Category Archives: Datenschutzbehörde

Urteil: DSGVO-Rechenschaftspflicht entbindet Aufsichtsbehörde nicht von eigener Prüfung und Sachverhaltsermittlung

Posted on by

Eine Neuerung der DSGVO ist die bekannte Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO, obwohl man auch ehrlich zugeben muss, dass niemand so genau weiß, wie diese in der Praxis konkret umzusetzen ist. Möglich ist sicher eine umfassende Dokumentation und die Einführung eines Datenschutz-Managements. Die Vorschrift selbst lässt aber großen Spielraum für andere Spielarten des Nachweises.

Zuweilen wird auch darüber diskutiert, ob denn mit der Rechenschaftspflicht eine Art Beweislastumkehr für Verantwortliche einhergeht. Dass diese also nachweisen müssten, dass keine Verletzung der DSGVO vorliegt. Insbesondere aus Behördensicht wäre eine solche Auslegung des Art. 5 Abs. 2 DSGVO natürlich immens vorteilhaft, da die Aufsichtsbehörde „nur“ die Nachweise anfordern müsste, aus denen die DSGVO-Compliance hervorgehen müsste.

In einem Urteil aus Dezember 2020 hat sich das Verwaltungsgericht Mainz (Urt. v. 17.12.2020, 1 K 778/19.MZ) zumindest kurz mit dieser Frage beschäftigt und eine für datenverarbeitende Unternehmen eher positive Position eingenommen. Das Urteil wurde in der Datenschutz-Community v.a. wegen des materiellen Kerns des Rechtsstreits, nämlich zur Frage einer Verschlüsselungspflicht bei E-Mails, diskutiert. Ich möchte hier aber auf den, meines Erachtens wirklich sehr relevanten Aspekt des Umfangs der Rechenschaftspflicht und eine daneben weiter existierende Ermittlungspflicht der Datenschutzbehörden eingehen.  

In dem Verfahren erteilte die Datenschutzbehörde Rheinland-Pfalz dem Kläger eine Verwarnung, weil dieser personenbezogene Daten ohne ein dem Risiko angemessenes Schutzniveau verarbeitet habe. Zur Begründung führte die Behörde aus, dass ein Verstoß gegen Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO vorliege. Der Versand per unverschlüsselter E-Mail biete keine ausreichende Sicherheit für Nachrichten, die sensible Informationen enthielten.

Hiergegen klagte der betroffene Rechtsanwalt und das Gericht hob den Bescheid der Datenschutzbehörde auf.

Das VG stellt fest, dass nicht davon auszugehen gewesen sei, dass es sich jedenfalls um derart schutzbedürftige Datenverarbeitungsvorgänge handelte, bei denen für die tatsächlich erfolgte Art der Versendung im Einzelfall kein angemessenes Schutzniveau gewährleistet war.

Und nun eine erste interessante Aussage: „Allein die pauschale subjektive Einschätzung des Beklagten im Bescheid vom 14. August 2019, dass es sich um „sensible“ Informationen handle, kann hier nicht den seinerseits angenommenen erhöhten Schutzbedarf rechtfertigen“.

Bedeutet: nur weil die Behörde davon ausgeht, dass es sich um besonders schützenswerte Daten handelt, muss dies objektiv betrachtet nicht wirklich so sein. Dies bezog sich hier konkret auf die Sensibilität von Daten (und das erforderliche Schutzniveau), kann aber meines Erachtens auch für andere Tatbestandsmerkmal in der DSGVO angewendet werden.

Das VG sieht durchaus, dass es die Rechenschaftspflicht gibt. So ist der Kläger gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung der Voraussetzungen des Art. 32 Abs. 1 DSGVO nachweispflichtig. Und dann kommt die zweite wichtige Aussage:

allerdings entbindet dies die beklagte Aufsichtsbehörde nicht davon, ihre Auffassung – auf Grundlage der (nachgewiesenen) Angaben des Verantwortlichen und sonstiger Ermittlungen – nachvollziehbar darzulegen, warum im Einzelfall das angemessene Schutzniveau durch die entsprechenden Maßnahmen nicht gewahrt war. Es hätte zudem für den Beklagten im Rahmen der Amtsermittlung naheliegen müssen, das entsprechende Schreiben des Klägers schon im Verwaltungsverfahren anzufordern“.

Das Gericht stellt zum einen fest, dass allein die Rechenschaftspflicht nicht dazu führt, dass die Behörde auf eigene Ermittlungen verzichten darf, um ihre rechtliche Position nachvollziehbar begründen zu können. Dies bedeutet, dass mithin Nachweise aus der Rechenschaftspflicht natürlich verwendet werden können. Dennoch aber auch eigene Ermittlungen bzw. Gründe für die Behördenansicht darzulegen sind.

Und zum anderen verweist das Gericht auf den verwaltungsrechtlichen Amtsermittlungsgrundsatz, der ebenfalls unabhängig von der Rechenschaftspflicht besteht.

Insgesamt also aus Sicht der datenverarbeitenden Unternehmen eine interessante Entscheidung, die im Grunde zeigt, dass Behördenansichten erst einmal auch „nur“ Ansichten sind, die aber auch nachvollziehbar begründet werden müssen. Für verwaltungsrechtliche Auseinandersetzungen ist dies einer von mehreren wichtigen Aspekten, auf die Unternehmen bei einer Verteidigung achten sollten.

Französische Datenschutzbehörde: Rechtliche Anforderungen beim Einsatz von Chatbots

Posted on by

Die französische Datenschutzbehörde (CNIL) hat auf ihrer Webseite Hinweise zum datenschutzkonformen Einsatz von Chatbots auf Webseiten oder in Apps veröffentlicht (Französisch).

