Category Archives: Datenschutzbehörde

Bayerische Datenschutzbehörden: keine eigene Verantwortlichkeit des Mitarbeiters beim Missbrauch von beruflichen Daten für private Zwecke (Exzess)?

Posted on by

Der BayLfD hat jüngst eine aus meiner Sicht wirklich gelungene und hilfreiche Orientierungshilfe zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO veröffentlicht. In der Orientierungshilfe befasst sich die Behörde auch mit der Frage der Verantwortlichkeit in Situationen des sog. Mitarbeiterexzesses – Fälle, „bei denen Beschäftigte von Verantwortlichen Daten, auf die sie nur für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden“.

Die „bayerische Auffassung“ – Arbeitgeber / Dienstherr bleibt Verantwortlicher

In diesem Zug war ich durchaus überrascht, von der sog. „bayerischen Auffassung“ zu lesen (ab S. 42 ff.). Diese Ansicht wird vom BayLfD wie folgt zusammengefasst:

Die beiden bayerischen Aufsichtsbehörden – der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht – vertreten übereinstimmend die Auffassung, dass ein Beschäftigter nicht zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO wird, wenn er Daten, die ihm für dienstliche Zwecke zur Verfügung stehen, mittels dienstlicher Abfragesysteme für private Zwecke abruft“.

Nach Auffassung des BayLfD und wohl auch des BayLDA stellt diese zweckwidrige Verwendung von Daten aus dem beruflichen Kontext noch keine Handlung dar, die den Beschäftigten zu einem eigenen datenschutzrechtlichen Verantwortlichen machen würde.

Die Konsequenzen dieser Auffassung sind praxisrelevant:

  • „Die öffentliche Stelle bleibt damit im Fall des bloß zweckwidrigen Datenabrufs Einzelverantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, auch für den Datenschutzverstoß durch ihren Beschäftigten“
  • „Der rechtswidrige Abruf dienstlich zugänglicher Daten zu rein privaten Zwecken stellt einen Datenschutzverstoß dar, aufgrund dessen gegen den Verantwortlichen gemäß Art. 83 DSGVO grundsätzlich eine Geldbuße verhängt werden kann“

Gründe für die Ansicht des BayLfD und BayLDA

Der BayLfD begründet seine Auffassung unter anderem damit, dass Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO nur ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ausschlaggebend sei dabei die Entscheidung über die grundsätzlichen Zwecke und Mittel der Abfragesysteme.

Über diese entscheidet ein Beschäftigter jedoch auch dann nicht, wenn er dienstliche Daten für private Zwecke missbraucht“.

Er verwende vielmehr lediglich die ihm zur Verfügung gestellten Abfragesysteme und diese für außerdienstliche, private Zwecke. Der BayLfD verweist in den Fußnoten auch auf die Ansicht des BayLDA in drei Tätigkeitsberichten.

So geht das BayLDA im Tätigkeitsbericht 2020 (ab S. 78 f.) unter anderem davon aus, dass ein Mitarbeitender beim bloßen Datenabruf aus Datenbanken des Unternehmens, bei dem er beschäftigt ist bzw. der bloßen Einsichtnahme in personenbezogene Daten in entsprechende Unterlagen zu privaten Zwecken, nicht zum eigenständigen Verantwortlichen wird, da die beiden dort genannten Kriterien – Zweck- und Mittelbestimmung – nach dem Wortlaut („und“) kumulativ vorliegen müssen. Der Mitarbeitende bestimme nicht über den Mitteleinsatz.

Als zweites Argument verweist der BayLfD auf die vorhandene Vorgabe in Art. 28 Abs. 10 DSGVO für Auftragsverarbeiter. Für den Fall, dass ein Auftragsverarbeiter in rechtswidriger Weise seine Befugnisse überschreitet, wird er insoweit eigener Verantwortlicher. Eine solche Regelung fehle aber in Art. 29 DSGVO in Bezug auf Beschäftigte.

Etwas anderes soll nur dann gelten, wenn der Beschäftigte die abgerufenen Daten mittels arbeitgeberfremder Ressourcen weiterverarbeitet. Also etwa über seinen privaten Laptop oder sein Smartphone. Ab diesem Zeitpunkt greife Art. 4 Nr. 7 DSGVO für den Beschäftigten.

Andere Ansichten

Nun gesteht der BayLfD in seiner Orientierungshilfe aber auch ein, dass diese bayerische Ansicht nicht der einzige derzeit vorgeschlagene Weg ist und von einigen anderen Aufsichtsbehörden nicht geteilt wird. So sehen etwa die Landesdatenschutzbeauftragten in Baden-Württemberg und Nordrhein-Westfalen den Beschäftigten, der dienstliche Daten für private Zwecke verwendet, als Verantwortlichen an.

Zudem verweist der BayLfD auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts (Erkenntnis vom 21. Dezember 2021, W258 2238615-1/16E) und auch die andere Auffassung des Europäischen Datenschutzausschusses (Leitlinien 07/2020), der allein an die Zwecke der Verarbeitung knüpft und hieraus bereits die eigene Verantwortlichkeit des Mitarbeiters ableitet.

Der BayLfD geht in Fn. 140 davon aus, dass die Entscheidung des österreichischen Bundesverwaltungsgerichts – soweit ersichtlich – die erste Entscheidung eines Gerichts im deutschsprachigen Raum zu dieser Frage sei. Ergänzen lässt sich insoweit noch eine ältere Entscheidung des Verwaltungsgerichts (VG) Mainz (Urteil vom 17.12.2020 – 1 K 778/19.MZ), das ebenfalls nicht die Ansichten von BayLfD und BayLDA vertritt.

Nach dem VG ist von einem den Zurechnungszusammenhang unterbrechenden „Exzess“ jedenfalls dann auszugehen, wenn Beschäftigte Daten unbefugt für eigene Zwecke verarbeiten – wie z.B. bei der Einsichtnahme in behördliche Datenbanken für private Zwecke oder Entwendung von Kundendaten. Das VG lässt also, entgegen der bayerischen Auflassung, die eigene Zweckbestimmung durch den Mitarbeiter durchaus für eine eigene Verantwortlichkeit ausreichen. Der jeweilige Beschäftigte schwinge sich dann insoweit selbst zum Verantwortlichen auf, indem er anfängt, selbst darüber zu entscheiden, wie und warum mit Daten umgegangen wird.

Einschätzung

Ich war von der Ansicht beim ersten Lesen der Orientierungshilfe tatsächlich überrascht, da ich bisher auch immer die eigenständige Zweckänderung durch den Mitarbeiter als ausreichend für die Einstufung als Verantwortlicher gesehen habe.

