Category Archives: Auskunft

Hat die Datenschutzbehörde NRW das Thema „Herausgabe von E-Mails im Rahmen der Auskunft“ geklärt?

Posted on by

Werden in der Praxis Auskunftsanspräche nach Art. 15 DSGVO geltend gemacht, stellt sich oft die Frage, wie weit der Begriff „personenbezogene Daten“ und auch jener der „Kopie“ in Art. 15 Abs. 3 DSGVO zu verstehen sind, wenn es um eine mögliche Herausgabe von E-Mails geht. Der Klassiker ist hierbei etwa die Auskunft eines ehemaligen Mitarbeiters, der mehrere Jahre im Unternehmen gearbeitet und hunderte oder tausende E-Mails erzeugt hat.  

Vorgaben des EuGH

Eine klare Aussage des EuGH, ob E-Mails an sich im Rahmen des Art. 15 DSGVO herauszugeben sind, wenn etwa im AN-Feld oder im CC-Feld die personalisierte E-Mail-Adresse des Betroffenen vorkommt, fehlt bisher.

Die Vorgaben des EuGH sind:

  • Der Begriff „Kopie“ bezieht sich nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen.
  • Der Begriff „Kopie“ bezeichnet die originalgetreue Reproduktion oder Abschrift, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand einer Verarbeitung sind, nicht ausreicht.
  • Die Kopie, die der Verantwortliche zur Verfügung zu stellen hat, muss alle personenbezogenen Daten erhalten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen, die es der betroffenen Person ermöglichen, ihre Rechte gemäß der Verordnung wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben.
  • Es kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten.

Und wie ist vor diesem Hintergrund eine E-Mail zu beauskunften, in deren AN-Feld oder etwa im CC der Name des Betroffenen als E-Mail-Adresse vorhanden ist? Ist dann nur die E-Mail-Adresse zu beauskunften oder ist erforderlich, dass die ganze Mail (etwa als Ausdruck oder als PDF) herausgegeben wird?

Ansicht der LDI NRW zu Namen in Briefköpfen

In ihrem letzten Tätigkeitsbericht 2023 befasst sich die LDI NRW zwar nicht mit der Auskunft zu E-Mails, jedoch mit einer aus meiner Sicht durchaus vergleichbaren Situation: müssen Dokumente / Briefe an einen Betroffenen herausgegeben werden, wenn sein Name in dem Briefkopf enthalten ist, der auf den Dokumenten steht, der Inhalt der Dokumente aber sonst keinen Bezug zur Person aufweist? Übertragen auf unseren E-Mail-Fall also etwa, wenn die E-Mail-Adresse im AN- oder CC-Feld vorhanden ist.

Die LDI NRW war mit einem Fall befasst, in dem sich ein Rechtsanwalt auf sein Auskunftsrecht nach Art. 15 DSGVO gegenüber einer Versicherung berief. Er verlangte Kopien des gesamten Schriftverkehrs zwischen der Versicherung und einer Kanzlei, in der er Partner war. Er begründete seinen Auskunftsanspruch damit, dass sein Name, wie es das Berufsrecht vorschreibt, als Partner auf dem Briefbogen der Kanzlei genannt ist.

Entscheidend kommt es aus Sicht der LDI hierbei auf die Vorgabe des EuGH an, dass eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten nur dann erforderlich ist, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Zwar stelle die Nennung des Namens des Anwalts auf den Schreiben an die Versicherung ist ein personenbezogenes Datum dar. In unserem Fall, die E-Mail-Adresse.

Der Auskunftsanspruch erstreckt sich aber deswegen nicht automatisch auf alle Inhalte einer umfassenden Korrespondenz.“

In unserem Fall: nur weil eine E-Mail in einem AN- oder CC-Feld die E-Mail-Adresse erhält, erstreckt sich das Auskunftsrecht noch nicht per se auf den Inhalt der E-Mails.

Eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten sieht die LDI (mit dem EuGH) nur dann als erforderlich an, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen.

Im vorliegenden Fall kam die LDI zu dem Schluss:

Eine solche Kopie von Dokumenten ist bei Schreiben, in denen der Anwalt nur im Kopfbogen steht, nicht unerlässlich für das Verständnis und damit nicht erforderlich.“

Um meine Frage aus der Überschrift zu beantworten: nein, die LDI hat das Thema nicht geklärt – zumindest nicht direkt. Jedoch lässt sich die Ansicht und Argumentation der LDI auf E-Mail-Sachverhalte übertragen. Allein der Umstand, dass eine personalisierte E-Mail-Adresse in E-Mails enthalten ist, bedeutet nicht, dass diese E-Mails als Ganzes herauszugeben sind.

Oberverwaltungsgericht: Kein Anspruch des Betroffenen auf Vorlage und Prüfung von Auftragsverarbeitungsverträgen

Posted on by

Der Bayerische Verwaltungsgerichtshof (VGH) hat mit Beschluss vom 21.02.2025 (Az 7 ZB 24.651) eine vorangegangene Entscheidung des Verwaltungsgerichts München zur Frage der Einsichtnahme von Betroffenen in Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestätigt.

Sachverhalt

Der Kläger verlangte Einsicht in Auftragsverarbeitungsverträge, die der Beklagte (der Bayerische Rundfunk mit einem Inkassounternehmen geschlossen hatte. Das Unternehmen war mit der Beitreibung von Rundfunkbeiträgen beauftragt worden. Die Einsicht in den Vertrag lehnte der Beklagte ab.

Das Verwaltungsgericht wies die daraufhin erhobene Klage ab und begründete dies im Wesentlichen damit, dass keine Anspruchsgrundlage für den geltend gemachten Anspruch auf Einsichtnahme existiere.

Entscheidung

Nach Ansicht des VGH besteht für den Betroffenen kein berechtigtes Interesse an der Einsichtnahme in den zwischen dem Beklagten und dem Unternehmen gemäß Art. 28 DSGVO geschlossen Auftragsverarbeitungsvertrag.

Ein solches ergibt sich insbesondere nicht – wie der Kläger meint – daraus, dass er selbst in der Lage sein müsse, zu überprüfen, ob ein „wirksamer Auftragsverarbeitungsvertrag“ mit dem nach Art. 28 Abs. 3 DSGVO „vorgeschriebenen Inhalt“ tatsächlich geschlossen wurde“.

