Ausforschung des Prozessgegners per Auskunftsanspruch nach Art. 15 DSGVO? Bundesverwaltungsgericht Österreich sagt „nein“. 

In einer Entscheidung vom 8.7.24 (Geschäftszahl W137 2278780-1) hat sich das österreichische Bundesverwaltungsgericht (BVwG) u.a. mit der Frage befasst, ob und wie weit der Auskunftsanspruch nach Art. 15 DSGVO reicht, wenn dieser gegenüber einer Partei geltend gemacht wird, mit der der Betroffene aktuell in rechtlichen (gerichtlichen) Auseinandersetzungen steht. Insbesondere ging es um die Anwendung der Ausnahmevorschrift nach Art. 15 Abs. 4 DSGVO in diesem Fall.

Sachverhalt

Die betroffene Person beschwerte sich bei der österreichischen Datenschutzbehörde (DSB), da sie ihr Recht auf Auskunft nach Art. 15 DSGVO verletzt sah. Sie verlangte Auskunft von einer Bildungsbehörde. Diese erteilte auch Auskunft, jedoch nicht von vollem Umfang. Zum Teil wurde die Auskunft verweigert, weil gegen die betroffene Person zwei arbeits- und sozialgerichtliche Verfahren anhängig waren, wobei etwaige E-Mailverläufe sowie Stellungnahmen Teil dieser Verfahren seien und daher nicht herausgegeben wurden.

Die DSB wies die Beschwerde u.a. mit dem Argument zurück, dass die Verweigerung der Zurverfügungstellung einer Datenkopie dann gerechtfertigt sei, wenn die Geheimhaltungsinteressen des Verantwortlichen bzw. Dritter gegenüber dem Auskunftsinteresse des Beschwerdeführers überwiegen würden. Da derzeit ein Zivilverfahren anhängig war, sei dem Verantwortlichen ein diesbezügliches Interesse an der Geheimhaltung von Beweismitteln zuzubilligen, zumal dadurch eine Verschlechterung der Prozessposition zu befürchten wäre.

Entscheidung des BVwG

Das BVwG folgt der Begründung der DSB und sieht keinen Verstoß gegen Art. 15 DSGVO. Die Ansicht des BVwG ist vor allem deshalb praxisrelevant, da Art. 15 DSGVO oft (ziemlich klar) dafür verwendet wird, um an Dokumente und Informationen bei dem Verantwortlichen zu gelangen, die im Rahmen eines Rechtsstreits verwendet werden sollen. 

Nun mag man entgegenhalten: aber der EuGH hat doch entschieden, dass der Auskunftsanspruch auch für „datenschutzfremde“ Zweck ausgeübt werden kann (z.B. EuGH, C-307/22 Rz. 43). Ja, das stimmt. Der EuGH hatte aber noch nicht die (im hier vorliegenden Fall relevante) Frage zu entscheiden, inwiefern sich der Verantwortliche oder auch Dritte in einer solchen Situation auf die Ausnahme nach Art. 15 Abs. 4 DSGVO berufen dürfen, wenn es um die Geheimhaltung von Dokumenten u.a. für die eigene Verfahrens-/Prozessposition geht.  

Das BVwG weist darauf hin, dass nach ErwG 63 DSGVO die Ausnahme nach Art. 15 Abs. 4 DSGVO Geschäftsgeheimnisse und Rechte des geistigen Eigentums, insbesondere das Urheberrecht an Software schützen soll. 

Es ist aber davon auszugehen, dass grundsätzlich alle Rechte und Freiheiten, die von dem Recht der Union oder der MS anerkannt sind, relevant sein werden“.

Daher geht das Gericht davon aus, dass Unterlagen nicht vom Auskunftsrecht umfasst sind (man müsste wohl eher sagen: zwar umfasst, aber im Wege der Ausnahme ausgenommen sind), wenn der Verantwortliche eine E-Mail beauskunften muss, in dem auch andere Personen genannt werden, deren Interessen höher einzustufen sind als jene des Betroffenen. 

Nach der auf Grundlage der Öffnungsklausel des Art. 23 DSGVO erlassenen Bestimmung des § 4 Abs. 6 DSG in Österreich besteht das Auskunftsrecht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen „in der Regel“ dann nicht, wenn durch die Erteilung der Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährdet würde. 

Aus dem Einschub „in der Regel“ schließt das BVwG, dass hier kein absolutes Ablehnungsrecht geschaffen wurde, sondern sorgfältig abzuwägen sein wird, inwieweit die Auskunftserteilung dieses Recht tatsächlich beeinträchtigt.

Vorliegend stützte der Verantwortliche die Verweigerung der Auskunft im Wesentlichen auf überwiegende Geheimhaltungsinteressen, welche das Auskunftsinteresse des Beschwerdeführers überwiegen würden. Der Verantwortliche brachte vor, dass gegen den Beschwerdeführer zwei arbeits- und sozialgerichtliche Verfahren anhängig seien, 

wobei etwaige E-Mailverläufe und Stellungnahmen Teile dieser Verfahren seien (unstrittig ist, dass zumindest ein Verfahren noch anhängig ist). Da gerade dies eine strittige Frage in anhängigen Zivilverfahren darstelle, würde die Beauskunftung eine Verschlechterung der Prozessposition der mitbeteiligten Partei bedeuten.“ 

Damit führt der Verantwortliche nach Ansicht des BVwG ein berechtigtes Geheimhaltungsinteresse ins Treffen, wobei den Ausführungen des Betroffenen nicht entnommen werden konnte, inwiefern sein Interesse an der Beauskunftung den Geheimhaltungsinteressen überwiegt. 

Daher kommt das BVwG hier zu dem Schluss, 

dass die Beschaffung von prozessstärkender Information des Beschwerdeführers über den Schutzzweck der Norm hinausgeht und im gegenständlichen Fall das Interesse der mitbeteiligten Partei an der Geheimhaltung der genannten E-Mailverläufe und Stellungnahmen das Interesse des Beschwerdeführers überwiegt.“

Zudem wurde hervorgehoben, dass der Betroffene ja durchaus Auskunft erhalten hat – nur eben ein gewisser Teil nicht beauskunftet wurde. 

Fazit

Die Begründung des BVwG (und vorgelagert auch schon der DSB) kann in der Praxis für Verantwortliche wertvolle Argumente zur Verteidigung gegen Auskunftsansprüche bieten, die klar auf eine („pre-trial“) Ausforschung abzielen. Im Rahmen der Anwendung des BDSG könnten sich Anwälte etwa zusätzlich auf § 29 Abs. 1 BDSG berufen. Jedoch sind in der Vergangenheit schon Fälle diskutiert worden, in denen diese Ausnahme durch Betroffene umgangen wird, indem die Auskunft nicht gegenüber den Anwälten, sondern gegenüber der vertretenen Partei direkt geltend gemacht wird – gerade für diese Situation kann die Entscheidung des BVwG hilfreich sein. 