Die Ansichten und Vorgaben der CNIL, finde ich erfreulich pragmatisch und gut umsetzbar. Nachfolgend eine kleine Zusammenfassung auf Grund einer inoffiziellen Übersetzung.

Einsatz von Cookies

Um einen Chatbot auf einer Webseite zu betreiben, werden häufig Cookies eingesetzt. Sei es, um den Chat seitenübergreifend anzeigen oder den Chatverlauf auch im Nachgang speichern zu können. Wie wir wissen, gelten bei dem Einsatz von Cookies per se die Vorgaben der RL 2002/58/EG, also Art. 5 Abs. 3. Soweit nachgelagert mit personenbezogenen Daten umgegangen wird, dürfte die DSGVO zu beachten sein.

Die CNIL verlangt für den Einsatz von Cookies bei dem Einsatz von Chatbots (meines Erachtens zurecht) nicht immer eine Einwilligung. Wenn Cookies vor Aktivierung durch den Besucher bzw. Nutzer gesetzt werden sollen, ist eine Einwilligung erforderlich.

Wenn aber das Cookie erst abgelegt wird, wenn der Benutzer den Chatbot aktiviert (z. B. durch Anklicken des zuvor angezeigten Konversationsfensters oder durch Anklicken einer Schaltfläche, die explizit das Öffnen des Chatbots auslöst), ist keine Einwilligung erforderlich. Denn dann greift die Ausnahme nach Art. 5 Abs. 3 S. 2 RL 2002/58/EG. Die Speicherung des Cookies ist dann „für die Bereitstellung eines Online-Kommunikationsdienstes auf ausdrücklichen Wunsch des Nutzers unbedingt erforderlich“ und bedarf nicht der Einwilligung.

Wie lange können die über den Chatbot gesammelten Daten aufbewahrt werden?

Im Grundsatz gilt, wie immer: die Daten müssen/dürfen so lange aufbewahrt werden, wie es für die Erreichung des festgelegten Zwecks der Verarbeitung erforderlich ist.

Die CNIL schlägt eine Differenzierung vor:

  • solche Fälle, in denen die Daten gelöscht werden sollten, sobald die Konversation beendet ist (wie im Fall eines Chatbots, der bei dem Abschluss eines Kaufvertrages unterstützt)
  • und Fälle, in denen der für die Datenverarbeitung Verantwortliche die Daten legitimerweise für einen längeren Zeitraum aufbewahren kann (z. B. für eine Reklamation über ein gekauftes Produkt, also z.B. für die Dauer der Gewährleistungsfristen).

Was tun bei der Erfassung sensibler Daten (z.B. Gesundheitsdaten)?

Sehr interessant ist die Ansicht der CNIL zu der Situation, wenn der Verantwortliche über den Chatbot besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) „aufgedrängt“ erhält, obwohl er diese gar nicht angefragt hat. Meines Erachtens kann die Auffassung der CNIL auch abstrahiert auf andere Fälle Anwendung finden (Bsp: Bewerbungsverfahren).

Sollten besondere Kategorien von Daten durch den Nutzer in dem Chatbot eingegeben werden, sind nach Ansicht der CNIL die Ausnahmevorschriften nach Art. 9 Abs. 2 DSGVO zu beachten. Wenn es um aktiv angefragte Daten geht (z. B. mit dem Chatbot eines Dienstes zur Unterstützung sexueller oder gesundheitsbezogener Minderheiten), kann etwa eine Einwilligung eingeholt werden oder die Verarbeitung darf auf Grundlage der Ausnahme nach Art. 9 Abs. 2 lit. g DSGVO erfolgen, wenn die Verarbeitung aus einem wichtigen Grund des öffentlichen Interesses erforderlich ist.

Sollte der Verantwortliche die sensiblen Daten jedoch nicht angefragt haben, so geht die CNIL davon aus, dass Verantwortliche nicht verpflichtet sind, die vorherige Einwilligung der Benutzer einzuholen. Eine aus meiner Sicht richtige Auffassung. Gleichzeitig verlangt die CNIL dann, dass der Verantwortliche aber intern Maßnahmen umsetzen muss, um die Risiken für die Rechte und Freiheiten des Einzelnen zu minimieren:

  • indem vor jeder Nutzung des Chatbots eine Warnung/Information angezeigt wird, die dazu auffordert, von der Kommunikation sensibler Daten abzusehen;
  • durch Einrichtung eines internen Systems zur sofortigen oder zumindest regelmäßigen Löschung, da die Aufbewahrung solcher sensiblen Daten nicht erforderlich ist.

Beide von der CNIL angedachten Maßnahmen halte ich für nachvollziehbar und praktisch auch gut umsetzbar.

Drittstaatentransfers: Deutsche Behörden planen Begutachtung der Rechtslage in den USA und Stichprobenprüfung bei Unternehmen

Posted on by

Kürzlich wurde das Protokoll der 100. Sitzung der DSK im Internet veröffentlicht (pdf).

Neben anderen praxisrelevanten Themen haben sich die deutschen Datenschutzbehörden in ihrer Sitzung Ende November 2020 auch mit Umsetzung der Vorgaben des EuGH aus dem Schrems —Urteil befasst (siehe Top 22).

So hat die Behörde aus Berlin vorgeschlagen, „hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen“. Wichtig ist der Behörde ein gemeinsames Vorgehen der Aufsichtsbehörden zur Umsetzung des Urteils. Laut dem Protokoll soll nun der DSK-Vorsitz ein Umlaufverfahren hinsichtlich der Beauftragung eines Gutachtens sowie dessen Finanzierung einzuleiten.