Das Gericht argumentiert, dass für die Überwachung der Anwendung der DSGVO gemäß Art. 51 Abs. 1 DSGVO die Aufsichtsbehörde zuständig ist – aber nicht Private. Zu den Aufgaben der Aufsichtsbehörde gehört gemäß Art. 57 Abs. 1 Buchst. a DSGVO die Überwachung und Durchsetzung der Anwendung der DSGVO.

Die Aufsichtsbehörde kann gegebenenfalls im Rahmen einer Beschwerde nach Art. 77 DSGVO die Rechtmäßigkeit einer Auftragsdatenverarbeitung prüfen und die hierzu eingeräumten Befugnisse nach Art. 58 DSGVO nutzen.

Dem Betroffenen selbst ist hingegen nach Art. 15 DSGVO nur ein Auskunftsrecht über die eigenen personenbezogenen Daten eingeräumt.

Ein Recht auf eigenständige Rechtmäßigkeitsüberprüfung steht ihm hingegen nicht zu. Vor diesem Hintergrund hat vorliegend der Kläger kein berechtigtes Interesse, selbst den Abschluss und die Rechtmäßigkeit eines Auftragsverarbeitungsvertrags zu prüfen.“

DSGVO-Auskunft über Daten in Backups – wann liegt ein „unverhältnismäßiger Aufwand“ vor?

Posted on by

In der Praxis stellt sich im Rahmen der Erfüllung von Auskunftsansprüchen nach Art. 15 DSGVO sehr oft die Frage, ob auch solche personenbezogenen Daten zu beauskunften sind, die nur noch in Backups gespeichert werden.

§ 34 Abs. 1 Nr. 2 b) BDSG sieht hierzu eine mögliche Ausnahme für Verantwortliche vor.

Danach besteht das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO nicht, wenn die Daten 1) ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und 2) die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie 3) eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Rechtsprechung zu diesem Thema, findet sich kaum. Daher lohnt sich für die praktische Umsetzung durchaus der Blick in Hinweise von Aufsichtsbehörden, die sich mit dem Thema befassen.

Konkret hat etwa der BayLfD in seiner Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnung“ zu einer solchen, wie in § 34 BDSG vorgesehenen Ausnahme, im Rahmen des § 83 Abs. 1 Nr. 2 SGB X Stellung genommen. Der BayLfD weist auch ausdrücklich darauf hin, dass sich die Ausschlussgründe des § 83 Abs. 1 Nr. 2 SGB X auch in Parallelbestimmungen in § 34 Abs. 1 Nr. 2 BDSG finden.

Aus diesem Grund ist die Auslegung des BayLfD auch für den Anwendungsberiech von § 34 BDSG nutzbar. Nachfolgen stelle ich kurz die Ansicht zu den obigen Anforderungen nach 1) und 2) dar.

Zwecke der Datensicherung oder der Datenschutzkontrolle

Zunächst müsste ein Backup unter das Merkmal der „Datensicherung“ oder „Datenschutzkontrolle“ fallen. Nach Ansicht des BayLfD ist dies für personenbezogene Daten in Backups der Fall:

Der Datensicherung dienen insbesondere Backup-Dateien, der Datenschutzkontrolle etwa Protokolldateien.“

Wichtig: § 34 BDSG fordert ausdrücklich, dass die Daten in Backups ausschließlich für die Zwecke der Datensicherung oder Datenschutzkontrolle vorgehalte werden würfen. Sollten die Daten auch für andere Zweck verwendet werden, greift die Ausnahme nicht.

Unverhältnismäßiger Aufwand

Besonders schwierig stellt sich in der Praxis die Antwort auf die Frage dar, wann denn eine Auskunftserteilung mit einem unverhältnismäßigen Aufwand verbunden ist?

Zunächst geht der BayLfD davon aus, dass „die Erteilung von Auskunft genauso zum Aufgabenkreis der öffentlichen Stelle gehört wie alle anderen Aufgaben“.

Bedeutet, dass also der Grundsatz stets die Pflichtenerfüllung sein muss – in unserem Fall, die Auskunft zu erteilen. Ausnahmen sind grundsätzlich restriktiv auszulegen.

Nach Ansicht des BayLfD zielt § 83 Abs. 1 Nr. 2 SGB X (und parallel auch § 34 Abs. 1 Nr. 2 b) BDSG) auf einen „ausgewogenen“ Ressourceneinsatz.

Dies bedeutet, dass das begrenzte personelle und sachliche Leistungspotenzial möglichst so genutzt werden, dass im öffentlichen Bereich des SGB X alle Bürgerinnen und Bürger eine ordnungsgemäße, insbesondere auch zeitgerechte Bearbeitung für ihre Anliegen erhalten.

Übertragen auf den weiteren öffentlichen und privatwirtschaftlichen Anwendungsbereich des § 34 Abs. 1 Nr. 2 b) DSGVO könnte mal umformulieren: im Rahmen der dem Verantwortlichen zur Verfügung stehenden Kapazitäten sollen Bürger/Kunden/Nutzer etc. zunächst und primär jene Leistungen erhalten, auf die sie einen gesetzlichen oder vertraglichen Anspruch haben.

Zu § 83 SGB X erläutert der BayLfD dann:

wird – bei einer Sozialbehörde – die für das „Kerngeschäft“ der Leistungsgewährung zur Verfügung stehende Zeit knapp, erlaubt es § 83 Abs. 1 Nr. 2 SGB X, auf die typischerweise aufwändige Auswertung von Backup- oder Protokolldateien zu verzichten.“

Für § 34 BDSG im privatwirtschaftlichen Bereich könnte man etwa ableiten, dass die Ausnahme dann greifen kann, wenn die Hauptleitungen an Kunden und Nutzer durch die Arbeit an einer (oder mehreren) Auskünften die Erfüllung der Hauptleitungen, also Tätigkeiten des Kerngeschäfts, für andere Personen erschweren oder einschränken.

Hiergegen mag man einwenden, dass das Beispiel des BayLfD ja in einem sensiblen und gesellschaftlich wichtigen Bereich der Leistungsgewährung des Staates gegenüber Bürgern spielt. Dort müsse quasi die „Daseinsvorsorge Vorrang haben“. Diesem Argument könnte man aber entgegenhalten, dass der Staat, wenn er hier personelle Engpässe sieht, genauso wie ein Unternehmen entsprechend reagieren kann und müsste. Der BayLfD verweist jedoch nicht auf ein solches Kriterium.