Bayerische Datenschutzbehörden: keine eigene Verantwortlichkeit des Mitarbeiters beim Missbrauch von beruflichen Daten für private Zwecke (Exzess)?

Der BayLfD hat jüngst eine aus meiner Sicht wirklich gelungene und hilfreiche Orientierungshilfe zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO veröffentlicht. In der Orientierungshilfe befasst sich die Behörde auch mit der Frage der Verantwortlichkeit in Situationen des sog. Mitarbeiterexzesses – Fälle, „bei denen Beschäftigte von Verantwortlichen Daten, auf die sie nur für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden“.

Die „bayerische Auffassung“ – Arbeitgeber / Dienstherr bleibt Verantwortlicher

In diesem Zug war ich durchaus überrascht, von der sog. „bayerischen Auffassung“ zu lesen (ab S. 42 ff.). Diese Ansicht wird vom BayLfD wie folgt zusammengefasst:

Die beiden bayerischen Aufsichtsbehörden – der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht – vertreten übereinstimmend die Auffassung, dass ein Beschäftigter nicht zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO wird, wenn er Daten, die ihm für dienstliche Zwecke zur Verfügung stehen, mittels dienstlicher Abfragesysteme für private Zwecke abruft“.

Nach Auffassung des BayLfD und wohl auch des BayLDA stellt diese zweckwidrige Verwendung von Daten aus dem beruflichen Kontext noch keine Handlung dar, die den Beschäftigten zu einem eigenen datenschutzrechtlichen Verantwortlichen machen würde.

Die Konsequenzen dieser Auffassung sind praxisrelevant:

  • „Die öffentliche Stelle bleibt damit im Fall des bloß zweckwidrigen Datenabrufs Einzelverantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, auch für den Datenschutzverstoß durch ihren Beschäftigten“
  • „Der rechtswidrige Abruf dienstlich zugänglicher Daten zu rein privaten Zwecken stellt einen Datenschutzverstoß dar, aufgrund dessen gegen den Verantwortlichen gemäß Art. 83 DSGVO grundsätzlich eine Geldbuße verhängt werden kann“

Gründe für die Ansicht des BayLfD und BayLDA

Der BayLfD begründet seine Auffassung unter anderem damit, dass Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO nur ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ausschlaggebend sei dabei die Entscheidung über die grundsätzlichen Zwecke und Mittel der Abfragesysteme.

Über diese entscheidet ein Beschäftigter jedoch auch dann nicht, wenn er dienstliche Daten für private Zwecke missbraucht“.

Er verwende vielmehr lediglich die ihm zur Verfügung gestellten Abfragesysteme und diese für außerdienstliche, private Zwecke. Der BayLfD verweist in den Fußnoten auch auf die Ansicht des BayLDA in drei Tätigkeitsberichten.

So geht das BayLDA im Tätigkeitsbericht 2020 (ab S. 78 f.) unter anderem davon aus, dass ein Mitarbeitender beim bloßen Datenabruf aus Datenbanken des Unternehmens, bei dem er beschäftigt ist bzw. der bloßen Einsichtnahme in personenbezogene Daten in entsprechende Unterlagen zu privaten Zwecken, nicht zum eigenständigen Verantwortlichen wird, da die beiden dort genannten Kriterien – Zweck- und Mittelbestimmung – nach dem Wortlaut („und“) kumulativ vorliegen müssen. Der Mitarbeitende bestimme nicht über den Mitteleinsatz.

Als zweites Argument verweist der BayLfD auf die vorhandene Vorgabe in Art. 28 Abs. 10 DSGVO für Auftragsverarbeiter. Für den Fall, dass ein Auftragsverarbeiter in rechtswidriger Weise seine Befugnisse überschreitet, wird er insoweit eigener Verantwortlicher. Eine solche Regelung fehle aber in Art. 29 DSGVO in Bezug auf Beschäftigte.

Etwas anderes soll nur dann gelten, wenn der Beschäftigte die abgerufenen Daten mittels arbeitgeberfremder Ressourcen weiterverarbeitet. Also etwa über seinen privaten Laptop oder sein Smartphone. Ab diesem Zeitpunkt greife Art. 4 Nr. 7 DSGVO für den Beschäftigten.

Andere Ansichten

Nun gesteht der BayLfD in seiner Orientierungshilfe aber auch ein, dass diese bayerische Ansicht nicht der einzige derzeit vorgeschlagene Weg ist und von einigen anderen Aufsichtsbehörden nicht geteilt wird. So sehen etwa die Landesdatenschutzbeauftragten in Baden-Württemberg und Nordrhein-Westfalen den Beschäftigten, der dienstliche Daten für private Zwecke verwendet, als Verantwortlichen an.

Zudem verweist der BayLfD auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts (Erkenntnis vom 21. Dezember 2021, W258 2238615-1/16E) und auch die andere Auffassung des Europäischen Datenschutzausschusses (Leitlinien 07/2020), der allein an die Zwecke der Verarbeitung knüpft und hieraus bereits die eigene Verantwortlichkeit des Mitarbeiters ableitet.

Der BayLfD geht in Fn. 140 davon aus, dass die Entscheidung des österreichischen Bundesverwaltungsgerichts – soweit ersichtlich – die erste Entscheidung eines Gerichts im deutschsprachigen Raum zu dieser Frage sei. Ergänzen lässt sich insoweit noch eine ältere Entscheidung des Verwaltungsgerichts (VG) Mainz (Urteil vom 17.12.2020 – 1 K 778/19.MZ), das ebenfalls nicht die Ansichten von BayLfD und BayLDA vertritt.

Nach dem VG ist von einem den Zurechnungszusammenhang unterbrechenden „Exzess“ jedenfalls dann auszugehen, wenn Beschäftigte Daten unbefugt für eigene Zwecke verarbeiten – wie z.B. bei der Einsichtnahme in behördliche Datenbanken für private Zwecke oder Entwendung von Kundendaten. Das VG lässt also, entgegen der bayerischen Auflassung, die eigene Zweckbestimmung durch den Mitarbeiter durchaus für eine eigene Verantwortlichkeit ausreichen. Der jeweilige Beschäftigte schwinge sich dann insoweit selbst zum Verantwortlichen auf, indem er anfängt, selbst darüber zu entscheiden, wie und warum mit Daten umgegangen wird.

Einschätzung

Ich war von der Ansicht beim ersten Lesen der Orientierungshilfe tatsächlich überrascht, da ich bisher auch immer die eigenständige Zweckänderung durch den Mitarbeiter als ausreichend für die Einstufung als Verantwortlicher gesehen habe.

