Wann ist das Design eines Cookie-Banners unzulässig? CNIL gibt Hinweise und versendet Warnungen

Die französische Datenschutzbehörde (CNIL) informiert auf ihrer Webseite, dass sie mehrere Webseitenbetreiber wegen unzulässiger Gestaltung von Cookie-Bannern angeschrieben hat. Die betroffenen Stellen haben einen Monat Zeit, ihre Banner anzupassen.

Aus Sicht der CNIL sind folgende Gestaltungen von Bannern als Verstoß gegen die Vorgaben des französischen Gesetzes zur Umsetzung der ePrivacy-Richtlinie und der DSGVO zu werten:

  • Die Ablehnungsoption wird in Form eines anklickbaren Links dargestellt, dessen Wahl der Farbe, der Schriftgröße und des Schriftstils die Einwilligungs-Option gegenüber der Ablehnungs-Option unverhältnismäßig stark hervorhebt;
  • Die Ablehnungs-Option ist so in die Texte eingebettet, dass sie nicht ohne weiteres erkennbar ist;
  • die Ablehnungs-Option ist neben anderen Absätzen platziert, ohne dass ein ausreichender Abstand vorhanden ist, um sie visuell von allen anderen Informationen zu unterscheiden;
  • die Option „Akzeptieren“ wird im Banner mehrfach dargestellt, während die Option „Ablehnen“ nur einmal und in nicht expliziter Form („Ich lehne nicht wesentliche Zwecke ab“) dargestellt wird.

Zwar geht die CNIL (wie auch schon die EDSA Cookie Banner Taskforce) davon aus, dass das Gesetz keine bestimmte Art der Darstellung von Auswahlmöglichkeiten auf dem Cookie-Banner vorschreibt. Andererseits müssen die betroffenen Stellen aber darauf achten, dass sie ein Design wählen, das die betroffene Person nicht in die Irre führt, wenn die Einwilligung gültig sein soll.

Daher sollen die Informationen, die auf dem Cookie-Banner angezeigt werden, klar und vollständig sein und den Zweck der eventuell verwendeten Cookies sowie die Möglichkeiten zu ihrer Ablehnung angeben.

„Kunde stresst massiv“ – Zulässigkeit von Vermerken & Blacklists in Kundendatenbanken

In ihrem Datenschutzbericht 2023 berichtet die Datenschutzbehörde Österreich (DSB) über einen praxisrelevanten Fall für Unternehmen, die im Bereich B2C oder auch B2B Angaben zu (ungewünschten) Kunden speichern möchten – insbesondere auch zu dem Zweck, mit diesen Kunden in Zukunft keine Verträge mehr abzuschließen.

Sachverhalt

Ein Unternehmen aus Österreich, welches im Bereich EDV-Handel und entsprechende Dienstleistungen tätig ist, verkaufte an einen Kunden aus Spanien mehrere Produkte. Da die Rechnungen innergemeinschaftlich – also ohne österreichische Mehrwertsteuer – ausgestellt wurden, musste die Käuferin bei der Abholung unterschreiben, dass das Produkt außer Landes gebracht werde und eine entsprechende Vollmacht vorlegen bzw. sich als Geschäftsführer ausweisen. Die Käuferin bzw. dessen Geschäftsführer lehnten dies jedoch ab. Zudem wurde die Ware dann reklamiert.

Die Verantwortliche speicherte in der Folge unter anderem folgende Angaben über die Käuferin in ihrer internen Kundendatenbank:

  • (Kurz-) Bezeichnung, die interne Nummer und die Adresse
  • Folgenden als „Sonderinformationen“ bezeichneten Text:

Kunde stresst massiv am Telefon und droht mit Anwalt. Kunde lässt keine Ausweiskopie zu. Wir werden keine Innergemeinschaftlichen Rechnungen mehr ausstellen.

Update: Habe dem Kunden Info gegeben, dass ein Kaufvertrag beidseitig bestehen muss, und wir das nicht wollen!

Die Käuferin beschwerte sich bei der DSB und sah in der Speicherung der Daten einen Verstoß gegen die DSGVO.

Entscheidung der Aufsichtsbehörde

Die DSB sah in der Speicherung der personenbezogenen Daten keinen Verstoß gegen die DSGVO.

Zunächst stellte die DSB fest, dass die Verantwortliche in ihrer Datenbank den Vermerk erfasst, aus dem hervorgeht, dass aufgrund des Verhaltens der Käuferin künftig keine Verträge mehr mit ihr abgeschlossen werden.

Als Ausdruck des allgemeinen Gedankens der Privatautonomie gelte im Schuldrecht das Prinzip der Vertragsfreiheit, also auch der Entscheidungsfreiheit, ob und mit wem ein Vertrag geschlossen wird.

Der interne Vermerk stelle zunächst keine Verarbeitung von unrichtigen Daten dar.

Sofern dieser lediglich in der Dokumentation von Meinungen bzw. Beurteilungen liegt, sind die Daten aus datenschutzrechtlicher Sicht richtig, wenn diese Meinung oder Beurteilung korrekt wiedergegeben wird“.

Zudem geht die DSB von der Rechtmäßigkeit der Verarbeitung nach Art.  6 Abs. 1 DSGVO aus.

Im Lichte der Privatautonomie stelle es nach Auffassung der Datenschutzbehörde ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit f DSGVO der Verantwortlichen dar, in ihrem internen Warenwirtschaftssystem festzuhalten, dass sie mit bestimmten (juristischen) Personen, mit denen es bei früheren Geschäftskontakten zu Konflikten gekommen ist, von zukünftigen Vertragsabschlüssen absehen will.

Wann sind DSGVO-Betroffenenanfragen „exzessiv“? Generalanwalt entwickelt praktische Checkliste

Wann sind Betroffenenanfragen „exzessiv“ und können von Verantwortlichen entweder zurückgewiesen oder für ihre Bearbeitung ein angemessenes Entgelt verlangt werden? Diese Frage spielt in der Praxis insbesondere für Unternehmen oder auch öffentliche Stellen eine Rolle, die etwa in kurzer Zeit mit vielen Anfragen, z. B. auf Auskunft oder Löschung, von ein und derselben Person konfrontiert werden.

Generalanwalt de la Tour (GA) hat sich mit der Frage der „Exzessivität“ von Anträgen an Aufsichtsbehörden in seinen Schlussanträgen vom 5.9.2024 (Rechtssache C‑416/23) befasst. Die österreichische Aufsichtsbehörde weigerte sich gemäß Art. 57 Abs. 4 DSGVO, aufgrund einer Beschwerde tätig zu werden, da sie sie als „exzessiv“ erachtete. Der Beschwerdeführer hatte innerhalb eines Zeitraums von ca. 20 Monaten 77 Beschwerden an sie gerichtet, mit denen er beanstandet hatte, dass jeweils verschiedene Verantwortliche nicht innerhalb eines Monats auf seine Anträge auf Auskunft bzw. Löschung geantwortet hätten.

Für Verantwortliche sind die Schlussanträge für Betroffenenanfragen interessant, weil der GA im Rahmen seiner Erläuterungen explizit davon ausgeht, dass seine Begründung auch für Art. 12 Abs. 5 DSGVO gilt.

Begründung übertragbar auf Art. 12 Abs. 5 DSGVO
Kurz zum Hintergrund. Nach Art 57 Abs. 4 DSGVO kann die Aufsichtsbehörde, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen eine angemessene Gebühr verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. Ähnlich findet sich eine solche Regelungen für Betroffenenanfragen nach Art. 15-22 DSGVO in Art. 12 Abs. 5 DSGVO. Danach kann der Verantwortliche, bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Anzahl der Anfragen als Kriterium?
Im konkreten Fall wollte das vorlegende Gericht aus Österreich im Wesentlichen wissen, ob Anfragen allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ eingestuft werden können oder ob zudem nachgewiesen werden muss, dass die Person, die diese Anfragen bei einer Aufsichtsbehörde stellt, mit missbräuchlicher Absicht handelt.

Der GA lehnt eine solche Sichtweise ab.

die Anzahl der von einer betroffenen Person bei einer Aufsichtsbehörde gestellten Anfragen, so groß sie auch sein mag

könne, für sich genommen kein ausreichendes Kriterium sein, um festzustellen, dass „exzessive Anfragen“ im Sinne der Bestimmung vorliegen.

Eine andere Entscheidung, bei der etwa ein Schwellenwert festgelegt würde, ab dem eine Aufsichtsbehörde diese Beschwerden allein aufgrund ihrer Anzahl als „exzessiv“ einstufen könnte, würde die von der DSGVO gewährleisteten Rechte, die ich zuvor aufgezählt habe, beeinträchtigen.

