO zuzuordnen“.

Der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO ist nach dem BVerwG nur einschlägig, wenn die Behörde als Teilnehmer im Privatrechtsverkehr auftritt.

Zum anderen ermöglicht auch Art. 6 Abs. 4 DSGVO dem nationalen Gesetzgeber nicht,

„den Erlaubnistatbestand des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO hinsichtlich seines persönlichen Geltungsbereichs zu erweitern“.

Art. 6 Abs. 4 DSGVO ist keine neben Art. 6 Abs. 2 und 3 DSGVO stehende übergreifende Öffnungsklausel. Nach Auffassung des BVerwG bezieht er sich vielmehr allein auf die Zweckänderungsbefugnis im Rahmen der nach Art. 6 Abs. 1 DSGVO nach Maßgabe von Art. 6 Abs. 2 und 3 DSGVO zulässigen Datenverarbeitung.

(3)

Zwar existiere somit für die Datenweitergabe an eine private Stelle keine eigenständige Rechtsgrundlage im Rahmen eines presserechtlichen Auskunftsanspruchs.

Jedoch, so das BVerwG, kann Art. 6 Abs. 1 lit. f) DSGVO

„zur inhaltlichen Ausfüllung und Konkretisierung dieses Anspruchs herangezogen werden, der dann den Anforderungen des Gesetzesvorbehalts für einen Eingriff in das Recht auf informationelle Selbstbestimmung genügt“.

Zwar sei Art. 6 Abs. 1 lit. f) DSGVO auf behördliche Tätigkeiten nicht anwendbar, weil die Übermittlung von personenbezogenen Daten in den privaten Bereich einer ausdrücklichen gesetzlichen Entscheidung bedarf. Jedoch, so das BVerwG, können die materiellen Anforderungen zur gebotenen inhaltlichen Ausformung der Datenverarbeitung, wie sie in Art. 6 Abs. 1 lit. f) DSGVO vorgegeben sind, bei der Anwendung und Auslegung des presserechtlichen Auskunftsanspruchs berücksichtigt werden, wenn der Gesetzgeber, wie hier, gesetzlich zumindest im Grunde vorgesehen hat, dass entsprechende Drittinteressen vor einer Weitergabe zu berücksichtigen sind bzw. ganz allgemein eine gesetzliche Erlaubnis für die Weitergabe vorgesehen ist. Nach Ansicht des BVerwG ist dies hier der Fall. Das BVerwG begründet diese Folgerung nicht näher, scheint aber davon ausgehen, dass in Art. 4 Abs. 2 S. 2 BayPrG dem Grunde nach eine gesetzliche Erlaubnis für die Weitergabe vorgesehen ist, die jedoch inhaltlich um die materiellen datenschutzrechtlichen Vorgaben des Art. 6 Abs. 1 lit. f) DSGVO zu ergänzen ist. Art. 6 Abs. 1 lit. f) DSGVO muss folglich in die Anforderungen des Art. 4 Abs. 2 Satz 2 BayPrG hineingelesen werden.

Interessenabwägung

Danach befasst sich das BVerwG mit der Interessenabwägung. Diese fällt zugunsten des Auskunftsanspruchs des Journalisten aus.

Allgemein relevant für die Anwendung des Art. 6 Abs. 1 lit. f) DSGVO ist zudem noch der Hinweis des BVerwG, dass das Tatbestandsmerkmal der „Erforderlichkeit“ im Sinne einer Verhältnismäßigkeitsprüfung zu verstehen ist.

„Im Übrigen findet der Verhältnismäßigkeitsgrundsatz in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO seinen Niederschlag in der Regelung, dass die Datenübermittlung erforderlich sein muss“.