Die Argumentation der Behörden, dass der Mitarbeiter deshalb nicht verantwortlich ist, da er ja nicht über die Mittel der Verarbeitung entscheide, ist aus meiner Sicht zudem diskutabel. Denn wenn der Mitarbeiter etwa eine CRM-Software verwendet, um dort für private Zwecke nach Kundendaten zu suchen, bestimmt er meines Erachtens natürlich auch in diesem Moment über den Einsatz des Mittels „CRM-Software“ – eben allein für seine privaten Zwecke. Zudem könnte man hierfür ergänzend die Ansicht des Generalanwalts in der Rs. C-579/21 anführen (hierzu mein Blogbeitrag), in der er davon ausgeht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann, da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Fazit

Überspitzt formuliert kann man konstatieren: solange Mitarbeiter in Bayern (im privaten oder öffentlichen Bereich) allein über Systeme ihres Arbeitgebers missbräuchlich mit Daten umgehen, droht ihnen von Seiten der Datenschutzaufsicht kein Ungemach. Der Arbeitgeber müsste befürchten, wegen eines Verstoßes gegen Art. 32 DSGVO geprüft oder ggfs. sanktioniert zu werden.

Verwaltungsgericht Stuttgart: DSGVO-Auskunft über gelöschte Daten oder Löschprotokolle?

Mit Urteil vom 30.11.2023 (Az. 11 K 3946/21) hat sich das Verwaltungsgericht (VG) Stuttgart sehr umfassend mit dem Auskunftsanspruch aus Art. 15 DSGVO befasst. Eventuell berichte zu weiteren Aspekten des Urteils noch nachfolgend im Blog. Heute möchte ich nur einen kleinen Aspekt beleuchten.

In dem Verfahren verlangte der Kläger von einer Körperschaft des öffentlichen Rechts Auskunft nach Art. 15 DSGVO. Hierbei ging es u.a. um die Frage, ob der Verantwortliche auch Auskunft über gelöschte personenbezogene Daten erteilen muss.

Das VG vertritt hierzu die einzig richtige Ansicht:

Was nicht mehr existiert, kann nicht beauskunftet werden.“

Zwar stelle nach Art. 4 Nr. 2 DSGVO auch das Löschen von Daten eine „Verarbeitung“ personenbezogener Daten dar. Vollständig gelöschte Daten können allerdings denklogisch nicht Anknüpfungspunkt des Auskunftsanspruchs aus Art 15 Abs. 1 2. Hs. i.V.m. Abs. 3 DSGVO sein.

Interessant und auch konsequent ist aber die Auffassung des VG hinsichtlich der Auskunft zu vorhandenen Löschprotokollen.

Das Gericht verweist darauf, dass, wenn ein Löschungsvorgang jedenfalls seinem Umfang nach noch dokumentiert und gespeichert ist, dies ein (einzelnes) personenbezogenes Datum über den Betroffen darstelle.

Das VG erläutert diese Ansicht auch an einem Beispiel: eine Dokumentation eines Löschungsvorgangs wie „Löschungsvorgang am XX.XX.XXXX: alle vom Kläger eingereichten Belege aus dem Kalenderjahr XXXX und davor“ sei dann vom Auskunftsrecht umfasst, wenn sich diese Information noch auf den Betroffenen beziehen lasse. Aus meiner Sicht ist die Auffassung des VG richtig. Denn eine Information „Daten 1,2,3 von Carlo Piltz wurden am XX.XX.XXXX gelöscht“ oder auch die Angabe „Von der Person erhaltene Dokumente aus 2020 wurden gelöscht„, bezieht sich auf eine natürliche Person, wenn intern nachvollzogen werden kann, wer diese Person ist.

Leider geht das VG hier nicht darauf ein, ob die Ausnahmevorschrift des § 34 Abs. 1 Nr. 2 b BDSG greifen würde. Danach besteht das Auskunftsrecht nach Art. 15 DSGVO nicht, wenn Daten ausschließlich Zwecken der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Werden Löschprotokolle zum Nachweis aufbewahrt, dass Daten tatsächlich gelöscht wurden, stellt dies auch meiner Sicht eine Maßnahme zu „Zwecken der Datenschutzkontrolle“ dar – ob also der Löschverpflichtung nachgekommen würde. Natürlich müsste der Verantwortliche, um sich auf die Ausnahme berufen zu können, dann aber auch die übrigen Voraussetzungen des § 34 Abs. 1 Nr. 2 b BDSG erfüllen.

Geplante EU-Verordnung zur besseren Durchsetzung der DSGVO – Weitergabe von Informationen aus behördlichen Datenschutzverfahren an andere nationale Aufsichtsbehörden (z. B. Wettbewerb, Finanzen) vorgeschlagen

Derzeit wird in Brüssel über den Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 (2023/0202(COD)) verhandelt. Im Europäischen Parlament ist der LIBE-Ausschuss federführend zuständig und dieser hat mit Datum vom 14. Dezember 2023 seine Änderungsvorschläge zu dem Berichtsentwurf vom 9. November 2023 vorgelegt.

Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO

Ich hatte hier im Blog schon vor einiger Zeit einen Beitrag zu einer möglichen geänderten Fristenberechnung bei der Meldung von Datenschutzverletzungen verfasst. Die vorgeschlagene Verordnung fliegt meines Erachtens immer noch sehr unter dem „Radar“ der betroffenen Kreise, hat dabei extrem viele (potentiell) relevante Änderungen zur Folge.

Kurz zur Einordnung: die Verordnung soll Verfahrensregeln im Fall von grenzüberschreitenden Verarbeitungen und darauf basierenden aufsichtsbehördlichen Verfahren etablieren. Die Regelungen der Verordnung würden nationalen Verfahrensvorgaben als Spezialvorschriften vorgehen.

Heute möchte ich auf einen aus meiner Sicht für betroffene Unternehmen und öffentliche Stellen beachtenswerten Vorschlag aus dem LIBE-Ausschuss hinweisen.

Weitergabe von Informationen aus aufsichtsbehördlichen Verfahren an andere nationale Stellen

Nach einem neu vorgeschlagenen Art. 7 Abs. 2a (Änderungsantrag 311 in dem Dokument vom 14. Dezember 2023) sollen die Aufsichtsbehörden anstreben, die im Rahmen der in dieser Verordnung festgelegten Verfahren erhaltenen Informationen an die für den Datenschutz und andere Bereiche zuständigen nationalen und Unionsaufsichtsbehörden, einschließlich der Wettbewerbs-, Finanzdienstleistungs-, Energie-, Telekommunikations- und Verbraucherschutzbehörden, weiterzuleiten, wenn die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden.

Hier noch das englische Original:

Supervisory authorities shall strive to communicate the information obtained in the context of the procedures set out in this Regulation to national and Union supervisory authorities competent in data protection and other areas, including competition, financial services, energy, telecommunications and consumer protection authorities, where the information is deemed relevant to the tasks and duties of those authorities.”

Der Vorschlag bedeutet im Grunde, dass Datenschutzbehörden dazu angehalten sind, Informationen aus einem Aufsichtsverfahren gegen einen Verantwortlichen oder Auftragsverarbeiter auch an andere nationale Stellen zu geben, die ebenfalls in ihrem jeweiligen Rechtsbereich für die Überwachung des Verantwortlichen oder Auftragsverarbeiters zuständig sind.