Begründung zu Art. 57 Abs. 4 DSGVO auf Art 12 Abs. 5 DSGVO übertragbar
Nach Ansicht des GA sind Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO ähnlich formuliert und beruhen auf derselben Logik. Diese Ansicht ist durchaus für die Auslegung und Anwendung der Vorschriften relevant, denn es geht hierbei um den Zweck der Vorschriften.
Nach Ansicht der GA besteht dieser darin

zu vermeiden, dass dem Verantwortlichen bzw. der Aufsichtsbehörde eine unverhältnismäßige Belastung auferlegt wird, die geeignet ist, ihr ordnungsgemäßes Funktionieren zu beeinträchtigen“.

Rechtsmissbrauch im EU-Recht
Art. 12 Abs. 5 DSGVO und Art. 57 Abs. 4 DSGVO spiegelt nach Ansicht des GA die ständige Rechtsprechung des EuGH wider,

nach der es im Unionsrecht einen allgemeinen Rechtsgrundsatz gibt, wonach sich die Bürger nicht in betrügerischer oder missbräuchlicher Weise auf unionsrechtliche Normen berufen dürfen“.

Insbesondere kann im Zusammenhang mit Art. 57 Abs. 4 DSGVO ein missbräuchliches Vorgehen festgestellt werden, wenn eine Person Beschwerden einreicht, ohne dass dies objektiv erforderlich ist, um ihre Rechte aus der Verordnung zu schützen.

Große Anzahl von Anfragen? Verantwortlicher muss im Zweifel Kapazitäten schaffen
Dass allein die Anzahl an Betroffenenanfragen noch kein taugliches Kriterium ist, begründet der GA auch mit dem Stellenwert der Betroffenenrechte. Zu Art. 57 Abs. 4 DSGVO führt er aus:

Folglich könnte es meines Erachtens die Verwirklichung dieses Ziels beeinträchtigen, wenn es den Aufsichtsbehörden gestattet würde, allein deshalb festzustellen, dass die Beschwerden exzessiv sind, weil ihre Anzahl groß ist.“

Konkret am Beispiel der Aufsichtsbehörden begründet der GA zudem, dass eine prozessuale Überforderung mit Anträgen nicht zu lasen der Betroffenen gehen darf – dies kann man durchaus als Begründung auch auf die interne Organisation und Struktur von Verantwortlichen übertragen.

Mit Blick auf Aufsichtsbehörden haben die Mitgliedstaaten sicherzustellen, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können.

Folglich sind diese Ressourcen an den Gebrauch anzupassen, den die betroffenen Personen von ihrem Recht machen, Beschwerden bei den Aufsichtsbehörden einzureichen“.

Enge Auslegung von Ausnahmevorschriften
Aufgrund der Wichtigkeit der Betroffenenrechte und des Ausnahmecharakters der beiden hier relevanten Vorschriften weist der GA darauf hin, dass Betroffene etwa ihr Recht auf Auskunft nach Art. 15 DSGVO mehrfach bei demselben Verantwortlichen ausüben können, ohne dass die Wiederholung einer Anfrage als solche als „exzessiv“ eingestuft werden kann. Auch dies ist eine wichtige Aussage für die Praxis.

In Bezug auf Art. 57 Abs. 4 DSGVO stellt der GA klar, dass die Vorschrift als Ausnahme eng auszulegen ist. Die Anwendung ist auf das zu beschränken ist, was unbedingt erforderlich ist, um zu verhindern, dass das mit ihm verfolgte Ziel, dass die Aufsichtsbehörden ordnungsgemäß funktionieren, beeinträchtigt wird.

Prüfung im Einzelfall – welche Kriterien sind relevant?

Die Prüfung von exzessiven Anfragen muss auf der Grundlage der Umstände des Einzelfalls erfolgen.

Die Aufsichtsbehörde / der Verantwortliche muss nachweisen,

dass diese Anzahl nicht durch den Wunsch der betroffenen Person zu erklären ist, ihre Rechte aus der DSGVO zu schützen, sondern durch einen anderen Zweck, der in keinem Zusammenhang mit diesem Schutz steht.

Und der GA gibt hierzu noch einen Hinweis. Ein solcher Nachweis kann etwa dann gegeben sein, wenn

sich aus den Umständen ergibt, dass die große Anzahl von Beschwerden darauf abzielt, das ordnungsgemäße Funktionieren der Behörde zu beeinträchtigen, indem ihre Ressourcen ohne berechtigten Grund in Anspruch genommen werden“.

Für uns in der Praxis kann dies also Fälle betreffen, in denen Betroffene offenkundig und vorsätzlich Anträge stellen, um etwa das Unternehmen oder den (ex) Arbeitgeber in seinem normalen Arbeitsalltag zu beeinträchtigen. Wenn es also klar überhaupt nicht um den Datenschutz geht.

Die Häufung von Beschwerden / Anträgen kann nach Ansicht des GA durchaus ein Indiz für exzessive Anfragen einer betroffenen Person sein,

wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht“.

Und der GA wird hierzu noch etwas konkreter und gibt eine Art Checkliste an, die man bei der Prüfung gut verwenden könnte. Dies kann z. B. dann der Fall sein, wenn Beschwerden / Anträge

  • denselben Verantwortlichen betreffen,
  • denselben Inhalt haben,
  • sich auf dieselben Verpflichtungen aus der DSGVO beziehen und
  • in übertrieben kurzen Zeitabständen eingereicht werden, ohne dass eine Änderung der tatsächlichen Umstände dies rechtfertigt, und
  • damit die Absicht der betroffenen Person erkennen lassen, das ordnungsgemäße Funktionieren der Aufsichtsbehörde / Funktionieren des Verantwortlichen zu beeinträchtigen, anstatt den Schutz der ihr durch diese Verordnung verliehenen Rechte zu erreichen.

Ausforschung des Prozessgegners per Auskunftsanspruch nach Art. 15 DSGVO? Bundesverwaltungsgericht Österreich sagt „nein“. 

In einer Entscheidung vom 8.7.24 (Geschäftszahl W137 2278780-1) hat sich das österreichische Bundesverwaltungsgericht (BVwG) u.a. mit der Frage befasst, ob und wie weit der Auskunftsanspruch nach Art. 15 DSGVO reicht, wenn dieser gegenüber einer Partei geltend gemacht wird, mit der der Betroffene aktuell in rechtlichen (gerichtlichen) Auseinandersetzungen steht. Insbesondere ging es um die Anwendung der Ausnahmevorschrift nach Art. 15 Abs. 4 DSGVO in diesem Fall.

Sachverhalt

Die betroffene Person beschwerte sich bei der österreichischen Datenschutzbehörde (DSB), da sie ihr Recht auf Auskunft nach Art. 15 DSGVO verletzt sah. Sie verlangte Auskunft von einer Bildungsbehörde. Diese erteilte auch Auskunft, jedoch nicht von vollem Umfang. Zum Teil wurde die Auskunft verweigert, weil gegen die betroffene Person zwei arbeits- und sozialgerichtliche Verfahren anhängig waren, wobei etwaige E-Mailverläufe sowie Stellungnahmen Teil dieser Verfahren seien und daher nicht herausgegeben wurden.

Die DSB wies die Beschwerde u.a. mit dem Argument zurück, dass die Verweigerung der Zurverfügungstellung einer Datenkopie dann gerechtfertigt sei, wenn die Geheimhaltungsinteressen des Verantwortlichen bzw. Dritter gegenüber dem Auskunftsinteresse des Beschwerdeführers überwiegen würden. Da derzeit ein Zivilverfahren anhängig war, sei dem Verantwortlichen ein diesbezügliches Interesse an der Geheimhaltung von Beweismitteln zuzubilligen, zumal dadurch eine Verschlechterung der Prozessposition zu befürchten wäre.

Entscheidung des BVwG

Das BVwG folgt der Begründung der DSB und sieht keinen Verstoß gegen Art. 15 DSGVO. Die Ansicht des BVwG ist vor allem deshalb praxisrelevant, da Art. 15 DSGVO oft (ziemlich klar) dafür verwendet wird, um an Dokumente und Informationen bei dem Verantwortlichen zu gelangen, die im Rahmen eines Rechtsstreits verwendet werden sollen. 

Nun mag man entgegenhalten: aber der EuGH hat doch entschieden, dass der Auskunftsanspruch auch für „datenschutzfremde“ Zweck ausgeübt werden kann (z.B. EuGH, C-307/22 Rz. 43). Ja, das stimmt. Der EuGH hatte aber noch nicht die (im hier vorliegenden Fall relevante) Frage zu entscheiden, inwiefern sich der Verantwortliche oder auch Dritte in einer solchen Situation auf die Ausnahme nach Art. 15 Abs. 4 DSGVO berufen dürfen, wenn es um die Geheimhaltung von Dokumenten u.a. für die eigene Verfahrens-/Prozessposition geht.  

