Durchführung des Digital Services Act (DSA): Bundesratsausschüsse gegen Zuständigkeitskonzentration beim BfDI für Verbote zur Online-Werbung

Nach Art. 26 Abs. 3 DSA dürfen Anbieter von Online-Plattformen Nutzern keine Werbung anzeigen, die auf Profiling nach der DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten beruht. Zudem dürfen nach Art. 28 Abs. 2 DSA Anbieter von Online-Plattformen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten des Nutzers darstellen, wenn sie hinreichende Gewissheit haben, dass der betreffende Nutzer minderjährig ist.

Zuständigkeitsregelung im Entwurf des DDG

Im Entwurf eines Gesetzes zur Durchführung des DSA (PDF, 15.01.2024, S. 71 f.) hatte die Bundesregierung in § 12 Abs. 3 des Digitale-Dienste-Gesetz (DDG) eigentlich vorgesehen, dass die Zuständigkeit für die Durchsetzung der Art. 26 Abs. 3 und Art. 28 Abs. 2 DSA dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) übertragen wird.

Begründet wurde dies u.a. damit, dass sich die in diesen Regelungen enthaltenen Werbeverbote auf in der Datenschutz-Grundverordnung definierte Begriffe stützen,

für deren Auslegung und Umsetzung in der Praxis die oder der Bundesbeauftragte die einschlägige Erfahrung und Expertise aufweist, wie zum Beispiel, ob besondere Kategorien personenbezogener Daten verarbeitet werden oder ein Profiling der Nutzenden stattfindet.“

Veto aus den Ausschüssen des Bundesrates

Mit Datum vom 19.01.2024 haben die beratenden Ausschüsse des Bundesrates nun ihre Empfehlungen zu dem Gesetzentwurf veröffentlicht (PDF). Zu § 12 Abs. 3 DDG wird dort durch den Ausschuss für Innere Angelegenheit eine Anpassung empfohlen – nicht der BfDI soll zuständig sein, sondern die Datenschutzbehörden der Länder.

Begründet wird diese Anpassung u.a. damit, dass Adressaten der Verpflichtungen nach Art. 26 und 28 DSA ausschließlich nicht öffentliche Stellen (Unternehmen als Anbieter von Online-Plattformen) seien,

deren Datenverarbeitung nach § 40 BDSG der Datenschutzkontrolle durch die Datenschutzaufsichtsbehörden der Länder unterliegt.“

Entgegen der Begründung der Bundesregierung für die Zuständigkeitszuweisung an den BfDI, welche auf eine einschlägige Erfahrung und Expertise des BfDI verweist,

muss nach Ansicht des Bundesrates festgestellt werden, dass diesem bislang nicht mehr als eine eingeschränkte sektorale Aufsicht über Telekommunikationsanbieter obliegt.“

Zudem seien bei einer Beschwerdeprüfung auf Grundlage des DSA (bzw. des DDG) Berührungspunkte zu allgemeindatenschutzrechtlichen Fragen,

die der Vollzugsverantwortung der Datenschutzaufsichtsbehörden der Länder vorbehalten sind, regelmäßig vorbestimmt.“

Auch führe eine Zuständigkeitszuweisung an den BfDI

absehbar zur Aufspaltung von datenschutzrechtlichen Beschwerdeverfahren, was den Zielen der Effektivität und Rechtssicherheit widerspricht“.

Einen vermittelnden Vorschlag legen der federführende Verkehrsausschuss und der Wirtschaftsausschuss vor.

Ihrer Ansicht nach sollten der BfDI und die Landesdatenschutzbehörden zuständig sein. Nach Ansicht dieser Ausschüsse würde mit § 12 Abs. 3 DDG eine Aufsichtsstruktur eingeführt,

die eine nicht gebotene nationale Zuständigkeitszersplitterung und weitere Abstimmungsbedarfe in der Praxis nach sich zöge und einheitliche Lebens- und Prüfvorgänge aufspalten würde“.

Daher schlagen sie vor, dass die Landesdatenschutzbehörden für die Webseiten, für die sie ohnehin zuständig sind, auch bezüglich der Vorgaben in Art. 26 Abs. 3 und Art. 28 Abs. 2 DSA zuständig werden.

Welche Variante am Ende im Bundesrat Zustimmung findet, muss man abwarten. Klar ist aber die Tendenz der Ausschüsse, die Zuständigkeit nicht allein dem BfDI zu übertragen.

Bundesrat: Bayern möchte Benennungspflicht für Datenschutzbeauftragte einschränken

Das Bundesland Bayern hat im Bundesrat einen Antrag für eine „Entschließung des Bundesrates zur Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU“ (PDF) mit Datum vom 10.5.2022 eingebracht. In dem Antrag schlägt Bayern verschiedenste Anpassungen des BDSG vor dem Hintergrund des Berichts des Bundesministeriums des Innern zur Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes aus 2021 vor.

Pflicht zur Benennung eines Datenschutzbeauftragten

Kernbestandteil des Entwurfs ist die Beschränkung der Benennungspflicht für Datenschutzbeauftragte nach § 38 BDSG. Hinsichtlich dieser nationalen Regelung wird bereits ganz allgemein Kritik geäußert, in dem die Änderungsvorschläge wie folgt eingeleitet werden: „Soll an der zusätzlichen nationalen Regelung überhaupt weiterhin festgehalten werden…“.

In dem Entwurf schlägt Bayern vor, „in Anlehnung an den von der DSGVO verfolgten risikobasierten Ansatz“, § 38 Abs. 1 BDSG anzupassen. Die dort vorgegebene Grenze von mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, soll insofern modifiziert werden, dass als relevante Beschäftigte nur solche Personen gelten, die bei ihrer Tätigkeit die Voraussetzungen des Art. 37 Abs. 1 lit. b, c DSGVO erfüllen.

Derzeit bestehen nur die Anforderungen, dass die 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Voraussetzung soll nun noch verschärft werden, in dem zusätzlich an die Kriterien aus Art. 37 Abs. 1 lit. b und c DSGVO angeknüpft werden soll.

Der Antrag begründet hierzu:

Die zusätzliche Benennungspflicht nach nationalem Recht sollte demnach nur dann bestehen, soweit der Verantwortliche oder Auftragsverarbeiter mindestens 20 Personen beschäftigen, deren Kerntätigkeit in der Durchführung von Verarbeitungstätigkeiten besteht, welche aufgrund ihrer Art, ihres Umfangs und / oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder deren Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten i.S.d. Art. 9, 10 DSGVO besteht.“

Ziel dieses Vorschlags ist es, kleinere und mittlere Unternehmen zu entlasten.

Ich persönlich sehe solche Forderungen kritisch. Denn nur weil ggfs. die Benennungspflicht entfällt, bedeutet dies natürlich nicht, dass die Unternehmen sich nicht mehr an die DSGVO halten müssen. In der Praxis existiert aber leider die Vorstellung: „Kein DSB erforderlich – Keine Vorgaben aus dem Datenschutzrecht zu beachten“. Das ist natürlich falsch und für die Unternehmen im schlimmsten Fall auch rechtlich gefährlich. Politisch klingt ein solcher Vorschlag freilich super: wir entlasten die Unternehmen (von einer Pflicht…).

Verzeichnis von Verarbeitungstätigkeiten

Zudem schlägt Bayern vor, in die gegebenenfalls zu erstellende Gesetzbegründung den Hinweis aufzunehmen, dass Unternehmen, wenn sie nach (einem neuen) § 38 BDSG keinen Datenschutzbeauftragten benennen müssen, auch kein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen müssen.