Die Argumentation der Behörden, dass der Mitarbeiter deshalb nicht verantwortlich ist, da er ja nicht über die Mittel der Verarbeitung entscheide, ist aus meiner Sicht zudem diskutabel. Denn wenn der Mitarbeiter etwa eine CRM-Software verwendet, um dort für private Zwecke nach Kundendaten zu suchen, bestimmt er meines Erachtens natürlich auch in diesem Moment über den Einsatz des Mittels „CRM-Software“ – eben allein für seine privaten Zwecke. Zudem könnte man hierfür ergänzend die Ansicht des Generalanwalts in der Rs. C-579/21 anführen (hierzu mein Blogbeitrag), in der er davon ausgeht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann, da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Fazit

Überspitzt formuliert kann man konstatieren: solange Mitarbeiter in Bayern (im privaten oder öffentlichen Bereich) allein über Systeme ihres Arbeitgebers missbräuchlich mit Daten umgehen, droht ihnen von Seiten der Datenschutzaufsicht kein Ungemach. Der Arbeitgeber müsste befürchten, wegen eines Verstoßes gegen Art. 32 DSGVO geprüft oder ggfs. sanktioniert zu werden.

Verzicht auf den Auskunftsanspruch im arbeitsgerichtlichen Vergleich? Zur Abdingbarkeit von Betroffenenrechten

Posted on by

Bekanntlich gehört die Geltendmachung von Auskunftsansprüchen nach Art. 15 DSGVO in arbeitsgerichtlichen Verfahren mittlerweile „zum guten Ton“ – ob nun wirklich immer mit einer Intention des Datenschutzes oder doch eher, um Aufwände zu kreieren, sei hier dahingestellt.

In ihrem aktuellen Tätigkeitsbericht 2023 (ab S. 119) befasst sich die Datenschutzbehörde des Saarlandes (LfDI) mit der relevanten Frage, ob Arbeitgeber und Arbeitnehmer eine Vereinbarung (etwa in Form eines Vergleichs) mit dem Inhalt treffen können, dass der Betroffene auf die Ausübung seines Auskunftsanspruchs nach Art. 15 DSGVO verzichtet? Ob das Betroffenenrecht also zur Disposition der Parteien steht?

Datenschutz als Grundrecht – Selbstbestimmtheit der Betroffenen

Die LfDI verweist darauf, dass das europäische Datenschutzrecht Ausfluss des Grundrechts aus Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh) ist. Dieses Grundrecht sei wichtig – jedoch kein Grundrecht unabdingbarer Natur, wie etwa die Menschenwürde aus Art. 1 GRCh.

Die Behörde geht davon aus, dass das Prinzip der Selbstbestimmtheit des Betroffenen im Datenschutzrecht besondere Bedeutung hat. Was etwa durch das Institut der Einwilligung aus Art. 6 Abs. 1 lit. a, Art. 7 DSGVO unmissverständlich zum Ausdruck komme.

Die LfDI leitet hieraus in einem Erst-Recht-Schluss ab:

Kann der Betroffene durch eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten seine Zustimmung erteilen und dieser Verarbeitung dadurch eine rechtliche Grundlage verleihen, so muss er auch eine Entscheidungsbefugnis dahingehend haben, ob und in wieweit er seine hierzu im Annex stehenden Betroffenenrechte ausübt bzw. auf diese verzichtet.“

Dies gelte auch in Situationen, in denen es evtl. ein Machtgefälle bzw. Ungleichgewicht zwischen den Parteien gibt – wie im Beschäftigtenverhältnis. Die LfDI macht hier aber eine relevante Einschränkung ihrer Ansicht. Sie sieht insbesondere dort die Möglichkeit der Selbstbestimmtheit, wo es um zurückliegende Verarbeitungen in der Vergangenheit geht.

Formulierung des Vergleiches / Verzichts

Zudem befasst sich die LfDI auch mit der erforderlichen Formulierung einer solchen Vereinbarung. Grundsätzlich müssen die Formulierungen in einem arbeitsgerichtlichen Vergleich natürlich hinreichend klar und bestimmt sein,

um ein datenschutzrechtliches Betroffenenrecht einvernehmlich auszuschließen“.

Auch eine sog. Salvatorische Abgeltungsklausel, mit der jegliche Ansprüche aus dem Arbeitsverhältnis und dessen Beendigung, gleich ob bekannt oder unbekannt und gleich aus welchem Rechtsgrund, abgegolten sein sollen, genügt nach Auffassung der LfDI dem Bestimmtheitserfordernis.

Auch wenn sich die Vereinbarung dem Wortlaut nach „nur“ auf Ansprüche „aus dem Arbeitsverhältnis“ bezieht, ist dies nach Auffassung der Behörde unschädlich, da das Arbeitsverhältnis gerade Grundlage der Datenverarbeitung ist. Der Bezug zum „Arbeitsverhältnis“ umfasst danach nicht nur arbeitsrechtliche Ansprüche im engeren Sinne,

sondern auch solche datenschutzrechtlicher Art, welche mit dem Arbeitsverhältnis in Verbindung stehen und für welche das Arbeitsverhältnis Verarbeitungsgrundlage war“.

Jedoch macht die LfDI noch eine Einschränkung.

Der Verzicht auf das Betroffenenrecht könne sich nicht auf solche Verarbeitungen beziehen, die der Betroffene noch nicht absehen kann. Hier müsse er weiterhin einen Auskunftsanspruch haben.

Mit Blick auf die Begründung zuvor, dass es sich um Ansprüche aus dem „Arbeitsverhältnis“ handeln muss, scheint die LfDI also eine Grenze zu solchen Verarbeitungen zu ziehen, die erst in Zukunft stattfinden würden.

Insgesamt stellt die Aufsichtsbehörde aber am Ende ihrer Ausführungen noch einmal fest:

Auskunftsansprüche über Datenverarbeitungen der Vergangenheit, genauer über solche Verarbeitungen, welche aus zeitlich vor dem hierauf gerichteten Vertragsschluss (Vergleichsschluss) resultierenden Datenerhebungen stammen, stehen indes grundsätzlich zur Disposition der Vertragsparteien“.

Fazit

Die LfDI vertritt eine, aus meiner Sicht, durchaus pragmatische und eher verantwortlichenfreundliche Position zur Frage, ob Betroffenenrechte abdingbar sind. Wichtig ist der Behörde zurecht eine klar verständliche und transparente Regelung hierzu. Zudem will die LfDI den Verzicht auf das Betroffenenrecht „nur“ für vergangene Verarbeitungen gelten lassen. Wichtig: ob der Betroffene von den vergangenen Verarbeitungen auch tatsächlich Kenntnis hat, scheint keine Voraussetzung aus Sicht der Behörde zu sein.