Interessant ist, dass der Vorschlag wohl keine Pflicht zur Weitergabe der Informationen vorsieht. Andererseits sollen die Aufsichtsbehörden zur Informationsweitergabe angehalten werden. Für die Frage, ob Informationen aus dem Verfahren weitergegeben werden sollen, kommt es nach dem Vorschlag wohl allein auf die Einschätzung der Datenschutzbehörde an. Die Weitergabe soll erfolgen, wenn „die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden“ – aus Sicht der Datenschutzbehörde.

An welche Aufsichtsbehörden in anderen Rechtsbereichen die Informationen weitergegeben werden sollen, wird nicht abschließend benannt („einschließlich“). Beispielhaft werden etwa Behörden aus dem Bereich Wettbewerb, Energie, Telekommunikation oder auch Verbraucherschutz.

In Deutschland könnte man also an die Weitergabe von „relevanten“ Informationen an die BaFin oder das Bundeskartellamt denken. Ziemlich klar ist der Zweck des Vorschlags, anderen Aufsichtsbehörden ebenfalls die Durchführung von entsprechenden Verfahren zu ermöglichen.

Jedoch soll die Weitergabe nach dem Vorschlag wohl tatsächlich nur an Behörden, also öffentliche Stellen, erfolgen.

Der Sinn und Zweck des Vorschlags ergibt sich recht klar aus der Begründung im Berichtsentwurf (Änderungsantrag 117, Dokument vom 9. November 2023; inoffizielle Übersetzung):

In der Erkenntnis, dass die Untersuchung von Verstößen im Bereich des Datenschutzes Beweise für Verstöße in anderen Bereichen liefern können. Dies ist eine Forderung vieler zivilgesellschaftlicher Organisationen

Keine Pflicht zur Vertraulichkeit?

Man wird die Frage stellen können, wie eine solche Vorgabe bzw. ein solches Recht mit der Vertraulichkeitsverpflichtung der Datenschutzbehörden einhergeht.

Nach Art. 54 Abs. 2 DSGVO sind ja die Mitglieder und die Bediensteten jeder Aufsichtsbehörde gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Eventuell mag man über Art. 57 Abs. 1 g) DSGVO hiervon noch eine Ausnahme machen – jedoch allein in Bezug auf andere Datenschutzbehörden.

Sollte aber die neue Verordnung für zusätzliche Verfahrensregeln anwendbar werden, dann gilt diese (als EU-Verordnung) neben der DSGVO und konkretisiert bzw. ändert als Spezialregelung sogar die allgemeinen Regelungen der DSGVO, wie auch Art. 54 Abs. 2 DSGVO.

Auch ein Verweis auf möglicherweise entgegenstehende nationale Verbote würde wohl nicht helfen. Denn auch hierbei ist zu beachten, dass die verschlagene Verordnung unmittelbar in jedem Mitgliedsstaat Anwendung finden würde. So führt etwa die EU-Kommission in der Begründung ihres Entwurfs aus: „Daher ist eine (in den Mitgliedstaaten unmittelbar geltende) Verordnung erforderlich, um die rechtliche Fragmentierung zu verringern und das Maß an Harmonisierung zu gewährleisten“.

Ich werde in Zukunft sicher noch ein paar Beiträge zu der Verordnung veröffentlichen. Wie gesagt, sind dort viele interessante und praxisrelevante Änderungsvorschläge enthalten.

Land Berlin mit neuer, europarechtswidrigen Schuldatenverordnung (SchuldatenV)

Seit dem 19. August 2023 gilt in Berlin eine neue „Verordnung über die Verarbeitung personenbezogener Daten im Schulwesen (Schuldatenverordnung – SchuldatenV)“ (hier abrufbar).

Die Verordnung gilt für die Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern, ihren Erziehungsberechtigten, Lehrkräften und sonstigen schulischen Mitarbeiterinnen und Mitarbeitern, soweit nicht die Datenverarbeitung im Rahmen der Nutzung von digitalen Lehr- und Lernmitteln und sonstigen digitalen Instrumenten, die vorwiegend pädagogischen Zwecken dienen, betroffen ist. Für diese Fälle (vorwiegend pädagogische Zwecke) gilt die Digitale Lehr- und Lernmittel-Verordnung (DigLLV).

Nachfolgend möchte ich beispielhaft zwei (aus meiner Perspektive klar) europarechtswidrige Regelungen der SchuldatenV herausstellen. Diese stellen gute Beispiele dafür dar, warum der Datenschutz bzw. die DSGVO in der Praxis als „Verhinderer“ gesehen wird, obwohl dies eigentlich nicht der Fall sein muss. Wenn der nationale Landes- oder Bundesgesetzgeber aber Regelungen schafft, die den Anwendern zum Teil eu-rechtliche vorgesehene Möglichkeiten zum Einsatz von Technologien abschneiden und dies erschweren.

Unzulässige Wiederholung der DSGVO

§ 6 Abs. 5 Nr. 1 S. 1 gibt vor: „Erfolgt die Verarbeitung durch einen Auftragsverarbeiter, ist dieser sorgfältig gemäß Artikel 28 Absatz 1 der Datenschutz-Grundverordnung auszuwählen.“

Und jetzt legen wir einmal die europarechtliche, unmittelbar bindende Vorgabe des Art 28 Abs. 1 DSGVO daneben: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Klar, das ist keine eins zu eins Wiederholung. Muss es aber auch nicht sein, um dennoch gegen die Vorgaben des EuGH zu verstoßen. Dieser geht in ständiger Rechtsprechung davon aus, dass Mitgliedstaaten keine Maßnahmen ergreifen dürfen, die geeignet sind, die Zuständigkeit des Gerichtshofes zur Entscheidung über Fragen der Auslegung des Gemeinschaftsrechts oder der Gültigkeit der von den Organen der Gemeinschaft vorgenommenen Handlungen zu beschneiden. „Infolgedessen sind Praktiken unzulässig, durch die die Normadressaten über den Gemeinschaftscharakter einer Rechtsnorm im unklaren gelassen werden“ (Rechtssache C-34/73, Rz. 11).

Aus meiner Sicht hat § 6 Abs. 5 Nr. 1 S. 1 überhaupt keinen eigenen Regelungsgehalt. Im Grunde verweist er nur auf eine Pflicht nach der DSGVO, die aber ohnehin unmittelbar zu beachten ist. Was ist also der Sinn der Vorgabe in § 6 Abs. 5 Nr. 1 S. 1? Für mich hat die Regelung keinen materiellen Sonn und Zweck. Vielmehr macht es den Eindruck, dass der Landesgesetzgeber hier eigene Vorgaben macht und die betroffenen Stellen dann zusätzlich bindendes EU-Recht beachten sollen. Das wäre aus meiner Sicht dann aber genau der vom EuGH adressierten unzulässigen Praktik.

Wenn man argumentiert, dass die Regelung keine reine Wiederholung sei, sondern eigenen Regelungsinhalt habe (welchen?), dann greift aber das nächste Argument einer EU-Rechtswidrigkeit.