Auch diesen Vorschlag empfinde ich eher als politisches Geschenk an die wählenden Unternehmen. Denn auch hier gilt: nur, weil ich als Unternehmen evtentuell kein Verzeichnis führen muss, muss ich dennoch die übrigen Pflichten der DSGVO einhalten. UND: das Verzeichnis ist in der Praxis eine extrem relevante Hilfe bei der Erfüllung weiterer Pflichten, wie etwa jener zur Informationserteilung nach Art. 13, 14 DSGVO oder auch zur Erfüllung von Auskunftsanträgen nach Art. 15 DSGVO. Fällt die Pflicht für das Verzeichnis weg, steht das Unternehmen im Zweifel „nackig“, ohne Übersicht zu seinen Datenverarbeitungen da, wenn der erste Betroffene Auskunft über seine Daten, die Empfänger etc. verlangt.

Institutionalisierung der DSK

Auch zur Zukunft der DSK enthält der Entwurf eine Position. So wird die Auffassung des BMI aus seinem Bericht geteilt, dass eine Regelung im BDSG

zur weitergehenden Institutionalisierung der DSK wegen des Verbots der Mischverwaltung an verfassungsrechtliche Grenzen stößt.“

Zudem schlägt Bayern vor, sich gegen Befugnisse der DSK zu verbindlichen Entscheidungen über Auslegungsmaximen des Datenschutzrechts und Angelegenheiten des Datenschutzes auszusprechen.

Cookie-Einwilligungen nach dem TTDSG: Bald nur noch Buttons mit „Einwilligen“ und „Ablehnen“ zulässig?

Aktuell wird im Bundestag der Entwurf für ein Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG, BT Drs 19/27441, PDF) diskutiert. Bekanntlich sollen im TTDSG datenschutzrechtliche Regelungen aus dem TKG und dem TMG zusammengeführt werden. Zudem soll es in § 24 TTDSG eine neue Vorgabe zur Einwilligung beim Einsatz von Cookies und auch anderen Tracking-Technologien geben.

In diesem Zusammenhang ist die Stellungnahme des Bundesrats vom 26.3.2021 (BR Drs 163/21, PDF) ganz interessant.

In Ziff. 4 d) bittet der Bundesrat darum, dass im weiteren Gesetzgebungsverfahren im TTDSG eine Ermächtigungsgrundlage geschaffen wird

um damit für Nutzerinnen und Nutzer eine einfachere und standardisierte Handhabung in Bezug  auf die Ausgestaltung ihrer Einwilligung nach § 24 TTDSG-E zu ermöglichen.“

Diese Forderung klingt zunächst recht unverfänglich. Zumal ich mich frage, welche Art von „Ermächtigungsgrundlage“ der Bundesrat hier anspricht. Aus Sicht des Bundesrates mag es evtl. um eine Ermächtigung für die Bundesländer gehen; was aber im Ergebnis wieder die Gefahr unterschiedlicher Ansätze in der Praxis birgt.

In der Begründung zu der Forderung erläutert der Bundesrat:

Mit der zunehmenden Umsetzung dieser Regelung wird der Besuch von Internetseiten für Endnutzerinnen und Endnutzer jedoch zunehmend beschwerlicher. Um eine für Endnutzerinnen und Endnutzer einfache und schnelle Handhabe zu ermöglichen, erscheint eine einfache Gestaltung beispielsweise mithilfe von nur zwei Buttons („Einwilligen“, „Ablehnen“) zielführend.“

Die Begründung referenziert hier auf die in der Praxis zu beobachtenden Cookie-Banner bzw. Consent-Management-Tools, die von Nutzern die Wahl hinsichtlich des Einsatzes von Cookies und anderer Tracker verlangen. Dies scheint aus Sicht des Bundesrates für die Nutzer kaum noch verständlich und evtl. auch zu beschwerlich zu sein. Als Lösung („einfache und schnelle Handhabe“) schlägt der Bundesrat daher wohl eine für Unternehmen verpflichtende Gestaltung des Frontends vor. Es soll nur zwei Buttons geben: „Einwilligen“, „Ablehnen“.

Eine solch spezifische Vorgabe existiert in der ePrivacy Richtlinie und auch in der DSGVO derzeit nicht.

In der Praxis sind die Einwilligungsabfragen auf Webseiten und Apps sehr unterschiedlich gestaltet. Viele der aktuell verwendeten Pop-ups und Cookie-Banner würden die hier angedachte verpflichtende Vorgabe zur Darstellung bei der Einwilligungsabfrage wohl nicht erfüllen.

Daneben regt der Bundesrat übrigens auch die Schaffung der Möglichkeit an, dass Einwilligungen über Browsereinstellungen erteilt werden können. Neu ist diese Idee nicht. So sieht bereits ErwG 66 der RL 2009/136/ EG (mit der Art. 5 Abs. 3 RL 2002/58/EG angepasst wurde) vor: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“. Ergänzend schlägt der Bundesrat aber vor, dass solche Einstellungen im Browser jedoch  Einzeleinwilligungen als Ausnahme berücksichtigen müssten. Also, wenn ein Nutzer zB das Tracking ablehnt, für bestimmte Seiten aber doch zustimmen möchte. Dann dürfe, nach Ansicht des Bundesrats, die Browsereinstellung dies nicht unterbinden. Ganz ähnliche Themen werden im Übrigen aktuell im Rahmen der Verhandlungen zur ePrivacy Verordnung diskutiert.

Referentenwurf zum TTDSG – Cookies, Einwilligungsmanagement und Registrierungspflicht im Internet?

Heute das das BMWi einen neuen Referentenentwurf für ein Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien veröffentlicht (pdf). Bis zum 22.1.2021 können Stellungnahmen an das BMWi abgegeben werden.

Ziel des Entwurfs ist es, ein abgeschlossenes Spezialgesetz zum Datenschutz und zum Schutz der Privatsphäre im Bereich der Telekommunikation und den Telemedien (also zB Apps und Webseiten) zu schaffen. Man möchte vor allem auch Rechtssicherheit für Unternehmen schaffen, die aktuell mit verschiedensten Datenschutzvorgaben aus mehreren Gesetzen (DSGVO, TMG und TKG) umgehen müssen. Europarechtlich spielen hierbei vor allem die RL 2002/58/EG (inkl. der Änderungen durch die RL 2009/136/EG) sowie die RL 2018/1972/EG eine wichtige Rolle.

Nachfolgend möchte ich keine allgemeine Stellungnahme abgeben, sondern nur auf ein paar interessante Aspekte des Entwurfs eingehen, die zum Teil aber noch gar nicht im Entwurf selbst enthalten sind.

Vorgaben für den Einsatz von Cookies

Mit § 22 TTDSG möchte das BMWi die Vorgaben des Art. 5 Abs. 3 RL 2002/58/EG umsetzen. Dieser verlangt von den Mitgliedstaaten, sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Endnutzer seine Einwilligung gegeben hat. Diese Regelung begegnet uns in der Praxis immer im Zusammenhang mit dem Einsatz von Cookies und anderen Trackingtechnologien. Kürzlich haben sich zur deutschen Rechtslage auch der EuGH (C-673/17) und der BGH (I ZR 7/16) geäußert.

Der Entwurf sieht vor, dass der aktuell geltende § 15 TMG komplett aufgehoben wird. Hierfür soll der neue § 22 TTDSG geschaffen werden, der sich sehr stark an der europäischen Vorgabe orientiert:

Abs. 1: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer klar und umfassend unter anderem über die Zwecke der Verarbeitung informiert wurde und er seine Einwilligung erteilt hat“.