Die Initiative aus Berlin ist meines Erachtens durchaus praxisrelevant. Zum Teil wird ja sowohl dem EuGH als auch den Aufsichtsbehörden vorgehalten, sich nicht genauer mit der Rechtslage in den USA befasst zu haben. Dieses Argument kann auch bei der rechtlichen Beurteilung von Schutzmaßnahmen, die man ergänzend zu EU-Standarddatenschutzklauseln vereinbart, Bedeutung haben. Denn der Exporteur in der EU soll ja nach dem Urteil des EuGH (mit Unterstützung des Importeurs) beurteilen, wie sich die Rechtslage in dem jeweiligen Drittland in Bezug auf den Importeur und durch diesen verarbeitete Daten auswirkt.

Eventuell ist nun von Behördenseite angedacht, diese „Lücke“ zu schließen und, zumindest auf Behördenseite, eine Begutachtung der Rechtslage in den USA stets verfügbar zu haben. Für Unternehmen, die sich z.B. in einem Prüfverfahren mit der Behörde befinden, kann dies etwa auch dazu führen, dass sie sich gegen Aussagen aus dem Gutachten verteidigen bzw. diese entkräften müssen, wenn die Aufsichtsbehörde das Gutachten zur Grundlage ihrer Argumentation macht.

Wie beschrieben, soll aber nun erst einmal innerhalb der DSK abgefragt werden, ob die Behörden ein solches Gutachten in Auftrag geben möchten.  

In diesem Zusammenhang enthält das Protokoll einen weiteren wichtigen Hinweis: die Datenschutzbehörde aus Hamburg ergänzt in der Sitzung, „dass Stichproben mit Hilfe eines abgestimmten Fragebogens hinsichtlich der Umsetzung des Schrems II-Urteil bei Verantwortlichen durchgeführt werden sollen“. Die Aufsichtsbehörden solle einzeln über eine Teilnahme an dieser Abfrage entscheiden.

Nach meiner Kenntnis, liegt ein innerhalb der DSK abgestimmter Fragebogen zur Prüfung von Drittstaatentransfers aktuell noch nicht vor. Dies schließt freilich nicht aus, dass etwa die Behörde aus Hamburg, wie im Protokoll angekündigt, auch selbstständig entsprechende Prüfungen startet. Letzte Anmerkung dazu: die Prüfung soll bei „Verantwortlichen“ durchgeführt werden. Also wohl nicht bei Dienstleistern mit Sitz in der EU, die Daten in Drittländer übermitteln.  

Kein Prozess zur regelmäßigen Prüfung von Sicherheitsmaßnahmen: 460.000 EUR Bußgeld

Posted on by

Die polnische Datenschutzbehörde (UODO) hat ein durchaus beachtliches Bußgeld gegen ein Unternehmen verhängt, welches nach Ansicht der UODO gegen den Datenschutzgrundsatz der Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verstoßen hatte.

Insgesamt wurde ein Bußgeld in Höhe von 460.000 EUR verhängt. Konkret beanstandet die Behörde, dass das Unternehmen keine ausreichenden technischen und vor allem organisatorische Maßnahmen zum Schutz personenbezogener Daten umgesetzt hatte. Bemängelt wurde insbesondere ein unzureichender Prozess der Prüfung und ggfs. Anpassung bereits vorhandener Schutzmaßnahmen.

Nach Art. 5 Abs. 1 lit. f DSGVO dürfen personenbezogene Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Die Einhaltung dieses Grundsatzes muss der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Zudem möchte ich auch noch auf die allgemein gültige Vorgabe des Art. 24 Abs. 1 DSGVO hinweisen (auch wenn ein Verstoß gegen Art. 24 DSGVO selbst nicht bußgeldbewährt ist), die in andere Vorschriften ausstrahlen. Danach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Und wichtig: „Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert“.

Genau dieser Aspekt wurde von der UODO moniert.

Nach den Schilderungen in der Mitteilung wurden von dem Unternehmen keine Tests durchgeführt, um die Sicherheitsmaßnahmen in Bezug auf die Übertragung von Daten zwischen Anwendungen, die mit der Betreuung von Käufern von Prepaid-Diensten zusammenhängen, zu überprüfen. Darüber hinaus wurde die mit dem Datenaustausch in diesen Systemen verbundene Schwachstelle von einer unbefugten Person genutzt, um Daten von einigen Kunden des Unternehmens abzuziehen.

Zudem führte das Unternehmen keine regelmäßigen und umfassenden Tests und Bewertungen der Effektivität der angewandten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der verarbeiteten Daten durch. Diesbezügliche Aktivitäten wurden nur bei Verdacht auf eine Schwachstelle oder im Zusammenhang mit organisatorischen Änderungen durchgeführt.

Diese organisatorische Ausgestaltung des Prüfprozesses der Sicherheitsmaßnahmen bewertete die Behörde als ungenügend. Der Vorwurf der Behörde richtet sich hier also vor allem auf eine ungenügende organisatorische Ausgestaltung des Datenschutzmanagement.

Für Unternehmen ergeben sich aus den oben genannten Vorschriften also nicht nur einmalige Pflichten zur Umsetzung von Sicherheitsmaßnahmen. Erforderlich ist auch die Einführung und Umsetzung eines Prozesses zur regelmäßigen Validierung der Maßnahmen. Dieser Prozess darf zudem nicht nur dann in Gang gesetzt werden, wenn „etwas passiert“, sondern muss regelmäßig erfolgen.

DSGVO-Bußgeld ohne Sachverhaltsermittlung?

Posted on by

Heute hat die Niedersächsische Datenschutzbehörde bekannt gegeben, dass sie ein Bußgeld in Höhe von über 10 Mio Euro gegen die notebooksbilliger.de AG verhängt hat. Inhaltlich soll es um eine länger andauernde Videoüberwachung von Mitarbeitern gehen, die nach Ansicht der Behörde unzulässig erfolgte.