Weiter führt die Aufsichtsbehörde Kriterien an, wann die Unverhältnismäßigkeit angenommen werden könnte:

  • wenn die betroffene Person aus der Ankunft zu den Backups keinen „Mehrwert“ erlangen kann, weil etwa feststeht, dass Backup-Dateien keine zusätzlichen Informationen bieten können, oder
  • wenn bei einer kleineren Behörde trotz anlassbezogener organisatorischer Vorkehrungen das „Kerngeschäft“ über einen längeren Zeitraum nicht ordnungsgemäß durchgeführt werden könnte.

Insbesondere das zweite Kriterium könnte im privatwirtschaftlichen Bereich für kleine Unternehmen ein guter Anhaltspunkt sein. Wenn man sich als Unternehmen, im Rahmen seiner Möglichkeiten und verhältnismäßigem Aufwand, ordentlich um den Datenschutz kümmert, dann kann die Auskunft zu Daten aus Backups unverhältnismäßig sein, wenn dadurch die Hauttätigkeit des Unternehmens beeinträchtigt wird (etwa durch personellen Zusatzaufwand). Zum Abschluss ist noch darauf hinzuweisen, dass im Fall der Ablehnung einer Auskunft der Verantwortliche nach § 34 Abs. 2 BDSG in jedem Fall die Gründe der Auskunftsverweigerung zu dokumentieren hat und auch die Ablehnung der Auskunftserteilung gegenüber der betroffenen Person begründen muss.

Kann der Auskunftsanspruch nach Art. 15 DSGVO verjähren? Amtsgericht sagt „nein“ – Ausschluss der Geltendmachung aber möglich

Posted on by

Das Amtsgericht Chemnitz entscheid in seinem Urteil vom 22.11.2024 (16 C 1063/24; aktuell abrufbar bei BeckOnline, GRUR-RS 2024, 33206), dass der Auskunftsanspruch nach Art. 15 DSGVO nicht verjähren kann.

Zum einen sehe das Europarecht eine Verjährung des Auskunftsanspruchs nicht vor.

Zum anderen könne der Anspruch aber auch seiner Natur nach nicht verjähren, da er keine Entstehungsvoraussetzungen kennt, sondern jederzeit voraussetzungslos geltend gemacht werden kann.

Dies gelte selbst in Fällen, in denen gar keine personenbezogenen Daten verarbeitet werden, denn in diesen besteht immerhin ein Anspruch auf Negativauskunft.

Verzicht bzw. Ausschluss aber möglich

Sowohl nach Ansichten von Gerichten als auch Aufsichtsbehörden ist jedoch ein Verzicht auf die Ausübung des Rechts bzw. eine entsprechende Vereinbarung möglich.

Das Landesarbeitsgericht (LAG) Hamburg hat etwa mit Urteil vom 11.06.2024 (Az. 3 SLA 2/24) hierzu eine praxisrelevante Entscheidung zum vertraglichen Ausschluss von Betroffenenrechten nach der DSGVO getroffen.

Sachverhalt
Grundlage für die Entscheidung war die Klage einer Arbeitnehmerin u.a. gegen folgende Regelung im Arbeitsvertrag:

„§13 Ausschlussfristen
Abs. 1: Alle beiderseitigen Ansprüche aus dem Arbeitsverhältnis und solche, die mit dem Arbeitsverhältnis in Verbindung stehen, verfallen, wenn sie nicht innerhalb von drei Monaten nach Fälligkeit gegenüber der anderen Vertragspartei schriftlich oder in Textform (§ 126 BGB) geltend gemacht werden.“

Abs. 3: Diese Ausschlussklausel gilt nicht für Ansprüche, die auf eine Haftung wegen vorsätzlichen Handelns beruhen. Des Weiteren gilt diese Ausschlussklausel nicht für Ansprüche auf Vergütung der Arbeitsleistung In Höhe des jeweiligen gesetzlichen Mindestlohns.“

Nach Ansicht der Arbeitnehmerin halte § 13 des Arbeitsvertrages der AGB-Kontrolle nicht stand. Zwar enthalte § 13 Abs. 3 ArbV eine Rückausnahme gewisser Ansprüche, auf die nicht verzichtet werden könne. Die Rückausnahme sei aber nicht ausreichend. Umfasst seien auch Auskunftsansprüche nach der DSGVO (z.B. Art. 12 DSGVO, Art. 15 DSGVO) und Schadensersatzansprüche (z.B. nach Art. 82 DSGVO). Es sei der Arbeitgeberin aber verwehrt, bereits im Vorwege eines Datenschutzverstoßes die Durchsetzung von Rechten aus der DSGVO zu erschweren.

Entscheidung des LAG
Nach Ansichtd es LAG ist die Geltendmachung von DSGVO-Ansprüchen grundsätzlich dispositiv.

  • Die Regelung in § 13 ArbV unterliegt der Inhaltskontrolle nach §§ 307 ff. BGB. Sie mag auch gegen § 309 Nr. 7 a) und b) BGB verstoßen.
  • Die Verstöße seien unter Berücksichtigung der im Arbeitsrecht geltenden Besonderheiten nach § 310 Abs. 4 Satz 2 BGB allerdings nicht so gewichtig, dass sie zur Unwirksamkeit der Verfallklausel führen.
  • Dass Ansprüche nach der DSGVO nicht ausdrücklich vom Verfall ausgenommen sind, führt nicht zur Unwirksamkeit der vertraglichen Ausschlussfristenregelung.
  • Die DSGVO und deren Erwägungsgründe treffen keine Aussage über die Disposivität der in der DSGVO niedergelegten Betroffenenrechte.
  • Nach dem Grundsatz der Verfahrensautonomie kommt den Mitgliedsstaaten und deren innerstaatlicher Rechtsordnung insoweit das Ausgestaltungsrecht zu. Die getroffenen Regelungen dürfen nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte innerstaatlicher Art regeln (Äquivalenzgrundsatz) und die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz).

Zudem waren hier auch der Äquivalenz- und Effektivitätsgrundsatz gewahrt.