Wie auch Art. 5 Abs. 3 RL 2002/58/EG sieht § 22 in Abs. 2 und 3 Ausnahmen vom Einwilligungserfordernis vor. Die Begründung hierzu: § 22 TTDSG stellt klar, dass der Endnutzer davor geschützt ist, dass Dritte unbefugt auf seiner Endeinrichtung Informationen speichern oder auslesen und dadurch seine Privatsphäre verletzen (S. 32).

Besonders relevant für den Einsatz von Trackingtechnologien ist § 22 Abs. 3 TTDSG:

Absatz 1 gilt nicht, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können“.

Für uns würde dies bedeuten, dass mit § 22 Abs. 1 TTDSG generell eine Einwilligungspflicht vorgeschrieben wird, die in den in Abs. 2 und 3 benannten Ausnahmefällen nicht greift. Dann dürfen zB Cookies auch ohne Einwilligung gesetzt werden.

In der Praxis wird die Diskussion sich dann vor allem um die Frage drehen, wann ein Zugriff auf Daten in einem Endgerät unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können. Bespiele hierfür sind der klassische Warenkorb-Cookie oder auch Authentifzierung-Cookies. Es gibt aber noch einige andere relevante Fallgruppe, die u.a. auch von europäischen Datenschutzbehörden als solche anerkannt sind (kleiner Spoiler: in einem der nächsten Hefte der Zeitschrift ZD wird es hierzu einen Aufsatz von Jasmin Kühner und mir geben).

Einwilligungsmanagement

Neu und daher besonders spannend ist die Idee des BMWi, Vorschriften zum Einsatz sog. Personal Information Management Services – PIMS zu schaffen. Im aktuellen Entwurf ist hierzu noch keine Regelung enthalten. Daher ist die Begründung auf S. 23 des Entwurfs leider nicht korrekt: „Es wird eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) geschaffen.“

Auf der Webseite des BMWi zu Anhörung findet sich jedoch die Aufforderung, genau zu diesem Thema Stellungnahmen abzugeben.

Das BMWi überlegt, evtl. doch noch eine Regelung zu „Regelungen zu Datenmanagementsystemen und „Personal Information Management-Services“ (PIMS)“ aufzunehmen. Die Idee ist nicht komplett neu, wie sich etwa aus ErwG 21 des Entwurfs der Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz) der EU-Kommission ergibt: „Solche Strukturen können die Dateninhaber beim Einwilligungsmanagement unterstützen, wenn beispielsweise für bestimmte Bereiche der wissenschaftlichen Forschung die Einwilligung unter der Voraussetzung gegeben wird, dass anerkannte Standards der Ethik für die wissenschaftliche Forschung eingehalten werden.“

Meiner Ansicht nach ist die Aufnahme einer Regelung hierzu im TTDSG deswegen aber nicht per se ausgeschlossen. Denn das Daten-Governance-Gesetz zielt vor allem auf Daten im öffentlichen Sektor. Daneben werden zwar auch Regelungen für den C2B Kontext geschaffen (also, wenn Nutzer ihre Daten an Unternehmen weitergeben wollen). Relevant ist hier die Tätigkeit sog. „Vermittlungsdienste“ nach Art. 9 Abs. 1 lit. b und die Bedingungen für die Erbringung solcher Vermittlungsdienste in Art. 11.

Ob und wie dieser Entwurf am Ende aber verabschiedet wird, ist derzeit aber nicht klar. Da wäre man auch nationaler Ebene sicher schneller. Natürlich käme es am Ende auf die konkreten Vorgaben im TTDSG an. Aber ein Novum wären solche Vorgaben für die Tätigkeit von Diensten zur Verwaltung persönlicher Informationen schon.

Registrierungspflicht im Internet?

Ein „heißes Eisen“ fasst das BMWi auf seiner Webseite ebenfalls an. Nach aktueller Gesetzeslage (§ 13 Abs. 6 TMG) müssen Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonymen ermöglichen, soweit dies technisch möglich und zumutbar ist. Diese Regelung würde man im Grundsatz übernehmen.

Nun verweist das BMWi aber auf die Forderungen des BMI und auch der Innenministerkonferenz. Diese sprechen sich für gesetzliche Vorgaben zur Identifizierung zur Verifikation des Nutzers aus (Beschlussniederschrift der Frühjahrskonferenz, Juni 2020, zu Tagesordnungspunkt 24, PDF). Dort wurde beschlossen, dass das BMI sich innerhalb der Bundesregierung für eine Gesetzesinitiative mit dem Ziel der eindeutigen Identifizierbarkeit strafrechtlich Verantwortlicher im Bereich der (Hass-)Kriminalität im Internet einzusetzen“ soll. Es wird zudem auf eine Initiative der Ländern Niedersachsen und Mecklenburg-Vorpommern im Bundesrat verwiesen (BR Drs. 70/20, PDF). Dieser Antrag wurde jedoch nicht weiterverfolgt.

Nun stellt das BMWi folgende Möglichkeit auf regulatorischer Ebene in den Raum:

Möglich wäre die Einführung einer entsprechenden Verpflichtung von Anbietern von Telemedien zur Erhebung und Verifizierung von Name, Adresse und Geburtsdatum nach dem Vorbild der bereits für Telekommunikationsdiensteanbieter geregelten entsprechenden Pflicht bei Prepaid-Mobilfunkdiensten (§ 111 Absatz 1 Satz 3, § 171 Absatz 2 TKG-Entwurf). Dabei würde jeder Nutzer weiterhin selbst entscheiden können, ob er unter einem Pseudonym oder unter seinem Namen im Internet auftritt“.

Meines Erachtens muss man den Vorschlag scheibchenweise analysieren.

Zum einen denkt das BMWi an eine Verpflichtung für „Telemedienanbieter“. Das bedeutet gleichzeitig auch, dass der Zugang zum Internet an sich nicht betroffen wäre, aber natürlich die dortigen Angebote.

Zum anderen ist die hier angedachte Pflicht aber sogar umfassender als damals der Vorschlag im Bundesrat. Dort ging es um „Anbieter sozialer Netzwerke und Anbieter von Spieleplattformen“.

Zuletzt sieht das BMWi aber vor, dass die Kommunikation nach außen, also das Auftreten im virtuellen Raum, weiterhin pseudonym erfolgen könnte. Die Identifizierung soll also „nur“ gegenüber dem Diensteanbieter erfolgen, der diese Daten dann quasi intern vorhält. Ein Nutzerprofil oder einen Account, sollen Nutzer aber weiterhin unter Pseudonym führen können. Eventuell könnte man die angedachte Identifizierungspflicht daher auch als „Identifizierung light“ bezeichnen. So wie ich den Diskussionsvorschlag des BMWi verstehe, geht es um eine Identifizierung durch das Unternehmen (und dann wohl sicher auch um eine mögliche Weitergabe der Daten für Strafverfolgungszwecke).

Gesetzentwurf zu DSGVO-Bußgeldverfahren – aktuelle Regelungen verfassungswidrig?

Sind Entscheidungen in Bußgeldverfahren über 100.000 EUR wegen Datenschutzverstößen verfassungsrechtlich angreifbar? Diese Ansicht scheint zumindest das Land Hessen in einem aktuellen Gesetzesentwurf im Bundesrat zu vertreten. Wenn dem so ist, wäre das natürlich ein ziemlicher „Knaller“.

Der Gesetzentwurf

Das Land Hessen hat im Bundesrat einen Gesetzentwurf eingebracht. Eventuell geht dieser Entwurf auch auf einen Beschluss der Justizministerkonferenz aus November 2018 zurück (pdf).

In dem „Entwurf eines Gesetzes zur Effektivierung des Bußgeldverfahrens“ (BR Drs 107/20, pdf, 2.3.2020) wird vorgeschlagen, § 41 Abs. 1 S. 3 BDSG zu streichen.