Spannend wäre jetzt natürlich die Diskussion, ob die Argumentation der LfDI auf andere Betroffenenrechte übertragbar ist (zB das Recht auf Löschung oder Berichtigung) – aus meiner Sicht schon. Zum einen beschränkt die LfDI ihre Ansicht nicht nur auf das Auskunftsrecht. Zum anderen sind die vorgebrachten Argumente durchaus auch für andere Betroffenenrechte anwendbar.  

Bundesverwaltungsgericht Österreich wendet EDSA-Leitlinien zur Berechnung von Geldbußen an

Posted on by

Datenschutzbehörden verwenden zur Berechnung von Geldbußen bekanntlich die EDSA-Leitlinien 04/2022 vom 24.5.2023. Gleichzeitig wissen wir, dass Leitlinien des EDSA keine unmittelbare rechtliche Bindungswirkung für Verantwortliche, Auftragsverarbeiter oder auch nationale Gerichte haben. Der EDSA selbst stellte dazu bereits 2021 fest: „In dieser Hinsicht spiegeln die Leitlinien und Empfehlungen des EDPB, obwohl sie an sich nicht verbindlich sind, den gemeinsamen Standpunkt und das gemeinsame Verständnis wider, das die Behörden einheitlich anwenden wollen“. (Stellungnahme des EDSA).

Dennoch stellen die Leitlinien des EDSA in der Praxis, aber auch in gerichtlichen Verfahren, eine wichtige Ansicht dar, die auch von Generalanwälten am EuGH zur Auslegung der DSGVO verwendet werden (vgl. etwa Rz. 28 in der Rs. C-307/22, zu den Leitlinien 01/2022).

Für die Wirkung und auch rechtliche Bedeutung von Leitlinien relevant ist daher eine neuere Entscheidung des Bundesverwaltungsgerichts (BVwG) aus Österreich vom 26.3.2024 (Gz. W137 2241630-1).

In dem Verfahren ging es um eine Geldbuße der österreichischen Behörde auf Grundlage von Art. 83 DSGVO. Hiergegen wurde Beschwerde eingelegt. Das Bundesverwaltungsgericht setzte das Verfahren dann zunächst aus, bis der EuGH in der Rechtssache Deutsche Wohnen (C-807/21) entschieden hatte. Danach wurde das Verfahren inhaltlich fortgesetzt.

Das BVwG teilte den Parteien nach der Fortsetzung der Verhandlung mit, dass das Gericht bei der Frage der Bemessung der Geldbuße die Leitlinien 04/2022 zumindest mit heranziehen wird.

Dabei wurde den Verfahrensparteien bekannt gegeben, dass sich der Senat bei der allfälligen Strafbemessung an den Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO des Europäischen Datenschutzausschusses, Version 2.1; angenommen am 24. Mai 2023 (auch „Guidelines“ des EDPB) orientieren werde.“

Hiergegen scheint keine der Verfahrensparteien Einwände gehabt zu haben oder rechtliche Argumente gegen die Anwendung der Kriterien des EDSA vorgebracht zu haben.

Bei der konkreten Berechnung der Geldbuße hat das BVwG die Leitlinien des EDSA auch verwendet – wohl aber nicht allein die Leitlinien, da das Gericht davon spricht, dass es diese „ergänzend…herangezogen“ hat.

Das Bundesverwaltungsgericht hat ergänzend die Leitlinien 04/2022 des Europäischen Datenschutzausschusses  als Berechnungsgrundlage herangezogen, die bei – hier gegebenem geringem Schweregrad („low level of seriousness“) – und der oben festgehaltenen Umsatzgröße einen statischen Strafrahmen von bis zu EUR 500.000 annehmen, wobei der konkrete Umsatz im unteren Drittel der Bandbreite (100 Millionen bis 250 Millionen Euro) liegt“.

Was lässt sich aus dieser Entscheidung des BVwG ableiten?

Das Gericht scheint zum einen keinerlei rechtliche Bedenken hinsichtlich der Anwendung der Leitlinien zur Berechnung von Geldbußen zu haben. Zum anderen wird die dort vorgeschlagene Berechnungsmethode vom BVwG verwendet (was für das betroffene Unternehmen im Übrigen auch nicht immer „schlecht“ sein muss). Daher scheint das Gericht also auch die vorgeschlagene Berechnung des EDSA auf Basis des Art. 83 DSGVO als schlüssig anzusehen. Zumindest ergeben sich aus der Entscheidung des BVwG keine Hinweise darauf, dass das Gericht die Vorschläge des EDSA inhaltlich als unzulässig oder mit der DSGVO nicht vereinbar ansieht. Im Ergebnis wird man die Entscheidung des BVwG daher auch als eine Art „Bestätigung“ der vom EDSA vorgeschlagenen Berechnungsmethode ansehen können.

Schwedische Datenschutzbehörde: Umsetzung eines Widerspruchs gegen Werbe-E-Mails innerhalb von 2 Tagen

Posted on by

In einer Entscheidung vom 17.10.2023 hatte sich die schwedische Datenschutzbehörde (IMY) mit mehreren Beschwerden gegen das Unternehmen H&M wegen unzulässiger Marketing-E-Mails und Newsletter befasst. Unter anderem ging es um die Frage, wie schnell ein Verantwortlicher einen Werbewiderspruch nach Art. 21 Abs. 2 DSGVO umsetzen muss.

Sachverhalt

Ein Betroffener beschwerte sich, dass er am 5. April 2019 einen Widerspruch nach Art. 21 Abs. 2 DSGVO gegenüber H&M ausgeübt hatte, in der Folgezeit aber weiterhin werbliche E-Mails, in der Form von Newslettern, erhielt.

Der Widerspruch erfolgt wohl einmal in den Kontoeinstellungen und auch durch direkte Kontaktaufnahme mit dem Kundenservice in Polen und England. Am 8. April 2019 antwortete H&M, dass der Betroffene keine weiteren Newsletter erhalten würde.

Intern wurde der Betroffene wohl auch vom allgemeinen Newsletter genommen. Aber nicht von einem speziellen Kundenclub-Newsletter. Der Betroffene erhielt weiter bis zum 1. August 2019 diese Newsletter zugesendet – also ca. 4 Monate. Am 2. August 2019 wurde der Widerspruch dann auch für den Kundenclub-Newsletter umgesetzt.

Entscheidung der IMY

In ihrer Begründung stellt die IMY zunächst die gesetzlichen Anforderungen für diesen Fall dar.

Nach Art. 21 Abs. 2 DSGVO hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke von Werbung einzulegen. Es bedarf hierzu keiner weiteren Abwägung durch den Verantwortlichen oder Begründung durch den Betroffenen. Erfolgt der Widerspruch, so gibt Art. 21 Abs. 3 DSGVO vor, dass die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet werden dürfen.