Denn dem Berliner Gesetzgeber fehlt die Kompetenz, Vorgaben zu Art. 28 Abs. 1 DSGVO aufzustellen. Die DSGVO enthält in Art. 28 Abs. 1 DSGVO keine Öffnungsklausel für Mitgliedstaaten, zur Ausgestaltung der Auswahl von Auftragsverarbeitern.

Auch Art. 23 DSGVO, der grundsätzlich Einschränkungen ermöglichen würde, greift für Art. 28 DSGVO nicht.

Selbst, wenn man (irgendwie) eine Öffnungsklausel herbeiargumentieren möchte, läge hier ein Verstoß vor. Der EuGH hat im März diesen Jahres, zu der ausdrücklich vorgesehenen Öffnungsklausel in Art. 88 Abs. 1 DSGVO entschieden, dass es sich bei einer nationalen Regelung als „spezifischere Vorschrift“ nicht lediglich um eine Wiederholung der DSGVO-Vorgaben handeln darf (Rechtssache C‑34/21, Rz. 71). Wenn diese Vorgaben schon bei ausdrücklich normierten Öffnungsklauseln für spezifischere nationale Regelungen gelten, dann erst recht im hiesigen Fall – in dem eine solche Möglichkeit fehlt.

Datenlokalisierungspflicht

§ 6 Abs. 5 Nr. 1 S. 2 verlangt: „Die Auftragsverarbeitung erfolgt ausschließlich und vollständig in dem Gebiet des Europäischen Wirtschaftsraumes.“

Die SchuldatenV verpflichtet betroffene Stellen mithin dazu, personenbezogene Daten nur in der EU/EWR zu verarbeiten. Rein faktisch wird dies bedeuten, dass Dienstleister, etwa von Softwareprodukten, die ihre Dienste aus Drittländern anbieten oder etwa für Service- oder Supportzwecke auf Daten in der EU/EWR zugreifen müssten, nicht in Anspruch genommen werden können.

Eine solche Datenlokalisierungspflicht sieht die DSGVO aber gerade nicht vor. Ansonsten bräuchte es das gesamte Kapitel V der DSGVO nicht, in dem es nur um Datentransfers in Drittländer geht.

Die DSGVO sieht zudem keine spezielle Öffnungsklausel für die Schaffung einer solchen Lokalisierungsvorgabe vor.

In der Begründung zur SchuldatenV wird auch mit keinem Wort auf die Nutzung einer Öffnungsklausel oder zumindest der Regelung des Art. 23 DSGVO, über den gewisse Rechte und Pflichten der DSGVO eingeschränkt werden können, eingegangen (wobei Art. 23 DSGVO eine Beschränkung der Rechte in Kapitel V DSGVO nicht zulassen würde). Ein Transfer personenbezogener Daten in Drittländer im Rahmen der Auftragsverarbeitung wird schlicht untersagt – entgegen den Vorgaben der DSGVO. Und übrigens: auch ohne jegliche Information zu den Motiven in der Begründung zu § 6 SchuldatenV.

Besonders skurril finde ich an der Regelung, dass die Lokalisierungspflicht dem Wortlaut nach nur für die Auftragsverarbeitung gilt. Das bedeutet, dass Schulen personenbezogene Daten sehrwohl nach den Vorgaben der DSGVO in Drittländer übermitteln könnten. Also an einen anderen Verantwortlichen. Tut mir leid, aber dass kann doch nicht der Zweck einer solchen Regelung sein?! Wenn man, was ich vermute, schulische Daten (gerade jene von Kindern) besonders schützen möchte, dann ist es doch ein völliger Fehlgriff, dies nicht umfassend zu tun. Sondern nur für Situationen der Auftragsverarbeitung.

Bayerischer Verwaltungsgerichtshof: Kein Löschanspruch für alle Daten aus Personalakte – auch nicht nach Ende des Beamtenverhältnisses

Der Bayerische Verwaltungsgerichtshof (VGH) hat Beschluss vom 29.06.2023 (Az. 6 ZB 23.530) einige interessante Aussagen zu den Datenschutzgrundätzen der Datenminimierung, Speicherbegrenzung und Richtigkeit nach Art. 5 Abs. 1 DSGVO getroffen. 

Sachverhalt

In dem Verfahren vor dem VGH verfolgte der Kläger seine Klage gerichtet auf Löschung von Dokumenten aus seiner Personalakte weiter, die vor dem Verwaltungsgericht erfolglos geblieben ist. Er begehrte u.a. die Löschung von Unterlagen überwiegend zu Vorgängen aus den Jahren 2004 bis 2006 sowie 2010 bis 2014, die im Rahmen der Beurteilung der Verwendungsfähigkeit des Klägers im Polizeidienst und seiner allgemeinen Dienstfähigkeit entstanden sind, sowie Unterlagen zur Verlängerung der Probezeit.

Der Kläger meint, sämtliche Einträge in der Personalakte, die vor dem 16. Juni 2006 datieren, seien zu löschen, weil das damalige Beamtenverhältnis zu diesem Zeitpunkt endete und nicht mehr in sachlichem Zusammenhang zu dem nunmehrigen Beamtenverhältnis stehe. 

Entscheidung des VGH

Nach Ansicht des VGH besteht kein Löschanspruch aus der DSGVO. 

Datenminimierung

Zum Grundsatz nach Art. 5 Abs. 1 lit. c) DSGVO stellt der VGH fest, dass die während des Bestehens eines Beamtenverhältnisses in der Personalakte gesammelten Daten grundsätzlich auch dann angemessen, erheblich und auf das notwendige Maß beschränkt bleiben, 

„wenn der betroffene Beamte aus dem Beamtenverhältnis ausscheidet.“ 

Das Gericht also davon aus, dass Daten aus der Personalakte nicht zwingend sofort zu löschen sind, nur weil ein Anstellungsverhältnis (hier: Beamtenverhältnis) endet. Die Unterlagen über krankheitsbedingte Dienstunfähigkeiten dienten hier nicht nur der Feststellung von aktuellen Fehlzeiten, sondern bleiben auch gegebenenfalls für mögliche Reaktivierungs- oder auch Wiedereinstellungsprüfungen von Bedeutung. Gerade diesbezüglich könne es aber es auf den jeweiligen historischen Kontext ankommen. 

Zudem stellt der VGH fest: 

„Eine Löschung könnte vielmehr umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen.“

Datenrichtigkeit

Der Grundsatz nach Art. 5 Abs. 1 lit. d) DSGVO, wonach personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein müssen, könne den Löschungsanspruch ebenfalls begründen. 

Denn, so der VGH, die Daten sind durch das Ausscheiden des Klägers aus dem Dienst ja nicht etwa unrichtig geworden.

„sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.“

Bedeutet: keine Löschung oder Änderungen der faktisch richtigen Vergangenheit durch die DSGVO. Daher bestehe auch kein Berichtigungsanspruch aus Art. 16 DSGVO. Der VGH begründet seine Ansicht damit, dass nur wenn die Personalakten auf dem Stand gehalten werden, der zum jeweiligen Zeitpunkt richtig war, ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentiert werden könne. 