Artikel 2 des Entwurfs sieht vor: § 41 Absatz 1 Satz 3 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) wird aufgehoben.“

§ 41 Abs. 1 S. 3 BDSG bestimmt für das Bußgeldverfahren die Anwendung des § 68 OWiG mit der Maßgabe, dass das Landgericht entscheidet, wenn die festgesetzte Geldbuße den Betrag von einhunderttausend Euro überschreitet. Ungeachtet des Umstandes, dass die Amtsgerichte in anderen Rechtsgebieten befugt sind, Geldbußen in Millionenhöhe festzusetzen (§§ 30, 130 Abs. 3 OWiG),

sind bisher keine verfahrensrechtlichen Vorschriften zur Besetzung der Kammern der Landgerichte in Bußgeldsachen gegeben.

§ 41 Abs. 1 S. 3 BDSG verweist allein auf § 68 OWiG. In dem Entwurf wird als mögliche Neuregelung angedacht, ob man über §§ 46 Abs. 1, 71 Abs. 1 OWiG auf die Vorschriften der Strafprozessordnung und des Gerichtsverfassungsgesetzes Bezug nehmen könnte. Dann, so der Entwurf, müsste man wohl von einer Besetzung der Kammern der Landgerichte mit zwei Richtern und zwei Schöffen ausgehen. Es wird davon ausgegangen, dass dies nicht intendiert war.

Es zeigt sich, dass aktuell tatsächlich unklar und nicht gesetzlich vorgegeben ist, in welcher Besetzung das Landgericht in Bußgeldverfahren bei Datenschutzverstößen entscheidet.

Zwar sieht § 46 Abs. 7 OWiG derzeit vor, dass im gerichtlichen Verfahren beim Landgericht Kammern für Bußgeldsachen entscheiden. Jedoch fehlt es an einer Regelung im GVG und es stellt sich die Frage der Besetzung der Kammer.

Der Entwurf stellt die Folge dieser Situation sehr konkret dar:

Da bisher keine entsprechenden verfahrensrechtlichen Vorschriften existieren, dürfte dies wohl nicht nur bei der entsprechenden Geschäftsverteilung der Landgerichte im Hinblick auf die Fälle des § 41 Absatz 1 Satz 3 BDSG zu Problemen führen können, sondern es dürfte zusätzlich nahezu ausgeschlossen sein, das gerichtliche Verfahren ohne entsprechende Vorschriften ordnungsgemäß vollziehen zu können. (Hervorhebungen durch mich)

Diese Einschätzung hat meines Erachtens durchaus Sprengkraft, zu der ich gleich noch ausführe.

Der Gesetzesentwurf sieht daher die Streichung des § 41 Abs. 1 S. 3 BDSG vor. Hierdurch würde in sämtlichen Fällen von Bußgeldverfahren die Zuständigkeit der Amtsgerichte nach § 68 Abs. 1 OWiG begründet.

Angreifbarkeit landgerichtlicher Entscheidungen in Bußgeldverfahren?

Die soeben dargestellte Situation könnte für Unternehmen, die sich aktuell oder zukünftig (bis zu einer Anpassung) Bußgeldern über 100.000 EUR ausgesetzt sehen, einen möglichen Angriffspunkt gegen entsprechende Entscheidungen der Landgerichte bieten. Dann würde praktisch über all diesen gerichtlichen Verfahren gegen Bußgelder das Damoklesschwert der Verfassungswidrigkeit schweben.

Aufgrund der Einschätzung des Landes Hessen in dem Gesetzesentwurf, wird man meines Erachtens zumindest darüber diskutieren können, ob denn nicht eine Situation, in der es „nahezu ausgeschlossen“ ist, dass gerichtliche Verfahren ordnungsgemäß durchgeführt werden können, auch verfassungsrechtliche Probleme aufwirft.

Das Bundesverfassungsgericht (BVerfG) sieht etwa von der Garantie des gesetzlichen Richters (Art. 101 Abs. 1 S. 2 GG) den Bestand von Rechtssätzen umfasst, die für jeden Streitfall den Richter bezeichnen, der für die Entscheidung zuständig ist. Art. 101 Abs. 1 S. 2 GG verpflichtet auch dazu, Regelungen zu treffen, aus denen sich der gesetzliche Richter ergibt (vgl. etwa BVerfG, Beschl. v. 08.04.1997 – 1 PBvU 1/95). Andererseits ist eine sich aus der Sache ergebende und unvermeidbare Ungewissheit darüber, wer den Rechtsstreit entscheiden wird (insbesondere in Fällen des Ausscheidens, der Krankheit, der Verhinderung, des Urlaubs) hinzunehmen.

Gesetzlicher Richter im Sinne des Art. 101 Abs. 1 S. 2 GG ist nach der Rechtsprechung des BVerfG

nicht nur das Gericht als organisatorische Einheit oder das erkennende Gericht als Spruchkörper, sondern sind auch die zur Entscheidung im Einzelfall berufenen Richter.

(BVerfG, Beschl. v. 30.03.1965 – 2 BvR 341/60)

Daher müssen die Geschäftsverteilungspläne, die der Bestimmung des gesetzlichen Richters dienen,

von vornherein so eindeutig wie möglich festlegen, welche Spruchkörper und welche Richter zur Entscheidung des Einzelfalls berufen sind

(ebenda)

Übertragen auf die aktuelle Situation mit fehlenden Regelungen zur Besetzung der Spruchkörper, wird man sicher darüber nachdenken können, ob etwa Unternehmen, die sich gegen ein hohes Bußgeld zu Wehr setzen (man denke an die Fälle Delivery Hero, Deutsche Wohnen SE oder 1&1 Telecom GmbH), am Ende gegen eine entsprechende Entscheidung des erkennenden Gerichts bzw. eine ablehnende Entscheidung zu einer Besetzungsrüge nicht eine Verfassungsbeschwerde einlegen können.

Das Recht auf den gesetzlichen Richter steht natürlichen und juristischen Personen zu. Darauf kann sich berufen, wer nach den einschlägigen Prozessnormen parteifähig ist (BVerfG, Beschl. v. 26.02.1954 – 1 BvR 537/53).

Es wird davon ausgegangen, dass für die Verfassungsbeschwerde wegen Verletzung des Rechts auf den gesetzlichen Richter die üblichen Zulässigkeitsvoraussetzungen gelten. Also auch das Erfordernis der Rechtswegerschöpfung. Daher wäre es wohl erforderlich, Besetzungsrügen schon vor dem zuständigen Gericht zu erheben. Der Beschluss über ein Ablehnungsgesuch ist eine Zwischenentscheidung, die selbstständig mit der Verfassungsbeschwerde angegriffen werden kann (BVerfG, Beschl. v. 25.06.1968 – 2 BvR 599, 677/67).

Zudem muss, für den Erfolg der Verfassungsbeschwerde, die angegriffene Entscheidung auf einer Verletzung des Art. 101 Abs. 1 S. 2 GG beruhen. Dies könnte dann der Fall sein, wenn eine andere Besetzung des Gerichts ohne den Fehler nicht ausgeschlossen werden kann (BVerfG, Urt. v. 20.03.1956 – 1 BvR 479/55).

Daneben ist meines Erachtens auch über einen Verstoß der Bundesrepublik Deutschland gegen die Vorgabe des Art. 83 Abs. 8 DSGVO nachzudenken: „Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde … muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen“. Hier könnte das Erfordernis der „ordnungsgemäßen Verfahren“ nicht erfüllt sein.

Fazit

Ich würde mich sehr drüber freuen, wenn wir zu dieser juristisch wirklich spannenden Frage eine Entscheidung sehen. Ob es soweit kommt, wird aber an den Parteien der aktuell bei den Gerichten anhängigen Bußgeldverfahren liegen.