Das BVwG weist darauf hin, dass nach ErwG 63 DSGVO die Ausnahme nach Art. 15 Abs. 4 DSGVO Geschäftsgeheimnisse und Rechte des geistigen Eigentums, insbesondere das Urheberrecht an Software schützen soll. 

Es ist aber davon auszugehen, dass grundsätzlich alle Rechte und Freiheiten, die von dem Recht der Union oder der MS anerkannt sind, relevant sein werden“.

Daher geht das Gericht davon aus, dass Unterlagen nicht vom Auskunftsrecht umfasst sind (man müsste wohl eher sagen: zwar umfasst, aber im Wege der Ausnahme ausgenommen sind), wenn der Verantwortliche eine E-Mail beauskunften muss, in dem auch andere Personen genannt werden, deren Interessen höher einzustufen sind als jene des Betroffenen. 

Nach der auf Grundlage der Öffnungsklausel des Art. 23 DSGVO erlassenen Bestimmung des § 4 Abs. 6 DSG in Österreich besteht das Auskunftsrecht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen „in der Regel“ dann nicht, wenn durch die Erteilung der Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährdet würde. 

Aus dem Einschub „in der Regel“ schließt das BVwG, dass hier kein absolutes Ablehnungsrecht geschaffen wurde, sondern sorgfältig abzuwägen sein wird, inwieweit die Auskunftserteilung dieses Recht tatsächlich beeinträchtigt.

Vorliegend stützte der Verantwortliche die Verweigerung der Auskunft im Wesentlichen auf überwiegende Geheimhaltungsinteressen, welche das Auskunftsinteresse des Beschwerdeführers überwiegen würden. Der Verantwortliche brachte vor, dass gegen den Beschwerdeführer zwei arbeits- und sozialgerichtliche Verfahren anhängig seien, 

wobei etwaige E-Mailverläufe und Stellungnahmen Teile dieser Verfahren seien (unstrittig ist, dass zumindest ein Verfahren noch anhängig ist). Da gerade dies eine strittige Frage in anhängigen Zivilverfahren darstelle, würde die Beauskunftung eine Verschlechterung der Prozessposition der mitbeteiligten Partei bedeuten.“ 

Damit führt der Verantwortliche nach Ansicht des BVwG ein berechtigtes Geheimhaltungsinteresse ins Treffen, wobei den Ausführungen des Betroffenen nicht entnommen werden konnte, inwiefern sein Interesse an der Beauskunftung den Geheimhaltungsinteressen überwiegt. 

Daher kommt das BVwG hier zu dem Schluss, 

dass die Beschaffung von prozessstärkender Information des Beschwerdeführers über den Schutzzweck der Norm hinausgeht und im gegenständlichen Fall das Interesse der mitbeteiligten Partei an der Geheimhaltung der genannten E-Mailverläufe und Stellungnahmen das Interesse des Beschwerdeführers überwiegt.“

Zudem wurde hervorgehoben, dass der Betroffene ja durchaus Auskunft erhalten hat – nur eben ein gewisser Teil nicht beauskunftet wurde. 

Fazit

Die Begründung des BVwG (und vorgelagert auch schon der DSB) kann in der Praxis für Verantwortliche wertvolle Argumente zur Verteidigung gegen Auskunftsansprüche bieten, die klar auf eine („pre-trial“) Ausforschung abzielen. Im Rahmen der Anwendung des BDSG könnten sich Anwälte etwa zusätzlich auf § 29 Abs. 1 BDSG berufen. Jedoch sind in der Vergangenheit schon Fälle diskutiert worden, in denen diese Ausnahme durch Betroffene umgangen wird, indem die Auskunft nicht gegenüber den Anwälten, sondern gegenüber der vertretenen Partei direkt geltend gemacht wird – gerade für diese Situation kann die Entscheidung des BVwG hilfreich sein. 

Generalanwalt am EuGH: Wichtige Ausführungen zur Erforderlichkeit für Art. 6 (1) b DSGVO und der Information über „berechtigte Interessen“ für Art. 6 (1) f DSGVO

Am 11. Juli 2024 wurden die Schlussanträge des Generalanwalts Szpunar in der Rechtssache C-394/23veröffentlicht. 

In dem anhängigen Rechtsstreit zwischen einem Verband auf einer Seite und der französischen Datenschutzaufsichtsbehörde CNIL sowie Transportunternehmen SNCF Connect auf der anderen Seite geht es um die Frage der Verarbeitung der Anrededaten von Kunden des SNCF Connect, das über seine Website und Apps Zugtickets, Abos und Ermäßigungskarten vertreibt. Nach Angaben des Unternehmens werden die Daten in der geschäftlichen Kommunikation mit den Kunden verwendet und seien hierfür auch erforderlich. Es handelt sich hierbei um Pflichtfelder im Bestellformular – die Kunden müssen also bei der Bestellung ihre Anrede als „Herr“ oder „Frau“ angeben. 

Position des Verbands und bisheriges Verfahren 

Der Verband beschwerte sich gegen SNCF Connect bei der Aufsichtsbehörde. Zur Begründung machte er geltend, die Erhebung der Anrededaten sei mangels Rechtsgrundlage nicht mit dem in Art. 5 Abs. 1 lit. a DSGVO verankerten Grundsatz der Rechtmäßigkeit vereinbar. Zudem verstoße eine solche Erhebung gegen den Grundsatz der Datenminimierung und den Grundsatz der Richtigkeit, die in Art. 5 Abs. 1 lit. c bzw. d DSGVO festgelegt seien, sowie gegen die Transparenz- und Informationspflichten gem. Art. 13 DSGVO. Der Verband argumentierte insoweit, dass SNCF Connect die Anrededaten nicht erheben dürfe oder zumindest seinen Kunden alternative Möglichkeiten anbieten müsse, wie z. B. die Option „neutral“ oder „sonstige“. Die Datenschutzbehörde stellte keinen Verstoß gegen die DSGVO fest und der Verband reichte gegen diese Entscheidung eine Klage ein, im Rahmen welcher die Fragen dem EuGH vorgelegt wurden.

Ist die Angabe der Anrede erforderlich?

Die Erforderlichkeit wurde von dem Generalanwalt unter zwei Gesichtspunkten untersucht:

  1. Ist die Anrede der Kunden für die Erfüllung des Vertrags erforderlich? (Art. 6 Abs. 1 b) DSGVO)
  2. Ist die Angabe der Anrede zur Wahrung berechtigter Interessen im Hinblick auf die allgemeine Verkehrssitte in der personalisierten geschäftlichen Kommunikation erforderlich? (Art. 6 Abs. 1 f) DSGVO)

Vertragserfüllung

In seinen Ausführungen stellt der Generalanwalt fest, dass der Hauptgegenstand des Vertrags vorliegend die Bereitstellung eines Fahrscheins ist. Es war daher zu prüfen, ob erstens die Anrededaten des Kunden verarbeitet werden, um einen Zweck zu erreichen, der notwendiger Bestandteil der Beförderungsdienstleistung ist, und ob zweitens diese Verarbeitung hierfür objektiv unerlässlich ist.

Nach Ansicht des Generalanwalts sei die Kommunikation mit dem Kunden als notwendiger Bestandteil des Beförderungsvertrags anzusehen. Denn die Bereitstellung des Fahrscheins setze die Kontaktaufnahme mit dem Kunden voraus, um diesem den Fahrschein zu übermitteln. Diese Notwendigkeit bestehe auch während der Beförderung fort, um den Kunden z.B. über die möglichen Störungen bei der Reise zu informieren. 

Das Argument von SNCF, dass dieser Zweck in Übereinstimmung mit der Verkehrssitte in der geschäftlichen Kommunikation auch die Angabe der Anrede erfordert, wurde von dem Generalanwalt aber zurückgewiesen. Auch ohne geschlechtsspezifischer Anrede könne die Kommunikation durchgeführt werden. Dies werde unter anderem dadurch indiziert, dass die Anrede nicht bei jeder Kommunikation verwendet wird. So werden teilweise neutrale Formulierungen wie „Danke, gute Reise“ oder „Guten Tag“ benutzt.