  • Äquivalenzgrundsatz: Da vertragliche Ausschlussfristen nicht den Inhalt eines Anspruchs betreffen, sondern nur den Fortbestand eines bereits entstandenen Rechts regeln, wird die Entstehung des Anspruchs nicht von zusätzlichen Voraussetzungen abhängig gemacht und der Grundsatz der Äquivalenz gewahrt.
  • Effektivitätsgrundsatz: Die Festsetzung von angemessenen Ausschlussfristen ist als ein Anwendungsfall des Prinzips der Rechtssicherheit grundsätzlich mit dem Erfordernis der Effektivität vereinbar (st. Rspr. des EuGH). Derartige Fristen sind nicht geeignet, die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte praktisch unmöglich zu machen oder übermäßig zu erschweren, wenn (!) der Fristlauf nicht vor dem Zeitpunkt beginnt, zu dem der Arbeitnehmer von den anspruchsbegründenden Tatsachen Kenntnis erlangt.
  • Hier knüpft die vertragliche Regelung den Fristbeginn an die Fälligkeit des Anspruchs.
  • Fälligkeit tritt aber nicht ohne weiteres schon mit der Entstehung des Anspruchs ein.
  • Es muss dem Gläubiger tatsächlich möglich sein, seinen Anspruch geltend zu machen. Ein Anspruch ist deshalb regelmäßig erst dann im Sinne der Ausschlussfrist fällig, wenn er für den Arbeitnehmer aufgrund der Gesamtumstände erkennbar und durchsetzbar ist.
  • Die Ausschlussfrist beginnt daher nicht zu laufen, ohne dass der Klägerin die anspruchsbegründenden Tatsachen überhaupt bekannt sind.

Wann sind DSGVO-Betroffenenanfragen „exzessiv“? Generalanwalt entwickelt praktische Checkliste

Posted on by

Wann sind Betroffenenanfragen „exzessiv“ und können von Verantwortlichen entweder zurückgewiesen oder für ihre Bearbeitung ein angemessenes Entgelt verlangt werden? Diese Frage spielt in der Praxis insbesondere für Unternehmen oder auch öffentliche Stellen eine Rolle, die etwa in kurzer Zeit mit vielen Anfragen, z. B. auf Auskunft oder Löschung, von ein und derselben Person konfrontiert werden.

Generalanwalt de la Tour (GA) hat sich mit der Frage der „Exzessivität“ von Anträgen an Aufsichtsbehörden in seinen Schlussanträgen vom 5.9.2024 (Rechtssache C‑416/23) befasst. Die österreichische Aufsichtsbehörde weigerte sich gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, da sie sie als „exzessiv“ erachtete. Der Beschwerdeführer hatte innerhalb eines Zeitraums von ca. 20 Monaten 77 Beschwerden an sie gerichtet, mit denen er beanstandet hatte, dass jeweils verschiedene Verantwortliche nicht innerhalb eines Monats auf seine Anträge auf Auskunft bzw. Löschung geantwortet hätten.

Für Verantwortliche sind die Schlussanträge für Betroffenenanfragen interessant, weil der GA im Rahmen seiner Erläuterungen explizit davon ausgeht, dass seine Begründung auch für Art. 12 Abs. 5 DSGVO gilt.

Begründung übertragbar auf Art. 12 Abs. 5 DSGVO
Kurz zum Hintergrund. Nach Art 57 Abs. 4 DSGVO kann die Aufsichtsbehörde, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen eine angemessene Gebühr verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. Ähnlich findet sich eine solche Regelungen für Betroffenenanfragen nach Art. 15-22 DSGVO in Art. 12 Abs. 5 DSGVO. Danach kann der Verantwortliche, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Anzahl der Anfragen als Kriterium?
Im konkreten Fall wollte das vorlegende Gericht aus Österreich im Wesentlichen wissen, ob Anfragen allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ eingestuft werden können oder ob zudem nachgewiesen werden muss, dass die Person, die diese Anfragen bei einer Aufsichtsbehörde stellt, mit missbräuchlicher Absicht handelt.

Der GA lehnt eine solche Sichtweise ab.

die Anzahl der von einer betroffenen Person bei einer Aufsichtsbehörde gestellten Anfragen, so groß sie auch sein mag

könne, für sich genommen kein ausreichendes Kriterium sein, um festzustellen, dass „exzessive Anfragen“ im Sinne der Bestimmung vorliegen.

Eine andere Entscheidung, bei der etwa ein Schwellenwert festgelegt würde, ab dem eine Aufsichtsbehörde diese Beschwerden allein aufgrund ihrer Anzahl als „exzessiv“ einstufen könnte, würde die von der DSGVO gewährleisteten Rechte, die ich zuvor aufgezählt habe, beeinträchtigen.

Begründung zu Art. 57 Abs. 4 DSGVO auf Art 12 Abs. 5 DSGVO übertragbar
Nach Ansicht des GA sind Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO ähnlich formuliert und beruhen auf derselben Logik. Diese Ansicht ist durchaus für die Auslegung und Anwendung der Vorschriften relevant, denn es geht hierbei um den Zweck der Vorschriften.
Nach Ansicht der GA besteht dieser darin

zu vermeiden, dass dem Verantwortlichen bzw. der Aufsichtsbehörde eine unverhältnismäßige Belastung auferlegt wird, die geeignet ist, ihr ordnungsgemäßes Funktionieren zu beeinträchtigen“.

Rechtsmissbrauch im EU-Recht
Art. 12 Abs. 5 DSGVO und Art. 57 Abs. 4 DSGVO spiegelt nach Ansicht des GA die ständige Rechtsprechung des EuGH wider,

nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen“.

Insbesondere kann im Zusammenhang mit Art. 57 Abs. 4 DSGVO ein missbräuchliches Vorgehen festgestellt werden, wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der Verordnung zu schützen.

Große Anzahl von Anfragen? Verantwortlicher muss im Zweifel Kapazitäten schaffen
Dass allein die Anzahl an Betroffenenanfragen noch kein taugliches Kriterium ist, begründet der GA auch mit dem Stellenwert der Betroffenenrechte. Zu Art. 57 Abs. 4 DSGVO führt er aus:

Folglich könnte es meines Erachtens die Verwirklichung dieses Ziels beeinträchtigen, wenn es den Aufsichtsbehörden gestattet würde, allein deshalb festzustellen, dass die Beschwerden exzessiv sind, weil ihre Anzahl groß ist.“

Konkret am Beispiel der Aufsichtsbehörden begründet der GA zudem, dass eine prozessuale Überforderung mit Anträgen nicht zu lasen der Betroffenen gehen darf – dies kann man durchaus als Begründung auch auf die interne Organisation und Struktur von Verantwortlichen übertragen.

Mit Blick auf Aufsichtsbehörden haben die Mitgliedstaaten sicherzustellen, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können.

Folglich sind diese Ressourcen an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden bei den Aufsichtsbehörden einzureichen“.

Enge Auslegung von Ausnahmevorschriften
Aufgrund der Wichtigkeit der Betroffenenrechte und des Ausnahmecharakters der beiden hier relevanten Vorschriften weist der GA darauf hin, dass Betroffene etwa ihr Recht auf Auskunft nach Art. 15 DSGVO mehrfach bei demselben Verantwortlichen ausüben können, ohne dass die Wiederholung einer Anfrage als solche als „exzessiv“ eingestuft werden kann. Auch dies ist eine wichtige Aussage für die Praxis.