Lohnbuchhaltung durch Steuerberater: Bundesrat möchte gesetzliche Klarheit zur Einordnung nach der DSGVO schaffen

Seit einiger Zeit ist zwischen den deutschen Datenschutzbehörden umstritten, wie die Tätigkeiten von Steuerberater datenschutzrechtlich einzuordnen sind, wenn diese „nur“ Tätigkeiten der Lohnbuchhaltung durchführen.

Ist der Steuerberater in diesem Fall Auftragsverarbeiter oder (als Berufsgeheimnisträger) eigener Verantwortlicher?

Hier einige Positionen:

LfDI Baden-Württemberg: „Danach kommt für die Beauftragung des Steuerberaters mit der laufenden Lohn- und Gehaltsabrechnung datenschutzrechtlich nur eine Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO in Betracht“.

LDA Bayern (pdf): „Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen“.

LDI NRW: „Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen  – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung  gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung“.

Aktuell liegt im Bundesrat zur Verhandlung der Entwurf eines Dritten Gesetzes zur Entlastung insbesondere der mittelständischen Wirtschaft von Bürokratie (Drittes Bürokratieentlastungsgesetz) (BR Drs 454/19). Im Rahmen dieses Entwurfs soll auch das Steuerberatungsgesetz (StBerG) angepasst werden.

Die Ausschüsse im Bundesrat schlagen nun mit Empfehlungen (pdf) vom 27.09.2019 eine zusätzliche Anpassung des § 11 StBerG „Verarbeitung personenbezogener Daten“ vor.

§ 11 Abs. 2 StBerG soll wie folgt gefasst werden:

(2) Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72).

Die Ausschüsse begründen diesen Vorschlag unter anderem mit der unklaren Rechtsage und den verschiedenen Ansichten der Datenschutzbehörden. Die Ausschüsse im Bundesrat stellen sich gegen die Ansichten jener Aufsichtsbehörden, die von einer Auftragsverarbeitung durch Steuerberater ausgehen, wenn diese Tätigkeiten im Rahmen der Lohnbuchhaltung anbieten.

Vereinzelt gehen die Landesbeauftragten für den Datenschutz und Informationsfreiheit davon aus, dass es sich bei den in § 6 Nummer 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, nicht um Tätigkeiten der Hilfeleistung in Steuersachen im Sinne von § 1, § 33 StBerG handelt. Dieser Auffassung kann nicht gefolgt werden.“ (Hervorhebung durch mich)

Die Ausschüsse gehen davon aus, dass Steuerberater bzw. die in § 3 StBerG aufgeführten Personen und Gesellschaften eigenverantwortlich tätig sind. Die in § 6 Nr. 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“ seien gerade nicht vom Anwendungsbereich des Steuerberatungsgesetzes ausgenommen.

Die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst regelmäßig vielmehr die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen“.

Die Ausschüsse empfehlen mithin eine gesetzliche Vorgabe zur Einordnung von wirtschaftlichen Tätigkeiten und damit umfassten Datenverarbeitungen innerhalb des Verantwortlichkeitsgefüges der DSGVO. Die Ausschüsse nennen dies in der Begründung eine „klarstellende Ergänzung“.

Jedoch wird man auch fragen können, ob der nationale Gesetzgeber Vorgaben dazu machen darf, wie datenschutzrechtliche Verantwortlichkeiten zu verteilen sind und vor allem wie bestimmte Tätigkeiten innerhalb der DSGVO einzuordnen sind? Als Verantwortlicher oder als Auftragsverarbeitung? Auf eine Öffnungsklausel der DSGVO wird in der Begründung nicht verwiesen und es gilt natürlich zu beachten, dass die legal definierten Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ unmittelbar bindend sind. Spinnt man diese Idee hypothetisch weiter, könnte der nationale Gesetzgeber dazu übergeben, Festlegungen zur Rollenverteilung nach der DSGVO zu treffen, was wiederum dem Harmonisierungsgedanken der DSGVO entgegenstehen könnte.

Niedersachsen schlägt Anpassungen der DSGVO und des BDSG im Bundesrat vor

Das Land Niedersachsen hat am 3.4.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht (BR Drs 144/19, pdf). Hintergrund des Antrages ist die Forderung, dass „über die DSGVO hinausgehende zusätzliche Auflagen für Unternehmen in Deutschland mittelstandsfreundlicher und im Sinne ehrenamtlich Tätiger in Vereinen nachgebessert werden sollten“. Die niedersächsische Landesregierung sieht, sicherlich nicht unbegründet, in der Praxis das Problem, dass das Ziel der DSGVO, den Schutz personenbezogener Daten sicherzustellen, nicht erreicht werden kann, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen nicht anwenden (können). Der Entwurf des Antrages beruht also auf der Erkenntnis, dass die Regelungen der DSGVO, die ohne Zweifel in großen Teilen im Sinne eines „one size fits all“-Ansatzes, gerade für kleinere Einheiten einigen Umseztungs- und Anpassungsbedarf mit sich bringen.

Zu der vollen Wahrheit, die in dem Entwurf nicht erwähnt wird, gehört aber auch die Tatsache, dass dieser hohe Umsetzungs- und Anpassungsaufwand für kleinere Einheiten schlicht darin begründet liegt, dass sie vor dem 25.5.2018 das schon damals geltende Datenschutzrecht nicht (voll) eingehalten haben. Es macht in der Praxis natürlich einen Unterschied, ob man als Unternehmen von null startet oder aber schon auf vorhandene Datenschutzdokumentation und -prozesse aufbauen kann.

Vorgeschlagene Änderungen

Wie vor einigen Monaten, auch im Rahmen der Diskussionen zum Entwurf des 2. Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU), schlägt Niedersachsen vor, § 38 BDSG, also die Anforderungsschwelle zur Benennung eines Datenschutzbeauftragten, anzupassen. Der Bundesrat soll die die Bundesregierung auffordern, „hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben“. Ein Vorschlag für eine neue Schwelle, oberhalb von 10 Personen, wird nicht gemacht. Diese Forderung ist nicht neu. Jedoch sollte dem Gesetzgeber klar sein, dass viele kleinere Unternehmen denken, dass eine Pflicht zur Benennung gleichbedeutend mit der Pflicht zur Einhaltung des Datenschutzrechts an sich ist. Das ist natürlich ein Trugschluss. Sollte die Schwelle angehoben werden, besteht sicherlich die Gefahr, dass kleinere Einheiten davon ausgehen, dass, wenn sie keinen Datenschutzbeauftragten benennen müssen, auch die übrigen Anforderungen der DSGVO für sie nicht gelten.

Eventuell unterliegt auch die Landesregierung Niedersachsen selbst diesem Trugschluss. In einem weiteren Antrag wird formuliert: „Der Bundesrat fordert die Bundesregierung daher auf, zu prüfen, ob eingetragene Vereine, die überwiegend oder ausschließlich mit Ehrenamtlichen arbeiten, von der Anwendung des § 38 Abs. 1 BDSG ganz ausgenommen werden können. Mindestens jedoch sollten für Vereine weitgehende Ausnahmen in Bezug auf die verpflichtende Benennung einer/eines Datenschutzbeauftragten in das BDSG aufgenommen werden“. Die Landesregierung versteift sich hier auf ein Mini-Thema der DSGVO, die Benennung des Datenschutzbeauftragten. Jedoch bedeutet die fehlende Pflicht zur Benennung natürlich nicht, dass die übrigen Anforderungen der DGSVO nicht zu beachten wären (Bsp: Datenschutzinformationen erstellen, Verzeichnis der Verarbeitungstätigkeiten führen, Einhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 DSGVO, Abschluss von Verträgen zur Auftragsverarbeitung).