Nach Ansicht der Aufsichtsbehörde folgt hieraus, dass eine weitere Verwendung der Daten für werbliche Zwecke einen Verstoß gegen Art. 6 Abs. 1 DSGVO darstellt, da hierfür keine Rechtsgrundlage vorliegt.

Die Umsetzung des Werbewiderspruchs stellt aus Sicht der IMY eine Routineaufgabe für Verantwortliche dar, da gerade keine weiteren Voraussetzungen zur Umsetzung des Widerspruchs zu erfüllen sind.

Zudem verlangt Art. 12 Abs. 3 DSGVO, dass der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellt. Die IMY versteht diese Vorgabe so, dass der Verantwortliche unverzüglich den Werbewiderspruch zu bearbeiten und umzusetzen hat.

Die IMY legt hier einen strengen Maßstab an die zeitliche Umsetzung des Widerspruchs in den Systemen von H&M an. Die Aufsichtsbehörde verweist darauf, dass H&M ein automatisiertes Verfahren zur Umsetzung von Widersprüchen implementiert hatte.

Es sei aber stets eine Frage des Einzelfalls und der konkreten Umstände, wie schnell der Verantwortliche den Widerspruch umsetzen muss – wie also die Vorgabe „unverzüglich“ zu verstehen ist.

Im konkreten Fall nahm die Aufsichtsbehörde an:

In Anbetracht der Umstände des Falles ist IMY der Ansicht, dass zwei Tage eine angemessene Frist für die Bearbeitung des Widerspruchs durch das Unternehmen waren

Die IMY begründet ihre Ansicht unter anderem damit, dass hier gerade ein automatisiertes Verfahren eingerichtet wurde. Die Frist könnte etwa im Fall von manuellen Umsetzungen eine andere sein. Zwei Tage sind also nicht als starre Vorgabe zu verstehen. Zudem dürfte hier auch der Umstand eine Rolle gespielt haben, dass es sich um ein großes Unternehmen handelt, welches viele Kunden weltweit hat und daher Widersprüche an sich nichts Besonderes darstellen.

Generell fordert die Aufsichtsbehörde, dass Widersprüche nach Art. 21 Abs. 2 DSGVO schnell umzusetzen sind, da entsprechend Abs. 3 gerade verhindert werden soll, dass die Daten für werbliche Zwecke weiter verarbeitet werden.

Insgesamt ging die Aufsichtsbehörde hier von Verstößen gegen Art. 12 Abs. 3, Art. 21 Abs. 3 und Art. 6 Abs. 1 DSGVO aus.

Bußgeld in Höhe von 310.000 EUR: Einkauf und Verwendung von Datensätzen (Leads) für Werbezwecke ohne rechtmäßige Einwilligung

Posted on by

Die französische Aufsichtsbehörde (CNIL) hat ein Bußgeld in Höhe von 310.000 EUR gegen das Unternehmen FORIOU erlassen, weil das Unternehmen personenbezogene Datensätze ohne Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für Marketingzwecke verwendet hat (Pressemitteilung der CNIL). Der konkrete Fall an sich mag „wenig spannend“ klingen, jedoch sind die der Entscheidung zugrunde liegenden Ansichten der CNIL generell praxisrelevant für den Umgang mit Daten von Kunden oder potentiellen Neukunden.

Entscheidung der CNIL

FORIOU führt telefonische Akquisitionskampagnen durch, um die von ihm vermarkteten Treueprogramme und -karten zu bewerben. Die Daten der potentiellen Interessenten kauft das Unternehmen von Datenmaklern und Betreibern von Websites für Gewinnspiele und Produkttests. Im Grunde also ein recht alltäglicher Vorgang in der heutigen digitalen Wirtschaft – der Einkauf von Leads / Datensätzen für Werbezwecke.

Die CNIL stellte im Rahmen einer Untersuchung jedoch fest, dass FORIOU keine Rechtsgrundlage, in Form einer wirksamen Einwilligung nach Art. 6 Abs. 1 a) DSGVO, für die Verwendung der Daten nachweisen konnte. Hierbei lag der Fehler nicht nur bei dem werbenden Unternehmen selbst – die Datensätze / Leads waren quasi schon ohne ausreichende Rechtsgrundlage erhoben und mit diesem Makel der „Rechtswidrigkeit“ an FORIOU verkauft worden. Folgende Verstöße legte die CNIL dem Unternehmen zur Last:

  • Irreführende Darstellung der Formulare zur Datenerhebung und Einholung einer (unwirksamen) Einwilligung bei den Datenlieferanten.
  • Die Zustimmungs-Schaltflächen, mit denen die Betroffenen die Einwilligung in die Weitergabe und werbliche Nutzung ihrer Daten erteilen sollten, wurden (durch ihre Größe, Farbe, Überschrift und Position) viel größer und deutlicher hervorgehoben, als die Ablehnungsmöglichkeit.
  • Zudem ist FORIOU, als Käufer der Daten, nach der DSGVO verpflichtet, sich zu vergewissern, dass die betroffenen Personen eine gültige Einwilligung erteilt haben.
  • Zwar habe FORIOU seinen Datenlieferanten im Vorfeld bestimmte vertragliche Anforderungen auferlegt – diese jedoch im weiteren Verlauf nicht wirksam kontrolliert.
  • Zudem wurde FORIOU nicht in jedem Formular als Partner / Unternehmen erwähnt, welches die Daten für werbliche Nutzungszwecke erhält.

Fazit

Die Entscheidung der CNIL knüpft inhaltlich an die festgestellten Verstöße im vergangenen Bußgeldverfahren gegen das Unternehmen CRITEO an. Für die Praxis bedeutet dies, dass Unternehmen, wenn sie personenbezogene Daten von Datenlieferanten, Partnern oder auch Konzerngesellschaften erhalten, stets selbst dafür Sorge tragen müssen, dass eine Rechtsgrundlage für den intendierten Nutzungszweck vorhanden ist.

Datenschutzbehörde Baden-Württemberg: neue Handreichung zu „Drittstaatentransfers“ – wann liegt eine „Übermittlung“ vor und wie muss darüber informiert werden?

Posted on by

Der LfDI Baden-Württemberg hat mit Stand Januar 2024 „Handreichung zu Kapitel V der DS-GVO“ veröffentlicht. Darin erläutert die Datenschutzbehörde ihre Position zu einigen praxisrelevanten Themen rund um Datentransfers in Drittländer außerhalb der EU. Nachfolgend betrachte ich beispielhaft zwei Aspekte der Handreichung.

Wann liegt eine „Übermittlung“ personenbezogener Daten vor?

Die Antwort auf diese Frage ist schon länger umstritten – u.a. auch, weil die DSGVO nicht definiert, was unter einer „Übermittlung“ im Sinne von Kap. V DSGVO zu verstehen ist.