Speicherbegrenzung

Zuletzt folgert der VGH aus seinen Ausführungen, dass damit auch der Grundsatz nach Art. 5 Abs. 1 lit. e) DSGVO der weiteren Speicherung der bis zum Ausscheiden des Klägers aus dem Beamtenverhältnis im Jahr 2006 in seiner Personalakte gesammelten Daten nicht entgegenstehe.

Sensible Daten überall? – Versuch einer (irgendwie handhabbaren) Interpretation des EuGH-Urteils

Mit seinem gestrigen Urteil in der Rs. C-184/20 (Urt. v. 1.8.2022) hat er EuGH für einige Diskussionen und sicher auch hochgezogene Augenbrauen im #TeamDatenschutz gesorgt. Wobei man, wenn man ehrlich ist und die EuGH-Rechtsprechung zum Datenschutz verfolgt, nicht mehr allzu sehr überrascht von Entscheidungen sein sollte, in denen das Gericht den Anwendungsbereich der DSGVO weit auslegt und per se betroffenenfreundlich urteilt.

Was hat der EuGH entschieden?

Auf die Hintergründe des Urteils möchte ich hier nicht eingehen. Für diesen Blogbeitrag reicht es aus zu wissen, dass es in Litauen aus Gründen der Transparenz und Korruptionsbekämpfung eine gesetzliche Pflicht für gewisse Personen gibt, bestimmte Daten an eine Behörde zu geben und diese Behörde den Großteil dieser Daten dann auf ihrer Internetseite veröffentlicht. Zu den Daten gehören auch namensbezogenen Daten über den Ehegatten, Partner oder Lebensgefährten der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, sowie die Angabe des Gegenstands der Transaktionen mit einem Wert von mehr als 3 000 Euro.

Der EuGH geht am Ende ausdrücklich von einer „weiten Auslegung“ (Rz. 125) Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ (Art. 9 Abs. 1 DSGVO) aus.

Eine Verarbeitung von Daten, „die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“, stelle eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen dar (Rz. 128).

Der EuGH lässt es für die Anwendbarkeit des Art. 9 Abs. 1 DSGVO mithin genügen, dass aus Daten indirekt auf besondere Kategorien personenbezogener Daten geschlossen werden kann. Bsp: gibt ein Mann an, dass er mit einem Mann verheiratet ist, offenbart dies nach Ansicht des EuGH wohl seine sexuelle Orientierung. Art. 9 Abs. 1 DSGVO ist anwendbar, auch wenn die Daten dies selbst inhaltlich nicht (direkt) offenbaren.

Begründung des EuGH

Die Begründung für dieses Ergebnis, wenn man die generelle Linie des EuGH bei Datenschutz-Themen betrachtet, wenig überraschend. Im Kern nennt der EuGH zwei Argumente.

Erstens, eine kontextbezogene Analyse. Eine enge Auslegung des Begriffs der besonderen Kategorien personenbezogener Daten liefe insbesondere Art. 4 Nr. 15 der DSGVO zuwider, wonach „Gesundheitsdaten“ personenbezogene Daten sind, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand „hervorgehen“, und stünde auch im Widerspruch zu ErwG 35 DSGVO.

Zweitens, eine zweckbezogene Auslegung der Norm innerhalb der DSGVO. Für eine weite Auslegung spreche das Ziel der DSGVO, das darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten.

Mögliche Folgen des Urteils

Überträgt man die Begründung des EuGH in die Praxis, bedeutet dies im worst case, dass bei sehr vielen Verarbeitungen die zusätzlichen und strengen Ausnahmen aus Art. 9 Abs. 2 DSGVO beachtet werden müssen. Dort findet sich insbesondere kein Erlaubnistatbestand der Vertragserfüllung wie in Art. 6 Abs. 1 lit. b oder der Interessenabwägung wie in Art. 6 Abs. 1 lit. f DSGVO. Ergebnis: kauft jemand online Schmerztabletten, ergibt sich hieraus indirekt der Gesundheitszustand. Art. 9 DSGVO ist anwendbar und im Zweifel muss für die Zulässigkeit der Verarbeitung eine Einwilligung eingeholt werden – die Rechtsgrundlage der Vertragsdurchführung würde nicht ausreichen.  

Ansatz einer eigenen Interpretation

Das oben beispielhaft dargestellte Ergebnis erscheint schon für sich sehr extrem. Noch diskussionswürdiger wird es, wenn man bedenkt, dass die Person, die Schmerztabletten kauft, ja gar nicht gerade akut Schmerzen haben muss oder diese Tabletten für ein Familienmitglied einkauft. Dann wäre selbst der indirekte Bezug zum Gesundheitszustand eigentlich nicht gegeben, weil der Käufer aktuell eben nicht Schmerzen hat oder Daten der anderen Person gar nicht verarbeitet werden.

Ich kann mir, nach erster Sichtung der Begründung, in der Zukunft daher eventuell die folgende Anwendung und Interpretation von Art. 9 Abs. 1 DSGVO vorstellen. Einerseits, um dem Willen des EuGH (weite Auslegung) zu genügen. Andererseits, um nicht jeglichen (möglichen!) Bezug zu Art. 9-Daten ausreichen zu lassen.

1.

Der EuGH geht klar davon aus, dass es in dem entschiedenen Fall tatsächlich möglich war, „aus den namensbezogenen Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person bestimmte Informationen über das Sexualleben oder die sexuelle Orientierung dieser Person und ihres Ehegatten, Lebensgefährten oder Partners abzuleiten“ (Rz. 119).

Dies ist mE ein wichtiger Aspekt. Der EuGH begründet seine Ansicht also stets vor der Tatsache, dass die Ableitung auf wirklich existierende besondere Kategorien personenbezogener Daten zumindest möglich war.

2.

Der EuGH fußt seine Begründung zudem ausdrücklich auf der Annahme, dass Daten betroffen sind, „aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann“ (Rz. 120).

Dieser Schluss auf besondere Kategorien personenbezogener Daten muss (theoretisch) wirklich möglich sein. Art. 9 Abs. 1 DSGVO muss daher nach Ansicht des EuGH zwar weit ausgelegt werden. Jedoch wiederholt der EuGH mehrmals in seiner Begründung den Aspekt, dass es um Daten geht, „aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben“ (Rz. 123).

3.

Art. 9 Abs. 1 DSGVO ist daher meines Erachtens zumindest dann (auch im Einklang mit dem EuGH) nicht anwendbar, wenn die indirekte Offenbarung bzw. der indirekte Schluss auf besondere Kategorien personenbezogener Daten faktisch nicht möglich ist, weil es diese sensiblen Daten gar nicht gibt. Dann kann sich, im Duktus des EuGH, mittels Ableitung oder Abgleich diese indirekte Information rein faktisch nicht ergeben. Eine falsche Ableitung (Person kauft Schmerztabletten, ist faktisch nicht krank, der Verantwortliche geht aber davon aus) darf hier meines Erachtens keine Beachtung finden, da nach dem Grundsatz aus Art. 5 Abs. 1 lit. d (Richtigkeit) per se nur richtige Daten verarbeitet werden dürfen.