Zudem schlägt die Landesregierung vor, die Meldefrist für Datenpannen nach Art. 33 Abs. 1 DSGVO auf ihre Angemessenheit zu prüfen. „Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken“. Im Grunde soll also eine Anpassung der DSGVO auf europäischer Ebene in diesem Punkt angestoßen werden. Warum die Frist zu kurz (also unangemessen) sein könnte, begründet die Landesregierung leider nicht.

Auch verlangt die Landesregierung, gesetzlich auszuschließen, dass Datenschutzverstöße durch Wettbewerber abgemahnt werden können. Auch dieses Thema ist nicht neu und wird schon länger diskutiert. „Daher sollte in diesem Zusammenhang eine ausdrückliche Ausschlussregelung getroffen werden. Der Bundesrat fordert eine klarstellende gesetzliche Formulierung“.

Datenschutzreform: Bundesratsausschüsse kritisieren Gesetzesentwurf der Bundesregierung zum neuen BDSG

Sieben Ausschüsse des Bundesrates haben sich mit dem „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und -Umsetzungsgesetz EU -DSAnpUG-EU, PDF)“ vom 2. Februar 2017 befasst und mit Datum vom 1. März 2017 ihre Empfehlungen zum Gesetzentwurf für ein neues BDSG abgegeben (Empfehlungen, BR Drs. 110/1/17, PDF).

Insgesamt finden die Ausschüsse wenig Gutes an dem Gesetzentwurf. Die Empfehlungen sind umfangreich (64 Seiten). Nachfolgend möchte ich nur beispielhaft einige Kritikpunkte der Bundesratsausschüsse beleuchten. Die Empfehlungen der Ausschüsse werden bereits nächste Woche, am 10. März 2017, im Bundesrat beraten.

Der zweite Schritt vor dem ersten

Ganz grundsätzlich kritisieren die Ausschüsse, dass eine umfassende Bewertung der vorgeschlagenen Neufassung des BDSG nicht möglich ist, da erforderliche Anpassungen des vorrangigen Fachrechts (also datenschutzrechtlicher Spezialvorschriften) bislang weder erfolgt noch konkret absehbar sind.

Auch die Praxis wird durch dieses Vorgehen vor erhebliche Schwierigkeiten gestellt. Denn dort müssen Verarbeitungsvorgänge an die Anforderungen anpasst werde. Doch wenn diese Anforderungen unklar bleiben, wird eine rechtssichere Umsetzung nur schwer möglich sein.

Aus Sicht der Ausschüsse lässt sich die Situation wie folgt darstellen:

Ansatz, bei dem der zweite Schritt vor dem ersten vollzogen wird.

Datenportabilität beschränken?

Die Ausschüsse schlagen vor, dass die Bundesregierung prüft, inwieweit ein Bedarf für eine Beschränkung des Rechts auf Datenübertragbarkeit gemäß Art. 20 DSGVO besteht. Nach Auffassung der Ausschüsse werden nämlich im Gesetzentwurf, Im Gegensatz zum Recht auf Auskunft, das in § 34 BDSG-E eine Beschränkung erfährt, das Recht auf Datenportabilität trotz seiner funktionalen Nähe zum Recht auf Auskunft bislang keine entsprechenden Beschränkungen vorgesehen.

Diese Kritik mag man verstehen, jedoch sehe ich nicht derart große Parallelen zum Auskunftsrecht, dass auch die Datenportabilität aus diesem Grund beschränkt werden müsste. Inhaltlich unterscheiden sich beide Rechte dann doch an einige Stellen. So besteht das Recht auf Datenportabilität etwa nur für durch die Person „bereitgestellte“ Daten, das Auskunftsrecht aber allgemein.

Definition „Anonymisieren“

Die Ausschüsse schlagen zudem die Aufnahme eines neuen § 2 Abs. 6 BDSG-E vor. In diesem Absatz soll das „Anonymisieren“ definiert werden. Hintergrund ist, dass § 27 Absatz 3 BDSG-E den Begriff „anonymisieren“ verwendet, dieser aber weder im Gesetzentwurf noch in der DSGVO definiert wird. Vielmehr wird nur „pseudonymisieren“ in der DSGVO verwendet und in Art. 4 Nr. 5 DSGVO definiert. Die vorgeschlagene Definition entspreche dem Verständnis des Begriffs im bisherigen § 3 Abs. 6a BDSG.

Vertretung im Europäischen Datenschutzausschuss und Verfahren der Zusammenarbeit der Aufsichtsbehörden

Die Bundesratsausschüsse sprechen sich zudem für eine Anpassung der Regelungen zur Vertretung Deutschlands im Europäischen Datenschutzausschuss (EDA) aus. Nach Auffassung der Ausschüsse räumt die Ausgestaltung des Verfahrens hinsichtlich der Vertretung der Bundesrepublik Deutschland im Europäischen Datenschutzausschuss im Gesetzentwurf (§ 17 und 18 BDSG-E) den Aufsichtsbehörden der Länder kein hinreichendes Gewicht ein. Die Ausschüsse verlangen, dass die Position der Landesdatenschutzbeauftragten im Hinblick auf deren Hauptvollzugsverantwortung des Datenschutzrechts in Deutschland gestärkt wird.

Nach Auffassung der Ausschüsse spricht der Umstand, dass der Bund für ein Sachgebiet die ausschließliche oder konkurrierende Gesetzgebungskompetenz besitzt, in keiner Weise dafür, dass die Bundesbeauftragte die Bundesrepublik Deutschland insoweit verhandlungsführend im Europäischen Datenschutzausschuss vertreten sollte, wenn der Vollzug dieses Gesetzes allein den Landesdatenschutzbeauftragten obliegt. Insbesondere werden es nämlich auch in Zukunft die Landesbehörden sein, die sich in ihrer Praxis mit privaten Unternehmen auseinanderzusetzen haben. Eine vergleichbare Sachnähe könne es bei der oder dem Bundesbeauftragten naturgemäß nicht geben.

Die vorgeschlagenen Änderungen sind durchaus nachvollziehbar. Man darf wohl auch in einer Analyse des Bundesrates eine landesnahe Auffassung erwarten. Zurecht dürfte aber die Kritik vorgebracht werden, dass in der praktischen Umsetzung und Überwachung der Einhaltung des Datenschutzes die Landesbehörden mehr Erfahrung besitzen als die BfDI.

Zweckändernde Datenverarbeitung

In § 24 Abs. 1 Nr. 2 BDSG-E soll das Wort „rechtlicher“ durch das Wort „zivilrechtlicher“ ersetzt werden.

Dort ist derzeit vorgesehen, dass die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nicht-öffentliche Stellen zulässig ist, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist.

Hintergrund der vorgeschlagenen Anpassung ist, dass Art. 23 Abs. 1 lit. j) DSGVO, der Vorgaben dazu macht, zur Sicherstellung welcher Maßnahmen Beschränkungen der Betroffenenrechte im nationalen Recht vorgenommen werden dürfen, nur von „zivilrechtlichen“ und nicht weiter von „rechtlichen“ Ansprüchen spricht.

Des Weiteren sollen in § 24 Abs. 1 Nr. 2 BDSG-E nach dem Wort „Ansprüche“ die Wörter „gegenüber der betroffenen Person“ eingefügt werden. Hintergrund dieses Vorschlages der Ausschüsse ist, dass in § 24 BDSG-E eine rechtliche Grundlage für nicht-öffentliche Stellen geschaffen wird, die es ihnen erlaubt, eine Weiterverarbeitung von personenbezogenen Daten unabhängig davon vorzunehmen, ob die Zwecke der Verarbeitung mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, vereinbar sind.