Das Unternehmen hat sich ebenfalls öffentlich zu dem Bußgeld geäußert und wird gegen den Bescheid vorgehen.

Ich möchte mich hier zu diesem konkreten Verfahren gar nicht äußern. Wir werden (sollte die LfD den Bescheid nicht aufheben) wohl sicher noch eine gerichtliche Entscheidung in dieser Sache erleben.

Auf welchen praxisrelevanten Aspekt ich hinweisen möchte, ist der Vorwurf von notebooksbilliger.de an die LfD, dass die Behörde nicht selbst vor Ort war und die Kamerasysteme in Augenschein genommen hat. Auf der Webseite des Unternehmens heißt es:

Zu keinem Zeitpunkt war das Videosystem darauf ausgerichtet, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Das von der Datenschutzbeauftragten suggerierte Klima der Furcht ist eine haltlose Unterstellung und gefährdet unseren Ruf.

Außerdem hat trotz mehrmaliger Einladung durch NBB kein Mitarbeiter der Behörde in den Lagern oder Versandzentren des Unternehmens mit Mitarbeitern gesprochen. Es wurde sich also weder ein Bild von den Kameras gemacht noch über Arbeitsprozesse und die Unternehmenskultur informiert“.

Untersuchungsgrundsatz nach VwVfG

Im Kern steht hier also der Vorwurf im Raum, dass die Aufsichtsbehörde ihre Pflicht zu Ermittlung des entscheidungserheblichen Sachverhalts (Untersuchungsgrundsatz, § 24 VwVfG) verletzt hat. Diese verwaltungsrechtliche Anforderung entstammt nicht dem Datenschutzrecht, aber ist selbstverständlich von den Datenschutzbehörden zu beachten. Daher ist dieser Aspekt (des möglicherweise anstehenden gerichtlichen Verfahrens) auch generell für Unternehmen von Bedeutung, wenn sie sich einer Untersuchung durch Datenschutzbehörden ausgesetzt sehen.

Es wird davon ausgegangen, dass die Ermittlung des entscheidungserheblichen Sachverhalts eine originäre Pflicht der zuständigen Behörde ist. Hierzu kann sie sich auch der Hilfe Dritter bedienen.

Speziell datenschutzrechtlich sieht die DSGVO eine Befugnis der Datenschutzbehörden vor, die mit der Pflicht zur Sachverhaltsermittlung korreliert. Nach Art. 58 Abs. 1 lit. f DSGVO ist die Datenschutzbehörde etwa befugt, nach dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. Diese Befugnis dient gerade dazu, eine Prüfung der Einhaltung der DSGVO vornehmen zu können.

Folge bei unterbliebener Ermittlung

Der Vorwurf des Unternehmens lautet hier, dass die Behörde nicht vor Ort war, um die Kameraanlage zu prüfen. Nun könnte man evtl. argumentieren, dass eine Inaugenscheinnahme nicht zwingend erforderlich ist, wenn man stattdessen Kamerapläne und weitere Beschreibungen oder Fotos erhält. Gerade bei dem Einsatz von Kameras erscheint meines Erachtens aber der persönliche Eindruck vor Ort durchaus von Relevanz zu sein. Nicht umsonst gibt es ja viele Urteile, die allein die Wirkung von Kameraattrappen ausreichen lassen, um eine Verletzung von Persönlichkeitsrechten anzunehmen.

Geht man davon aus, dass die Behörde den Untersuchungsgrundsatz aus § 24 VwVfG verletzt hat, muss man auf der Rechtsfolgenseite trennen.

Per se ist die mangelhafte Sachverhaltsermittlung nicht selbstständig anfechtbar, sondern nur bei einem Vorgehen gegen die Sachentscheidung (§ 44a VwGO).

Bei fehlender oder mangelhafter Aufklärung des Sachverhalts liegt ein Verfahrensfehler in Bezug auf den jeweiligen Verwaltungsakt vor, der aber „nur“ zu einer formellen Rechtswidrigkeit führt. Eine Aufhebung kommt dann nur unter den gesteigerten Voraussetzungen des § 46 VwVfG in Betracht.

Aber, und dies ist für die materielle Rechtmäßigkeit der Entscheidung relevant: wenn der Sachverhalt mangelhaft ermittelt ist, kann sich dies bei einer Ermessensentscheidung auf die materielle Rechtmäßigkeit des Verwaltungsaktes auswirken. Aber: ein Ermessensfehler liegt grunsätzlich erst dann vor, wenn die Behörde tatsächlich vorhandene entscheidungserhebliche Gesichtspunkte außer acht gelassen oder falsch gewichtet hat.

Eine Entscheidung aus dem Datenschutzrecht (wenn auch noch zum BDSF aF) gibt es zu diesem Thema etwa vom VG Gelsenkirchen (Beschl. v. 14.10.2013 – 17 L 304/13). Dort wurde (im Eilverfahren) gegen einen Bescheid der Datenschutzbehörde NRW vorgegangen. Aus der Begründung des Gerichts:

Es ist anerkannt, dass die rechtsfehlerfreie Ermessensausübung als Grundlage einer Entscheidung die zutreffende und vollständige Sachverhaltsermittlung voraussetzt. Denn die Verwaltung kann ihren Entscheidungsfreiraum nur sachgerecht nutzen, wenn sie den wesentlichen Sachverhalt kennt“.

Und weiter:
Ermessensfehlerhaft sind daher Entscheidungen, wenn die Behörde von unzutreffenden tatsächlichen Voraussetzungen oder einer unvollständigen Sachverhaltsvorstellung ausgeht“.