Der LfDI geht für Fallkonstellationen des Zugriffs aus Drittländern auf Daten innerhalb der EU davon aus,  

„dass es sich auch beim Einräumen einer faktischen Zugriffsmöglichkeit aus dem Drittstaat (beispielsweise für administrative oder Supportzwecke) um einen Transfer gemäß Kapitel V DS-GVO handeln kann, zumindest dann, wenn der Zugriff später auch tatsächlich erfolgt.“

Wichtig sind bei dieser Ansicht zwei Aspekte:

  • Es „kann“ sich um eine Übermittlung handeln. Es liegt daher damit nicht per se bei Zugriffsmöglichkeit eine Übermittlung vor.
  • Und: dies ist nur der Fall, wenn der Zugriff auf Daten auch tatsächlich erfolgt.

Gerade die zweite Anforderung des LfDI ist aus meiner Sicht zu begrüßen. Denn hiermit positioniert sich die Behörde klar gegen Auslegungen, die bereits allein eine Zugriffsmöglichkeit als „Übermittlung“ ansehen wollen. Die Datenschutzbehörde verlangt aber klar, dass faktisch ein Zugriff erfolgen muss – die Möglichkeit allein genügt nicht.

Wie muss in Datenschutzhinweisen über Drittlandstransfers informiert werden?

Nach Art. 13 Abs. 1 f) DSGVO muss der Verantwortliche „gegebenenfalls“ über die Absicht informieren, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

In dieser gesetzlichen Anforderung stecken mehrere (alternative) Informationspflichten. Information über

  • die Absicht, personenbezogene Daten zu übermitteln
  • das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses
  • die geeigneten oder angemessenen Garantien nach Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DSGVO und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar.

Zum zweiten Punkt vertritt etwa die irische Aufsichtsbehörde die Ansicht, dass die Information auf jeden Fall erteilt werden muss, auch wenn sie nur negativ ausfällt weil es keinen Angemessenheitsbeschluss gibt (z. B.: „Für das Land XYZ liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor“) (vgl. hier meinen Blogbeitrag).

Der LfDI Baden-Württemberg setzt in seiner Handreichung voraus, dass 1) eine namentliche Nennung des Empfängerlandes und 2) des eingesetzten Transferinstruments erfolgen muss. Dies bedeutet für Datenschutzhinweise, dass diese sowohl das oder die konkreten Drittländer benennen müssen. Daneben muss auch konkret für das jeweilige Drittland angegeben werden, ob und welcher  Angemessenheitsbeschluss vorliegt oder aber z.B. die EU-Standarddatenschutzklauseln verwendet werden.

Wichtig: die irische Aufsichtsbehörde legt die Anforderungen des Art. 13 DSGVO in der Weise aus, dass es nicht ausreicht, einfach einen Link zu einer allgemeinen Webseite der Europäischen Kommission zu setzen. Die betroffene Person sollte vielmehr in der Lage sein, auf das jeweilige Dokument, auf das man sich beruft, zuzugreifen. Also etwa per Link auf den konkreten Angemessenheitsbeschluss.

Österreichisches Bundesverwaltungsgericht: Recht auf Datenübertragbarkeit (Art. 20 DSGVO) gegen den (alten) Arbeitgeber? Ja, aber…

Posted on by

Art. 20 DSGVO ist in der Rechtsprechung bisher kaum relevant geworden. Daher ist eine jüngere Entscheidung des österreichischen Bundesverwaltungsgericht (BVwG) zum Recht auf Datenübertragbarkeit gegen eine ehemalige Arbeitgeberin besonders interessant (20.12.2023 – W211 2261679-1).

Sachverhalt

Die Klägerin war bei der Verantwortlichen, einem Transportunternehmen, beschäftigt und kündigte das Arbeitsverhältnis. Die Klägerin verfügte über eine berufliche Emailadresse. Über diese Emailadresse wickelte sowohl berufliche als auch private Emailkorrespondenz ab.

Nach der Kündigung forderte die Klägerin von ihrer ehemaligen Arbeitgeberin basierend auf Art. 20 DSGVO, ihre personenbezogenen Daten, insbesondere ihre Korrespondenz (privat und beruflich), die auf dem Emailaccount gespeichert sei, in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln.

Die Herausgabe der Daten wurde von der Arbeitgeberin in Bezug auf berufliche Emails verweigert, u.a. weil die Klägerin nun in einem Konkurrenzunternehmen arbeite. Hinsichtlich privater Emails sei diese Nutzung zwar gegen eine Dienstanweisung erfolgt – diese würden aber übermittelt und danach gelöscht.

Die Klägerin legte hierzu Beschwerde bei der österreichischen Datenschutzbehörde (DSB) ein. Die DSB wies die Beschwerde wegen Verletzung des Rechts auf Datenübertragbarkeit jedoch als unbegründet ab.

Nach Ansicht der DSB betreffe das Recht auf Datenübertragbarkeit jene Daten, die eine betroffene Person einem Verantwortlichen bereitgestellt habe. Dazu würden keine Daten zählen, die von anderen Nutzern eines Dienstes bereitgestellt worden seien. Deswegen würden empfangene Emails nicht unter den Anspruch aus Art. 20 DSGVO fallen. Darüber hinaus dürften bei Ausübung dieses Rechts die Rechte und Freiheiten anderer nicht beeinträchtigt werden. Die Übermittlung der beruflichen Emails würde die Arbeitgeberin schwer und unzulässig beeinträchtigen. Die Übermittlung privater Emails würde ebenfalls Rechte und Freiheiten Dritter beeinträchtigen, und zwar die Absender. Auch könnte der Inhalt der Emails sich auf Dritte beziehen.

Gegen diese Entscheidung der DSB wendet sich die Klägerin.

Entscheidung

Das BVwG verhielt sich nicht zu der Frage, welche Auswirkung die (vorgebrachte) Untersagung der privaten Nutzung der Emails hat. Nach Ansicht des BVwG ist die Frage, ob es eine Dienstanweisung gegen die private Nutzung des beruflichen Emailaccounts gab oder nicht,

für die datenschutzrechtliche Einschätzung im Endeffekt unerheblich“.

Das BVwG scheint hier also den Bereich des Datenschutzes streng von Fragen des (möglicherweise geltenden) Fernmeldegeheimnisses zu trenne.

Wichtig: Art. 20 DSGVO gilt auch im Arbeitsverhältnis

Implizit stellt das BVwG klar, dass das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO auch im (beendeten) Arbeitsverhältnis gilt. Denn es befasst sich nicht mit der Frage, ob Art. 20 DSGVO in der vorliegenden Konstellation überhaupt greift. Vielmehr prüft das BVwG das Vorliegen der Tatbestandsvoraussetzungen und Ausnahmen.