Fazit

Besonders relevant an dieser Entscheidung ist meines Erachtens die Feststellung des BVerwG zu der Unvereinbarkeit einer nationalen Regelung mit der DSGVO, wenn diese Regelung einen Erlaubnistatbestand für die Datenverarbeitung durch öffentliche Stellen im Rahmen der Ausübung ihrer Aufgaben darstellen soll, dabei aber auf den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO rekurriert. Eine solche Vorschrift kann nicht auf die Öffnungsklauseln der Art. 6 Abs. 2 und 3 DSGVO gestützt werden. Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG dürfte hier exemplarisch für viele weitere Erlaubnistatbestände sowohl im BDSG als auch Landesdatenschutzgesetzen stehen. Ausdrücklich verweist das BVerwG etwa in seiner Begründung auf § 25 Abs 2 Nr. 2 BDSG, der damit wohl auch als europarechtswidrig anzusehen wäre. Zuletzt ist aber darauf hinzuweisen, dass eine Europarechtswidrigkeit von nationalen Vorschriften verbindlich nur durch den EuGH festgestellt werden kann.

ePrivacy Verordnung: Bundesregierung sieht weiteren Beratungsbedarf

Die Verhandlungen zur ePrivacy Verordnung dauern weiter an. Da Ende Mai 2019 in ganz Europa die Wahlen für ein neues Europäisches Parlament anstehen, wird man damit rechnen müssen, dass vor diesen Wahlen eine finale Verabschiedung der ePrivacy Verordnung (inkl. eines Trilogs zwischen Kommission, Parlament und Rat) schwierig wird.

Auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag („Verhandlungen über den Datenschutz in der elektronischen Kommunikation (ePrivacy-Reform)“) hat die Bundesregierung am 21.12.2018 einige Informationen zum aktuellen Stand der Verhandlungen zur ePrivacy Verordnung und dem möglichen weiteren Ablauf gegeben (BT Drs. 19/6709, 21.12.2018, pdf).

Zum Zeithorizont äußert die Bundesregierung, dass sie grundsätzlich einen zeitnahen Abschluss der Verhandlungen anstrebt. Jedoch teilt sie auch mit, dass sie sich im Minterrat dafür ausgesprochen hat,

dass bestimmte Anliegen zunächst weiter beraten werden sollen, bevor über Verhandlungen mit dem Europäischen Parlament entschieden wird“.

Die Bundesregierung sieht folglich allgemein noch Beratungsbedarf. Wann die Verhandlungen im Rat aus ihrer Sicht abgeschlossen sein (oder werden) können, teilt sie nicht mit. Jedoch weißt die Bundesregierung noch darauf hin, dass derzeit eine Übergangsfrist von zwei Jahren für die ePrivacy Verordnung vorgesehen ist, die die Bundesregierung auch gefordert habe. Wenn es also tatsächlich im Laufe des Jahres 2019 zu einer Einigung zwischen Kommission, Parlament und Rat kommen sollte, dürfte die Anwendbarkeit der ePrivacy Verordnung wohl nicht vor 2021 zu erwarten sein.

Drei noch umstrittene Regelungsbereiche liegen nach Aussage der Bundesregierung in der Frage der zulässigen Verarbeitung von Metadaten ohne Einwilligung des betroffenen Endnutzers zu wirtschaftlichen Zwecken des Anbieters sowie in den Regelungen zum Schutz der Endgeräte. Also die Vorgaben zum Einsatz von Cookies auf Endgeräten oder dem Zugriff auf im Endgerät vorhandene Informationen. Einen weiteren wesentlichen Konfliktpunkt stellt wohl auch der Anwendungsbereich der ePrivacy Verordnung und das Verhältnis als Spezialgesetzgebung zur DSGVO dar.

Die Bundesregierung benennt zudem noch folgende Themen mit Diskussionsbedarf:

  • Bekämpfung der Kinderpornografie und des Missbrauchs von Kindern in den Netzen
  • Bestimmungen zum Schutz der Endeinrichtungen
  • Einstellungen zum Schutz der Privatsphäre in Browsersoftware
  • Aufsicht

Konkret zu dem Thema „Tracking Walls“ befragt, bekräftigt die Bundesregierung ihre bereits in der Vergangenheit geäußerte Ansicht,

dass werbefinanzierte Onlinedienste die Möglichkeit haben sollten, die Nutzung solcher Dienste von der Einwilligung in Cookies für Werbezwecke abhängig zu machen“.