In diesem Verfahren gab das Gericht dem Antragsteller recht und erkannte den Bescheid der Datenschutzbehörde bei summarischer Prüfung als materiell rechtswidrig an. Wegen Verstoßes gegen § 24 VwVfG und dessen Auswirkung auf die Ermessenentscheidung der Behörde.

Gemessen hieran begründen bereits die vorstehend angeführten Unklarheiten hinsichtlich des rechtlich relevanten Sachverhalts die Ermessensfehlerhaftigkeit des angefochtenen Bescheides“.

Auch die Verhängung eines Bußgeldes nach Art. 59 Abs. 2 lit. i, 83 DSGVO steht im Ermessen der Datenschutzbehörde (vgl. etwa VG Ansbach, Urt. v. 16.3.2020 – AN 14 K 19.00464).

Fazit

Sollte sich in einem gerichtlichen Verfahren wirklich herausstellen, dass hier der Untersuchungsgrundsatz nicht beachtet wurde, bestehen also durchaus Chancen dafür, dass der Bescheid der Behörde wegen Ermessensfehlerhaftigkeit aufgehoben wird. Unternehmen sollten diesen, zunächst evtl. rein förmlich anmutenden Aspekt, daher stets im Rahmen von behördlichen Verfahren beachten.  

Sächsische Datenschutzbehörde: keine Möglichkeit der Rechtsdurchsetzung gegenüber allein in Drittländern ansässigen Unternehmen

Posted on by

Am 22.12.2020 hat der Landesdatenschutzbeauftragte für Sachsen seinen neuesten Tätigkeitsbericht veröffentlicht (Berichtsjahr bis 31.12.2019, PDF). In einem kurzen Absatz erwähnt die Datenschutzbehörde dort auch ein praxisrelevantes und für die Durchsetzung der DSGVO seit Beginn der Arbeiten an dem Gesetz bekanntes Problem: die Durchsetzung der DSGVO gegenüber Unternehmen in Drittländern (S. 109).

Bekanntlich unterliegen sowohl Verantwortliche als auch Auftragsverarbeiter mit Sitz in Drittländern und ohne (!) Niederlassung in der EU unter gewissen Voraussetzungen der DSGVO. Meiner Meinung nach ist vielen Unternehmen, die aus Drittländern Dienstleistungen in der EU anbieten, überhaupt nicht bewusst, dass auch für sie die Regelungen der DSGVO gelten.

Die sächsische Behörde berichtet, dass bei ihr zahlreiche Beschwerden gegen Unternehmen mit Sitz außerhalb der Europäischen Union eingingen. Zwar sieht die DSGVO in einem solchen Fall, wenn also keine Niederlassung in der EU besteht, die Pflicht nach Art. 27 DSGVO vor, einen Vertreter in der EU zu benennen. Doch, ketzerisch gefragt, was passiert, wenn auch diese Pflicht nicht eingehalten wird? Wohl nichts, wie nun die Angaben der Behörde aus Sachsen zeigen.

Genau diese Miesere schildert die Behörde nämlich. Im Grunde gibt es in einer solchen Situation keine wirksame Durchsetzungsmöglichkeit europäischen Datenschutzrechts.

Soweit die Verantwortlichen kein Vertreter nach Artikel 27 DSGVO benannt haben, stellt sich die Einwirkung auf den Verantwortlichen in seiner Umsetzung als praktisch schwierig dar.“

Zwar merkt die Behörde an, dass soweit Maßnahmen gegenüber diesen Verantwortlichen ergriffen werden sollen, zwar eventuell ein Amtshilfeverfahren und ein Procedere auf dem diplomatischen Weg über die Außenvertretungen der Bundesrepublik Deutschland einzuleiten wäre.

Jedoch scheint dieser Weg für die Behörde praktisch nicht gangbar zu sein. Daher fasst die Datenschutzbehörde ihr derzeitiges Vorgehen wie folgt zusammen:

Aktuell teile ich den Beschwerdeführern mit, dass ich – in Ermangelung zwischenstaatlicher Vereinbarungen – keine Möglichkeiten sehe, meine Rechtspositionen bzw. Anordnungen durchzusetzen“.

Dieses Ergebnis ist meines Erachtens durchaus ernüchternd. Offenbart hier eine Behörde doch ungeschönt, dass sie keine Möglichkeit sieht, das europäische Recht (obwohl anwendbar) durchzusetzen. Meines Erachtens darf man in diesen Situationen aber nicht den Aufsichtsbehörden einen Vorwurf machen. Dieser Fehler einer effektiven Durchsetzung war von Angang an systematisch in der DSGVO angelegt und hängt natürlich eng mit dem (intendierten) sehr weiten räumlichen Anwendungsbereich der Verordnung zusammen.

Datenschutzbeauftragter als Unternehmensvertreter im Verwaltungsverfahren?

Posted on by

Die Stellung und Aufgaben des Datenschutzbeauftragten (DSB) sind ja bekanntlich in Artt. 38, 39 DSGVO festgelegt. Hierbei fokussiert sich das Gesetz natürlich auf datenschutzspezifische Themen, wie etwa die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter zu beraten oder auch als Anlaufstelle für die Datenschutzbehörde zu agieren.

Eine Rolle als Vertreter des Verantwortlichen oder Auftragsverarbeiters nach außen, insbesondere prozessual, ist dem DSB in der DSGVO eigentlich nicht angedacht. Zumindest wird hierauf nicht eingegangen und eigentlich mag man sogar davon ausgehen, dass der DSB eine solche Vertretung gegenüber Aufsichtsbehörden wegen seiner unabhängigen Stellung (Art. 38 Abs. 3 DSGVO) nicht einnimmt.