Das würde wohl nicht in jedem Fall in der Praxis helfen, Art. 9 Abs. 1 DSGVO auszuschließen. Jedoch dürfte man in einigen, extrem praxisrelevanten Fällen dennoch allein Art. 6 Abs. 1 DSGVO zur Anwendung bringen können.  

Bezogen auf mein Beispiel der Schmerztabletten oben: da die Person, die den Kauf tätigt, nicht selbst krank ist, liegen keine Art. 9-Daten vor. Die Ableitung aus dem Kauf darauf, dass die Person selbst Schmerzen hat (= Gesundheitszustand) wäre falsch bzw. würde ins Leere gehen.

Ich bin mir auch nicht sicher, ob diese Idee und meine Gedanken dazu die beste Lösung darstellen. Zumindest könnte man hierüber in gewissen Konstellationen zu einem (irgendwie noch handhabbaren) Ergebnis für die Praxis gelangen, nicht in jedem Fall eine zusätzliche Einwilligung nach Art. 9 Abs. 1 lit. a DSGVO einholen zu müssen.

Verwaltungsgericht Bremen: Keine Auskunft über Betroffenenrechte, wenn der Betroffene diese kennt und selbst erwähnt?

Das Verwaltungsgericht (VG) Bremen hat sich in einem Urteil vom 22.06.2022 (Az. 4 K 1/21; derzeit leider bei BeckOnline kostenpflichtig abrufbar, BeckRS 2022, 16412) mit Fragen rund um das Auskunftsrecht nach Art. 15 DSGVO befasst. Das VG lehnt zum Teil eine Pflicht des Verantwortlichen ab, Informationen nach Art. 15 Abs. 1 lit. a) – h) DSGVO zu erteilen. Der Fall selbst erscheint mir einigermaßen „speziell“.

Sachverhalt

Die Kläger machen gegenüber der Beklagten (einer öffentlichen Stelle) Auskunftsansprüche nach der DSGVO geltend. Mit Schreiben vom 16.06.2020, adressiert an die Beklagte – Amt für Kinder, Jugend und Familie -, beantragte die Klägerin zu 1. für sich und die Kläger zu 2. und 3. bei der Beklagten unter Hinweis auf Art. 15 Abs. 1 lit. a) bis h) DSGVO die Erteilung von Auskünften über die über sie selbst und ihre beiden Söhne erhobenen und verarbeiteten personenbezogenen Daten.

Die Beklagte teilte ihr daraufhin mit, dass es keine zentrale Stelle gäbe, die sämtliche personenbezogenen Daten von Betroffenen erfassen und zusammenführen würde, weswegen sie sich hinsichtlich des geltend gemachten Anspruchs an die jeweilige Stelle in Bremerhaven wenden müsste. Am 03.01.2021 wurde Klage und zugleich ein Antrag auf Gewährung vorläufigen Rechtsschutzes eingereicht und zur Begründung vorgetragen, die Beklagte habe nicht auf ihr Auskunftsbegehren vom 16.06.2020 reagiert. Auch die nachträglich vorgelegten Unterlagen seien unvollständig.

Mit Schreiben vom 03.03.2022 hat die Beklagte der Klägerin zu 1. u.a. eine ExcelTabelle zu den verarbeiteten personenbezogenen Daten übermittelt. Mit Schreiben vom 11.05.2022 hat die Beklagte u.a. auch noch einen Auszug aus der LogoData-Software zu den verarbeiteten personenbezogenen Daten übermittelt. Die Schreiben bzw. Tabellen und Übersichten enthielten jedoch keine Hinweise auf Betroffenenrechte oder Beschwerderechte. Ferner enthielten sie auch keine Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Die Kläger gingen weiter davon aus, dass ihr Anspruch aus Art. 15 DSGVO nicht erfüllt sei.

Entscheidung

Das VG ging zunächst davon aus, dass der Anspruch nach Art. 15 DSGVO mit der Übersendung der Excel-Tabellen und eines Auszugs aus der verwendeten Software zum Teil erfüllt war.

Erfüllung mit Screenshots und Kopien aus Systemen

Die Aussagen zu der übersendeten Excel-Tabelle (ich vermute, als Screenshot / Ausdruck und Kopie) sind durchaus interessant. Die Excel-Tabelle war so aufgebaut, dass dort sämtliche bei der Beklagten vorhandene personenbezogene Daten i.S.v. Art. 15 Abs. 1 lit. a) bis d) und g) DSGVO zu den Klägern eingetragen werden konnten, was auch geschehen ist.

Aus den LogoData-Softwareauszügen, welche per Schreiben (also wohl auch eine Kopie eines Screenshots bzw. ein Ausdruck) übermittelt wurden, wurde ersichtlich, dass, und darüber hinaus auch konkret welche Daten nach Art. 15 Abs. 1 lit. a) bis d) und g) DSGVO beim Sozialen Dienst der Beklagten zum Zwecke der Bearbeitung des Unterhaltsvorschusses und der wirtschaftlichen Jugendhilfe verarbeitet wurden.

Keine Auskunft über bekannte Betroffenenrechte?

Sehr interessant finde ich die Begründung des VG zu der Frage, ob die beklagte Behörde nicht auch die Informationen nach Art. 15 Abs. 1 lit. e) und h) DSGVO erteilen musste. Es war klar, dass sämtliche der Klägerin übermittelten Unterlagen keine Informationen zu den nach Art. 15 Abs. 1 lit. e) und h) DSGVO zu übermittelnden Angaben enthielten.

Das VG fand hier aber einen Begründungsansatz, warum diese Informationen nicht erforderlich waren.

Für den Hinweis auf das Bestehen eines Rechts auf Berichtigung oder Löschung der die Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung (Art. 15 Abs. 1 lit. e) DSGVO) bestand nach Auffassung des VG kein Bedürfnis,

nachdem die Kläger bereits in den Schriftsatz vom 04.01.2021, mit dem sie die Klage eingereicht hatten, Art. 15 Abs. 1 DSGVO vollständig zitiert hatten. Die Kläger können sich im vorliegenden Fall gerade nicht darauf berufen, sie hätten keine Kenntnis von ihren Betroffenenrechten gehabt und die Beklagte müsste nun dazu verpflichtet werden, sie hierauf hinzuweisen.“

(gemeint ist wohl die Klage vom 03.01). Das VG argumentiert hier nicht europarechtlich aus der DSGVO heraus, sondern basierend auf dem deutschen Verwaltungsprozessrecht. Diesen Ansatz finde ich durchaus nachvollziehbar.

Denn auf diese Weise könnten die Kläger keine Verbesserung ihrer Rechtsposition erreichen. Eine Klage, bei der nicht einmal die Möglichkeit einer Verbesserung der eigenen Rechtsposition besteht, ist als rechtsmissbräuchlich zu bewerten und daher unzulässig“.