Was bedeutet „bereitgestellt“?

Nach Ansicht des BVwG sind unter „bereitgestellten“ Daten zunächst jene Daten zu verstehen, welche die betroffene Person aktiv und wissentlich der Verantwortlichen übermittelt hat (zB Daten, die bei der Kontoeröffnung angegeben werden, hochgeladene Bilder in sozialen Medien, Kontaktlisten des Webmail-Kontos).

Zudem verweist das BVwG auf die sehr weite Auslegung des Begriffs durch die Art.-29-Datenschutzgruppe. Danach umfasst das Recht auch jene Daten, die durch Nutzung des Dienstes der Verantwortlichen oder durch Beobachtung angefallen bzw. generiert worden sind.

Im Beschäftigungskontext könnten dies etwa Bewerbungsunterlagen, dienstliche E-Mails und elektronische Zeitaufzeichnungen sein. Damit war der Anwendungsberiech von Art. 20 DSGVO eröffnet. Diese Ansicht ist meines Erachtens richtig (vgl. etwa meinen Beitrag in RDV 2018, S. 3 “Datenübertragbarkeit im Beschäftigungsverhältnis – Arbeitgeberwechsel: Und die Daten kommen mit?“), auch wenn Art. 20 DSGVO wohl eigentlich nicht für diese Situationen gedacht war. Spannend wird es vielmehr bei den einzelnen Voraussetzungen und auch Ausnahmen des Art. 20 DSGVO.

BVwG: Betroffener muss „Bereitstellung“ darlegen

Eine erste Einschränkung bei der Ausübung des Rechts macht das BVwG bei dem Antrag auf Datenübertragung.

Die betroffene Person wird zur Geltendmachung ihres Begehrens darlegen müssen, dass die Daten, die sie übertragen lassen möchte, von ihr bereitgestellt wurden und sie betreffen, dass ihre Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und dass sie automatisch verarbeitet werden“.

Das BVwG verlangt hier also vom Betroffenen den Nachweis, dass es sich um „bereitgestellte“ Daten iSv Art. 20 DSGVO handelt. Das Gericht begründet seine Ansicht u.a. damit, dass es sich um ein antragsbedürftiges Recht handele.

Im vorliegenden Fall habe der Antrag kein ausreichend konkretisiertes Begehren auf Datenübertragbarkeit nach Art. 20 DSGVO für andere Daten als die Emails enthält. Abgesehen von der Korrespondenz über den Emailaccount werden weitere Daten, die übermittelt werden sollen, nicht ausreichend konkretisiert.

Übertragung beruflicher Mails?

Das BVwG stützt sich in seiner Entscheidung auf die Argumentation der DSB. Eine Übertragung der beruflichen Emails wird auf der Grundlage der Ausnahme nach Art. 20 Abs. 4 DSGVO abgelehnt.

Die Übermittlung der beruflichen Emails würde die Rechte der Arbeitgeberin, zB in Bezug auf Geschäftskontakte und Rechnungsdaten, insbesondere vor dem Hintergrund, dass die Klägerin nunmehr in einem Konkurrenzunternehmen tätig ist, schwer beeinträchtigen.

Wichtig: damit macht das BVwG auch klar, dass der Verantwortliche selbst im Rahmen des Art. 20 Abs. 4 DSGVO eine „andere Person“ ist.

Übertragung private Mails?

Hier begründet das BVwG die Ablehnung des Anspruchs aus Art. 20 DSGVO anders. Hinsichtlich der auf der personalisierten Emailadresse verfassten privaten Emails kann nicht davon ausgegangen werden, dass die Betroffene diese im Sinne der Bestimmung der Verantwortlichen „bereitgestellt“ hat.

Das BVwG verneint hier also bereits das Vorliegen eines Tatbestandsmerkmals.

Zwar würde rein technisch, durch die Nutzung des Emailaccounts eine quasi automatische Bereitstellung der Daten an die Verantwortliche erfolgen.

Aber: es handelt sich dabei um keine Daten, die die Verantwortliche in irgendeiner sonstigen Weise verarbeitet noch verarbeiten will, noch der Betroffenen diesbezüglich einen Dienst zu Verfügung stellt, noch im eigentlichen Sinne einen solchen Dienst – für private Emails – zur Verfügung stellen will.

Nach dem BVwG fehlt es am Merkmal „bereitgestellt“, weil der Verantwortliche keine Absicht hat, diese Daten zu erhalten oder für die Bereitstellung einen Dienst zur Verfügung zu stellen. „Bereitstellen“ verlangt also nach dem BVwG, dass der Verantwortliche bewusst und willentlich die Daten empfängt bzw. verarbeitet.

Das Ergebnis des BVwG: Ein Recht auf Datenübertragbarkeit der verfassten privaten Emails aus dem Emailaccount besteht demnach nicht.

Geplante EU-Verordnung zur besseren Durchsetzung der DSGVO – Weitergabe von Informationen aus behördlichen Datenschutzverfahren an andere nationale Aufsichtsbehörden (z. B. Wettbewerb, Finanzen) vorgeschlagen

Posted on by

Derzeit wird in Brüssel über den Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 (2023/0202(COD)) verhandelt. Im Europäischen Parlament ist der LIBE-Ausschuss federführend zuständig und dieser hat mit Datum vom 14. Dezember 2023 seine Änderungsvorschläge zu dem Berichtsentwurf vom 9. November 2023 vorgelegt.

Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO

Ich hatte hier im Blog schon vor einiger Zeit einen Beitrag zu einer möglichen geänderten Fristenberechnung bei der Meldung von Datenschutzverletzungen verfasst. Die vorgeschlagene Verordnung fliegt meines Erachtens immer noch sehr unter dem „Radar“ der betroffenen Kreise, hat dabei extrem viele (potentiell) relevante Änderungen zur Folge.

Kurz zur Einordnung: die Verordnung soll Verfahrensregeln im Fall von grenzüberschreitenden Verarbeitungen und darauf basierenden aufsichtsbehördlichen Verfahren etablieren. Die Regelungen der Verordnung würden nationalen Verfahrensvorgaben als Spezialvorschriften vorgehen.

Heute möchte ich auf einen aus meiner Sicht für betroffene Unternehmen und öffentliche Stellen beachtenswerten Vorschlag aus dem LIBE-Ausschuss hinweisen.

Weitergabe von Informationen aus aufsichtsbehördlichen Verfahren an andere nationale Stellen

Nach einem neu vorgeschlagenen Art. 7 Abs. 2a (Änderungsantrag 311 in dem Dokument vom 14. Dezember 2023) sollen die Aufsichtsbehörden anstreben, die im Rahmen der in dieser Verordnung festgelegten Verfahren erhaltenen Informationen an die für den Datenschutz und andere Bereiche zuständigen nationalen und Unionsaufsichtsbehörden, einschließlich der Wettbewerbs-, Finanzdienstleistungs-, Energie-, Telekommunikations- und Verbraucherschutzbehörden, weiterzuleiten, wenn die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden.