In diesem Zusammenhang bin ich bei der Analyse der aktuellen Entscheidung des EDSA in dem Verfahren der irischen Aufsichtsbehörde gegen Twitter auf einen sehr interessanten und meines Erachtens hoch praxisrelevanten Aspekt gestoßen.  Die Entscheidung des EDSA ist hier abrufbar und auch ansonsten lesenswert, handelt es sich doch auch um die erste bindende Entscheidung des EDSA in einem Streitbeilegungsverfahren nach Art. 65 DSGVO.

In der Beschreibung des Sachverhalts wird dort auch auf die Frage eingegangen, ob denn Twitter im Rahmen des durch die irische Datenschutzbehörde durchgeführten Verwaltungsverfahrens und der darauf folgenden Einleitung des Verfahrens nach Art. 65 DSGVO beim EDSA zuvor ordentlich angehört und beteiligt wurde. Achtung, es geht hier nicht um die Involvierung des DSB von Twitter an sich, sondern des Unternehmens in dem Verwaltungsverfahren selbst. Das Sekretariat des EDSA fragte hierzu bei der irischen Behörde an:


On 4 September 2020, the Secretariat contacted the IE SA with additional questions in order to confirm whether TIC has been given the opportunity to exercise its‘ right to be heard regarding all the documents that were submitted to the Board for making its decision. On 8 September 2020, the IE SA confirmed that it was the case and provided the documents to prove it”.

Die “IE SA” ist die irische Behörde. „TIC“ ist die Abkürzung für Twitter.

Das EDSA Sekretariat verweist zuvor als Begründung auf Art. 41 Abs. 2 lit. a der Charta der Grundrechte der Europäischen Union. Danach hat jede Person das Recht, gehört zu werden, bevor ihr gegenüber eine für sie nachteilige individuelle Maßnahme getroffen wird. In der Rechtsprechung des EuGH wird stets die Bedeutung des Rechts auf Anhörung und seinen sehr weiten Geltungsumfang in der Unionsrechtsordnung bekräftigt. Das Recht auf Anhörung garantiert jeder Person die Möglichkeit, im Verwaltungsverfahren, bevor ihr gegenüber eine für ihre Interessen nachteilige Entscheidung erlassen wird, sachdienlich und wirksam ihren Standpunkt vorzutragen (EuGH, Urt. v. 22.11.2012 – C-277/11).

Die irische Datenschutzbehörde hat nach den obigen Ausführungen in der Entscheidung Dokumente an den EDSA geleitet, aus denen sich ergibt, dass das Unternehmen in dem Verwaltungsverfahren ordentlich angehört wurde. Hierzu verweist der Beschluss des EDSA in Fußnote 13 auf folgende Information:
Amongst the documents sent by IE SA, there were emails from the Global DPO acknowledging receipt of the relevant documents”.

Der DSB von Twitter hat in dem Verfahren relevante Dokumente von der Behörde erhalten und deren Erhalt auch per E-Mail bestätigt.

Das bedeutet, dass der EDSA anscheinend für eine Anhörung in einem Verwaltungsverfahren auch die Kommunikation mit bzw. Adressierung des DSB, quasi als Vertreter des Unternehmens im Verwaltungsverfahren, als ausreichend ansieht.

In Deutschland kennen wir dieses Recht aus § 28 VwVfG. Danach sind es „Verfahrensbeteiligte“ iSv § 13 Abs. 1 und Abs. 2 bzw. deren Vertreter oder Bevollmächtigte (§ 14 VwVfG), denen das Recht auf Anhörung zusteht. Den DSB an sich würde man bei uns wohl nicht als Verfahrensbeteiligten oder Bevollmächtigten ansehen. Zumindest nicht ohne entsprechende Bevollmächtigung und von Sonderkonstellationen einer Anscheins- oder Duldungsvollmacht abgesehen. Würde sich die Ansicht des EDSA (basierend auf der Auslegung europäischen Rechts) durchsetzen, würde dies in der Praxis für Unternehmen bedeuten, dass eine Kommunikation mit der Aufsichtsbehörde intern auf jeden Fall klar strukturiert erfolgen muss. Denn im schlimmsten Fall haben interne Abteilungen wie Legal oder Compliance keine Kenntnis von der Kommunikation mit der Behörde, diese würde aber von einer ordentlichen Anhördung des Unternehmens ausgehen. Klingt für mich insgesamt auch nach einer spannenden Frage zum Verhältnis zwischen DSGVO (bzw. der Charta) und nationalem Verfahrensrecht.

Vereinheitlichung der Datenschutzaufsicht – Keine finale Entscheidung der Wirtschaftsminister

Posted on by

Auf ihrer Sitzung am 30.11.hat sich die Wirtschaftsministerkonferenz bekanntlich auch mit dem Thema der Zentralisierung der deutschen Datenschutzaufsicht befasst. Ein Beschluss auf die Frage, ob eine solche Zentralisierung umgesetzt werden sollte, wurde jedoch nicht gefasst. Jedoch regen die Wirtschaftsminister eine nähere Untersuchung der aktuellen Regelungen und Prüfung auf Verbesserungen an (Beschluss vom 30.11.2020, Punkt 8.3., pdf).

Die Wirtschaftsminister stellen heraus, dass sie die Notwendigkeit einer einheitlichen und verbindlichen Auslegung von datenschutzrechtlichen Anforderungen und Vollzugspraxis erkennen. Ich denke, dass diese Feststellung sowohl von Gegnern und Befürwortern einer Zentralisierung geteilt wird. Die Frage wird am Ende sein, wie man zu diesem Ziel gelangt? Über eine Zentralisierung bei einer Behörde oder zB über eine klarere Verrechtlichung der Zusammenarbeit der deutschen Behörden untereinander (etwa in der DSK).