Darüber hinaus sei die Verarbeitung der Anrededaten für die Erreichung des geltend gemachten Zwecks nicht unerlässlich und alternativlos. Sie gehe über das hinaus, was notwendig ist, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Denn die ordnungsgemäße Erfüllung des Beförderungsvertrags könne nicht von der Verwendung der Anrede in der Kommunikation abhängen, selbst wenn der für die Verarbeitung Verantwortliche mit seinen Kunden in personalisierter Weise kommunizieren möchte. 

Interessenabwägung

Im Zusammenhang mit der Prüfung der berechtigten Interessen verweist der Generalanwalt auf das Urteil „Meta Platforms“ (C-252/21), wo der EuGH entschieden hat, dass die Verarbeitung nur dann erforderlich sei, wenn der Verantwortliche den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat. 

Hier vertritt der Generalanwalt daher eine strenge Ansicht (Rz. 56):

Mit anderen Worten: Die aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO resultierende Sanktion ist die Rechtswidrigkeit der Verarbeitung der betreffenden personenbezogenen Daten.

Aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 lit. d DSGVO resultiere also nach Ansicht des EuGH die Rechtswidrigkeit der Verarbeitung der personenbezogenen Daten. Da SNCF in der Datenschutzerklärung keine Angaben zu den konkreten Interessen hinsichtlich der Verarbeitung von Anrededaten gemacht hat, führe dies dazu, dass die Verarbeitung auf diese Rechtsgrundlage nicht gestützt werden könne.

Und nach Ansicht des Generalanwalts reichen auch nicht floskelhafte Verweise auf berechtigte Interessen aus (Rz. 58):

Zum einen wird durch den bloßen Verweis auf ein berechtigtes Interesse ohne Angabe, worin genau dieses berechtigte Interesse besteht, die Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO nicht erfüllt, die den Verantwortlichen verpflichtet, das verfolgte berechtigte Interesse mitzuteilen.

In der weiteren Prüfung befasst sich der Generalanwalt mit den einzelnen Anforderungen des Art. 6 Abs. 1 f) DSGVO und stellt fest, dass obwohl die Kommunikation mit dem Kunden grds. als berechtigtes Interesse des Unternehmens anzusehen sei, die Verarbeitung von Anrededaten im konkreten Fall über das hinausgehe, was zur Erreichung des Zwecks der Kommunikation mit dem Kunden notwendig sei. Die Kommunikation könne – wie oben dargelegt – auch ohne Verwendung der Anrede erfolgen.

Auch die vernünftigen Erwartungen der Person reichen nach seiner Ansicht nicht für die Feststellung aus, dass das berechtigte Interesse des Verantwortlichen die Interessen der betroffenen Person überwiegt. Ein solcher Aspekt sei zwar im Rahmen der Abwägung erheblich, könne jedoch nicht automatisch dazu führen, dass das berechtigte Interesse des Verantwortlichen überwiegt.

Weitere Fragen

Grundsatz der Datenminimierung

Nach dem Grundsatz der Datenminimierung sei nach Ansicht des Generalanwalts zu prüfen, ob der Zweck der Verarbeitung nicht in zumutbarer Weise mit anderen Mitteln erreicht werden kann. Die Prüfung umfasse dabei nicht nur quantitative Aspekte, sondern auch die inhaltlichen.

Der Grundsatz der Datenminimierung gelte auch dann, wenn die Person in die Verarbeitung eingewilligt hat. Denn nur so kann ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogener Daten gewährleistet werden. 

Widerspruchsrecht

Die letzte relevante Frage betrifft das Widerspruchsrecht der betroffenen Person nach Art. 21 Abs. 1 DSGVO und seine Bedeutung i.R.d. Beurteilung der Erforderlichkeit gem. Art. 6 Abs. 1 f) DSGVO.

Es ergebe sich schon aus dem Wortlaut des Art. 21 Abs. 1 DSGVO, dass das Bestehen eines Widerspruchsrechts für die Beurteilung der Erforderlichkeit einer Verarbeitung nach Art. 6 Abs. 1 Buchst. f DSGVO in keiner Weise relevant sei, da die Geltendmachung des Rechts aus Art. 21 Abs. 1 DSGVO voraussetze, dass die Voraussetzungen der Rechtsgrundlage bereits erfüllt seien.

Praktische Auswirkungen

Zwar bleibt noch die finale Entscheidung des EuGH abzuwarten. Es ist aber sehr wahrscheinlich, dass der Gerichtshof den Ausführungen des Generalanwalts weitgehend folgen wird.

Für die Praxis ist im Hinblick auf die Datenverarbeitung zur Vertragserfüllung festzuhalten, dass die Korrespondenz mit dem Kunden als Bestandteil des Vertrages anzusehen ist. Das ist insbesondre für E-Commerce-Unternehmen relevant, die ihre Kunden über diverse Updates zum Bestellstatus informieren wollen (z.B. Versandbestätigung, Änderung des Lieferdatums usw.). Dabei ist aber zu beachten, dass die erhobenen Daten auch tatsächlich für die Kommunikation (oder sonstige vertragliche Zwecke) benutzt werden. Sollten bei manchen Kunden diese Daten verwendet werden, bei anderen aber nicht, dürfte dies gerade gegen eine generelle Erforderlichkeit im Rahmen der Vertragsdurchführung sprechen. Es reicht nicht, wenn die Verwendung des Datums inkonsistent bzw. nur gelegentlich erfolgt. Anders ausgedrückt: ganz oder gar nicht.

Für die Verarbeitung von Daten auf Grundlage berechtigter Interessen gilt, dass die mangelhafte Erfüllung der spezifischen Informationspflichten zu den berechtigten Interessen dazu führen kann, dass diese Interessen (über die nicht informiert wurde) nicht als Verarbeitungsgrundlage genutzt werden dürfen. Eine falsche bzw. inhaltlich mangelhafte Information kann hier im Ergebnis zur Rechtswidrigkeit der Verarbeitung führen – selbst wenn berechtigte Interessen vorliegen, über die nur eben nicht informiert wurde.

Unternehmen müssen darauf achten, konkrete Interessen für Verarbeitungsvorgänge bei der Erhebung der Daten zu benennen. Allein die vernünftigen Erwartungen der betroffenen Person führen nicht dazu, dass die Interessenabwägung zugunsten des Verantwortlichen ausfällt, obwohl sie bei der Interessenabwägung zu berücksichtigen sind.

Unzureichende Einbindung des Gruppen/Konzern-DSB und mangelnde Ressourcen? 18.000 EUR Bußgeld gegen ein Unternehmen in Luxemburg

Das Verwaltungsgericht des Großherzogtums Luxemburg bestätigte ein von der luxemburgischen Datenschutzbehörde gegen einen Verantwortlichen verhängtes Bußgeld in Höhe von 18.000 EUR, weil dieser 1) den Datenschutzbeauftragten der Gruppe nicht ausreichend eingebunden und 2) ihm nicht genügend Ressourcen zur Erfüllung seiner Aufgaben zur Verfügung gestellt hatte. Die Entscheidung wurde in Englisch auf GDPRhub zusammengefasst.

Sachverhalt

Eine Unternehmensgruppe benannte einen Datenschutzbeauftragten („Group DPO“) gemäß Art. 37 Abs. 2 DSGVO. Zur Unterstützung des Group DPO wurde ein Rechtsanwalt (wohl aus dem Unternehmen) als lokale Kontaktstelle in Luxemburg eingesetzt. Der Verantwortliche richtete auch ein „GDPR-Board“ ein, ein Gremium, das sich mit dem Datenschutz in Luxemburg befassen musste.

Der Group DPO war jedoch kein Mitglied dieses Gremiums und wurde nur durch die Protokolle der GDPR-Board-Sitzungen oder durch Fragen, die die lokale Kontaktstelle stellte, über die behandelten Themen informiert.

Entscheidung des Gerichts (Bestätigung der Bußgeldentscheidung)

Keine ausreichende Beteiligung des Group DPO

Gemäß Art. 38 Abs. 1 DSGVO hat der Verantwortliche sicherzustellen, dass der DSB in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen ordnungsgemäß und frühzeitig eingebunden wird. Insbesondere relevant ist diese Vorgabe im Hinblick auf die Aufgabe des DSB gem. Art. 39 Abs. 1 DSGVO, den Verantwortlichen hinsichtlich seiner Pflichten nach der DSGVO zu unterrichten und zu beraten.

Vor diesem Hintergrund stellte das Gericht fest, dass es notwendig und zwingend erforderlich ist, dass der DSB bei allen Themen und Projekten, die die mit dem Schutz personenbezogener Daten zusammenhängenden Fragen betreffen, in einem möglichst frühen Stadium eingebunden wird.