Insgesamt deuten die Antworten der Bundesregierung darauf hin, dass es zum einen in wesentlichen Punkten noch Diskussionsbedarf zwischen den Mitgliedstaaten gibt und zum anderen ein rascher Abschluss der Verhandlungen (also etwa im ersten Halbjahr 2019) insgesamt wohl nicht zu erwarten ist.

Österreichische Datenschutzbehörde: Beschwerdeverfahren nach der DSGVO nur in der amtlichen Landessprache

Mit Entscheidung vom 21.09.2018 hat die Datenschutzbehörde in Österreich (DSB) die Beschwerde einer Person nach Art. 77 DSGVO zurückgewiesen, die sich nur auf Englisch über ein österreichisches Unternehmen per E-Mail bei der DSB beschwerte.

Zunächst brachte der Beschwerdeführer seine erste Eingabe in englischer Sprache per E-Mail an die DSB ein. Aus dem Inhalt der Eingabe vermutete die DSB, dass der Beschwerdeführer eine Beschwerde gegen eine in Wien niedergelassene Gesellschaft wegen einer Verletzung des Rechts auf Löschung (Art. 17 DSGVO) beabsichtigte.

Nach Aufforderung durch die DSB, die Beschwerde nachzubessern, verwies der Beschwerdeführer auf Artikel und Erwägungsgründe der deutschen Fassung der DSGVO, die Beschwerde selbst war jedoch erneut in englischer Sprache verfasst.

Die DSB verwies zur Begründung ihrer Aufforderung zur Nachbesserung des Antrags des Beschwerdeführers u.a. auf Art. 8 des Bundes-Verfassungsgesetzes (B-VG). Danach ist die deutsche Sprache als verfassungsmäßige Amtssprache der Republik in allen Eingaben bei österreichischen Behörden zwingend zu verwenden.

An dieser Auslegung ändere auch die DSGVO und insbesondere der hier relevante Art. 77 DSGVO zum Beschwerderecht betroffener Personen nichts.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person

unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.

Nach Ansicht der DSB hat auf dieser Grundlage eine betroffene Person bei Geltendmachung ihrer Rechte im Verwaltungsrechtsweg die internationale Wahl zwischen mehreren Aufsichtsbehörden im Gebiet der Europäischen Union hat, nämlich jener des gewöhnlichen Aufenthaltsortes der betroffenen Person, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Vorliegend könnte Zuständigkeit der österreichischen Aufsichtsbehörde begründet gewesen sein, da die Beschwerdegegnerin in Wien niedergelassen war.

Daraus ist aber nicht abzuleiten, dass ein Verfahren vor der Datenschutzbehörde durch eine Partei verfahrensrechtlich in einer anderen Sprache als der verfassungsmäßigen Amtssprache beantragt und geführt werden darf. Vielmehr sollen die alternativen Einbringungsbehörden einer betroffenen Person die Möglichkeit eröffnen, sich an eine geografisch näher gelegene Aufsichtsbehörde zu wenden, deren Amtssprache ihr geläufig ist.“

Aus diesem Grund wurde die Beschwerde hier zurückgewiesen. Die DSB verwies in ihrer Antwort an den Beschwerdeführer auch auf die Möglichkeit, dass dieser sich an die zuständige Aufsichtsbehörde an seinem gewöhnlichen Aufenthaltsort oder Arbeitsplatz im Gebiet der Europäischen Union wenden kann.