Die Wirtschaftsministerkonferenz bittet die Bundesregierung,

gemeinsam mit den Ländern und den  Datenschutzaufsichtsbehörden die bestehenden Regelungen in §§ 17ff. BDSG auf praktische Durchführbarkeit, sowie die für eine Verbesserung der Zusammenarbeit der Datenschutzaufsicht erforderlichen Gesetzesänderungen zu prüfen und der Wirtschaftsministerkonferenz hierüber zu berichten“.

Für mich liest sich dieser Beschluss nicht so sehr pro Zentralisierung, sondern eher offen für eine Anpassung der gesetzlichen Rahmenbedingungen, um die einheitliche Anwendung des Datenschutzrechts in Deutschland zu ermöglichen.

Zudem bittet die Wirtschaftsministerkonferenz um Beratung mit der Innenministerkonferenz  und auch der Datenschutzkonferenz

über eine Stärkung der Zusammenarbeit der Datenschutzaufsichtsbehörden von Bund und Ländern mit dem Ziel einer Vereinheitlichung der Auslegung und Anwendung des Datenschutzrechts im Markt“.

Auch dieser Teil des Beschlusses spricht eher gegen eine Zentralisierung bei einer einzigen Behörde. Zumindest scheint diese aktuell nicht die bevorzugte Lösung zu sein. Der Beschluss spricht schließlich ausdrücklich von einer „Stärkung der Zusammenarbeit der Datenschutzaufsichtsbehörden“. Einer solchen Stärkung bedürfte es bei der Zusammenlegung zu einer einzigen Aufsichtsbehörde jedoch nicht.

Man wird nun abwarten müssen, ob und wann die Bundesregierung der Bitte der Wirtschaftsministerkonferenz nachkommt und ggfs. sogar Vorschläge für eine einheitliche und verbindliche Auslegung des Datenschutzrecht und der Vollzugspraxis macht.

Datenschutzbehörde Niedersachsen: Hinweise zu Einwilligungen für Cookies und Consent Management Tools

Posted on by

Die Datenschutzbehörde Niedersachsen hat am 25.11.2020 „Hinweise zu datenschutzkonfomen Einwilligungen auf Webseiten und zu Anforderungen an Consent-Layer“ (PDF) auf ihrer Webseite veröffentlicht. Die Hinweise geben einen guten und praktischen Überblick, was aus Unternehmenssicht bei dem Einsatz von Cookies und auch der Auswahl eines Consent Management Tools zu beachten ist. Zum Teil sind die Empfehlungen tatsächlich eher wirtschaftsfreundlich, jedoch finden sich in den Hinweisen auch einige meiner Ansicht nach rechtlich diskutable Punkte.

Die Hinweise starten mit der Feststellung, dass „sowohl für die Verwendung von Cookies als auch generell für die Einbindung von Drittdienst-leistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste)“ eine datenschutzrechtliche Einwilligung der Seitennutzerinnen und -nutzer erforderlich sei. In dieser Pauschalität ist diese Aussage jedoch nicht richtig. Natürlich gibt es auch Cookies, für deren Einsatz gerade keine Einwilligung eingeholt werden muss. Beispiele hierfür finden sich etwa im Working Paper 194 der ehemaligen Art. 29 Datenschutzgruppe, welches sich allein mit den Ausnahmen vom Einwilligungserfordernis befasst.

„Werbeversprechen“ von Consent-Tools

Meines Erachtens zurecht weist die Behörde darauf hin, dass sich Unternehmen nicht blind auf Aussagen von Anbietern von Consent Management Tools verlassen dürfen. Also etwa, dass mit deren Einsatz per se DSGVO-konforme Einwilligungen eingeholt werden. Meiner Erfahrung nach können dieses Tools sehrwohl als Werkzeug dienen, um solche Einwilligung einzuholen. Jedoch bedarf es stets einer finalen Prüfung und ggfs. Anpassung durch den Verantwortlichen.

Anforderungen an datenschutzkonforme Einwilligungen

Nachfolgend geht die Behörde dann auf die einzelnen Voraussetzungen einer Einwilligung nach Art. 4 Nr. 11 DSGVO ein. Sie stellt hierzu folgende Prüfpunkte auf:

  • Zeitpunkt der Einwilligung,
  • Informiertheit der Einwilligung,
  • eindeutige bestätigende Handlung,
  • freiwillige Einwilligung,
  • keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging),
  • Widerruf der Einwilligung,
  • Einwilligungen für Datenverarbeitungen von Minderjährigen.

Wichtig ist etwa, dass Cookies (oder generell andere Tracker) erst aktiviert werden, wenn die Einwilligung aktiv erteilt wurde. Ansonsten stellt ein Consent Management Tool nur ein Placebo dar.

Interessant ist zudem die Ansicht zu dem Merkmal der „Informiertheit der Einwilligung“, also welche Informationen im Einwilligungstext zu erteilen sind. Die Behörde trennt hier strikt zwischen der Informiertheit der Einwilligung und den Informationspflichten nach Art. 13 DSGVO.

Welche Informationen konkret zu erteilen sind, ergibt sich – im Unterschied zu den in Art. 13 DS-GVO normierten Informationspflichten – nicht unmittelbar aus dem Gesetz“. Die Datenschutzbehörde verweist für die „Informiertheit“ auf die Anforderungen des EDSA in den Guidelines 05/2020. Danach müssen folgende Informationen erteilt werden:

  • Identität des Verantwortlichen,
  • Verarbeitungszwecke
  • die verarbeiteten Daten,
  • die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit. c) und
  • die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S. 1 lit. a).

