Category Archives: Datenschutzbehörde

Datenschutzbehörde Hamburg: Gemeinsame Verantwortlichkeit beim Einsatz von Google Analytics (in der Standardeinstellung)

Posted on by

In seinem aktuellen Tätigkeitsbericht für das Jahr 2019 (S. 126 ff.) befasst sich der Datenschutzbeauftragte aus Hamburg auch mit dem Thema Google Analytics. Nach seiner Ansicht sei eine Anonymisierung der Daten und damit Ausschluss des  Anwendungsbereichs der DSGVO allein durch die Kürzung der IP-Adresse schon vor dem Hintergrund, dass diese nur ein Nutzungsdatum unter vielen ist, nicht möglich.

Nach Angabe der Behörde diene das Tool außer dem Nutzen für den Webseitenbetreiber in Form von Nutzungsstatistiken auch der Informationsgewinnung durch Google.

In der von der Behörde beanstandeten und von Google den Webseitenbetreibern empfohlenen Standardeinstellung soll zunächst zwischen der Google LLC und dem Webseitenbetreiber ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen werden. Darüber hinaus werde dem Webseitenbetreiber, soweit die Standard-Einstellung ausgewählt wird, zusätzlich der Abschluss eines „Controller-Controller-Agreement“ zur zwingenden Bedingung gemacht, aus dem sich ergibt, dass sowohl Google als auch der Webseitenbetreiber in eigener Verantwortlichkeit handeln und die Möglichkeit einer eigenen anderweitigen Verarbeitung der Daten vorbehalten bleibt. Nach Ansicht der Behörde sei eine derartige Aufspaltung von Verarbeitungsvorgängen allerdings lebensfremd.

Die Kritik der Behörde zielt darauf ab, dass es sich bei dem durch Google Analytics im Rahmen des Seitenbesuchs durch den Nutzer ausgelösten technischen Vorgangs, der gleichzeitig Daten sowohl für den Webseiten-Betreiber selbst erhebt als auch an Google überträgt, um einen einzigen Lebenssachverhalt handele. Ein „Aufschwingen“ vom Auftragsverarbeiter zum eigenverantwortlichen Datenverarbeiter innerhalb einer Verarbeitungstätigkeit sei dem gesetzlichen Rollenverständnis der DSGVO fremd.

Die Behörde kommt zu dem Ergebnis, dass unter Berücksichtigung der europäischen Rechtsprechung (EuGH, Urteil v. 29.07.2019, Az: C-40/17) daher in der von Google empfohlenen Standardeinstellung von einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO auszugehen sei.

Kritik

Die Einordnung der Behörde, die Aufspaltung von Verarbeitungsvorgängen nach verschiedenen Zwecken der Nutzung und verschiedenen Verantwortlichkeitsrollen, sei lebensfremd, würde ich so nicht teilen. Meines Erachtens kommt es hierbei stets auch darauf an, zu welchem Zweck Daten verarbeitet werden sollen. Natürlich ist es möglich, dass ich eine Datenverarbeitung zu einem bestimmten Zweck (hier: Erstellung von Analysen) als Auftragsverarbeiter ausführe, daneben, zu einem anderen (eigenverantwortlichen) Zweck, aber eine weitere Verarbeitung der Daten vornehme. Schon die Art. 29 Gruppe hat in ihrem WP 169 (pdf, S. 30) festgestellt, dass „ein und dieselbe Organisation gleichzeitig hinsichtlich bestimmter Verarbeitungen als für die Verarbeitung Verantwortlicher und hinsichtlich anderer Verarbeitungen als Auftragsverarbeiter handeln“ kann.

Auch das Argument, dass ein „Aufschwingen“ vom Auftragsverarbeiter zum eigenverantwortlichen Datenverarbeiter innerhalb einer Verarbeitungstätigkeit dem gesetzlichen Rollenverständnis der DSGVO fremd sei, würde ich anders sehen. Denn genau für diesen Fall gibt es eine gesetzliche Regelung: Art. 28 Abs. 10 DSGVO. Dieser Exzess des Auftragsverarbeiters muss aber einen Verstoß gegen die DSGVO als Voraussetzung beinhalten. Wenn jedoch die Parteien eines AV-Vertrages regeln, wann eine Partei Auftragsverarbeiter ist und wann sie mit den Daten als eigener Verantwortlicher agiert, sehe ich nicht, wie man hierin einen Verstoß gegen die DSGVO (zB die Weisungen) verstehen könnte. Denn die Rollenverteilung ist ja gerade vertraglich vereinbart und klar abgegrenzt.

 

Österreichische Datenschutzbehörde: Fehlendes Double-Opt-In-Verfahren als Verstoß gegen Art. 32 DSGVO

Posted on by

Die österreichische Datenschutzbehörde (DSB) hat mit Bescheid (pdf) vom 9.10.2019 einen Verstoß eines Unternehmens gegen die Vorgaben des Art. 32 DSGVO festgestellt. Der Verstoß lag nach Ansicht der DSB in der fehlenden Umsetzung eines Double-Opt-In-Verfahrens für Registrierungen auf einer Onlinedating-Plattform.

Sachverhalt

Der Beschwerdeführer erhielt auf seine E-Mail-Adresse „Kontaktvorschläge“ und Benachrichtigungen der Beschwerdegegnerin zugesendet. Er selbst hatte sich aber gar nicht auf den Dating-Portalen der Beschwerdegegnerin angemeldet. Zur Erstellung eines Profils bzw. zur Registrierung auf den Dating-Portalen muss der User sein Geschlecht, seinen gewünschten Benutzernamen, ein Passwort und eine E-Mail-Adresse angeben. Die bei Registrierung angegebene E-Mail-Adresse wird ab Erstellung des Profils fortlaufend mit Benachrichtigungen der Beschwerdegegnerin beschickt. Nutzern ist bereits nach erfolgter Registrierung durch Einloggen in die Profile möglich, die Onlinedating-Portale zu nutzen. Für die Nutzung der Onlinedating-Portale der Beschwerdegegnerin muss der User die E-Mail-Adresse, die er bei Registrierung angegeben hat, nicht noch einmal durch Anklicken eines „Aktivierungslinks“, der ihm auf die – bei Registrierung angegebene – E-Mail-Adresse zugeschickt wurde, bestätigen.

Entscheidung

Die DSB sieht in dem hier umgesetzten Registrierungsverfahren einen Verstoß gegen Art. 32 DSGVO. Eine, wie hier vorliegende, unberechtigte Verwendung von E-Mail-Adressen kann nach Ansicht der DSB gegen Art. 5, Art. 6 und Art. 32 DSGVO verstoßen.

Die von Art. 32 DSGVO verlangten technischen und organisatorischen Maßnahmen zur Herstellung der Sicherheit der Datenverarbeitung können nach Ansicht der DSB auf mehrere Arten gewährleistet sein kann.