In Bezug auf Art. 57 Abs. 4 DSGVO stellt der GA klar, dass die Vorschrift als Ausnahme eng auszulegen ist. Die Anwendung ist auf das zu beschränken ist, was unbedingt erforderlich ist, um zu verhindern, dass das mit ihm verfolgte Ziel, dass die Aufsichtsbehörden ordnungsgemäß funktionieren, beeinträchtigt wird.

Prüfung im Einzelfall – welche Kriterien sind relevant?

Die Prüfung von exzessiven Anfragen muss auf der Grundlage der Umstände des Einzelfalls erfolgen.

Die Aufsichtsbehörde / der Verantwortliche muss nachweisen,

dass diese Anzahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht.

Und der GA gibt hierzu noch einen Hinweis. Ein solcher Nachweis kann etwa dann gegeben sein, wenn

sich aus den Umständen ergibt, dass die große Anzahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen ohne berechtigten Grund in Anspruch genommen werden“.

Für uns in der Praxis kann dies also Fälle betreffen, in denen Betroffene offenkundig und vorsätzlich Anträge stellen, um etwa das Unternehmen oder den (ex) Arbeitgeber in seinem normalen Arbeitsalltag zu beeinträchtigen. Wenn es also klar überhaupt nicht um den Datenschutz geht.

Die Häufung von Beschwerden / Anträgen kann nach Ansicht des GA durchaus ein Indiz für exzessive Anfragen einer betroffenen Person sein,

wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht“.

Und der GA wird hierzu noch etwas konkreter und gibt eine Art Checkliste an, die man bei der Prüfung gut verwenden könnte. Dies kann z. B. dann der Fall sein, wenn Beschwerden / Anträge

  • denselben Verantwortlichen betreffen,
  • denselben Inhalt haben,
  • sich auf dieselben Verpflichtungen aus der DSGVO beziehen und
  • in übertrieben kurzen Zeitabständen eingereicht werden, ohne dass eine Änderung der tatsächlichen Umstände dies rechtfertigt, und
  • damit die Absicht der betroffenen Person erkennen lassen, das ordnungsgemäße Funktionieren der Aufsichtsbehörde / Funktionieren des Verantwortlichen zu beeinträchtigen, anstatt den Schutz der ihr durch diese Verordnung verliehenen Rechte zu erreichen.

Ausforschung des Prozessgegners per Auskunftsanspruch nach Art. 15 DSGVO? Bundesverwaltungsgericht Österreich sagt „nein“. 

Posted on by

In einer Entscheidung vom 8.7.24 (Geschäftszahl W137 2278780-1) hat sich das österreichische Bundesverwaltungsgericht (BVwG) u.a. mit der Frage befasst, ob und wie weit der Auskunftsanspruch nach Art. 15 DSGVO reicht, wenn dieser gegenüber einer Partei geltend gemacht wird, mit der der Betroffene aktuell in rechtlichen (gerichtlichen) Auseinandersetzungen steht. Insbesondere ging es um die Anwendung der Ausnahmevorschrift nach Art. 15 Abs. 4 DSGVO in diesem Fall.

Sachverhalt

Die betroffene Person beschwerte sich bei der österreichischen Datenschutzbehörde (DSB), da sie ihr Recht auf Auskunft nach Art. 15 DSGVO verletzt sah. Sie verlangte Auskunft von einer Bildungsbehörde. Diese erteilte auch Auskunft, jedoch nicht von vollem Umfang. Zum Teil wurde die Auskunft verweigert, weil gegen die betroffene Person zwei arbeits- und sozialgerichtliche Verfahren anhängig waren, wobei etwaige E-Mailverläufe sowie Stellungnahmen Teil dieser Verfahren seien und daher nicht herausgegeben wurden.

Die DSB wies die Beschwerde u.a. mit dem Argument zurück, dass die Verweigerung der Zurverfügungstellung einer Datenkopie dann gerechtfertigt sei, wenn die Geheimhaltungsinteressen des Verantwortlichen bzw. Dritter gegenüber dem Auskunftsinteresse des Beschwerdeführers überwiegen würden. Da derzeit ein Zivilverfahren anhängig war, sei dem Verantwortlichen ein diesbezügliches Interesse an der Geheimhaltung von Beweismitteln zuzubilligen, zumal dadurch eine Verschlechterung der Prozessposition zu befürchten wäre.

Entscheidung des BVwG

Das BVwG folgt der Begründung der DSB und sieht keinen Verstoß gegen Art. 15 DSGVO. Die Ansicht des BVwG ist vor allem deshalb praxisrelevant, da Art. 15 DSGVO oft (ziemlich klar) dafür verwendet wird, um an Dokumente und Informationen bei dem Verantwortlichen zu gelangen, die im Rahmen eines Rechtsstreits verwendet werden sollen. 

Nun mag man entgegenhalten: aber der EuGH hat doch entschieden, dass der Auskunftsanspruch auch für „datenschutzfremde“ Zweck ausgeübt werden kann (z.B. EuGH, C-307/22 Rz. 43). Ja, das stimmt. Der EuGH hatte aber noch nicht die (im hier vorliegenden Fall relevante) Frage zu entscheiden, inwiefern sich der Verantwortliche oder auch Dritte in einer solchen Situation auf die Ausnahme nach Art. 15 Abs. 4 DSGVO berufen dürfen, wenn es um die Geheimhaltung von Dokumenten u.a. für die eigene Verfahrens-/Prozessposition geht.  

Das BVwG weist darauf hin, dass nach ErwG 63 DSGVO die Ausnahme nach Art. 15 Abs. 4 DSGVO Geschäftsgeheimnisse und Rechte des geistigen Eigentums, insbesondere das Urheberrecht an Software schützen soll. 

Es ist aber davon auszugehen, dass grundsätzlich alle Rechte und Freiheiten, die von dem Recht der Union oder der MS anerkannt sind, relevant sein werden“.

Daher geht das Gericht davon aus, dass Unterlagen nicht vom Auskunftsrecht umfasst sind (man müsste wohl eher sagen: zwar umfasst, aber im Wege der Ausnahme ausgenommen sind), wenn der Verantwortliche eine E-Mail beauskunften muss, in dem auch andere Personen genannt werden, deren Interessen höher einzustufen sind als jene des Betroffenen. 