Erfreulicherweise gibt die Behörde auch Beispiele für Verarbeitungszwecke, die ihrer Ansicht nach nicht ausreichend sind. Etwa: „Webanalyse und Werbemaßnahmen durchzuführen“ und „Marketing, Analytics und Personalisierung“ zu ermöglichen. Und auch bei der Einbindung von Drittdiensten (was in der Praxis zumeist der Fall ist), ist die Behörde recht streng. Es genüge nicht eine Information, dass Daten an „Partner“ weitergegeben werden. Jedoch verlangt die Behörde nicht, dass die einzelnen Dritten direkt auf dem ersten Layer oder der ersten Ebene zu sehen sind. Sie müssen nur ausdrücklich benannt sein. Man könnte als annehmen, dass eine Information über einzelne Dritte auch auf der zweiten Ebene im Consent Management Tool zulässig ist.

Strenger ist die Auffassung hinsichtlich des Hinweises auf das Widerrufsrecht (Art. 7 Abs. 3 S. 3 DSGVO). Dort verlangt die Behörde explizit, dass dieser Hinweis „bereits auf der ersten Ebene des Consent-Fensters erforderlich“ sei. Dass man dies auch anders beurteilen kann, zeigt ein jüngst veröffentlichtes Urteil des LG Rostock (Az. 3 O 762/19). Das Gericht entschied dort: „Soweit der Kläger einwendet, die Information habe im Cookie-Banner selbst erfolgen müssen, so dass ein Verstoß gegen Art. 13 Abs. 2 lit. c DSGVO vorliege, teilt die Kammer diese Ansicht nicht“.

Spannend finde ich zudem noch die Ansicht der Behörde zur „Freiwilligkeit“. Zwar vertritt sie die Ansicht, dass sog. Cookie Walls unzulässig seien. „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen“. Die Datenschutzbehörde aus Niedersachsen bezieht sich hierbei auf einen beispielhaften Screenshot, in dem Nutzern ein Abo für 3 EUR im Monat angeboten wird, welches ohne ein Tracking auskommt. Die Behörde gestattet also das Modell der Alternative zwischen „Kostenlos, dafür Tracking“ und „Kostenpflichtig, dafür ohne Tracking“. Ob die in dem Beispiel genannten 3 EUR pro Monat als Maximalwert anzusetzen sind, würde ich jedoch eher ablehnen.

Neue Rechtslage: Berliner Datenschutzbehörde erhält Zuständigkeit für Bußgelder nach dem TMG

Posted on by

Im Juni diesen Jahres hatte ich im Blog darauf hingewiesen, dass in einigen Bundesländern die Zuständigkeit für die Verhängung von Bußgeldern wegen Verstößen gegen die datenschutzrechtlichen Vorgaben des TMG (insbesondere §§ 13, 14, 15 TMG) gar nicht bei den Datenschutzbehörden liegt. In Berlin waren etwa die jeweiligen Bezirksämter zuständig.

Änderung der Rechtslage

Nun hat der Landesgesetzgeber in Berlin genau diese Situation adressiert und auch geändert. Ab sofort, genauer gesagt ab heute, ist für die Verhängung von Bußgeldern nach § 16 Abs. 2 Nr. 2 bis 5 TMG nicht mehr das jeweilige Bezirksamt, sondern die Landesbeauftragte für Datenschutz zuständig.

Die Anpassung erfolgt im Rahmen der „Verordnung zur Änderung der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten und der Verordnung über die Zuständigkeit für einzelne Bezirksaufgaben“, die gestern im Berliner Gesetzes- und Verordnungsblatt veröffentlicht wurde (PDF).

Es erfolgt eine Änderung in § 1 der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten (ZustVO-OWiG). Die veränderte Verordnung tritt heute in Kraft (vgl. Art. 3 Verordnung zur Änderung der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten und der Verordnung über die Zuständigkeit für einzelne Bezirksaufgaben).

Der neue § 1 Nr. 16 ZustVO-OWiG lautet wie folgt:

Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten sind für die Fälle, in denen die zuständige Verwaltungsbehörde nicht durch Gesetz bestimmt ist, die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit für Ordnungswidrigkeiten nach § 16 Absatz 2 Nummer 2 bis 5 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 11 des Gesetzes vom 11. Juli 2019 (BGBl. I S. 1066) geändert worden ist, in der jeweils geltenden Fassung.

Auswirkung

Eine direkte Auswirkung dieser Anpassung ist, dass nun die Berliner Datenschutzbehörde für die Verhängung von Bußgeldern in den benannten Fällen des § 16 Abs. 2 TMG zuständig ist. Dies sollten Unternehmen in Berlin beachten, wenn sie etwa im Rahmen einer internen Risikoprüfung des Trackings auf Webseiten oder Apps über Rechtsfolgen nachdenken.

Hinweise

Weiterhin bisher nicht angepasst wurde aber § 16 Abs. 2 TMG selbst; konkret Nr. 5. Als Bußgeldtatbestand wurde dort „nur“ eine Verletzung von § 15 Abs. 3 S. 3 TMG aufgeführt, nicht jedoch ein Verstoß gegen die übrigen Sätze des § 15 Abs. 3 TMG, in denen es um die Erstellung von Profilen und den Einsatz von Cookies geht. Zudem gilt auch weiterhin die Obergrenze für Bußgelder von 50.000 EUR nach § 16 Abs. 3 TMG. Dies aber natürlich nur, soweit man sich nicht im Anwendungsbereich der DSGVO befindet.

Man wird nun abwarten müssen, ob die Berliner Aufsichtsbehörde von ihrer neu geschaffenen Zuständigkeit Gebrauch macht.