Hier noch das englische Original:

Supervisory authorities shall strive to communicate the information obtained in the context of the procedures set out in this Regulation to national and Union supervisory authorities competent in data protection and other areas, including competition, financial services, energy, telecommunications and consumer protection authorities, where the information is deemed relevant to the tasks and duties of those authorities.”

Der Vorschlag bedeutet im Grunde, dass Datenschutzbehörden dazu angehalten sind, Informationen aus einem Aufsichtsverfahren gegen einen Verantwortlichen oder Auftragsverarbeiter auch an andere nationale Stellen zu geben, die ebenfalls in ihrem jeweiligen Rechtsbereich für die Überwachung des Verantwortlichen oder Auftragsverarbeiters zuständig sind.

Interessant ist, dass der Vorschlag wohl keine Pflicht zur Weitergabe der Informationen vorsieht. Andererseits sollen die Aufsichtsbehörden zur Informationsweitergabe angehalten werden. Für die Frage, ob Informationen aus dem Verfahren weitergegeben werden sollen, kommt es nach dem Vorschlag wohl allein auf die Einschätzung der Datenschutzbehörde an. Die Weitergabe soll erfolgen, wenn „die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden“ – aus Sicht der Datenschutzbehörde.

An welche Aufsichtsbehörden in anderen Rechtsbereichen die Informationen weitergegeben werden sollen, wird nicht abschließend benannt („einschließlich“). Beispielhaft werden etwa Behörden aus dem Bereich Wettbewerb, Energie, Telekommunikation oder auch Verbraucherschutz.

In Deutschland könnte man also an die Weitergabe von „relevanten“ Informationen an die BaFin oder das Bundeskartellamt denken. Ziemlich klar ist der Zweck des Vorschlags, anderen Aufsichtsbehörden ebenfalls die Durchführung von entsprechenden Verfahren zu ermöglichen.

Jedoch soll die Weitergabe nach dem Vorschlag wohl tatsächlich nur an Behörden, also öffentliche Stellen, erfolgen.

Der Sinn und Zweck des Vorschlags ergibt sich recht klar aus der Begründung im Berichtsentwurf (Änderungsantrag 117, Dokument vom 9. November 2023; inoffizielle Übersetzung):

In der Erkenntnis, dass die Untersuchung von Verstößen im Bereich des Datenschutzes Beweise für Verstöße in anderen Bereichen liefern können. Dies ist eine Forderung vieler zivilgesellschaftlicher Organisationen

Keine Pflicht zur Vertraulichkeit?

Man wird die Frage stellen können, wie eine solche Vorgabe bzw. ein solches Recht mit der Vertraulichkeitsverpflichtung der Datenschutzbehörden einhergeht.

Nach Art. 54 Abs. 2 DSGVO sind ja die Mitglieder und die Bediensteten jeder Aufsichtsbehörde gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Eventuell mag man über Art. 57 Abs. 1 g) DSGVO hiervon noch eine Ausnahme machen – jedoch allein in Bezug auf andere Datenschutzbehörden.

Sollte aber die neue Verordnung für zusätzliche Verfahrensregeln anwendbar werden, dann gilt diese (als EU-Verordnung) neben der DSGVO und konkretisiert bzw. ändert als Spezialregelung sogar die allgemeinen Regelungen der DSGVO, wie auch Art. 54 Abs. 2 DSGVO.

Auch ein Verweis auf möglicherweise entgegenstehende nationale Verbote würde wohl nicht helfen. Denn auch hierbei ist zu beachten, dass die verschlagene Verordnung unmittelbar in jedem Mitgliedsstaat Anwendung finden würde. So führt etwa die EU-Kommission in der Begründung ihres Entwurfs aus: „Daher ist eine (in den Mitgliedstaaten unmittelbar geltende) Verordnung erforderlich, um die rechtliche Fragmentierung zu verringern und das Maß an Harmonisierung zu gewährleisten“.

Ich werde in Zukunft sicher noch ein paar Beiträge zu der Verordnung veröffentlichen. Wie gesagt, sind dort viele interessante und praxisrelevante Änderungsvorschläge enthalten.

Durchführung des Digital Services Act (DSA): Bundesratsausschüsse gegen Zuständigkeitskonzentration beim BfDI für Verbote zur Online-Werbung

Posted on by

Nach Art. 26 Abs. 3 DSA dürfen Anbieter von Online-Plattformen Nutzern keine Werbung anzeigen, die auf Profiling nach der DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten beruht. Zudem dürfen nach Art. 28 Abs. 2 DSA Anbieter von Online-Plattformen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten des Nutzers darstellen, wenn sie hinreichende Gewissheit haben, dass der betreffende Nutzer minderjährig ist.

Zuständigkeitsregelung im Entwurf des DDG

Im Entwurf eines Gesetzes zur Durchführung des DSA (PDF, 15.01.2024, S. 71 f.) hatte die Bundesregierung in § 12 Abs. 3 des Digitale-Dienste-Gesetz (DDG) eigentlich vorgesehen, dass die Zuständigkeit für die Durchsetzung der Art. 26 Abs. 3 und Art. 28 Abs. 2 DSA dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) übertragen wird.

Begründet wurde dies u.a. damit, dass sich die in diesen Regelungen enthaltenen Werbeverbote auf in der Datenschutz-Grundverordnung definierte Begriffe stützen,

für deren Auslegung und Umsetzung in der Praxis die oder der Bundesbeauftragte die einschlägige Erfahrung und Expertise aufweist, wie zum Beispiel, ob besondere Kategorien personenbezogener Daten verarbeitet werden oder ein Profiling der Nutzenden stattfindet.“

Veto aus den Ausschüssen des Bundesrates

Mit Datum vom 19.01.2024 haben die beratenden Ausschüsse des Bundesrates nun ihre Empfehlungen zu dem Gesetzentwurf veröffentlicht (PDF). Zu § 12 Abs. 3 DDG wird dort durch den Ausschuss für Innere Angelegenheit eine Anpassung empfohlen – nicht der BfDI soll zuständig sein, sondern die Datenschutzbehörden der Länder.