In diesem Fall wurde der Group DPO aber erst eingeschaltet, wenn eine betroffene Person mit der Bearbeitung ihrer Anfrage durch die lokale Kontaktstelle nicht zufrieden war. Der Verantwortliche verwies zwar auf die regelmäßige Kommunikation (Telefon, Video und E-Mail) zwischen der lokalen Kontaktstelle und dem Group DPO, legte aber keine Nachweise dieser Kommunikation vor.

Das Gericht stellte fest, dass der Datenschutzbeauftragte nicht unmittelbar an allen datenschutzrelevanten Angelegenheiten beteiligt und eingebunden war, was einen Verstoß gegen Art. 38 Abs. 1 & 39 Abs. 1 DSGVO darstellt.

Das Gericht sieht hier also strenge Anforderungen an die Einbindung des Datenschutzbeauftragten. Es genügt gerade nicht, diesen nur regelmäßig über bestimmte Themen zu informieren – er muss auch (bereits möglichst frühzeitig) in diese Themen und die interne Beratung hierzu aktiv eingebunden werden.

Dem Datenschutzbeauftragten zur Verfügung gestellte Ressourcen

Gemäß Art. 38 Abs. 2 DSGVO hat der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen, indem er ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellt und Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt.

Das Gericht stellte fest, dass der Verantwortliche keine Informationen zur formalen Festlegung der Arbeitszeit der lokalen Kontaktstelle vorgelegt hat. Nach Ansicht des Gerichts rechtfertigt der Umfang der Tätigkeit des Verantwortlichen in Luxemburg (70 Standorte, zwischen 1.600 und 2.100 Beschäftigte und 25.000 Verbraucher pro Tag) die Beschäftigung von mindestens einer Vollzeitkraft für den Datenschutz.

Das Gericht nahm einen Verstoß gegen Art. 38 Abs. 2 DSGVO an, da dem Datenschutzbeauftragten die erforderlichen Ressourcen nicht im angemessenen Umfang zur Verfügung gestellt wurden.

Bußgeldhaftung nach der DSGVO: welche Faktoren sprechen für und gegen ein Verschulden? Bundesverwaltungsgericht Österreich zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“

Das Bundesverwaltungsgericht Österreich (BVwG) hat kürzlich eine wichtige Entscheidung gefällt, die sich mit den Faktoren für und auch gegen ein Verschulden im Rahmen von Art. 83 DSGVO befasst. Interessant ist dabei insbesondere, dass die Vorgaben des EuGH aus dem Deutsche Wohnen-Verfahren nun durch ein mitgliedstaatliches Gericht konkretisiert werden.

Hintergrund

Das Unternehmen betreibt ein Kundenbindungsprogramm, im Rahmen dessen auch Einwilligungen für die Verarbeitung zu werblichen Zwecken eingeholt wurden. Die österreichische Aufsichtsbehörde (DSB) leitete ein Prüfverfahren und aufgrund der Ermittlungsergebnisse auch ein Verwaltungsstrafverfahren ein, welches mit einem Bußgeldbescheid endete. Gegen diesen legte das Unternehmen Beschwerde ein.

Nach Ansicht der DSB habe das Ersuchen um Einwilligung der betroffenen Personen, die sich für das Kundenbindungsprogramm registriert hätten, nicht den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO entsprochen. Das Unternehmen habe daher personenbezogene Daten unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt habe werden können.

Im vorliegenden Verfahren ging um Fragen der Bußgeldhaftung des Unternehmens, also Art. 83 DSGVO. Konkret möchte ich mich hier mit dem Merkmal des Verschuldens (also der subjektiven Tatseite) befassen.

Merkmal des Verschuldens

Wie bekannt, hatte der EuGH in dem Deutsche Wohnen-Verfahren (C-807/21) im Dezember 2023 geurteilt, dass gegen einen Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Ein Verschulden liegt nach Rechtsprechung des EuGH wiederum dann vor, wenn das Unternehmen hätte erkennen können, dass sein Verhalten datenschutzwidrig war.

Die DSB sah ein Verschulden als gegeben an: die Geschäftsführer des Unternehmens hätten im konkreten Fall zunächst aufgrund objektiver Sorgfaltswidrigkeit die Entwürfe zu den gegenständlichen Ersuchen um Einwilligung genehmigt, obwohl diese dem Wortlaut der DSGVO bzw. den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO widersprechen würden. Zudem, so die DSB, hätten sie kein wirksames internes Kontrollsystem im Rahmen des Betriebs des Unternehmens implementiert, um die laufende Rechtsentwicklung in Bezug auf die gegenständlichen Einwilligungsersuchen zu überwachen.

Die beiden Kernvorwürfe waren also:

  • (Er)Kennenmüssen der Unzulässigkeit der Einwilligung, allein aufgrund der DSGVO-Anforderungen
  • Kein ausreichendes internes Compliance-System, das auch die aktuelle Rechtsprechung und Behördenansichten zu Anforderungen an die Einwilligung nach der DSGVO überwacht

Entscheidung des BVwG zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte

Das BVwG befasst sich mit der Frage des Verschuldens im Abschnitt „3.3.4.1. Zur strafrechtlichen Verantwortlichkeit und Verschulden der Beschwerdeführerin“.

Zunächst weist das Gericht auf die Grundlagen seiner nachfolgenden Bewertung hin. Insbesondere die Rechtsprechung des EuGH, wonach ein Verantwortlicher sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt.

Zur Haftung des Verantwortlichen setzt das BVwG vorab den generellen Pflichtenrahmen. Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich

auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind.“

Diese Haftung des Verantwortlichen bildet nach Ansicht des BVwG bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür, nach Art. 83 DSGVO eine Geldbuße zu verhängen.

Nach dem Urteil in der Rechtssache „Deutsche Wohnen“ hat man sich gefragt, was der EuGH konkret mit der Umschreibung „wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“ meint – welche Faktoren in der Praxis also für oder gegen ein Verschulden sprechen können. Hierzu gibt das BVwG einige praxisrelevante Hinweise:

A. Erkundigungspflicht des Verantwortlichen (bzw. der Geschäftsführung)

Das BVwG ist, mit der DSB, der Ansicht, dass das Unternehmen eine Erkundigungspflicht hinsichtlich der einschlägigen relevanten Bestimmungen der DSGVO (hier im Zusammenhang mit den verwendeten Einwilligungserklärungen), vor Verwendung eben dieser Einwilligung im Zuge des Markstarts des Programms traf. Nach Ansicht der DSB hätten die Geschäftsführer dann, bei bestehenden Zweifeln, diese durch weitere Erkundigungen beseitigen müssen, beispielsweise durch eine Auskunftsanfrage an die belangte Behörde oder mittels Rechtsgutachten von Sachverständigen, das sich mit dieser spezifischen Fragestellung beschäftige.

B. Erkennenmüssen allein aufgrund des Wortlauts der DSGVO-Norm

Nach Ansicht des BVwG hätten insbesondere die beiden Geschäftsführer sowie die Leiterin der Rechtsabteilung erkennen müssen, dass die gewählte Gestaltung der Einwilligung nicht im Einklang mit der DSGVO stand.

Hierbei sei nicht ausschlaggebend, ob sich das Unternehmen mit

  • dem Urteil des EuGH in der Rechtssache Planet49 (zur Frage der Anforderungen an die Einwilligung),
  • oder den Leitlinien 05/2020 der Art. 29 Datenschutzgruppe zur Einwilligung auseinandergesetzt habe.

Denn im vorliegenden Fall hätte bereits aufgrund des reinen Wortlautes der Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO von dem Unternehmen erkannt werden müssen, dass die von ihr gewählte optische Gestaltung aufgrund der dargestellten kumuliert irreführenden Faktoren nicht den Anordnungen einer in „informierter Weise und unmissverständlich abgegebenen Willensbekundung“ entspricht.

C. (Un)Kenntnis der internen Rechtsabteilung

Zudem geht das BVwG davon aus, dass insbesondere der mit der Beratung des Unternehmens betrauten Rechtsabteilung hätte auffallen müssen, dass die bei den Einwilligungserklärungen gewählte Vorgehensweise missverständlich und damit rechtswidrig war.

D. Rechtsprechung und Verwaltungspraxis

Als möglichen entlastenden (!) Faktor prüft das BVwG, ob zum Tatzeitpunkt eventuell entsprechende Rechtsprechung oder eine Praxis der Aufsichtsbehörden existierte, die gegen ein Verschulden sprechen könnte. Vorliegend, so das BVwG, lag aber

keine höchstgerichtliche Rechtsprechung oder entsprechende Verwaltungspraxis zu den zitierten Bestimmungen vor, aufgrund derer die Beschwerdeführerin entgegen der dargestellten, irreführenden Faktoren darauf vertrauen hätte können, dass die Gestaltung der DSGVO entspricht“.