Auch in Deutschland kennen wir für die Kommunikation durch und gegenüber Behörden eine ähnliche Vorgabe, wie jene in Österreich, wenn auch nicht mit Verfassungsrang. Nach § 23 Abs. 1 VwVfG ist Amtssprache deutsch. Jedoch darf auch eine deutsche Behörde einen fremdsprachigen Antrag nicht einfach ignorieren (vgl. § 23 Abs. 2-4 VwVfG).

Datenschutzbehörde NRW: Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung

Die DSGVO enthält keine speziellen Vorgaben zu den technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, die per E-Mail versendet werden. Art. 32 Abs. 1 DSGVO gibt allgemein vor:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Beispielhaft („unter anderem Folgendes“) benennt Art. 32 Abs. 1 DSGVO in lit. a) auch die Verschlüsselung personenbezogener Daten. Eine unbedingte Pflicht, personenbezogene Daten stets nur verschlüsselt zu übermitteln, enthält die DSGVO aber nicht. In der Praxis ist die Frage, ob und wenn ja wann und in welcher Form Daten verschlüsselt übertragen werden sollten, ein Dauerbrenner.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) hat Ende 2018 ihre Position zu den technischen Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand veröffentlicht.

Nach Ansicht der LfDI NRW ist bei der Übermittlung von E-Mails grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene zu unterscheiden. Bei der Verschlüsselung auf Inhaltsebene werden Texte einer E-Mail sowie von Anhängen verschlüsselt. Hierbei kommen nach der Behörde in erster Linie die Standards S/MIME und OpenPGP infrage. Metadaten werden von der Inhaltsverschlüsselung jedoch nicht erfasst. Bei der Verschlüsselung auf Transportebene werden sowohl Meta- als auch Inhaltsdaten auf der Verbindung zwischen Mail-Client und Server bzw. zwischen verschiedenen Mail-Servern verschlüsselt.

Danach stellt die LfDI NRW ihre Positionen dar, die „bei der Wahl der technischen und organisatorischen Maßnahmen“ zugrunde zu legen seien.

Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird“.

Die LfDI NRW geht also davon aus, dass ausnahmslos immer mindestens eine Transport-Verschlüsselung umzusetzen ist. Wie oben erwähnt, ergibt sich eine solche zwingende Verschlüsselungspflicht nicht aus der DSGVO. Man könnte daher argumentieren, dass diese Auffassung über die Anforderungen der DSGVO hinausgeht. Eventuell geht die Behörde bei ihrer Beurteilung davon aus, dass die Transportverschlüsslung mittlerweile der in Art. 32 Abs. 1 DSGVO erwähnte „Stand der Technik“ ist. Hierfür könnte der Verweis auf die europäischen Provider sprechen. Dennoch sieht Art. 32 Abs. 1 DSGVO, neben dem Merkmal „Stand der Technik“, noch weitere Kriterien vor, die bei der Frage der umzusetzenden Maßnahmen berücksichtigt werden müssen, so insbesondere die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Verantwortliche und Auftragsverarbeiter müssten also nach der DSGVO immer noch die Möglichkeit haben, anhand dieser Merkmale zu beurteilen, ob eine Verschlüsselung der Daten zwingend erforderlich ist. Die Ansicht der Behörde geht auf die einzelnen, in Art. 32 Abs. 1 DSGVO genannten Kriterien leider nicht näher ein und begründet ihre Auffassung nicht. Würde man die Ansicht der LfDI NRW in der Praxis ernst nehmen, würde dies nicht nur für größere Unternehmen, sondern auch für Vereine, Handwerksbetriebe oder kleine Unternehmen bedeuten, dass diese E-Mails nur mit einer Transportverschlüsselung versenden dürfen.

Hinsichtlich der Art der Transportverschlüsselung ist die LfDI NRW der Auffassung, dass diese entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert werden sollte. Abweichungen können aber möglich sein.