Nach der auf Grundlage der Öffnungsklausel des Art. 23 DSGVO erlassenen Bestimmung des § 4 Abs. 6 DSG in Österreich besteht das Auskunftsrecht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen „in der Regel“ dann nicht, wenn durch die Erteilung der Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährdet würde. 

Aus dem Einschub „in der Regel“ schließt das BVwG, dass hier kein absolutes Ablehnungsrecht geschaffen wurde, sondern sorgfältig abzuwägen sein wird, inwieweit die Auskunftserteilung dieses Recht tatsächlich beeinträchtigt.

Vorliegend stützte der Verantwortliche die Verweigerung der Auskunft im Wesentlichen auf überwiegende Geheimhaltungsinteressen, welche das Auskunftsinteresse des Beschwerdeführers überwiegen würden. Der Verantwortliche brachte vor, dass gegen den Beschwerdeführer zwei arbeits- und sozialgerichtliche Verfahren anhängig seien, 

wobei etwaige E-Mailverläufe und Stellungnahmen Teile dieser Verfahren seien (unstrittig ist, dass zumindest ein Verfahren noch anhängig ist). Da gerade dies eine strittige Frage in anhängigen Zivilverfahren darstelle, würde die Beauskunftung eine Verschlechterung der Prozessposition der mitbeteiligten Partei bedeuten.“ 

Damit führt der Verantwortliche nach Ansicht des BVwG ein berechtigtes Geheimhaltungsinteresse ins Treffen, wobei den Ausführungen des Betroffenen nicht entnommen werden konnte, inwiefern sein Interesse an der Beauskunftung den Geheimhaltungsinteressen überwiegt. 

Daher kommt das BVwG hier zu dem Schluss, 

dass die Beschaffung von prozessstärkender Information des Beschwerdeführers über den Schutzzweck der Norm hinausgeht und im gegenständlichen Fall das Interesse der mitbeteiligten Partei an der Geheimhaltung der genannten E-Mailverläufe und Stellungnahmen das Interesse des Beschwerdeführers überwiegt.“

Zudem wurde hervorgehoben, dass der Betroffene ja durchaus Auskunft erhalten hat – nur eben ein gewisser Teil nicht beauskunftet wurde. 

Fazit

Die Begründung des BVwG (und vorgelagert auch schon der DSB) kann in der Praxis für Verantwortliche wertvolle Argumente zur Verteidigung gegen Auskunftsansprüche bieten, die klar auf eine („pre-trial“) Ausforschung abzielen. Im Rahmen der Anwendung des BDSG könnten sich Anwälte etwa zusätzlich auf § 29 Abs. 1 BDSG berufen. Jedoch sind in der Vergangenheit schon Fälle diskutiert worden, in denen diese Ausnahme durch Betroffene umgangen wird, indem die Auskunft nicht gegenüber den Anwälten, sondern gegenüber der vertretenen Partei direkt geltend gemacht wird – gerade für diese Situation kann die Entscheidung des BVwG hilfreich sein. 

Geschäftsmodell der personalisierten Werbung ist kein „Schaden“ im Sinne der DSGVO

Posted on by

Das Landgericht (LG) Magdeburg (Urt. v. 29.2.2024, Az. 10 O 530/23; derzeit leider noch nicht frei verfügbar; GRUR-RS 2024, 8057) hatte sich im Rahmen einer Klage auf Schadenersatz nach Art, 82 DSGVO u.a. mit der Frage zu befassen, ob die Betroffenheit eines Nutzers von personalisierter Onlinewerbung einen ersatzfähigen Schaden nach der DSGVO darstellt.

Sachverhalt
Der Kläger ist Nutzer u.a. von Facebook und Instagram. Dort hatte er sich mit seinen personenbezogenen Daten registriert. Nachdem Meta ab dem 3.11.2023 das sog. Einwilligungsmodell in Europa einführte, willigte der Kläger am 8.11.2023 ein, dass die Beklagte weiterhin Informationen des Klägers zu Werbezwecken verwenden darf.

Zuletzt beantragte der Kläger u.a., Auskunft über ihn betreffende personenbezogene Daten zu erteilen, die die Beklagte in Zusammenhang mit der individualisierten Werbung verarbeitet. Zudem verlangte er als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, dessen Höhe den Betrag von 1.500 EUR nicht unterschreiten sollte. Er begründet den Anspruch damit, dass er mit dem Geschäftsmodell der Beklagten personalisiert zu werben, nicht einverstanden sei.

Entscheidung
Einen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DSGVO lehnt das LG als unbegründet ab.

Der Vortrag des Klägers zum behaupteten Schaden wurde als unsubstantiiert angesehen.

Hierbei verweist das LG auf die Rechtsprechung des EuGH zur Frage, wer die Beweislast für das Vorliegen eines Schadens trägt.

Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt die Klagepartei.

Der Kläger müsse den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden im Sinne der DSGVO darstellen.

Zudem weist das LG die Begründung des Klägers für einen angeblichen Schaden, personalisierte Werbung zu verwenden, zurück.

Dies allein führt zu keinem Schaden.

Aus Sicht des LG ist ein derartiges Geschäftsmodell nicht ungewöhnlich. Die Plattformen der Beklagten würden Nutzern kostenlos bereitgestellt. Die Fähigkeit, Nutzern ihre derzeitigen Dienste kostenlos bereitzustellen, hänge aber von Werbeeinnahmen ab. Nach Ansicht des L ist dieses Geschäftsmodell aber üblich.

Das Gericht nennt hierfür etwa Beispiele von kostenfreien Zeitungen und frei empfangbare, private Fernsehsender, die ein ähnliches Geschäftsmodell verwenden: Sie versuchen, über Inhalte Leser oder Zuschauer zu gewinnen, denen dann auf Grundlage demografischer Merkmale/ Interessen der Zielgruppe relevante Werbung präsentiert wird. Hierzu das LG:

Schon dem gesunden Menschenverstand nach ist es offensichtlich, dass die Beklagte ihr Angebot nur deswegen kostenlos zur Verfügung stellen kann, weil sie Werbung verkauft. Dies ist weder ehrenrührig, noch verboten. Wenn die Klagepartei sich hierdurch unwohl fühlt, steht es ihr völlig frei die Angebote der Beklagten nicht zu nutzen oder für ein Angebot ohne Werbung zu bezahlen.

Verzicht auf den Auskunftsanspruch im arbeitsgerichtlichen Vergleich? Zur Abdingbarkeit von Betroffenenrechten

Posted on by

Bekanntlich gehört die Geltendmachung von Auskunftsansprüchen nach Art. 15 DSGVO in arbeitsgerichtlichen Verfahren mittlerweile „zum guten Ton“ – ob nun wirklich immer mit einer Intention des Datenschutzes oder doch eher, um Aufwände zu kreieren, sei hier dahingestellt.