Dies ist ein wichtiger Aspekt bei der Verteidigung gegen Bußgelder – eine entsprechende Verwaltungspraxis kann ein Verantwortlicher verwenden, um seine Rechtsansicht zu stützen und im Rahmen des Verschuldens

Im Grunde wird damit auch bestätigt, was aus meiner Sicht für datenverarbeitende Stellen ein großer Vorteil ist: die Pluralität des Aufsichtssystems in Deutschland. Mit 18 Datenschutzbehörden (inkl. BfDI, und die speziellen Aufsichtsbehörden noch nicht mitgezählt), finden sich sehr viele verschiedene Sichtweisen und rechtliche Interpretation der Behörden. Diese Sichtweisen und darauf beruhende Verwaltungspraxis (siehe oben) können und sollten Verantwortliche und Auftragsverarbeiter bei ihren eigenen Datenverarbeitungen und der rechtlichen Bewertung mit in den Blick nehmen.

E. Externe Rechtsgutachten

Auch würde das BVwG als entlastenden Faktor wohl das Vorliegen von externen Einschätzungen, wie etwa Rechtsgutachten, bewerten. Vorliegend habe das Unternehmen aber keine

Rechtsgutachten hinsichtlich der DSGVO Konformität der gegenständlichen Einwilligungserklärungen erstellen lassen“.

F. Nachfrage bei der Aufsichtsbehörde

Ja, auch dies könnte ein entlastender Faktor beim Verschulden sein. Andererseits muss man als anfragendes Unternehmen aber natürlich auch mit der Antwort leben, wenn sie „nicht gefällt“. Das BVwG stellt vorliegend fest, dass bei der belangten Behörde (DSB) als Spezialbehörde diesbezüglich keine Auskünfte eingeholt wurden.

G. Fehlende Dokumentation zur internen oder externen rechtlichen Bewertung

Negativ bewertet das BVwG den Umstand, dass das Unternehmen keine (aussagekräftigen) Unterlagen zu stattgefundener interner und externer Beratung der Beschwerdeführerin im Hinblick auf die (Gestaltung der) Einwilligungserklärungen vorgelegt hat. Hieraus hätte sich (durchaus auch positiv) ergeben können, dass die angeführten Faktoren aus rechtlicher Sicht ausführlich diskutiert bzw. problematisiert worden wären.

H. Anforderungen an das interne Kontrollsystem (Compliance)

Nach Ansicht des BVwG muss für die Wirksamkeit eines internen Kontrollsystems dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen. Zwar habe das Unternehmen hier gewisse Kontroll- und Beratungsmechanismen im Bereich des Datenschutzes eingeführt. Jedoch habe dieses System im konkreten Fall nicht funktioniert.

Fazit

Insgesamt geht das BVwG daher davon aus, „dass auf subjektiver Tatseite zumindest Verschulden in Form von Fahrlässigkeit der Beschwerdeführerin vorliegt“. Die Entscheidung gibt für die Praxis einen guten Leitfaden für verschiedenste Faktoren und (Gegen)Argumente, die im Rahmen des Verschuldens durch Verantwortliche und Auftragsverarbeiter bei der Bußgeldhaftung nach Art. 83 DSGVO in der Praxis berücksichtigt werden sollten.

Endlich: Keine Anwendbarkeit des Fernmeldegeheimnisses für Arbeitgeber bei erlaubter / geduldeter privater Nutzung von betrieblichen E-Mail- oder Internetdiensten – Datenschutzbehörde NRW

„Halleluja“, möchte man fast ausrufen. Eine seit Ewigkeiten bestehende rechtliche Diskussion um die Anwendbarkeit der strengen Vorgaben des Fernmeldegeheimnisses auf Arbeitgeber scheint sich aufzulösen – und zwar im positiven Sinne für Arbeitgeber.

Rückblick

Seit Jahren wird bekanntlich darüber diskutiert, geschrieben und geurteilt, ob und wann Arbeitgeber als Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten (§ 3 Abs. 2 TDDDG) gelten – womit auch das Fernmeldegeheimnis greifen würde – wenn sie ihren Mitarbeitern die private Nutzung von beruflichen E-Mail-Postfächern und/oder Internetzugang gestatten oder dies dulden.

In ihrer Orientierungshilfe (PDF) aus 2016 ging die DSK davon aus, dass wenn der Arbeitgeber den Beschäftigten auch die private Nutzung von Internet und/oder des betrieblichen E-Mail-Postfaches erlaubt, zusätzlich zum allgemeinen Datenschutzrecht das (damals noch geltende) Telekommunikationsgesetz (TKG) bzw. das Telemediengesetz (TMG) zu beachten ist.

Nach Auffassung der Aufsichtsbehörden ist der Arbeitgeber in diesem Fall Telekommunikationsdienste- bzw. Telemediendienste-Anbieter. Dies hat die Konsequenz, dass er an das Fernmeldegeheimnis des § 88 Abs. 2 S. 1 TKG gebunden ist“.

Die Folge in der Praxis: Arbeitgeber durften (bei gestatteter / geduldeter privater Nutzung) im Grunde nur mit Einwilligung der Mitarbeiter Zugriff auf beruflich bereitgestellte Postfächer nehmen oder den Internetverkehr prüfen. Zudem galt ein strafrechtliches Verbot nach § 206 StGB.

Diese Auffassung wurde insbesondere in der Literatur und auch Teilen der Rechtsprechung nicht geteilt (vgl. etwa LAG Berlin-Brandenburg, Urt. v. 14.1.2016 – 5 Sa 657/15; LG Krefeld, Urt. v. 7.2.2018 – 7 O 198/17; LG Erfurt, Urt. v. 28.4.2021 – 1 HK O 43/20). Diese Ansicht lehnte die Anwendung des Fernmeldegeheimnisses ab.

Aktuelle Entwicklung

Letzte Woche hat die Datenschutzbehörde NRW (LDI) ihren Jahresbericht 2024 veröffentlicht (PDF). Dort wird unter Ziff. 12.2. festgehalten:

Für Arbeitgeber*innen gilt nicht mehr das Fernmeldegeheimnis, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden.“

Dieser Trend hat sich schon letztes Jahr abgezeichnet (vgl. Datenschutzbehörde Hessen, Jahrsebericht 2022, S. 30, PDF).

Sehen dies alle deutschen Aufsichtsbehörden so? Hierzu gibt es derzeit keine neuere Aussage der DSK. Nach Angaben der LDI NRW gehen aber mehrere deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich nach Inkrafttreten des TTDSG (jetzt: TDDDG) die rechtliche Bewertung geändert hat: Arbeitgeber, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, unterliegen nicht mehr dem Telekommunikationsrecht.

Deshalb haben sie gegenüber ihren Beschäftigten auch nicht das Fernmeldegeheimnis zu garantieren.

Ein, aus meiner Sicht zutreffendes, Argument der LDI: Bei Arbeitgebern, die die private Nutzung erlauben oder dulden, fehlt es in der Regel am Rechtsbindungswillen. Arbeitgeber treten gegenüber ihren Beschäftigten nicht als geschäftsmäßige Telekommunikationsdienstleister auf.

Die Folge in der Praxis ist, dass bei der Verarbeitung von Mitarbeiterdaten im Rahmen der Zurverfügungstellung von betrieblichen E-Mail-Postfächern oder des Internetzugangs, die allgemeinen Vorgaben der DSGVO und auch des BDSG (oder von Landesdatenschutzgesetzen) zu beachten sind. Es bedarf aber nach Ansicht der LDI NRW gerade keiner Einwilligung, speziell für den Schutzbereich des Fernmeldegeheimnisses. Diese Ansicht dürfte in der Praxis einige Unsicherheiten beseitigen.

Die LDI NRW nennt auch ein konkretes Beispiel: in der Vergangenheit galt, dass Arbeitgeber nur auf die Protokolldaten oder E-Mails der Beschäftigten zugreifen konnten, wenn dafür deren Einwilligung vorlag.

Mit dem TTDSG finden statt der spezifischen telekommunikationsrechtlichen Regeln nun die Vorschriften der DS-GVO Anwendung. Die DS-GVO sichert ein ähnlich hohes Schutzniveau für die personenbezogenen Daten der Beschäftigten.“

Bedeutet: es kann sein, dass auch nach der DSGVO je nach Verarbeitungszweck und Umfang der Verarbeitung dennoch eine Einwilligung erforderlich ist – aber eben nicht per se aufgrund der Geltung des Fernmeldegeheimnisses. Die LDI empfiehlt zurecht, dass wie bisher über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung getroffen bzw. interne Vorgaben erstellt werden sollten. Darin sollen etwa die Fragen des Zugriffs, der Protokollierung, der Auswertung und der Durchführung von Kontrollen geklärt werden.