Nach Auffassung der Ausschüsse ist diese Regelung für Verbraucherinnen und Verbraucher von besonderer Bedeutung. Die Ausschüsse kritisieren, dass es die Regelung in § 24 BDSG-E

beispielsweise Unternehmen der Digitalwirtschaft ermöglicht, ohne Einwilligung der betroffenen Verbraucherinnen und Verbraucher eine Weiterverarbeitung der personenbezogenen Daten mit dem Hinweis darauf vorzunehmen, diese Daten würden zur „Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche“ gegenüber Dritten (zum Beispieleinem Geschäftspartner) gebraucht.

Nach Ansicht der Ausschüsse können nicht betroffene Verbraucher dafür verantwortlich gemacht werden, wenn Unternehmen ihre personenbezogenen Daten für die Durchsetzung zivilrechtlicher Ansprüche im Verhältnis zu Dritten benötigen. Deshalb sollte eine Weiterverarbeitung der personenbezogenen Daten zu anderen Zwecken nur erlaubt sein, wenn rechtliche Ansprüche des Unternehmens gegenüber der betroffenen Person selbst in Rede stehen.

Diesbezüglich ließe sich aber anführen, dass die entsprechenden Vorgaben der DSGVO (Art. 6 Abs. 4 und Art 23 Abs. 1 lit. j)) auch nur „Ansprüche“ erwähnen. Nicht jedoch solche, die gegenüber der betroffenen Person bestehen.

Beschäftigtendatenschutz

Natürlich wird von den Ausschüssen auch der Beschäftigtendatenschutz angesprochen. Nach deren Auffassung waren bereits die geltenden Regelungen zum Beschäftigtendatenschutz in § 32 BDSG ergänzungs-und überarbeitungsbedürftig. Nun ergeben sich aber weitere Anforderungen an den Gesetzgeber aus Art. 88 DSGVO.

Nach Auffassung der Bundesratsausschüsse werden diese aber durch § 26 BDSG-E nicht ausreichend umgesetzt. Daher fordern die Ausschüsse, dass zeitnah ein ergänzender Gesetzentwurf mit spezifischen Regelungen für Datenverarbeitung im Beschäftigtenkontext vorgelegt wird.

Fortgeltung bereits erteilter Einwilligungen?

Die Ausschüsse des Bundesrates scheinen zu bezweifeln, dass derzeit erteilte datenschutzrechtliche Einwilligungen auch nach Anwendbarkeit der DSGVO im Mai 2018 weiter wirksam sind.

Sie bitten die Bundesregierung daher um Prüfung einer gesetzlichen Klarstellung, unter welchen Voraussetzungen die bereits vor Inkrafttreten des Gesetzes erteilten Einwilligungen nicht fortgelten. Die Ausschüsse verweisen berechtigterweise darauf, dass die Voraussetzungen für eine wirksame Einwilligung nach der DSGVO nicht den Regelungen im BDSG entsprechen und teilweise darüber hinausgehen. Daher müssen Unternehmen unter Umständen eine erneute Einwilligung bei den Betroffenen einholen.

Zwar verweisen die Ausschüsse auf den Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 13./14. September 2016), der zwar tendenziell von einer Fortgeltung alter Einwilligung ausging. Dies jedoch auch nur unter dem Vorbehalt der „Grundsätzlichkeit“.

Streichen des Erfordernisses der Schriftlichkeit

Die Bundesratsausschüsse fordern zudem, dass geprüft werde, inwieweit vom Erfordernis der Schriftlichkeit der anzufertigenden Dokumentationen durch datenverarbeitende Stelle abgesehen werden kann.

In §§ 32 und 33 BDSG-E ist derzeit schriftliche Dokumentationspflichten für den Fall vorgesehen, wenn der Verantwortliche von einer Information des Betroffenen abgesehen hat. Dieses Erfordernis der schriftlichen Dokumentation geht aber über die Vorgaben der DSGVO hinaus. Diese sieht in Art. 12 Abs. 4 DSGVO nur vor, dass der Verantwortliche die betroffene Person (ohne spezielle Form) unterrichtet. Die derzeit vorgeschlagene Dokumentationspflicht im BDSG-E würde nach Auffassung der Ausschüsse zusätzlichen Erfüllungsaufwand für die Wirtschaft mit sich bringen.

Man muss nun abwarten, welche Empfehlungen konkret in der nächsten Sitzung des Bundesrates angenommen werden. Der Umfang der Anmerkungen und auch die Reichweite der Kritik zeigt aber, dass man in einigen Aspekten noch weit voneinander entfernt ist. Zudem muss beachtet werden, dass der Gesetzesentwurf nun auch im Bundestag liegt und dort (wohl im Innenausschuss) einer Analyse unterzogen wird.

Bundesrat: Datenschutz als Eignungskriterium für Carsharinganbieter

Heute hat sich der Bundesrat mit dem Gesetzentwurf der Bundesregierung für ein Gesetz zur Bevorrechtigung des Carsharing (Carsharinggesetz – CsgG, PDF) befasst und über die Empfehlungen der beteiligten Bundesratsausschüsse abgestimmt. Die Empfehlung zum dem Gesetzentwurf findet sich hier (PDF).

Mehrheitlich angenommen wurde im Bundesrat unter anderem der Vorschlag des Ausschusses für Umwelt, Naturschutz und Reaktorsicherheit, nach dem die Bundesregierung prüfen soll, ob der von Anbietern von Carsharingdiensten zu erfüllenden Anforderungskatalog um Kriterium ergänzt werden sollte,

 wonach Carsharinganbieter die Nutzung ihrer Dienstleistungen und Fahrzeuge nicht davon abhängig machen dürfen, dass die Kunden in die Erhebung, Verarbeitung, Verwertung oder Übermittlung von personenbezogenen Daten einwilligen, die für die Durchführung des jeweiligen Mietvertrags bzw. der Rahmenvereinbarung nicht zwingend erforderlich sind (Koppelungsverbot).

Zur Begründung wird ausgeführt, dass das Auswahlverfahren auch dazu genutzt werden sollte, im Rahmen des Mindestleistungsumfangs ein hohes Datenschutzniveau für die Kunden zu gewährleisten und nur solche Anbieter zu begünstigen, die den Kunden die freie Wahl lassen, ob ihre Daten über das für die Vertragsdurchführung Erforderliche hinaus genutzt werden.

Verwiesen wird in diesem Zusammenhang auf das in der Datenschutz-Grundverordnung (DSGVO) angelegte sog. Kopplungsverbot in Art. 7 Abs. 4. Wenn Carsharinganbieter personenbezogene Daten verarbeiten, sind sie ab dem 25. Mai 2018 (ab dann ist die DSGVO anwendbar) zwar ohnehin an die DSGVO gebunden. Würde eine datenschutzrechtliche Einwilligung entgegen den Vorgaben des Art. 7 Abs. 4 DSGVO an die Erfüllung eines Vertrags gekoppelt, wäre die Einwilligung daher nicht freiwillig erteilt, unwirksam und eventuell auch die entsprechende Datenverarbeitung unzulässig. Der Bundesrat möchte jedoch zusätzlich, als Auswahlkriterium für Carsharinganbieter, das Erfordernis aufstellen, dass personenbezogene Daten, die nicht für die Erbringung des Dienstes erforderlich sind, nur dann von dem Anbieter genutzt werden dürfen, wenn die Kunden die freie Wahl haben, ob sie dieser Nutzung von Daten zustimmen. Eine Kopplung der Einwilligung in die Datenverarbeitung mit dem Nutzungsvertrag soll dadurch unterbunden werden.