In ihrem aktuellen Tätigkeitsbericht 2023 (ab S. 119) befasst sich die Datenschutzbehörde des Saarlandes (LfDI) mit der relevanten Frage, ob Arbeitgeber und Arbeitnehmer eine Vereinbarung (etwa in Form eines Vergleichs) mit dem Inhalt treffen können, dass der Betroffene auf die Ausübung seines Auskunftsanspruchs nach Art. 15 DSGVO verzichtet? Ob das Betroffenenrecht also zur Disposition der Parteien steht?

Datenschutz als Grundrecht – Selbstbestimmtheit der Betroffenen

Die LfDI verweist darauf, dass das europäische Datenschutzrecht Ausfluss des Grundrechts aus Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh) ist. Dieses Grundrecht sei wichtig – jedoch kein Grundrecht unabdingbarer Natur, wie etwa die Menschenwürde aus Art. 1 GRCh.

Die Behörde geht davon aus, dass das Prinzip der Selbstbestimmtheit des Betroffenen im Datenschutzrecht besondere Bedeutung hat. Was etwa durch das Institut der Einwilligung aus Art. 6 Abs. 1 lit. a, Art. 7 DSGVO unmissverständlich zum Ausdruck komme.

Die LfDI leitet hieraus in einem Erst-Recht-Schluss ab:

Kann der Betroffene durch eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten seine Zustimmung erteilen und dieser Verarbeitung dadurch eine rechtliche Grundlage verleihen, so muss er auch eine Entscheidungsbefugnis dahingehend haben, ob und in wieweit er seine hierzu im Annex stehenden Betroffenenrechte ausübt bzw. auf diese verzichtet.“

Dies gelte auch in Situationen, in denen es evtl. ein Machtgefälle bzw. Ungleichgewicht zwischen den Parteien gibt – wie im Beschäftigtenverhältnis. Die LfDI macht hier aber eine relevante Einschränkung ihrer Ansicht. Sie sieht insbesondere dort die Möglichkeit der Selbstbestimmtheit, wo es um zurückliegende Verarbeitungen in der Vergangenheit geht.

Formulierung des Vergleiches / Verzichts

Zudem befasst sich die LfDI auch mit der erforderlichen Formulierung einer solchen Vereinbarung. Grundsätzlich müssen die Formulierungen in einem arbeitsgerichtlichen Vergleich natürlich hinreichend klar und bestimmt sein,

um ein datenschutzrechtliches Betroffenenrecht einvernehmlich auszuschließen“.

Auch eine sog. Salvatorische Abgeltungsklausel, mit der jegliche Ansprüche aus dem Arbeitsverhältnis und dessen Beendigung, gleich ob bekannt oder unbekannt und gleich aus welchem Rechtsgrund, abgegolten sein sollen, genügt nach Auffassung der LfDI dem Bestimmtheitserfordernis.

Auch wenn sich die Vereinbarung dem Wortlaut nach „nur“ auf Ansprüche „aus dem Arbeitsverhältnis“ bezieht, ist dies nach Auffassung der Behörde unschädlich, da das Arbeitsverhältnis gerade Grundlage der Datenverarbeitung ist. Der Bezug zum „Arbeitsverhältnis“ umfasst danach nicht nur arbeitsrechtliche Ansprüche im engeren Sinne,

sondern auch solche datenschutzrechtlicher Art, welche mit dem Arbeitsverhältnis in Verbindung stehen und für welche das Arbeitsverhältnis Verarbeitungsgrundlage war“.

Jedoch macht die LfDI noch eine Einschränkung.

Der Verzicht auf das Betroffenenrecht könne sich nicht auf solche Verarbeitungen beziehen, die der Betroffene noch nicht absehen kann. Hier müsse er weiterhin einen Auskunftsanspruch haben.

Mit Blick auf die Begründung zuvor, dass es sich um Ansprüche aus dem „Arbeitsverhältnis“ handeln muss, scheint die LfDI also eine Grenze zu solchen Verarbeitungen zu ziehen, die erst in Zukunft stattfinden würden.

Insgesamt stellt die Aufsichtsbehörde aber am Ende ihrer Ausführungen noch einmal fest:

Auskunftsansprüche über Datenverarbeitungen der Vergangenheit, genauer über solche Verarbeitungen, welche aus zeitlich vor dem hierauf gerichteten Vertragsschluss (Vergleichsschluss) resultierenden Datenerhebungen stammen, stehen indes grundsätzlich zur Disposition der Vertragsparteien“.

Fazit

Die LfDI vertritt eine, aus meiner Sicht, durchaus pragmatische und eher verantwortlichenfreundliche Position zur Frage, ob Betroffenenrechte abdingbar sind. Wichtig ist der Behörde zurecht eine klar verständliche und transparente Regelung hierzu. Zudem will die LfDI den Verzicht auf das Betroffenenrecht „nur“ für vergangene Verarbeitungen gelten lassen. Wichtig: ob der Betroffene von den vergangenen Verarbeitungen auch tatsächlich Kenntnis hat, scheint keine Voraussetzung aus Sicht der Behörde zu sein.

Spannend wäre jetzt natürlich die Diskussion, ob die Argumentation der LfDI auf andere Betroffenenrechte übertragbar ist (zB das Recht auf Löschung oder Berichtigung) – aus meiner Sicht schon. Zum einen beschränkt die LfDI ihre Ansicht nicht nur auf das Auskunftsrecht. Zum anderen sind die vorgebrachten Argumente durchaus auch für andere Betroffenenrechte anwendbar.  

Verwaltungsgericht Stuttgart: DSGVO-Auskunft über gelöschte Daten oder Löschprotokolle?

Posted on by

Mit Urteil vom 30.11.2023 (Az. 11 K 3946/21) hat sich das Verwaltungsgericht (VG) Stuttgart sehr umfassend mit dem Auskunftsanspruch aus Art. 15 DSGVO befasst. Eventuell berichte zu weiteren Aspekten des Urteils noch nachfolgend im Blog. Heute möchte ich nur einen kleinen Aspekt beleuchten.

In dem Verfahren verlangte der Kläger von einer Körperschaft des öffentlichen Rechts Auskunft nach Art. 15 DSGVO. Hierbei ging es u.a. um die Frage, ob der Verantwortliche auch Auskunft über gelöschte personenbezogene Daten erteilen muss.