Bundesregierung plant „Entbürokratisierung“ des Datenschutzes – Erhöhung der Benennungsschwelle für DSB, Konzentration von Behördenzuständigkeiten und verbindliche Beschlüsse der DSK

Der Bundeskanzler, der Vizekanzler und der Bundesminister der Finanzen haben sich am 5. Juli 2024 auf eine „umfassende Wachstumsinitiative“ geeinigt. Der Text des Dokuments ist hier abrufbar (PDF). Laut der Einleitung hat sich die Bundesregierung auf ein umfassendes Maßnahmenpaket verständigt, das der deutschen Wirtschaft umgehend Impulse für mehr wirtschaftliche Dynamik geben wird.

Zum Zeitplan (immerhin ist bald Sommerpause im Parlament und im September 2025 stehen Bundestagswahlen an) wird dort beschrieben, dass die Bundesregierung die in diesem Paket enthaltenen Maßnahmen „nun schnell umsetzen“ werde. Soweit es neuer Gesetze oder weiterer gesetzlicher Anpassungen bedarf, werden die entsprechenden Regelungsvorschläge gemeinsam mit dem Haushaltsgesetz oder später im zweiten Halbjahr 2024 im Kabinett beschlossen. Klingt aus meiner Sicht sehr optimistisch.

Nachfolgend möchte ich schlaglichtartig einen Blick auf die Vorschläge und mögliche Konsequenzen im Bereich Datenschutzrecht werden.

Die Sicht der Bundesregierung auf den Datenschutz

Zunächst fällt auf, unter welchen Schlagworten die Parteien SPD, Die Grünen und die FDP den Datenschutzschutz verorten. Vorschläge im Bereich des Datenschutzrechts finden sich im Abschnitt „II. Unternehmerische Dynamik stärken: Unnötige Bürokratie abbauen“. Ein wenig mag man sich hierbei schon die Augen reiben. Parteien wie die SPD, die insbesondere für die Interessen der Arbeitnehmer (und damit den Mitarbeiterdatenschutz) eintritt oder Die Grünen, deren Mitglied und früheres Mitglied des Europäischen Parlaments, Jan Philipp Albrecht, die DSGVO überhaupt erst möglich gemacht hat, verstehen den Datenschutz als „unnötige Bürokratie“. Die FDP vertritt ohnehin die Position, dass der bürokratische Aufwand überprüft werden muss.

Ziel der Bundesregierung ist: die Anwendung datenschutzrechtlicher Anforderungen reduzieren. Das klingt zunächst politisch natürlich super – wer soll da widersprechen? Wenn wir uns gleich einige Vorschläge aus der Initiative anschauen, können Sie ja einmal für sich prüfen, welche Anforderungen dadurch auch tatsächlich reduziert werden.

Die Bundesregierung strebt in Abstimmung mit den Ländern folgende Maßnahmen an:

1. Zuständigkeitskonzentration bei einer Aufsichtsbehörde

Für bestimmte Branchen/Sektoren wird mit den Ländern vereinbart, die Zuständigkeit bei der Aufsichtsbehörde eines Landes zu konzentrieren, damit es bundesweit für die Unternehmen eine Aufsicht und damit u.a. eine einheitliche Ansprechstelle mit besonderer Expertise für komplexe Fragestellungen gibt.“

Die Bundesregierung hat hier wahrscheinlich die Schaffung von ausschließlich zuständigen Aufsichtsbehörden für bestimmten Themenbereiche im Sinne. Bsp: alle Fragen des Online-Handels werden bei der Behörde in Hamburg gebündelt. Alle anderen Aufsichtsbehörden der Länder wären dann z.B. für Fragen des Datenschutzes bei Kunden- & Gastkonten, der Löschung von Kundendaten etc. nicht mehr zuständig.

Zunächst wird es hier aus meiner Sicht einer Herausforderung sein, die „Branchen/Sektoren“ für die Praxis und Aufsicht sauber zu trennen. Zum obigen Beispiel: gehört zum Online-Shopping auch das Tracking in der App / auf der Webseite? Gehören dazu auch Verarbeitungen von bloßen Webseitenbesuchern von Online-Shops, die aber noch nicht kaufen? Gehören hierzu auch Verträge mit Dienstleistern, die etwa eine Chatfunktion im Shop bereitstellen?

Zweitens wird eine solche Konzentration aus meiner Sicht für die betroffenen Unternehmen nicht immer „positiv ausgehen“. Bsp: Online-Shops werden in Zukunft allein aus Hamburg beaufsichtigt. Unternehmen mit Zentralen in Bayern, Baden-Württemberg oder etwa NRW erhalten für alltägliche Fragen zu ihrem Angebot damit neue Ansprechpartner und vor allem verschwindet damit für die Mehrheit der Unternehmen natürlich auch der lokale Bezug der Aufsichtsbehörden. Man mag es kaum glauben, aber ja, man kann (und viele Unternehmen tun dies sehr erfolgreich) mit seiner zuständigen Aufsicht proaktiv in den Austausch gehen – man kann sich vor Ort treffen, Trends besprechen und die Umsetzung des Datenschutzes proaktiv begleiten. Ob diese Arbeitsweise auch noch stattfindet, wenn allein eine (aus Sicht des Unternehmens unbekannte und weit entfernte) Behörde zuständig ist?

Nun mag man einwenden: heutzutage kein Problem. Dann macht man das alles per Videokonferenz. Das Bsp. Online-Shop ist natürlich nur eines von vielen Themen – bzw. knüpft die Regieurng ja eher an Branchen/Sektoren.

Ich gebe Ihnen ein anderes (sehr provokatives) Bsp: für Fragen des Datenschutzes im Automobilbereich (automatisiertes Fahren, Datenverarbeitung im Bereich Infotainment) ist in Zukunft Thüringen zuständig. Hersteller wie VW, BMW und Mercedes (aber auch 1st Tier Zulieferer) müssen dann in allen Fragen des Datenschutzes mit dieser einen Behörde sprechen – und ggfs. auch Kämpfe führen. Und das ist dann eben nicht mehr die Behörde vor Ort.

Meine Erfahrung mit Mandanten ist, dass Unternehmen mit der „eigenen“ Behöre oft sehr gut und vertrauensvoll zusammenarbeiten. Und gerade diese, langjährige Zusammenarbeit, spart am Ende Aufwand im Datenschutzrecht, den man hätte, wenn man einfach mal „drauf los entwickelt“ und sich nicht abstimmt.

2. Verbindliche Beschlüsse der DSK

Stärkere bundesweite Vereinheitlichung der Anwendung des Datenschutzrechts durch verbindliche Beschlüsse der Datenschutzkonferenz; damit Rechtsunsicherheiten und bürokratischer Aufwand für Unternehmen reduziert werden und die Unternehmen sich innerhalb von Deutschland auf eine möglichst einheitliche Anwendung durch die verschiedenen Aufsichtsbehörden der Länder verlassen können.“

Zunächst eine, aus meiner Sicht, gute Nachricht – die Regierung möchte die föderale Struktur der Behörden zumindest im Grundsatz weiter fortführen. In welcher inhaltlichen Form, wird sich zeigen, siehe Ziffer 1.

Die Beschlüsse der DSK sollen, wohl für die Aufsichtsbehörden selbst, bindend werden. Also eine Orientierung an Art. 65 DSGVO zur Streitbeilegung im EDSA. Eine solche Initiative ist aus meiner Sicht durchaus sinnvoll. Vor allem mit Blick auf die Rechts(un)sicherheit bei der Anwendung des Datenschutzrechts. Spannend wird natürlich dann, in welcher Form Rechtsschutzmöglichkeiten der Aufsichtsbehörden selbst (Klagen gegen den Beschluss) und betroffener Unternehmen ausgestaltet werden, wenn Unternehmen inhaltlich nicht mit der Meinung der DSK übereinstimmen.

Einige Leser/innen wissen, dass ich ein großer Verfechter der föderalen Struktur in Deutschland und auch der manchmal unterschiedlichen Auslegungen des Datenschutzrechts bin. In der Praxis kommt es aus meiner Sicht einfach darauf an, was man aus den verschiedenen Ansichten von Datenschutzbehörden macht. Denn dies kann für Unternehmen durchaus auch positive Effekte (Stichwort: Bußgeldrisiko bei unterschiedlichen Meinungen der Aufsichtsbehörden?) haben. Als kleines lokales Unternehmen hat man andererseits immer die Möglichkeit, die Sichtweise seiner Aufsichtsbehörde zu folgen, um „Ruhe“ zu habe.