Beispielsweise kann eine solche Datenschutzsicherheitsmaßnahme in der Implementierung eines Double-Opt-In-Verfahrens zur rechtskonformen Erlangung einer Einwilligung bestehen“.

Die DSB versteht unter dem Double-Opt-In-Verfahren die Einholung der Zustimmungserklärung des Teilnehmers in einem zweistufigen System, das eine Anmeldung zum Bezug elektronischer Informationen etwa auf der Webseite des Anbieters vorsieht. Erst nach einer auf die Aktivierungsmail bzw. die Kurznachricht gegebenen, die Anmeldung bestätigenden Antwort oder vergleichbaren Reaktion (zB Anklicken eines Links) erfolgt die Zusendung von Werbenachrichten.

Ein solches Verfahren wurde hier nicht umgesetzt, da Nachrichten und Kontaktvorschläge schon vor der Aktivierung eines versandten Links übersendet wurden.

Somit ist es möglich, dass sich ein User nicht mit seiner eigenen E-Mail-Adresse, sondern mit der E-Mail-Adresse eines unbeteiligten Dritten auf den Onlinedating-Portalen registriert.

Dadurch, dass die Beschwerdegegnerin keine ausreichenden, Art. 32 DSGVO entsprechenden Datensicherheitsmaßnahmen gesetzt hat, war es möglich, dass personenbezogene Daten des Beschwerdeführers (nämlich seine E-Mail-Adresse) unrechtmäßig verarbeitet wurden.

Fazit

Leider geht die DSB nicht auf die relevante Frage ein, ob das hier beanstandete System, dass bereits nach erfolgter Registrierung durch Einloggen auf den Webseiten die Onlinedating-Portale genutzt werden können, ohne dies von der Aktivierung im Rahmen des Double-Opt-In abhängig zu machen, gegen den damals geltenden „Stand der Technik“ verstößt. Auf diesen unbestimmten Begriff stellt Art. 32 DSGVO hinsichtlich der Anforderungen an die Maßnahmen ab.

Als Besonderheit kam hier sicherlich hinzu, dass auch ohne separate Bestätigung der E-Mail-Adresse direkt Kontaktvorschläge und andere Informationen (vermutlich werblicher Natur) versendet wurden. Hinsichtlich der Anmeldung zum Erhalt von Werbemails ist das Vorhalten eines Double-Opt-In-Verfahrens schon seit längerer Zeit in der Praxis üblich. Auch wenn man hinzufügen muss, dass dies keine gesetzliche Anforderung darstellt, sondern vielmehr der Nachweisbarkeit einer Anmerkung und damit verbundenen Einwilligung dienen soll.

Womöglich muss man, hinsichtlich der Praxisrelevanz der Entscheidung, auch in Bezug auf den Zweck der Anmeldung unterscheiden. Die DSB bezieht sich in ihrer Begründung ausdrücklich darauf, dass es hier um die Erlangung einer Einwilligung ging. Für diese sollte das Double-Opt-In genutzt werden.

Wie sieht es aber aus, wenn schlicht eine Angabe der E-Mail-Adresse erforderlich ist, die zB im Rahmen eines Kaufs eingegeben wird (etwa für den Versand der Rechnung)? Hier wird man sicherlich diskutieren, ob das geforderte Double-Opt-In Verfahren stets als die erforderliche Sicherheitsmaßnahme anzusehen ist oder ob es nicht Alternativen gibt.

Datenschutzerklärungen der Aufsichtsbehörden: Wie setzen die Datenschutzbehörden die DSGVO-Vorgaben um?

Posted on by

Datenschutzerklärungen zu erstellen, gehört für Unternehmen quasi zum Tagesgeschäft. Die damit verbundene Erfüllung der Informationspflichten aus Art. 12, 13 und 14 DSGVO müsste, nach fast zwei Jahren der Anwendbarkeit der DSGVO, quasi ein Selbstläufer sein und ohne Interpretationsschwierigkeiten auskommen. Mag man meinen.

Doch steigt man erst einmal in die einzelnen Anforderungen der „Checklisten“ in Art. 13 und 14 DSGVO ein, wird schnell klar, dass die Vorgaben zum Teil so unbestimmt sind, dass eine eindeutige Aussage dazu, über was und wie informiert werden muss, nicht trivial ist.

Vor diesem Hintergrund habe ich mir die Datenschutzerklärungen der deutschen Datenschutzbehörden auf deren Webseiten angeschaut. Denn ich meinte, dass bei den Aufsichtsbehörden doch wohl eine einheitliche Linie bei der Umsetzung der DSGVO-Vorgaben zu erkennen sei. Meine Ergebnisse habe ich in der Tabelle unten zusammengefasst. Zum Teil sind die Angaben in den Datenschutzerklärungen tatsächlich so unklar, dass ich meine eigenen Mutmaßungen in die Tabelle eingefügt habe.

Es zeigt sich, dass auch die Datenschutzbehörden die Anforderungen an die Informationspflichten sehr unterschiedlich interpretieren und umsetzen. Dass es hier Abweichungen und wohl auch unterschiedliche Interpretation der gesetzlichen Vorgabem gibt, mag zunächst verweunden. Andererseits ist es meines Erachtens auch nicht sehr überraschend und es zeigt, dass aktuell wirklich jede datenverarbeitende Stelle, auch die Aufsichtsbehörden, die Anforderungen der DSGVO verschieden versstehen.

Hinweis: ich habe mir in den Datenschutzerklärungen jeweils nur die Informationen angeschaut, die einfache Webseitenbesucher betreffen. Also wirklich nur den Besuch, ohne zusätzliche Funktionen (zB Meldungen) oder Angebote (zB Newsletter) zu nutzen.

Zudem habe ich mich auf zwei Informationspflichten beschränkt. Zum einen Art. 13 Abs. 1 a) DSGVO. Empfänger oder Kategorien. Hier stellt sich nämlich oft die (umstrittene) Frage, ob ein Unternehmen zwingend die Empfänger benennen muss (meines Erachtens nicht). Und Art. 13 Abs. 2 a) DSGVO, Dauer der Speicherung. Bei dieser Vorschrift wird etwa diskutiert, wann die konkrete Angabe der Dauer nicht möglich ist und man auf die Kriterien abstellen kann.