Das VG vertritt hierzu die einzig richtige Ansicht:

Was nicht mehr existiert, kann nicht beauskunftet werden.“

Zwar stelle nach Art. 4 Nr. 2 DSGVO auch das Löschen von Daten eine „Verarbeitung“ personenbezogener Daten dar. Vollständig gelöschte Daten können allerdings denklogisch nicht Anknüpfungspunkt des Auskunftsanspruchs aus Art 15 Abs. 1 2. Hs. i.V.m. Abs. 3 DSGVO sein.

Interessant und auch konsequent ist aber die Auffassung des VG hinsichtlich der Auskunft zu vorhandenen Löschprotokollen.

Das Gericht verweist darauf, dass, wenn ein Löschungsvorgang jedenfalls seinem Umfang nach noch dokumentiert und gespeichert ist, dies ein (einzelnes) personenbezogenes Datum über den Betroffen darstelle.

Das VG erläutert diese Ansicht auch an einem Beispiel: eine Dokumentation eines Löschungsvorgangs wie „Löschungsvorgang am XX.XX.XXXX: alle vom Kläger eingereichten Belege aus dem Kalenderjahr XXXX und davor“ sei dann vom Auskunftsrecht umfasst, wenn sich diese Information noch auf den Betroffenen beziehen lasse. Aus meiner Sicht ist die Auffassung des VG richtig. Denn eine Information „Daten 1,2,3 von Carlo Piltz wurden am XX.XX.XXXX gelöscht“ oder auch die Angabe „Von der Person erhaltene Dokumente aus 2020 wurden gelöscht„, bezieht sich auf eine natürliche Person, wenn intern nachvollzogen werden kann, wer diese Person ist.

Leider geht das VG hier nicht darauf ein, ob die Ausnahmevorschrift des § 34 Abs. 1 Nr. 2 b BDSG greifen würde. Danach besteht das Auskunftsrecht nach Art. 15 DSGVO nicht, wenn Daten ausschließlich Zwecken der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Werden Löschprotokolle zum Nachweis aufbewahrt, dass Daten tatsächlich gelöscht wurden, stellt dies auch meiner Sicht eine Maßnahme zu „Zwecken der Datenschutzkontrolle“ dar – ob also der Löschverpflichtung nachgekommen würde. Natürlich müsste der Verantwortliche, um sich auf die Ausnahme berufen zu können, dann aber auch die übrigen Voraussetzungen des § 34 Abs. 1 Nr. 2 b BDSG erfüllen.

BDSG-Reform: Bundesregierung verabschiedet Entwurf zur Änderung des BDSG (Videoüberwachung, Auskunftsanspruch, gemeinsame Verantwortliche und Scoring)

Posted on by

Die Bundesregierung hat heute ihren Entwurf für ein Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) verabschiedet (Gesetzentwurf, PDF). Nachfolgend möchte ich einen ganz kurzen Überblick zu einigen vorgeschlagenen Änderungen geben.

Die DSK wird im BDSG verankert

In einem neuen § 16a BDSG soll die Datenschutzkonferenz (DSK) im BDSG institutionalisiert werden. Es wird jedoch keine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK getroffen, da, so die Begründung, „damit wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berührt würden“.

Die Anpassung ist am Ende aus meiner Sicht nicht besonders praxisrelevant. Denn die DSK existiert bereits jetzt schon und hat auch eine Geschäftsordnung. Es wird als gesetzlich festgeschrieben, was bereits existiert.

Wegfall der Regelung zur Videoüberwachung für private Stellen

§ 4 Abs. 1 BDSG soll neu wie folgt gefasst werden:

Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen ist nur zulässig,…“.

Hierdurch wird die Regelung zur Videoüberwachung öffentlich zugänglicher Räume durch nichtöffentliche Stellen, also insbesondere Unternehmen, aus dem Bundesrecht genommen. Die Zulässigkeit dieser Videoüberwachung ergibt sich unmittelbar aus Art. 6 Abs. 1 lit. f DSGVO.

Mögliche Auswirkung: sollte die Regelung so in Kraft treten, wäre bei Hinweisschildern zur Videoüberwachung an eine Anpassung hinsichtlich der Rechtsgrundlage zu denken, wenn dort noch auf § 4 Abs. 1 BDSG verwiesen wird.

Wichtig für die Praxis: Einschränkung des Auskunftsrechts bei Geschäftsgeheimnissen

Eine praxisrelevante Anpassung wird in § 34 Abs. 1 BDSG vorgeschlagen. Es soll folgender Satz neu angefügt werden:

Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“

Laut der Gesetzesbegründung soll klargestellt werden, dass im Rahmen der Ausnahmen von dem Recht auf Auskunft (Art. 15 Abs. 4 DSGVO) unter den Schutz „anderer Personen“ auch der Verantwortliche fällt und gewisse herauszugebende Daten einen rechtlichen Schutz genießen. „Betriebs- und Geschäftsgeheimnisse genießen einen solchen Schutz“.

Die Ausnahme greift dann, wenn das Interesse an der Geheimhaltung der Betriebs- und Geschäftsgeheimnisse das Interesse der betroffenen Person an der Information überwiegt.

Diese Klarstellung ist zu begrüßen, jedoch wohl nicht zwingend erforderlich, da bereits ErwG 63 DSGVO „Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse“ ausdrücklich erwähnt.

Zuständige Aufsichtsbehörde bei gemeinsam Verantwortlichen

Zudem soll ein neuer § 40a BDSG mit dem Titel „Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen“ eingefügt werden.

Die Regelung soll in Situationen gelten, in denen mehrere Unternehmen gemeinsam Verantwortliche (Art. 26 DSGVO) sind und mehrere Aufsichtsbehörden für sie zuständig wären. Dann sollen diese Verantwortlichen gemeinsam anzeigen können,

dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat“.

Die Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind. Sie muss etwa die Vereinbarung gem. Art. 26 DSGVO enthalten.

Wichtige Folge dieser Anzeige: ab dem Zeitpunkt, zu dem die Anzeige bei der zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde.

Vorgaben zum Scoring

Neu eingefügt (wenn auch angelehnt an den bisherigen § 31) wird ein § 37a BDSG, der Anforderungen an die Erstellung und auch Verwendung von „Wahrscheinlichkeitswerten“ regeln soll.

Nach § 37a Abs. 1 Nr. 1 BDSG dürfen etwa folgende Daten nicht für die Erstellung der Wahrscheinlichkeitswerte genutzt werden: besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Anschriftendaten.