Sollen per E-Mail „besonders schützenswerte Daten“ übermittelt werden, verlangt die LfDI NRW verständlicherweise höhere Anforderungen. Die Behörde versteht unter diesen Daten z.B. „Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten“. Eine alleinige Transportverschlüsselung sei dann möglicherweise nicht ausreichend. Die Behörde bezieht sich hierbei anscheinend auch auf die in Art. 9 Abs. 1 DSGVO erwähnten „besonderen Kategorien personenbezogener Daten“.

Interessant an der Aufzählung der LfDI NRW ist aber etwa das Beispiel der „Beschäftigtendaten“. Hierunter könnten dem Grunde nach bereits der Name und Vorname eines Beschäftigten fallen, ohne das weitere schützenswerte Daten betroffen sein müssen. In einem solchen Fall noch umfassendere Maßnahmen als eine Transportverschlüsselung zur fordern, erscheint jedoch dem Gründe nach nicht begründbar. So sieht etwa § 26 Abs. 3 BDSG iVm § 22 Abs. 2 BDSG auch nur bei der Verarbeitung besonderer Kategorien personenbezogener Daten von Beschäftigten die Pflicht vor, „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“.

Zuletzt ist noch darauf hinzuweisen, dass die LfDI NRW der Auffassung ist, dass der Betreff der E-Mail keine personenbezogenen Daten enthalten sollte.

Die LfDI NRW informiert darüber, dass die Datenschutzkonferenz derzeit Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation erarbeitet.

Aktueller Stand der ePrivacy Verordnung – Orientierungsaussprache der Minister am 4.12.2018

In einem aktuellen Dokument aus dem Rat der Europäischen Union vom 23.11.2018 geht hervor, wie sich derzeit die Verhandlungen zum Entwurf der ePrivacy Verordnung darstellen und welche Themen zwischen den Mitgliedstaaten noch Diskussionspunkte darstellen (Ratsdokument 14491/18, pdf).

Am 4.12.2018 soll zur ePrivacy Verordnung (ePrivacyVO) eine Orientierungsaussprache im Rat stattfinden. Das oben angegebene Dokument soll dabei als Grundlage dienen.

Zu dem aktuellen Stand der Beratungen informiert die Ratspräsidentschaft auf der Grundlage besonders wichtiger Themengebiete bzw. Artikel der ePrivacyVO.

Hinsichtlich der erlaubten Verarbeitung elektronischer Kommunikationsdaten (Art. 6) wird darauf hingewiesen, dass der Vorsitz die Möglichkeit einer weitergehenden konformen Verarbeitung elektronischer Kommunikationsmetadaten eingeführt hat und zudem als neuen Grund für die Verarbeitung elektronischer Kommunikationsdaten den Schutz von Endeinrichtungen aufgenommen hat. Es bestünden jedoch weiterhin Bedenken bezüglich ausreichender Anreize für Innovation und bezüglich der Notwendigkeit einer engeren Angleichung an die DSGVO.

Mit Blick auf Art. 8 (Schutz von in Endeinrichtungen gespeicherten Informationen; also die Regelung zu Cookies) verweist der Ratsvorsitz darauf, dass bislang überwiegend über die Frage des von Bedingungen abhängigen Zugangs zu Website-Inhalten diskutiert wurde und darüber, dass Geschäftsmodelle nicht beeinträchtigt werden dürfen, wie z. B. durch Werbung finanzierte Online-Dienste, insbesondere Medien-Websites, wobei die entsprechenden Bedingungen gemäß der DSGVO zu achten sind. Zwar wurden in der Vergangenheit mehrere Vorschläge zur Anpassung des Art. 8 und der korrespondierenden Erwägungsgründe unterbreitet, jedoch, so der Ratsvorsitz, scheint es, dass einige Mitgliedstaaten noch weitere Arbeiten an diesem Teil des Textes für erforderlich halten. Auch hinsichtlich Art. 8 ist also die Meinungsfindung im Rat noch nicht abgeschlossen und es wird noch über konkrete inhaltliche Fragen diskutiert.