In der Praxis soll die Prüfung der Erfüllung dieser Voraussetzung durch die „zuständige Behörde“ erfolgen, so die Ausschussempfehlung. Es ist jedoch nicht klar, welche Behörde hier gemeint ist bzw. spricht viel dafür, dass dies nicht die zuständige Datenschutzbehörde, sondern die für die Erteilung der Sondernutzungserlaubnis zuständige Landesbehörde ist, die dann, so die Empfehlung, die dann die entsprechenden Allgemeinen Geschäftsbedingungen bzw. Datenschutzbestimmungen prüfen soll. Ob diese Regelung der Prüfung wirklich glück ist, erscheint zumindest fraglich. Denn bereits unter Datenschutzrechtlern (Berater oder auch Behörden) ist die Auslegung und Interpretation der Vorgaben der DSGVO und auch von Art. 7 Abs. 4 teilweise stark umstritten und die Feststellung einer unzulässigen Kopplung dürfte einer anderen, sachfremden Behörde nicht unbedingt leicht fallen. Zudem stellt sich etwa die Folgefrage, was geschieht, wenn die für die Erteilung der Sondernutzungserlaubnis zuständige Behörde eine Kopplung verneint, im Rahmen einer späteren Prüfung aber z.B. eine Landesdatenschutzbehörde eine Kopplung bejaht.

Bundesrat: Gesetzesvorschlag für ein neues Klagerecht der Datenschutzbehörden gegen Privacy Shield

In meinem Beitrag vom 19. April 2016 habe ich berichtet, dass das Land Hamburg (das Land Brandenburg hat sich dem angeschlossen) im Bundesrat einen Vorschlag für einen Antrag an die Bundesregierung eingebracht hat, mit dem die Bundesregierung aufgefordert werden soll, ein Klaggerecht für deutsche Datenschutzbehörden gegen sog. Angemessenheitsentscheidungen der Europäischen Kommission (wie vormals Safe Harbor und in Zukunft wohl das EU-US Privacy Shield) zu schaffen. Es solle eine entsprechende Gesetzesänderung auf Bundesebene im Verwaltungsrecht vorgenommen werden. Der Antrag ist auf der Webseite des Bundesrates abrufbar (PDF).

Hintergrund dieses Vorschlags ist das Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems“ (C-362/14), mit dem die Safe Harbor-Entscheidung der Kommission für ungültig erklärt wurde. In dem Urteil verlangt das Gericht unter anderem, dass den nationalen Aufsichtsbehörden für den Datenschutz ein Klagerecht für den Fall zustehen muss, wenn ein Betroffener sich gegen eine Datenübermittlung in einen Drittstaat (wie die USA) wendet, die auf einer Angemessenheitsentscheidung der Europäischen Kommission (basierend auf Art. 25 Abs. 6 der Datenschutzrichtlinie (RL 95/46/EG) beruht. Dann müsse, so der EuGH, die Aufsichtsbehörde die Möglichkeit haben, vor den nationalen Gerichten von sich aus mit dem Ziel zu klagen, dass das angerufene Gericht die Frage der Gültigkeit eines Angemessenheitsbeschlusses (wie vormals Safe Harbor) dem EuGH vorlegt. Am 20. April 2016 (Pressemitteilung) haben sich auch die deutschen Datenschutzbehörden hinter den Vorschlag gestellt und die „rasche Schaffung eines Klagerechtes auch für die deutschen Datenschutzbehörden gefordert“.

Nun liegt ein entsprechender Gesetzesvorschlag (PDF) zur Einführung eines neuen „§ 38b BDSG – Verfahren zur Überprüfung von Rechtsakten nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG“ vor, der von dem Innenausschuss des Bundesrates erarbeitet und vom federführenden Rechtsausschuss angenommen wurde. Am 13. Mai 2016 soll der Bundesrat über diesen Antrag und den darin enthaltenen Gesetzesvorschlag beraten. Der Wortlaut des Vorschlags:

(1) Jede Aufsichtsbehörde ist im Rahmen ihrer Prüfung von Beschwerden eines Betroffenen über den Schutz seiner Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten, die aus der Bundesrepublik Deutschland an ausländische, nicht in § 4b Absatz 1 Satz 1 erfasste Stellen übermittelt werden, befugt, das Bundesverwaltungsgericht zur Entscheidung im ersten und letzten Rechtszug mit den Antrag anzurufen, festzustellen, dass ein zur Rechtfertigung der Übermittlung angewendeter Rechtsakt der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG ungültig ist, weil das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisten.

(2) Absatz 1 gilt entsprechend für den Bundesbeauftragten oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die nach Landesrecht für die Kontrolle des Datenschutzes bei öffentlichen Stellen der Länder zuständigen Behörden.

Nachfolgend einige kurze Anmerkungen zu dem Vorschlag.

Nach Abs. 1 wären nur Prüfungen der Behörden hinsichtlich der „Verarbeitung“ personenbezogener Daten erfasst. Die Phase der Erhebung (§ 3 Abs. 3 BDSG) und auch ein „Nutzen“ (§ 3 Abs. 5 BDSG) personenbezogener Daten würden nicht dem Anwendungsbereich des neuen § 38b Abs. 1 BDSG unterfallen, selbst wenn eine Übermittlung der Daten stattfindet.

Aufsichtsbehörden könnten eine Feststellungsklage beim Bundesverwaltungsgericht erheben. Hierzu sollen sie „befugt“ sein. Nicht aus dem Urteil des EuGH wurde jedoch die Voraussetzung übernommen, dass die Aufsichtsbehörde die Beschwerde eines Betroffenen für „begründet“ erachten muss. (Rz. 64 des EuGH-Urteils: Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen). § 38b Abs. 1 BDSG lässt die Klagemöglichkeit zum Bundesverwaltungsgericht ganz generell zu.

Der Klageantrag soll darauf gerichtet sein, festzustellen, dass „ein zur Rechtfertigung der Übermittlung angewendeter Rechtsakt der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG ungültig ist“. Eine solche Feststellung kann ein nationales Gericht, ebenso wie eine nationale Aufsichtsbehörde, jedoch nicht treffen. Dies hat der EuGH in seinem Urteil ausdrücklich betont (Rz. 61 des EuGH-Urteils): „Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen“. Nach dem EuGH dürfen nationale Gerichte diesem nur ein Ersuchen um Vorabentscheidung über die Gültigkeit solcher Entscheidungen vorlegen. Zudem sind die nationalen Gerichte berechtigt, die Gültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission zu prüfen. Die Feststellung ihrer Ungültigkeit, ist jedoch nicht möglich.
Selbst wenn also in Zukunft z.B. die dem EU-US Privacy Shield zugrundeliegende Entscheidung durch den EuGH für ungültig erklärt werden sollte, so dürfte, wenn das Verfahren nach der Entscheidung des EuGH zurück an das Bundesverwaltungsgericht kommt, dieses nicht die Ungültigkeit der Angemessenheitsentscheidung feststellen. Im Ergebnis müsste es vor dem Bundesverwaltungsgericht wohl eher um die Feststellung gehen, dass eine auf einer Angemessenheitsentscheidung beruhende Übermittlung unzulässig ist. Im Rahmen einer erforderlichen Inzidentprüfung könnte dann dem EuGH die Frage der Gültigkeit der zugrundeliegenden Entscheidung der Europäischen Kommission vorgelegt werden.

Mit Blick auf die Klagemöglichkeit der Aufsichtsbehörden bei Datenübermittlungen in Drittstaaten bleibt es also weiter spannend. Man muss nun abwarten, inwiefern der Bundesrat den nun vorliegenden Antrag und Gesetzesvorschlag annimmt und im Rahmen der Entschließung die Bundesregierung zum Handeln auffordert.