Datenschutzbehörde Art. 13 Abs. 1 e) (Empfänger oder Kategorien) Art. 13 Abs. 2 a) (Dauer der Speicherung oder die Kriterien)
BfDI Kategorien Allgemeine Kriterien
LfDI BaWÜ Kategorien Allgemeine Kriterien
LfD Bayern Kategorien 7 Tage
BayLDA Kategorien 7 Tage
Berliner LDI Keine Weitergabe an „Dritte“ Dauer der Nutzung
LDA Brandenburg Keine Weitergabe an „Dritte“ Keine Angabe (da keine IP Adressen gespeichert)
LfDI Bremen Kategorien Dauer der Nutzung
HmbBfDI Keine Weitergabe an „Dritte“ Erhebung anonymisierter IP Adressen
LfDI Mecklenburg-Vorpommern Konkret benannt und Kategorien 1 Tag
LfD Niedersachsen Konkret benannt Keine Angabe
LDI NRW Konkret benannt 4 Wochen
LfDI RLP Kategorien 30 Tage
Unabhängiges Datenschutzzentrum Saarland Keine Weitergabe (da keine pb Daten gespeichert) Keine Angabe (da keine IP Adressen gespeichert)
LfD Sachsen-Anhalt Konkret benannt und Kategorien 7 Tage
ULD Schleswig-Holstein Kategorien Keine Angabe (da keine IP Adressen gespeichert)
Sächsischer DSB Konkret benannt Keine Angabe (da keine IP Adressen gespeichert)
TLfDI Konkret benannt und Kategorien 21 Tage

Landesdatenschutzbehörde NRW: FAQ zum Datenschutzbeauftragten

Posted on by

Die Datenschutzbehörde des Landes Nordrhein-Westfalen (LDI NRW) hat auf ihrer Webseite eine umfassende Liste von FAQ zur Rolle und den Aufgaben des Datenschutzbeauftragten veröffentlicht (Stand: Nov 2019, PDF).

Einleitend verweist die Behörde auch auf die bekannten Leitlinien des europäischen Datenschutzausschusses (EDSA) zu diesem Thema (WP 243 rev.0.1). Jedoch geht die Behörde auch davon aus, dass diese Leitlinien nur unverbindliche Auslegungshilfen darstellen. Diese Sichtweise der Behörde ist relevant, da in den Antworten zum Teil deutlich wird, dass die Behörde eine andere Ansicht vertritt, als in den Leitlinien des EDSA beschrieben. Nachfolgend möchte ich einige Antworten der Behörde darstellen.

Konzerndatenschutzbeauftragter

Nach Ansicht der LDI NRW darf eine Unternehmensgruppe darf eine(n) gemeinsame(n) Datenschutzbeauftragte(n) benennen (Art. 37 Abs. 2 DSGVO). Hierfür genügt auch nur ein einziger Benennungsakt, wenn er für die beteiligten Stellen wirkt. Dies bedeutet, dass etwa bei einer Gruppe aus 10 Unternehmen nicht 10 Benennungen erfolgen müssen.

Neubenennung unter der DSGVO?

Da Art. 37 DSGVO keine Frist zur Benennung vorsieht, geht die LDI NRW davon aus, dass diese ist die Pflicht sofort zu erfüllen ist, sobald die Voraussetzungen vorliegen. Zudem weist die Behörde darauf hin, dass zwar bereits nach alter Rechtslage erfolgte Benennungen Bestand hätten, zur Klarstellung der neuen Pflichten des Datenschutzbeauftragten unter der DSGVO jedoch eine erneute (formale) Benennung zu empfehlen sei.

Interessenkonflikt

Die LDI NRW geht in ihren FAQ auch auf das Thema des auszuschließenden Interessenkonflikts ein. Eine unabhängige Aufgabenerfüllung als Datenschutzbeauftragter setzte voraus, dass die zu Kontrollierenden nicht selbst zu Kontrolleuren benannt werden dürfen. Zudem benennt die Behörde Beispiele für Tätigkeitsfelder, welche ihrer Auffassung nach zu einem Interessenkonflikt führen:

  • Leitung eines Unternehmens oder einer Behörde
  • Leitung der IT-Abteilung
  • Leitung der Personal-Abteilung
  • Beschäftigte der IT- oder Personalabteilung, wenn diese in der Lage sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.

Juristische Person als Datenschutzbeauftragter?

Nach Auffassung der LDI NRW ist die Benennung juristischer Personen als Datenschutzbeauftragter unzulässig,

„da Wortlaut und Systematik der DSGVO nur natürliche Personen als Datenschutzbeauftragte vorsehen“.

Die Behörde weicht bei dieser Antwort ganz bewusst von den Leitlinien des EDSA ab und verweist hierauf auch. Der EDSA hält die Benennung einer juristischen Person für zulässig, wenn jedes Mitglied derjenigen Einrichtung, die die Funktion eines Datenschutzbeauftragten wahrnimmt, sämtliche in Anforderungen erfüllt.

Aus Sicht der LDI NRW mache dies die Benennung einer juristischen Person als Datenschutzbeauftragten schon per se unattraktiv

„und ist unserer Einschätzung zufolge auch nicht zulässig“.

Arbeitsaufwand des Datenschutzbeauftragten

Die LDI NRW gibt auf die Frage, wie viel Zeit ein Datenschutzbeauftragter für seine Tätigkeit aufwenden sollte, keine spezifische Antwort in Form fester Zeitgrößen.

Der Zeitaufwand für die Tätigkeit eines Datenschutzbeauftragten lasse sich nicht abstrakt festlegen. Er hängt u.a. ab von der Größe der Stelle, dem Umfang der Datenverarbeitungen und der Tatsache, ob dem Datenschutzbeauftragten weiteres Personal zur Seite steht.

Nach Ansicht der LDI NRW muss in der Einarbeitungsphase zunächst eine umfangreiche Bestandsaufnahme erfolgen, zu der auch die Durchsicht des Verarbeitungsverzeichnisses gehört. Im Anschluss daran muss der Datenschutzbeauftragte nach den Umständen in der jeweiligen Stelle einschätzen, wie häufig weitere Überprüfungen erforderlich sind.

Protokoll der letzten DSK-Sitzung: Sprachassistenz-Systeme, Webseitenprüfung bei Medienunternehmen und mehr

Posted on by

Die Datenschutzkonferenz („DSK“) hat auf ihrer Webseite das Protokoll der letzten Sitzung vom 6. Und 7. November 2019 veröffentlicht (PDF). Auch dieses Mal sind wieder einige interessante und praxisrelevante Informationen enthalten. Nachfolgend einige der dort behandelten Themen.

Entschließung: Transkriptionen durch Anbieter von Sprachassistenz-Systemen

Die DSK arbeitet aktuell an einer Entschließung zu Sprachassistenz-Systemen. Die Behörde aus Hamburg stellt dar, dass das Thema bereits auf europäischer Ebene diskutiert wurde. Zwar wurde offensichtlich ein Entschließungsentwurf vorgelegt, jedoch gab es seitens der Aufsichtsbehörden eine Reihe von Änderungswünschen. Daher beschloss die DSK die vorgelegte Entschließung im Umlaufverfahren abzustimmen. Wir werden also wohl hoffentlicher in naher Zukunft zu diesem durchaus relevanten Thema eine erste Orientierung aus Sicht der Behörden erhalten. Relevant ist dieses Thema vor allem, weil immer mehr Geräte und zB auch Fahrzeuge mit einer Sprachsteuerung ausgestatte sind.