Nach Informationen des Ratsvorsitzes haben die Bestimmungen über Voreinstellungen zur Privatsphäre (in Art. 10) während der gesamten Beratungen erhebliche Bedenken verursacht, unter anderem aus Gründen einer möglichen Belastung für Browser und Apps und auch des Wettbewerbsaspekts. Daher ergaben sich Zweifel am Mehrwert dieser Bestimmung. Unter Berücksichtigung dieser Elemente hat der Vorsitz beschlossen, Art. 10 zu streichen. Jedoch wurde auch diese Streichung unter den Mitgliedstaaten unterschiedlich aufgenommen.

In einer Anlage II zu dem Dokument formuliert der Ratsvorsitz Fragen für die Orientierungsaussprache auf der Tagung des Rates am 4. Dezember 2018. So sollen die Minister darüber beraten, ob die jüngsten Arbeiten im Rat den Text der ePrivacyVO in eine gute Richtung bewegt haben? Zudem schlägt der Ratsvorsitz vor, dass die Minister beraten sollen, welches diesbezüglich die wichtigsten offenen Fragen sind, die noch behandelt werden müssen, bevor die Verhandlungen mit dem Europäischen Parlament beginnen können?

Im Ergebnis möchte der Ratsvorsitz hier also eine Orientierungsdebatte auf einer politisch höheren Ebene (als auf Ratsarbeitsgruppe) anstrengen. Es soll auf Ministerebene (hier weitere Informationen und die Agenda) eine grobe Richtung für die weiteren Arbeiten und möglichen Trilogverhandlungen zur ePrivacyVO vorgegeben werden. Ob es noch vor den Neuwahlen des Europäischen Parlaments im nächsten Jahr tatsächlich zu Trilogverhandlungen kommt, könnte von den Ergebnissen dieser nun anstehenden Orientierungsaussprache abhängen.

Verwaltungsgericht Stade: Kein Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO bei unsubstantiierten Angaben

Mit Beschluss vom 9.10.2018 (Az. 1 B 1918/18) hat das Verwaltungsgericht Stade eine interessante Entscheidung zum „Recht auf Einschränkung der Verarbeitung“ nach Art. 18 DSGVO getroffen.

Sachverhalt

In dem Fall ging es um den Antrag eines abgelehnten Asylbewerbers gegen eine Behörde. Der Antragsteller begehrte die Einschränkung der Verarbeitung ihn betreffender personenbezogener Daten. Konkret ging es dem Antragsteller darum, dass die Behörde die Angabe „Staatsangehörigkeit: Guinea“ entweder berichtigen oder zumindest sperren sollte. Der Antragsteller stamme nämlich aus Sierra Leone.

Entscheidung

Das VG Stade lehnte den Antrag auf Erlass einer einstweiligen Anordnung ab. Als Anspruchsgrundlage für die begehrte Einschränkung der Verarbeitung der die Staatsangehörigkeit des Antragstellers betreffenden personenbezogenen Daten komme nur Art. 18 DSGVO in Betracht.

Diese Voraussetzungen lagen (bei der gebotenen summarischen Prüfung) jedoch nicht vor.

Im Folgenden prüft das VG Stade die verschiedenen Voraussetzungen der Tatbestände des Art. 18 Abs. 1 DSGVO ab. Ein Anspruch auf Einschränkung der Verarbeitung folge zunächst nicht aus Art. 18 Abs. 1 lit. a) DSGVO. Der Antragsteller habe die Richtigkeit der ihn betreffenden Daten nämlich nicht i.S.d. Art. 18 Abs. 1 lit. a) DSGVO „bestritten“.

Das „Bestreiten“ der Richtigkeit der personenbezogenen Daten setze voraus,

dass der Betroffene gegenüber dem Verantwortlichen substantiierte Angaben zur angeblichen Unrichtigkeit der verarbeiteten Daten macht (sog. qualifiziertes Bestreiten). Ein Bestreiten ohne Anhaltspunkte, mit dem die betroffene Person eine Verarbeitung möglicherweise richtiger, aber für sie nachteiliger Daten verhindern möchte, reicht nicht aus.