Es dürfte sich aber eine Gegenposition ebenso vertreten lassen. Im Grunde geht die DSGVO als unmittelbar anwendbares Recht dem nationalen Recht vor. Art. 15 Abs. 1 DSGVO sieht keine Ausnahme der Auskunftspflichten vor, wenn die betroffene Person diese Rechte bereits kennt bzw. selbst zitiert. Am Ende wird man diskutieren müssen, ob das deutsche Prozessrecht von der DSGVO unbeeinflusst gilt und auch Auswirkungen auf materiell-rechtliche Anforderungen der DSGVO haben kann.   

Keine Auskunft, wenn nicht relevant?

Auch die Informationserteilung nach Art. 15 Abs. 1 lit. h) DSGVO lehnt das VG ab.

Diesbezüglich jedoch mit einer anderen Begründung. Für diese Information bestand nach Auffassung des Gerichts kein Bedürfnis,

weil im vorliegenden Fall keinerlei Anhaltspunkte dafür bestanden, dass die personenbezogenen Daten der Kläger zum Zwecke der automatisierten Entscheidungsfindung einschließlich Profiling verarbeitet worden sein könnten.“

Findet eine automatisierten Entscheidungsfindung nicht statt, muss also nach Ansicht des VG darüber auch nicht negativ informiert werden. Diese Begründung halte ich durchaus für gangbar, zumal lit. h) ausdrücklich vorsieht, dass der Verantwortliche über „das Bestehen“ einer automatisierten Entscheidungsfindung einschließlich Profiling informieren soll. Findet dies aber nicht statt, dann liegt auch kein „Bestehen“ vor.

Europäischer Datenschutzbeauftragter: Internationaler Datentransfer auf Basis eines im Interesse der betroffenen Person geschlossenen Vertrags

In seinem neuesten Newsletter berichtet der EDPS über die Beratungsanfrage einer Bibliothek. Es ging dort unter anderem auch um die Frage, auf welcher Rechtsgrundlage die Daten von Abonnenten an Verlage in Drittländern außerhalb der EU übermittelt werden dürfen. Die Verlage hatten, für den Zugang zu ihren Werken, Verträge mit der Bibliothek abgeschlossen.

Bislang verlangte die Bibliothek für die Datenübermittlung an die Verlage in Drittländern eine Einwilligung der Betroffenen. Der EDPS vertrat jedoch eine andere Auffassung. Nach seiner Ansicht kann sich die Bibliothek, als Verantwortlicher, in diesem Fall auf die Ausnahmeregelung des Art. 50 Abs. 1 lit. c der Verordnung 2018/1725 berufen. Die Begründung des EDPS:

„…weil die Übermittlung von Abonnentendaten an Verlage außerhalb des EWR für den Zugang zu Veröffentlichungen mit Sitz außerhalb der EU/des EWR erforderlich ist.“

Zwar gilt die Verordnung 2018/1725 nur für die öffentliche Stellen der EU. Die entscheidende Vorschrift findet sich aber ebenso auch in der DSGVO, in Art. 49 Abs. 1 lit. c DSGVO: „die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich“.

Die Aufsichtsbehörde geht also davon aus, dass in diesem Fall die Datenübermittlung auf den Vertrag zwischen der Bibliothek und dem Verlag im Drittland gestützt werden darf. Dieser Fall ist eines der sehr seltenen Beispiele, wann eine Aufsichtsbehörde tatsächlich einmal diese Ausnahmevorschrift für anwendbar hält. Die Erwägungen der Behörde lassen sich sicher auch auf den Anwendungsbereich der DSGVO, also insbesondere privatwirtschaftliche Bibliotheken und Verlage übertragen.

Verwaltungsgericht: Keine Ermächtigung für Datenschutzbehörde zur zwangsweisen (Ab-)Berufung eines Datenschutzbeauftragten?

Das Verwaltungsgericht Köln hat im Verfahren des einstweiligen Rechtsschutzes eine interessante Entscheidung getroffen (Az. 13 L 1707/21). Geklagt (und parallel im Wege des einstweiligen Rechtsschutzes die aufschiebende Wirkung betragt) hat eine Behörde gegen einen Bescheid des Bundesdatenschutzbeauftragten (BfDI). In diesem sollte die Behörde dazu verpflichtet werden, entweder einen Datenschutzbeauftragten (DSB) zu benennen oder den aktuellen abzuberufen; das wird aus der Begründung leicht nicht ganz klar.

Interessant ist die Begründung des Verwaltungsgerichts zu der Frage, ob denn die Datenschutzbehörde überhaupt eine Ermächtigungsgrundlage nach der DSGVO besitzt, um Verantwortliche oder Auftragsverarbeiter anzuweisen, einen DSB zu benennen oder einen bereits benannten abzuberufen (z.B. wegen mangelnder Qualifikation oder Interessenkonflikten).

Das Verwaltungsgericht führt zu dieser Frage aus:

Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des Art. 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind“.

In der Tat verlangt Abs. 2 lit. d) für die Anweisung durch den BfDI, dass „Verarbeitungsvorgänge“ vorliegen, die nach Ansicht der Aufsichtsbehörde auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen sind.

Die Tätigkeit des DSB und auch seine (Ab-)Berufung stellt jedoch nach Ansicht des Verwaltungsgerichts keinen solchen tatbestandlichen Verarbeitungsvorgang dar.

Das Verwaltungsgericht dazu: „Dass die (Ab-)Berufung eines behördlichen Datenschutzbeauftragten hierunter fallen könnte, ist nicht ersichtlich.“

Und es gibt in Art. 58 Abs. 2 DSGVO auch keine andere Ermächtigung, die speziell die Benennung des DSB adressieren würde. Man könnte nun spitzfindig überlegen, dass etwa die Benennung eines DSB schon eine Verarbeitung darstellt und diese Verarbeitung nur zulässig sein kann, wenn etwa der DSB auch qualifiziert und geeignet ist. Es würde dann um die personenbezogenen Daten dieses DSB gehen, etwa um zu dokumentieren, dass Herr / Frau XYZ zum DSB benannt wurde. Die Verarbeitung könnte dann die Aufsichtsbehörde eventuell angreifen oder eine solche Verarbeitung in Einklang mit der DSGVO verlangen. Jedoch dürfte dies ggfs. nicht ausreichen, da in Bezug auf die Daten des DSB wohl nur die Frage zu beantworten ist, ob diese Verarbeitung (Verwendung des Namens des DSB) zulässig war? Im Zweifel wird die Verarbeitung zulässig gewesen sein, um eine gesetzliche Pflicht (Art. 37 DSGVO) zu erfüllen. Eventuell mag man aber auch (ein wenig von hinten durch die Brust) den Schluss ziehen, dass wenn die Benennung (oder fehlende Benennung) nicht zulässig im Sinne des Art. 37 DSGVO war, dann dürfte auch die Verarbeitung der Daten des DSB unzulässig sein.

Mal sehen, wie die Sache im Hauptverfahren ausgeht.

Update vom 13.12.2021: der Bescheid erging nicht durch die LDI, sondern den BfDI.