Vertreter von Unternehmen in Deutschland nach Art. 27 DSGVO

Auch an diesem Thema arbeitet die DSK. Die Arbeitskreise Grundsatz und Internationaler Verkehr sollen ein Positionspapier zu Art und Umfang der einem Vertreter nach Art. 27 DSGVO obliegenden Aufgaben erstellen. Diese Position dürfte dann vor allem für Anbieter der Tätigkeit als Vertreter sein, aber auch für Unternehmen außerhalb der EU, die einen Vertretet in Deutschland benennen möchten (oder evtl. müssen).

Tracking bei Presseportalen

Interessant finde ich die Informationen unter TOP 19. Die Aufsichtsbehörde aus Hamburg informiert, dass bei ihr eine steigende Zahl von Beschwerden hinsichtlich des Einsatzes von Trackingtools auf Presseportalen zu verzeichnen sei. Von Hamburg initiierte und bereits stattgefundene Gespräche mit den entsprechenden Verbänden ließen bislang allerdings wenig Bereitschaft erkennen, hinsichtlich einer Änderung dieser Praxis auf die Mitgliedsunternehmen einzuwirken. Die Behörde aus Niedersachsen berichtet zudem, dass im Arbeitskreis Medien der DSK bereits deutlich wurde, dass die Gesprächsreihe nicht fortzusetzen ist.

Und dann: „Es soll nun die bereits geplante, koordinierte Webseitenprüfung bei Medienunternehmen begonnen werden, an der sich voraussichtlich 11 Länder beteiligen werden“.

Dies bedeutet, dass sich Medienunternehmen, also wohl vor allem Verlage, aber evtl. auch Betreiber von Fernsehsendern, darauf vorbereiten sollten, dass ihre digitalen Angebote durch die Behörden im Rahmen eines koordinierten Vorgehens geprüft werden. Schwerpunkt hierbei scheint das Thema „Tracking“ (also wohl der Einsatz von Cookies, Pixeln und ähnlichen Technologien) auf den Webseiten und Apps zu sein.

Bericht der Taskforce Facebook Fanpages

Zudem gibt es eine kleine Information dazu, wie innerhalb der DSK hinsichtlich des Themas „Fanpages“ weitergearbeitet werden soll. Die Behörde aus Schleswig-Holstein stellt dar, dass die Gründe der Entscheidung des BVerwG vom 11.09.2019 noch nicht vorliegen (Anmerkung von mir: diese liegen mittlerweile vor).

Die Taskforce innerhalb der DSK werde in Kürze erneut zusammenkommen, um:

  • das von Facebook aktualisierte Addendum auszuwerten
  • eine Bewertung der Antworten auf die ausgesendeten Fragenkataloge vorzunehmen
  • eine Bewertung laufender Verfahren (insbesondere Fashion ID und Wirtschaftsakademie) vorzunehmen
  • eine Abstimmung über das weitere Vorgehen vorzunehmen

Wo darf die Datenschutzbehörde verklagt werden? VG Gera gegen Zuständigkeitskonzentration.

Posted on by

Das Verwaltungsgericht (VG) Gera hat bereits Anfang des Jahres einen Beschluss (pdf) zu der Frage gefasst, welches Gericht für eine Klage gegen die Datenschutzbehörde (hier: den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI)) zuständig ist (Beschl. v. 16.01.2019, 2 K 2281/18).

Entscheidungen zur Zuständigkeit von Gerichten bei Klagen gegen Datenschutzbehörden sind sicherlich nicht an der Tagesordnung. Auch aus diesem Grund ist der Beschluss von Relevanz. Um es jedoch vorweg zu nehmen: ich halte die Entscheidung für falsch.

Sachverhalt

In dem Verfahren wandte sich die Klägerin gegen eine Entscheidung des TLfDI, mit der dieser eine Beschwerde der Klägerin als unbegründet zurückgewiesen hat. Ansonsten ist zu den Umständen des Falles wenig bekannt. Klar ist nur, dass es nicht um eine Untätigkeitssituation ging, sondern die (ablehnende) Entscheidung des TLfDI angegriffen wurde. Die Klägerin hat ihren Wohnsitz im Bezirk des VG Gera. Der TLfDI seinen Dienstsitz in Erfurt. Er ist als Aufsichtsbehörde damit für ganz Thüringen zuständig. Also ein Gebiet, das mehrere Verwaltungsgerichtsbezirke umfasst.

Entscheidung

Die Klägerin und ihr folgend das VG Gera wenden für die Zuständigkeitsfrage § 52 Ziff. 3 S. 2 VwGO an. Danach ist für die Anfechtungsklage gegen einen Verwaltungsakt, der von einer Behörde erlassen wurde, deren Zuständigkeit sich auf mehrere Verwaltungsgerichtsbezirke erstreckt, oder von einer gemeinsamen Behörde mehrerer oder aller Länder erlassen wurde, das Verwaltungsgericht zuständig, in dessen Bezirk der Beschwerte seinen Sitz oder Wohnsitz hat. Hier also der Bezirk des Wohnsitzes der Klägerin.

Das VG lehnt eine Anwendung der Zuständigkeitsregelung des § 20 Abs. 3, Abs. 1 BDSG ab, da das BDSG vorliegend gar nicht anwendbar sei.

Auch ergebe sich eine andere Zuständigkeit nicht aus § 9 Abs. 1 ThürDSG. Denn es gehe hier nicht um einen Streit zwischen einer öffentlichen Stelle und dem TLfDI. Auch § 9 Abs. 2 ThürDSG greife nicht ein, da es vorliegend nicht um die Untätigkeit der Datenschutzbehörde geht.

Diese Auffassung ist meines Erachtens aus mehreren Gründen nicht richtig.

Kompetenz beim Bund

Das Gericht lehnt die Anwendbarkeit von § 20 Abs. 3, Abs. 1 BDSG mit der Begründung ab, dass der Anwendungsbereich nicht eröffnet sei, da nach § 1 Abs. 1 S. 1 Nr. 2 BDSG das BDSG nur für die Verarbeitung personenbezogener Daten durch öffentliche Stellen der Länder gelte, soweit der Datenschutz  nicht durch Landesrecht geregelt sei. Nach Ansicht des VG beinhalte das ThürDSG aber eine Vollregelung des Datenschutzes, wie sich aus § 2 Abs. 1 ThürDSG ergebe.

Meines Erachtens verkennt das VG hier die bundesgesetzlich festgeschriebene Zuständigkeitskonzentration in § 20 BDSG und den Anwendungsanspruch des BDSG.

Grundsätzlich hat der Bundesgesetzgeber mit § 52 VwGO eine abschließende Regelung zur gerichtlichen Zuständigkeit getroffen. Es ist deshalb den Ländern verwehrt, durch Gesetze abweichende Bestimmungen über den Gerichtsstand zu erlassen (vgl. etwa: Schoch/Schneider/Bier/Schenk, 37. EL Juli 2019, VwGO § 52 Rn. 3a).

So hat etwa auch das BVerfG mit Beschluss 07.05.1974, Az. 2 BvL 17/73 entschieden: „Da der Bundesgesetzgeber von seiner Kompetenz, die örtliche Zuständigkeit des Verwaltungsgerichts zu regeln, mit § 52 VwGO rechtswirksam, vollständig und ohne entsprechenden Vorbehalt Gebrauch gemacht hat, hatte das Land Bayern keine Kompetenz(…)“.

Die Gesetzgebungskompetenz für die gerichtliche Zuständigkeit liegt im Wege der konkurrierenden Gesetzgebung nach Art. 72, 74 Abs. 1 Nr. 1 Var. 3 GG beim Bund. In Art. 74 Abs. 1 Nr. 1 Var. 3 GG wird von „Gerichtsverfassung“ gesprochen. Dies befähigt im Einzelnen den Bund den hierarchischen Aufbau der Gerichtsbarkeiten sowie die Maßstäbe der sachlichen, funktionellen und örtlichen Zuständigkeit zu definieren (vgl. BeckOK Grundgesetz/Seiler, 41. Ed. 15.2.2019, GG Art. 74 Rn. 9). Gerichtlich festgestellt ist die erschöpfende Regelung für die örtliche Zuständigkeit der Verwaltungsgerichte (BVerfGE 37, 191) (Ausnahme: § 187 Abs. 1 VwGO).

Konzentrationen bleiben bundesrechtlich möglich

Dem Bundesgesetzgeber (aber nicht dem Landesgesetzgeber) steht es frei, speziellere Regelungen zu erlassen, die § 52 VWGO vorgehen. Dazu zählt ausweislich der Gesetzesbegründung auch § 20 Abs. 3 BDSG.

Damit ist es meines Erachtens schon ein Fehler des Gerichts, überhaupt auf das ThürDSG abstellen zu wollen, weil dies die gerichtliche Zuständigkeit gar nicht regeln kann.

Anwendbarkeit des BDSG

Zudem geht die Begründung des VG Gera fehl, wenn es das BDSG nicht für anwendbar hält.

Es heißt in § 1 Abs. 1 Nr. 2 BDSGsoweit der Datenschutz nicht durch Landesrecht geregelt“ ist. Es geht um den Datenschutz, nicht die gerichtliche Zuständigkeit der Verwaltungsgerichte. Das VG stellt für seine Begründung zur Frage der gerichtlichen Zuständigkeit (die der Bundeskompetenz unterliegt) darauf ab, dass das ThürDSG hierzu eine „Vollregelung des Datenschutzes“ geschaffen habe. Eine solche Regelung in Bezug auf die Gerichtszuständigkeit ist aber nicht möglich.

Im Übrigen regelt § 9 ThürDSG auch gar nicht die örtliche Zuständigkeit, sondern stellt nur eine Rechtswegeröffnung bei Untätigkeit der Aufsichtsbehörden dar, die ohnehin existiert.

§ 9 Abs. 1 S. 1 ThürDSG wiederholt nur die ohnehin schon bestehende Verwaltungsgerichtszuständigkeit nach § 20 Abs. 3 BDSG (aufdrängende Sonderzuweisung) und hat damit deklaratorische Wirkung. § 9 Abs. 1 S. 2 ThürDSG verweist auf § 20 Abs. 3 BDSG. Danach ist das VG zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat.

Das ThürDSG trifft also gar keine abweichenden Reglungen. Damit ist der Anwendungsbereich des BDSG auch nicht verschlossen, da § 1 Abs. 2 Nr. 2 BDSG nicht erfüllt ist und zweitens das ThürDSG nach der obigen Erwägung ohnehin nicht die gerichtliche Zuständigkeit regeln kann.

Fazit

Es gilt also in Bezug auf die gerichtliche örtliche Zuständigkeit von vornherein nur § 52 VwGO, außer es liegt eine speziellere Regelung, wie hier, auf Bundesebene vor.

Verwaltungsgericht Ansbach: Betroffene haben keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen der Datenschutzbehörden

Posted on by

In dieser Woche hatte ich über eine Entscheidung des SG Frankfurt (Oder) berichtet, in der es um die Frage ging, inwiefern eine betroffene Person einen Anspruch gegen die Datenschutzbehörde auf Vornahme von aufsichtsbehördlichen Maßnahmen hat und diesen gerichtlich einklagen kann.

Nun wurde ein weiteres Urteil zu diesem Themenkomplex veröffentlicht. Diesmal eine ausführlich begründete Entscheidung des Verwaltungsgerichts (VG) Ansbach (Urt. v. 8.8.2019, Az. AN 14 K 19.00272). Auch das VG lehnt einen Anspruch von Betroffenen auf die Vornahme bestimmter behördlicher Maßnahmen ab. Jedoch gesteht das VG zu, dass ein Anspruch auf ermessensfehlerfreie Entscheidung der Behörde bestehe.

Sachverhalt

Die Beteiligten stritten um das Einschreiten des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) in einer Datenschutzaufsichtsangelegenheit. Der Kläger bat eine Kreissparkasse mehrfach, ihm seine bei ihr verarbeiteten personenbezogenen Daten von ihm zu übermitteln. Die Sparkasse übermittle dem Kläger dann seine Daten unter Beachtung von Art. 15 Abs. 1 und 2 DSGVO.

Daraufhin wandte sich der Kläger erneut an die Kreissparkasse dahingehend, dass er die übermittelten Daten für nicht vollständig halte. Er bat um eine Vervollständigung der Auskunft. Die Kreissparkasse antwortete ihm, dass die Auskunft alle gesetzlichen Anforderungen erfülle. Daraufhin beschwerte sich der Kläger per E-Mail vom 30. Oktober 2018 bei dem BayLDA über die Kreissparkasse.

Das BayLDA antwortete mit Schreiben vom 21. Januar 2019 und teilte mit, dass gegen die Kreissparkasse keine Maßnahmen ergriffen würden, weil kein Datenschutzverstoß vorliege. Weitergehende Ansprüche gegen die Sparkasse auf Auskunftserteilung müsse der Kläger vor den Zivilgerichten verfolgen. Das Schreiben enthielt eine Rechtsbehelfsbelehrung, derzufolge gegen diese Entscheidung innerhalb eines Monats nach Bekanntgabe Klage erhoben werden kann.

Daraufhin wandte der Kläger an das Verwaltungsgericht. Die Auskunft der Kreissparkasse sei unvollständig und teilweise unverständlich gewesen, so dass er weiter bei der Kreissparkasse nachgefragt habe, worauf die Kreissparkasse auch geantwortet habe. Bei ihm seien dennoch Restzweifel verblieben.

Die kurze und pauschale Zurückweisung seiner Beschwerde vom BayLDA verstoße gegen wesentliche Aufsichtsziele der DSGVO.

Entscheidung

Das VG wies die Klage gegen das BayLDA ab.

Die Klage sei zwar zulässig, aber nicht begründet. Der Verwaltungsrechtsweg war aufgrund § 20 Abs. 1 S. 1 BDSG gegeben, da es sich hier um eine Klage gegen den rechtsverbindlichen Beschluss einer Aufsichtsbehörde handelt, und zwar die Abschlussmitteilung des BayDLA vom 21. Januar 2019.

Interessant ist, dass das VG davon ausgeht, dass hier keine Anfechtungsklage gegen einen Verwaltungsakt, sondern eine Leistungsklage statthaft ist.

Beim streitgegenständlichen Schreiben des BayLDA handelt es sich um eine vom Verwaltungsgericht gemäß Art. 78 DSGVO überprüfbare Maßnahme mit Außenwirkung,

jedoch nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG mit Regelungscharakter, so dass nicht die Anfechtungsklage, sondern die allgemeine Leistungsklage statthaft ist.

Vorliegend fehle es am Regelungscharakter der Abschlussmitteilung. Das Schreiben des BayLDA sei auch kein sog. feststellender Verwaltungsakt, also ein Bescheid mit der verbindlichen Feststellung eines Rechtsverhältnisses oder sich daraus ergebender Rechte und Pflichten, die mit Rechtsbeständigkeit festgestellt werden sollen. Hier sollte eine Rechtsauskunft erteilt werden, es sollten aber nicht mit verbindlicher Feststellung i.S. des Art. 35 BayVwVfG strittige Rechte oder Pflichten geregelt werden.

Der Antrag des Klägers ist nicht auf einen bestimmten Verwaltungsakt des BayLDA, sondern auf ein allgemein aufsichtliches Einschreiten gerichtet. Dies sei kennzeichnend für eine Leistungsklage. Jedoch gibt das VG auch zu bedenken, dass, wenn der Kläger eine ganz konkrete Maßnahme im Sinne eines Verwaltungsaktes vom Beklagten verlangt hätte, und das BayLDA diese so gestaltete Beschwerde abgelehnt hätte, wäre die Verpflichtungsklage in Form der Versagungsgegenklage in Frage gekommen. Dann wäre die Ablehnung der Beschwerde als ein Verwaltungsakt zu qualifizieren, der den Erlass eines Verwaltungsaktes ablehnen würde.

Das Klagerecht aus Art. 78 Abs. 1 DSGVO erfasst umfassend auch die Ablehnung oder Zurückweisung einer Beschwerde nach Art. 77 DSGVO. Wird eine Maßnahme von der Aufsichtsbehörde erbeten, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, ist die allgemeine Leistungsklage die statthafte Klageart.

Gleichzeitig lehnt das VG die Rechtsansicht des VG Berlin vom 28. Januar 2019 (AZ. VG 1 L 1.19) ab, wonach es sich bei Beschwerden nach der DSGVO um Petitionen handeln soll.

Nach der DSGVO indes hat der Bürger nicht nur einen Anspruch auf Verbescheidung, sondern ggf. einen Anspruch auf Einschreiten der Aufsichtsbehörde (bei Ermessenreduzierung auf Null, sonst Anspruch auf fehlerfreie Ermessensausübung), die aufgrund Art. 58 DSGVO umfassende Eingriffskompetenzen hat (i.d.R. im Gegensatz zum Petitionsadressaten).

Bereits hier macht das VG deutlich, dass es davon ausgeht, dass im Grunde schon ein Anspruch auf Tätigwerden der Behörde besteht, jedoch im Normalfall nicht auf eine konkrete Maßnahme.

Die Klage ist jedoch unbegründet, da der Kläger weder einen Anspruch gegen den Beklagten auf weitere Befassung und Überprüfung seiner Beschwerde nach Art. 78 Abs. 2 DSGVO i.V.m. Art. 57 DSGVO hat noch einen Anspruch auf aufsichtliches Einschreiten des Beklagten gegenüber der Kreissparkasse gemäß Art. 58 DSGVO.

Das BayLDA hat gemäß Art. 78 Abs. 2 DSGVO in Verbindung mit Art. 57 Abs. 1 lit. f DSGVO die Beschwerde des Klägers in angemessenem Umfang geprüft und dem Kläger rechtzeitig Bescheid gegeben.

Ein darüber hinaus gehender Anspruch des Klägers ist nicht ersichtlich.

Das VG befasst sich dann mit der Frage, ob das BayLDA hier seinen gesetzlichen Aufgaben nachgekommen ist. Art. 57 Abs. 1 lit. a und f DSGVO wurden hier durch das BayLDA beachtet. Interessant an der Begründung des VG ist, dass es davon ausgeht, dass sich zwar sich aus Art. 57 DSGVO allein, einer reinen Aufgabennorm, keine subjektivöffentlichen Rechte des Betroffenen ergeben können. Art. 57 Abs. 1 lit. f DSGVO enthalte Vorgaben zum Verfahren und dessen Umfang, die über Art. 78 Abs. 2 DSGVO zu einem Rechtsanspruch des Betroffenen führen können.

Die Behandlung von individuellen Beschwerden sei unionsrechtlich jedoch restriktiv geregelt. Zwar sei es eine der vorrangigsten Aufgaben des BayLDA, Beschwerden von Betroffenen nach Art. 77 DSGVO zu bearbeiten. Allerdings nehme Art. 57 Abs. 1 lit. f DSGVO unzweifelhaft mit der Formulierung „in angemessenem Umfang“ auf die Ressourcen und Möglichkeiten der Aufsichtsbehörden Rücksicht. Die Angemessenheit der Untersuchung richte sich daher auch nach der Schwere des Eingriffs in Rechte des Betroffenen.

Hinsichtlich der behördlichen Maßnahmen nach Art. 58 DSGVO stellt das VG fest, dass dieser Artikel das Verhältnis zwischen Aufsichtsbehörde zu Verantwortlichen regele.

Ein Anspruch auf aufsichtliches Einschreiten des Betroffenen ist ähnlich wie im Sicherheits- und Polizeirecht (vgl. BVerwGE 11, 95, 97) grundsätzlich anzuerkennen, jedoch nur im Falle einer (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Reduktion des Ermessens auf Null, so dass mithin allenfalls regelmäßig nur ein subjektivöffentliches Recht auf fehlerfreie Ermessensausübung besteht.

Das VG geht davon aus, dass neben dem Auswahlermessen für die Behörde auch hinsichtlich des Entschlusses zum Tätigwerden ein Entschließungsermessen („gestattet“ in Art. 58 Abs. 1 und 2 DSGVO) bestehe. Der Kläger habe daher selbst bei Vorliegen eines festgestellten oder wahrscheinlichen Verstoßes gegen die DSGVO (der hier nicht gegeben war) indes

nur einen Anspruch auf fehlerfreie Ermessensausübung hinsichtlich einer Maßnahme des Beklagten nach Art. 58 DSGVO, aber keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen gegen die Kreissparkasse.

Dann habe im Rahmen des Art. 58 DSGVO die Aufsichtsbehörde ein weites Entschließungs- und Auswahlermessen hat. Dies gelte jedoch nicht, bei einer Ermessensreduktion auf Null. Diese komme nur in Betracht,

wenn ein Datenschutzrechtsverstoß naheliegt bzw. sich aufdrängen muss, d.h. es müssen Tatsachen vorliegen, die einen Verstoß gegen datenschutzrechtliche Vorschriften als wahrscheinlich erscheinen lassen und wenn dieser Verstoß von einer Schwere ist, die ein Einschreiten der Aufsichtsbehörde als erforderlich erscheinen lässt.

Vorliegend waren diese Voraussetzungen aber nicht erfüllt.

Thüringer Fragebogen zur Prüfung von Webseiten: verschiedene Handlungsoptionen für Unternehmen

Posted on by

Der Thüringer Landesbeauftragt für Datenschutz und Informationsfreiheit (TLfDI) hat wohl in großer Zahl Fragebögen an Thüringer Unternehmen versandt. Thema ist der Einsatz von Analysesoftware auf den jeweiligen Websites der angeschriebenen Unternehmen.

Das Schreiben selbst ist offiziell, soweit ich weiß, noch nicht abrufbar. Der Kollege André Stämmler berichtet zu dem Anschreiben in seinem Blog.

Hintergrund der Befragung dürfte auch das Urteil des Europäischen Gerichtshofs sein, in dem sich das Gericht mit der Frage der Voraussetzungen einer wirksamen Einwilligung bei dem Einsatz von Cookies befasst hat (Aktenzeichen C-673/17 – Planet 49; Achtung: der EuGH hat hier nicht entschieden, dass beim Einsatz von Cookies oder gar Google Analytics, per se immer eine Einwilligung einzuholen wäre). Gefragt wird in dem Schreiben der Behörde unter anderem, ob und welche Analysetools eingesetzt werden und ob und auf welchem Wege eine Einwilligung dazu eingeholt wird. Wie gesagt: ob beim Einsatz von Google Analytics oder anderen Tools eine Einwilligung zwingend erforderlich ist, hat der EuGH nicht entschieden. Die deutschen Behörden gehen jedoch laut mehreren Pressemitteilungen davon aus.

Unternehmen könnten verunsichert sein, ob die Beantwortung der übersandten Fragen verpflichtend ist oder nicht, da zwar betont werde, dass das Schreiben keinen verpflichtenden Charakter habe, gleichzeitig aber darauf hingewiesen wird, dass ein verpflichtender Bescheid (also ein Verwaltungsakt) bei Nicht-Beantwortung der Fragen die Folge sein kann.

Zusätzliche Irritation ruft das Schreiben dadurch hervor, da es als „Auskunftsersuchen nach Art. 58 Abs. 1 lit. a) DSGVO Anhörung nach 28 ThürVwfG“ überschrieben ist. Die Behörde möchte damit wahrscheinlich zum Ausdruck bringen, dass der momentan versandte Fragebogen eine Anhörung nach § 28 VwVfG zu einem Auskunftsersuchen nach Art. 58 Abs.1 lit a) DSGVO darstellt. Zumindest nach ihrer Ansicht. Dann läge in der Beantwortung des Fragebogens eine freiwillige Mitwirkung im Rahmen des Verwaltungsverfahrens an dessen Ende, wahrscheinlich abhängig davon, ob und wie die Fragen beantwortet werden, ein formelles Auskunftsersuchen nach Art. 58 Abs. 1 lit a) DSGVO stehen.

Man kann aber schon aktuell fragen, wie unverbindlich die Beantwortung der Fragen aus Sicht der Unternehmen überhaupt sein kann, wenn im gleichen Schreiben bei Nichtbeantwortung mit einem verbindlichen Auskunftsersuchen „gedroht“ wird. Erscheint die Beantwortung des jetzigen Fragebogens dadurch als verpflichtend, kann man auch darin schon einen Verwaltungsakt sehen. Gegen diesen stünde dann selbstverständlich schon jetzt der Rechtsweg offen. Meine persönliche Meinung: oft stellen diese Anschreiben mit Fragen an Unternehmen Verwaltungsakte dar. Es ist für eine Einordnung als Verwaltungsakt auch unerheblich, ob einem solchen Schreiben eine Rechtsbehelfsbelehrung beigefügt ist oder nicht.

Abseits der, evtl. etwas wissenschaftlichen Diskussion über die juristische Einordnung solcher Fragebögen, stellt sich für Unternehmen vordergründig die Frage, wie auf solche Schreiben reagiert werden sollte. Man kann den Fragenbogen natürlich einfach beantworten, wenn man weiß oder zumindest vermutet, dass man die Anforderungen der DSGVO ordnungsgemäß umsetzt. Andererseits lässt sich fragen, warum man etwas beantworten soll, was man eigentlich gar nicht muss?

In beiden Fällen kann man Akteinsicht nach § 29 Abs. 1 VwVfG beantragen, um herauszufinden, was die Behörde an (Tatsachen)Grundlagen schon zusammengetragen hat. Und wenn man der Auffassung ist, dass solch ein Anschreiben einen Verwaltungsakt darstellt, könnte man theoretisch auch Anfechtungsklage vor dem Verwaltungsgericht erheben. Damit schöpft man dann auch die Verfahrensgarantien und Rechtbehelfe, wie sie in Art. 58 Abs. 4 DSGVO gegenüber den Maßnahmen der Aufsichtsbehörden zwingend vorgesehen sind, aus.

Gericht: Betroffene haben keinen Anspruch auf Vornahme bestimmter Maßnahmen durch eine Datenschutzbehörde

Posted on by

Kann eine betroffene Person, die von einem unzulässigen Umgang mit ihren personenbezogenen Daten ausgeht, von einer Datenschutzbehörde ein aufsichtsbehördliches Einschreiten oder sogar die Vornahme einer konkreten Maßnahme verlangen? Um diese Frage ging es in einem Fall, den das Sozialgericht Frankfurt (Oder) zu entscheiden hatte. Das Gericht lehnt einen solchen Anspruch auf Grundlage der DSGVO ab (Gerichtsbescheid v. 08.05.2019 – S 49 SF 8/19).

Sachverhalt

In dem Verfahren klagten betroffene Personen gegen den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die Kläger verlangten von dem BfDI ein Einschreiten gegen behauptete Datenrechtsverstöße des Jobcenters. U.a. begehrten die Kläger Auskunft vom Jobcenter, die sie wohl zunächst nicht erhielten. Diese wurde aber nach einem entsprechenden Hinweis des BfDI dann doch erteilt. Nach Ansicht der Kläger enthielt diese aber falsche Daten und wandten sich deswegen erneut an den BfDI. Dieser verwies die Kläger auf die Geltendmachung der Auskunft bzw. der Betroffenenrechte gegenüber dem Jobcenter.