Begründet wird diese Anpassung u.a. damit, dass Adressaten der Verpflichtungen nach Art. 26 und 28 DSA ausschließlich nicht öffentliche Stellen (Unternehmen als Anbieter von Online-Plattformen) seien,

deren Datenverarbeitung nach § 40 BDSG der Datenschutzkontrolle durch die Datenschutzaufsichtsbehörden der Länder unterliegt.“

Entgegen der Begründung der Bundesregierung für die Zuständigkeitszuweisung an den BfDI, welche auf eine einschlägige Erfahrung und Expertise des BfDI verweist,

muss nach Ansicht des Bundesrates festgestellt werden, dass diesem bislang nicht mehr als eine eingeschränkte sektorale Aufsicht über Telekommunikationsanbieter obliegt.“

Zudem seien bei einer Beschwerdeprüfung auf Grundlage des DSA (bzw. des DDG) Berührungspunkte zu allgemeindatenschutzrechtlichen Fragen,

die der Vollzugsverantwortung der Datenschutzaufsichtsbehörden der Länder vorbehalten sind, regelmäßig vorbestimmt.“

Auch führe eine Zuständigkeitszuweisung an den BfDI

absehbar zur Aufspaltung von datenschutzrechtlichen Beschwerdeverfahren, was den Zielen der Effektivität und Rechtssicherheit widerspricht“.

Einen vermittelnden Vorschlag legen der federführende Verkehrsausschuss und der Wirtschaftsausschuss vor.

Ihrer Ansicht nach sollten der BfDI und die Landesdatenschutzbehörden zuständig sein. Nach Ansicht dieser Ausschüsse würde mit § 12 Abs. 3 DDG eine Aufsichtsstruktur eingeführt,

die eine nicht gebotene nationale Zuständigkeitszersplitterung und weitere Abstimmungsbedarfe in der Praxis nach sich zöge und einheitliche Lebens- und Prüfvorgänge aufspalten würde“.

Daher schlagen sie vor, dass die Landesdatenschutzbehörden für die Webseiten, für die sie ohnehin zuständig sind, auch bezüglich der Vorgaben in Art. 26 Abs. 3 und Art. 28 Abs. 2 DSA zuständig werden.

Welche Variante am Ende im Bundesrat Zustimmung findet, muss man abwarten. Klar ist aber die Tendenz der Ausschüsse, die Zuständigkeit nicht allein dem BfDI zu übertragen.

Widerspruch gegen die Datenverarbeitung: wann liegen „Gründe, die sich aus ihrer besonderen Situation ergeben“ vor?

Posted on by

Nach Art. 21 Abs. 1 DSGVO hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung, die aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO erfolgt, Widerspruch einzulegen. Wann diese „besondere Situation“ vorliegt, erläutert das Gesetz aber nicht. 

Für die Praxis stellt Art. 6 Abs. 1 f) DSGVO in der Wirtschaft eine wichtige Rechtsgrundlage dar. Umso interessanter ist daher die Antwort auf die Frage, wann Betroffene einer Verarbeitung widersprechen können.

Wortlaut

Art. 21 Abs. 1 DSGVO gewährt eindeutig kein voraussetzungsloses Widerspruchsrecht, sondern macht dieses von Gründen abhängig, die sich aus der besonderen Situation des Betroffenen ergeben. Nur zu widersprechen, genügt daher nicht. Dies ergibt sich auch aus einem systematischen Vergleich mit Art. 21 Abs. 3 DSGVO, der gerade allein den Widerspruch (ohne Bezug zu einer besonderen Situation) genügen lässt, wenn Daten für Zwecke der Direktwerbung verwendet werden. 

Rechtsprechung

Landessozialgericht Hessen

Das LSG Hessen (Beschl. v. 29.1.2020 – L 4 SO 154/19 B) hat sich zu den Anforderungen der Darlegung der besonderen Situation des Betroffenen geäußert. 

Das LSG verlangt, dass konkrete Tatsachen zu dieser besonderen Situation vorgetragen werden müssen, die ausnahmsweise das Unterlassen der Erhebung von Daten rechtfertigen sollen. Dies ergebe sich aus der Normstruktur des Art. 21 Abs. 1 S. 2 DSGVO, die eine Abwägung erfordert.

Im konkreten Fall verwies der Kläger u.a. auf eine nach seiner Auffassung der Rechtsprechung des Bundessozialgerichts widersprechende Verwaltungspraxis. Dies genügte dem LSG nicht. Zudem brachte der Betroffene gegen die Verarbeitung seinen Gesundheitszustand vor. Auch dies lehnte das LSG als „besondere Situation“ ab. 

sind dies keine Gründe, die einen Bezug zu Datenschutzbelangen haben.“ 

Interessant an dieser Ansicht des LSG ist, dass das Gericht anscheinend bei den Gründen einen konkreten Datenschutzbezug verlangt. 

Bundesverwaltungsgericht Österreich

Im letzten Jahr hat sich auch das Bundesverwaltungsgericht (BVwG) Österreich (19.4.2023 – W287 2243166-1) mit den Anforderungen an den Widerspruch befasst. 

Das BVwG verlangt, dass der Betroffene im Widerspruch anzugeben hat, inwiefern eine Verarbeitung der Daten, die sich auf den Erlaubnistatbestand des Art. 6 Abs. 1 f) DSGVO stützt, aufgrund einer besonderen Situation dennoch nicht zulässig sein soll. 

Vom Betroffenen ist konkret darzulegen, 

worin im grundrechtlichen Schutzzweck des Datenschutzes seine besondere Situation liegt, die über die im Rahmen des Art. 6 Abs. 1 lit. e und lit. f DSGVO bereits erfolgte allgemeine Güterabwägung hinaus eine Ausnahme von der rechtmäßigen Verarbeitung gegeben sein soll“.

Interessant ist hier, dass das BVwG die besondere Situation des Betroffenen wohl eher als Ausnahme ansieht. Denn es führt aus, dass bei der Annahme der besonderen Situation Zurückhaltung geboten sei. 

Legt der Betroffene „nicht einmal ansatzweise dar, weshalb in seinem Fall eine besondere Situation im zuvor dargelegten Sinne vorliegen sollte“, sind die Anforderungen des Art. 21 Abs. 1 DSGVO nicht erfüllt. In dem Verfahren des BVwG hat übrigens auch die Österreichische Datenschutzbehörde genau diese Ansicht, die das Gericht stützt, vertreten. 

Die Behauptungs- und Beweislast für das Vorliegen der Voraussetzungen liegt nach Ansicht des BVwG beim Betroffenen.

Dementsprechend hat sein Antrag eine qualifizierte Darlegung zu enthalten, die es dem Verantwortlichen ermöglicht, die Voraussetzungen zu prüfen.

Fazit

Abschließend geklärt scheint die Frage, wann eine „besondere Situation“ vorliegt, noch nicht. Gerade die Entscheidung und Begründung des BVwG enthält jedoch nützliche Hinweise dazu, wie Verantwortliche mit Widersprüchen gegen Datenverarbeitungen nach Art. 21 Abs. 1 DSGVO umgehen können.