Diesen Anforderungen wurde der Antragsteller nicht gerecht. Der Antragsteller gab lediglich an, aus Sierra Leone zu stammen, bestreitet die Richtigkeit des Datums „Staatsangehörigkeit: Guinea“ und verweist darauf, dass ein Passersatzpapier für Guinea vom Antragsgegner rechtswidrig erlangt worden sei.

Dies reicht dem VG Stade jedoch nicht aus, um ein „Bestreiten“ anzunehmen. Insbesondere wird darauf verwiesen, dass etwaige Nachweise, aus denen sich die Staatsangehörigkeit ergibt, nicht vorgelegt wurden.

So dann stellt das VG Stade fest, dass ab Mitteilung einer Ablehnung einer auf Art. 18 Abs. 1 lit. a) DSGVO fußenden Berichtigung Art. 18 Abs. 1 lit. a) DSGVO grundsätzlich nicht mehr eingreife. Stattdessen kann die betroffene Person, wenn die Verarbeitung unrichtiger Daten rechtswidrig ist, ab der Ablehnung das Einschränkungsrecht nach Art. 18 Abs. 1 lit. b) DSGVO geltend machen.

Jedoch lehnt das VG Stade auch hier das Vorliegen der Voraussetzungen ab. Art. 18 Abs. 1 lit. b) DSGVO eröffne dem Betroffenen im Falle einer rechtswidrigen Verarbeitung ein Wahlrecht zwischen dem Löschungsrecht nach Art. 17 DSGVO und dem Einschränkungsrecht nach Art. 18 Abs. 1 lit. b) DSGVO. Der Betroffene kann die Löschung ablehnen und stattdessen, also nur alternativ die Einschränkung verlangen.

Jedoch verweist das VG Stade auch hier darauf, dass der Antragsteller nicht substantiiert geltend gemacht habe, dass die Datenverarbeitung durch den Antragsgegner i.S.d. Art. 18 Abs. 1 lit. b) DSGVO „unrechtmäßig“ erfolgt. Insbesondere sei nicht ersichtlich, dass der Antragsgegner im Hinblick auf den Antragsteller entgegen Art. 5 Abs. 1 lit. d) DSGVO sachlich unrichtige Daten zu seiner Staatsangehörigkeit verarbeite. Das VG Stade geht also auch nicht von einem Verstoß gegen Datenschutzgrundsätze aus.

Zuletzt lehnt das VG Stade den Anspruch auf Einschränkung auch auf der Grundlage von Art. 18 Abs. 1 lit. d) DSGVO ab.

Das darin angelegte Einschränkungsrecht setzt tatbestandlich voraus, dass ein Widerspruchsrecht nach Art. 21 DSGVO besteht. Das ist hier jedoch nicht der Fall. Ein Widerspruchsrecht existiert nach Art. 21 Abs. 1 Satz 1 DSGVO nur gegen die Verarbeitung personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt. Im Falle des Antragstellers erfolgt die Verarbeitung seiner personenbezogenen Daten allerdings zur Erfüllung einer rechtlichen Verpflichtung und damit nach Art. 6 Abs. 1 lit. c) DSGVO. Die rechtliche Verpflichtung des Antragsgegners zur Verarbeitung der personenbezogenen Daten des Antragstellers, insbesondere des Datums der Staatsangehörigkeit folge u.a. aus §§ 62, 63, 64 Abs. 1 Nr. 7 der – auf der Grundlage von § 99 Abs. 2 AufenthG erlassenen – Aufenthaltsverordnung (AufenthV).

Die Entscheidung des VG Stade befasst sich mit einem der eher „unspektakulären“ Betroffenenrecht. Gerade aus diesem Grund ist die inhaltliche Prüfung der Voraussetzungen und auch die Auslegung der Anforderungen er DSGVO durch das Gericht so relevant.