Die Kläger beantragten, den BfDI zu verurteilen, gegen die Datenrechtsverstöße des Jobcenters einzuschreiten, um ihnen Auskunft über den Zugriff auf ihre Daten durch andere Stellen zu erteilen.

Entscheidung

Das Sozialgericht wies die Klage als unzulässig ab, da es an einer Anspruchsgrundlage fehle. Das Gericht geht also davon aus, dass eine entsprechende Klagemöglichkeit nicht besteht.

Weder aus den Vorschriften des Sozialrechts … noch insbesondere aus der Datenschutz-Grundverordnung ist ein individueller Anspruch eines Bürgers gegen den Beklagten auf die Vornahme einer bestimmten Maßnahme herleitbar.

Das Gericht verweist zunächst auf Art. 78 Abs. 2 DSGVO. Danach bestehe zwar dem Grunde nach ein Klagerecht, jedoch ist der Klagegrund auf bestimmte Fälle beschränkt.

Nach Art. 78 Abs. 2 DSGVO hat die betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DSGVO erhobenen Beschwerde in Kenntnis gesetzt hat.

Dies sei hier jedoch weder Klagegegenstand, noch liegt oder lag eine dahingehende Untätigkeit des BfDI vor.

Zudem habe nach Art. 77 Abs. 1 DSGVO jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn diese der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt.

Danach, so das Gericht, ist der BfDI als Datenschutzaufsichtsbehörde allein verpflichtet, sich mit einer Beschwerde zu befassen, soweit sie nicht offensichtlich unbegründet oder exzessiv ist und den Gegenstand der Beschwerde zu untersuchen und den Beschwerdeführer über den Fortgang und das Ergebnis der Untersuchung zu unterrichten.

Eine weitergehende Verpflichtung besteht grundsätzlich nicht.

Das Beschwerderecht nach Art. 77 DSGVO werde als Petitionsrecht verstanden.

Diesen Anforderungen aus der DSGVO sei der BfDI hier jedoch stets nachgekommen. Er hat die Betroffenen über den Fortgang der Beschwerde informiert und auch auf Schreiben geantwortet.

Daher kommt das Gericht zu dem Ergebnis:

Eine Verurteilung zu einer aufsichtsrechtlichen Maßnahme gegen das Jobcenter kann das Gericht den Beklagten nicht verurteilen. Dies ist aus der DSGVO nicht herleitbar.

Fazit

Das Gericht orientiert sich bei seiner Begründung strikt an den Vorgaben der DSGVO. Diese sieht eine Klagemöglichkeit gegen verbindliche Beschlüsse (also Verwaltungsakte) der Aufsichtsbehörde vor. Im Rahmen einer solchen Klage kann dann natürlich auch die Ermessensentscheidung der Aufsichtsbehörde überprüft werden. Jedoch sieht die DSGVO nicht vor, dass ein Betroffener direkt Klage auf Vornahme einer ganz bestimmten behördlichen Maßnahme erheben könnte.

Lohnbuchhaltung durch Steuerberater: Bundesrat möchte gesetzliche Klarheit zur Einordnung nach der DSGVO schaffen

Posted on by

Seit einiger Zeit ist zwischen den deutschen Datenschutzbehörden umstritten, wie die Tätigkeiten von Steuerberater datenschutzrechtlich einzuordnen sind, wenn diese „nur“ Tätigkeiten der Lohnbuchhaltung durchführen.

Ist der Steuerberater in diesem Fall Auftragsverarbeiter oder (als Berufsgeheimnisträger) eigener Verantwortlicher?

Hier einige Positionen:

LfDI Baden-Württemberg: „Danach kommt für die Beauftragung des Steuerberaters mit der laufenden Lohn- und Gehaltsabrechnung datenschutzrechtlich nur eine Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO in Betracht“.

LDA Bayern (pdf): „Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen“.

LDI NRW: „Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen  – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung  gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung“.

Aktuell liegt im Bundesrat zur Verhandlung der Entwurf eines Dritten Gesetzes zur Entlastung insbesondere der mittelständischen Wirtschaft von Bürokratie (Drittes Bürokratieentlastungsgesetz) (BR Drs 454/19). Im Rahmen dieses Entwurfs soll auch das Steuerberatungsgesetz (StBerG) angepasst werden.

Die Ausschüsse im Bundesrat schlagen nun mit Empfehlungen (pdf) vom 27.09.2019 eine zusätzliche Anpassung des § 11 StBerG „Verarbeitung personenbezogener Daten“ vor.

§ 11 Abs. 2 StBerG soll wie folgt gefasst werden:

(2) Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72).

Die Ausschüsse begründen diesen Vorschlag unter anderem mit der unklaren Rechtsage und den verschiedenen Ansichten der Datenschutzbehörden. Die Ausschüsse im Bundesrat stellen sich gegen die Ansichten jener Aufsichtsbehörden, die von einer Auftragsverarbeitung durch Steuerberater ausgehen, wenn diese Tätigkeiten im Rahmen der Lohnbuchhaltung anbieten.

Vereinzelt gehen die Landesbeauftragten für den Datenschutz und Informationsfreiheit davon aus, dass es sich bei den in § 6 Nummer 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, nicht um Tätigkeiten der Hilfeleistung in Steuersachen im Sinne von § 1, § 33 StBerG handelt. Dieser Auffassung kann nicht gefolgt werden.“ (Hervorhebung durch mich)

Die Ausschüsse gehen davon aus, dass Steuerberater bzw. die in § 3 StBerG aufgeführten Personen und Gesellschaften eigenverantwortlich tätig sind. Die in § 6 Nr. 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“ seien gerade nicht vom Anwendungsbereich des Steuerberatungsgesetzes ausgenommen.

Die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst regelmäßig vielmehr die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen“.

Die Ausschüsse empfehlen mithin eine gesetzliche Vorgabe zur Einordnung von wirtschaftlichen Tätigkeiten und damit umfassten Datenverarbeitungen innerhalb des Verantwortlichkeitsgefüges der DSGVO. Die Ausschüsse nennen dies in der Begründung eine „klarstellende Ergänzung“.

Jedoch wird man auch fragen können, ob der nationale Gesetzgeber Vorgaben dazu machen darf, wie datenschutzrechtliche Verantwortlichkeiten zu verteilen sind und vor allem wie bestimmte Tätigkeiten innerhalb der DSGVO einzuordnen sind? Als Verantwortlicher oder als Auftragsverarbeitung? Auf eine Öffnungsklausel der DSGVO wird in der Begründung nicht verwiesen und es gilt natürlich zu beachten, dass die legal definierten Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ unmittelbar bindend sind. Spinnt man diese Idee hypothetisch weiter, könnte der nationale Gesetzgeber dazu übergeben, Festlegungen zur Rollenverteilung nach der DSGVO zu treffen, was wiederum dem Harmonisierungsgedanken der DSGVO entgegenstehen könnte.