3. Weniger Datenschutzbeauftragte = besserer Datenschutz?

Aus meiner Sicht ein Evergreen der letzten Jahre. Die Regierung möchte § 38 BDSG zwar nicht mehr in Gänze streichen, nun aber (wieder einmal) die Benennungsschwelle erhöhen.

Erhöhung der Schwelle, ab der Unternehmen einen Datenschutzbeauftragten bestellen müssen von derzeit 20 Mitarbeitenden auf 50 Mitarbeitende.“

Die Regierung betreibt hier aus meiner Sicht reinen Populismus. Denn: nur, weil ein kleines Unternehmen evtl. keinen DSB mehr benennen muss, bedeutet dies ja nicht, dass es sich nicht mehr an das Datenschutzrecht halten muss. Viele betroffenen Unternehmen denken aber so. Leider. Kein DSB, dann auch keine DSGVO.

Das ist ein absoluter Trugschluss, den die Regierung aber auch mit keinem Wort aufklärt. Weniger Bürokratie? Auf dem Papier entfällt ggfs. eine Pflicht. Jene zur Benennung des DSB. Aber dennoch müssen diese kleinen Unternehmen ja immer noch voll die DSGVO einhalten. Und wir können nun gemeinsam überlegen, wie gut dies in der Praxis funktioniert, wenn es in diesen Unternehmen keine zuständige Person mehr für Fragen des Datenschutzes geben soll. Wer kümmert sich dann (wenn überhaupt noch)? Am Ende könnte gerade diese Maßnahme sogar zu noch mehr Frust bei betroffenen Unternehmen führen, wenn gegen sie z.B. eine Beschwerde eingereicht wird und sie dann merken, dass die DSGVO dennoch voll anwendbar ist.

Achso, und noch ein kleiner Nachtrag: dass nach § 38 Abs. 1 S. 2 BDSG eigentlich ohnehin viele Unternehmen, auch mit weniger als 20 oder dann 50 Mitarbeitenden, einen DSB benötigen, wird natürlich auch nicht beachtet. Denn danach muss jedes Unternehmen, unabhängig von der Mitarbeiterzahl, einen DSB benennen, wenn die Voraussetzungen zur Durchführung einer DSFA nach Art. 35 DSGVO vorliegen. Und wenn man nun die Blacklists der DSK, der Aufsichtsbehörden und auch die Kriterienkataloge des EDSA betrachtet, ist man schneller in einer DSFA-Pflicht, als man „Piep“ sagen kann.

4. Europäische Ebene

Eher als Absichtserklärung zu verstehen, sind die geplanten Maßnahmen auf europäischer Ebene.

Auf europäischer Ebene wird sich die Bundesregierung dafür einsetzen, dass a. die Anwendung und Durchsetzung der DSGVO auf europäischer Ebene mit dem Ziel der Vereinfachung harmonisiert und die Zusammenarbeit der Aufsichtsbehörden der Mitgliedstaaten (insbesondere im Europäischen Datenschutzausschuss) verbessert wird“.

Welche konkreten Maßnahmen die Regierung hier auf Ebene des EDSA im Blick, wird nicht klar. Aktuell geht die Tendenz auf europäischer Ebene aber aus meiner Sicht eher nicht Richtung „Vereinfachung“ der Zusammenarbeit der Behörden, sondern in die andere Richtung. Denn bald wird eine neue Verordnung zur Durchsetzung der DSGVO das Licht der Welt erbblicken, die Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679. Aus meiner Sicht hat diese bislang in Deutschland noch wenige Platz in der Diskussion gefunden, obwohl sie einige extrem relevante Regelungen enthält. Hier ein Blogbetrag dazu von mir.

Kundenbeschwerde wegen 1,50 EUR führt zu DSGVO-Bußgeld in Höhe von ca. 172.000 EUR – Ein Problem: Teilzeit-DSB, der seine Aufgaben nicht erfüllen konnte

Die Datenschutzbehörde aus Belgien (APD) verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 172.431 EUR, weil es das Unternehmen unter anderem versäumt hatte, die personenbezogenen Daten einer betroffenen Person im Zusammenhang mit Direktwerbung zu löschen und weil es einen Teilzeit-DSB beschäftigte, der aber überlastet war und seine Aufgaben nicht wirksam wahrnehmen konnte (hier die englische Zusammenfassung der Entscheidung bei noyb).

Hintergrund

Die betroffene Person kaufte ein Produkt von dem Verantwortlichen und entdeckte auf der Rechnung eine unerwartete Gebühr von 1,50 EUR für einen „Energiebeitrag“. Die betroffene Person bat um die Erstattung dieses Zuschlags und verlangte die Löschung aller ihrer personenbezogenen Daten. Der Verantwortliche lehnte die Erstattung der Gebühr ab, bestätigte jedoch den Eingang des Löschungsantrags und bestätigte, dass dieser umgehend bearbeitet werde.

Es kam, wie es kommen musste. Die Daten wurden zunächst nicht gelöscht. Die betroffene Person erhielt weiterhin Werbung von dem Verantwortlichen. Der Betroffene wandte sich dann mit der Bitte um Schlichtung an die belgische Datenschutzbehörde. 

Spätestens jetzt hätten bei dem Verantwortlichen wirklich alle Hebel in Bewegung gesetzt werden müssen. Aber: der Verantwortliche reagierte nicht auf Anschreiben der APD. Daraufhin legte die betroffene Person Beschwerde bei der Datenschutzbehörde ein.

Der Verantwortliche räumte im Verfahren Fehler des früheren eigenen Datenschutzbeauftragten (DSB) ein und erklärte außerdem, dass das Ausbleiben einer Antwort an die APD während der Schlichtung auf den früheren DSB zurückzuführen war und dass weder der derzeitige DSB noch die Geschäftsleitung von diesen Problemen wussten und der frühere DSB weder die Korrespondenz mit der APD oder der betroffenen Person bearbeitet noch diese Informationen intern weitergegeben hat.

Im Rahmen des Verfahrens erläuterte der Verantwortliche, dass er Initiativen ergriffen habe, um seine Reaktionsfähigkeit zu verbessern, insbesondere durch die Einstellung eines neuen DSB, der in Vollzeit mit einem Team von zwei Personen arbeitet.

Entscheidung der Datenschutzbehörde 

Die APD geht unter anderem von Verstößen gegen Art. 5 Abs. 2 und Art. 24 DSGVO aus. Insbesondere kritisiert die Behörde, dass der frühere Teilzeit-DSB nicht die erforderliche Zeit und Ressourcen zur Verfügung hatte, um seinen Tätigkeiten nachzukommen. 

Die APD weist ganz generell darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss, um sicherzustellen, dass er in der Lage ist, nachzuweisen, dass die Verarbeitung im Einklang mit der DSGVO durchgeführt wird. Die Unfähigkeit des Verantwortlichen im vorliegenden Fall, die tatsächliche Löschung der Daten der betroffenen Person zu überprüfen oder schlüssig zu bestätigen, ließen Zweifel an der Wirksamkeit der bestehenden technischen und organisatorischen Maßnahmen aufkommen.

Als Verstoß gegen Art. 5 Abs. 1und Art. 24 DSGVO sah die Behörde auch die Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren. Nach Ansicht der APD verdeutlichte dies das Versäumnis, Maßnahmen zur Gewährleistung der Einhaltung der DSGVO entsprechend Art. 5 und 24 DSGVO zu ergreifen.

Zudem verweist die Behörde auch auf die Anforderungen des Art. 38 Abs. 2 DSGVO hinsichtlich der Aufgaben des internen Datenschutzbeauftragten. Der Verantwortliche muss den DSB unterstützen, indem er ihm die zur Erfüllung seiner Aufgaben erforderlichen Mittel zur Verfügung stellt und hierbei muss er folgende Faktoren berücksichtigen.

  • der DSB muss gegebenenfalls in alle datenschutzrelevanten Angelegenheiten einbezogen werden
  • der Verantwortliche muss dem DSB ausreichend Zeit für die Wahrnehmung seiner Aufgaben zur Verfügung stellen
  • der Verantwortliche muss die Bestellung des DSB allen Mitarbeitern mitteilen, um sicherzustellen, dass seine Rolle innerhalb der Organisation weithin bekannt ist
  • der Verantwortliche muss für laufende Schulungen sorgen, um die Kenntnisse des DSB auf dem neuesten Stand zu halten.

Einen Verstoß gegen diese Vorgaben sah die Behörde unter anderem in der Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren.