Category Archives: Datenschutzbehörde

Internationale Datentransfers: muss in Datenschutzhinweisen das konkrete Drittland angegeben werden?

Posted on by

Das Thema „internationale Datentransfers“ ist ja im Grunde ein stetiger Dauerbrenner im Datenschutzrecht. Sei es die Umsetzung der Vorgaben des EuGH bzw. des EDSA oder der zwingende Abschluss der neuen SCC vor Dezember 2022, wenn die alten SCC ihre Gültigkeit verlieren.

Eine Datenübermittlung in ein Land außerhalb des EWR hat aber auch (oft übersehene) Konsequenzen auf der Ebene der Transparenzpflichten, konkret in Art. 13 und 14 DSGVO. Nach Art. 13 Abs. 1 lit. f DSGVO muss der Verantwortliche den Betroffenen, etwa in Datenschutzhinwiesen auf der Webseite oder ggü. den Mitarbeitern, die Absicht mitteilen, „die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind“.

Bereits die „Absicht“ von Datentransfers löst hier also eine Informationspflicht aus. Das ist im Grunde ein Vorfeldschutz, vor der eigentlichen Übermittlung. „Absicht“ dürfte aber zumindest so zu verstehen sein, dass der Verantwortliche die Übermittlung auch tatsächlich plant und will; es geht also nicht um zufällig, unbewusste Übermittlungen.

Praktisch stellt sich oft die Frage, ob denn ein Verantwortlicher das konkrete Drittland in den Hinweisen benennen muss, in welches personenbezogene Daten gehen. Je nach eingebundenen Dienstleistern oder etwa der Größe eines Konzerns, kann hier schnell eine größere Anzahl an Drittländern zusammen kommen. Davon zu trennen ist freilich die stets bestehende Möglichkeit, dass Verantwortliche die spezifischen Drittländer einfach immer benennen, unabhängig davon, ob sie nun verpflichtet sind oder nicht.

Der Wortlaut der Norm spricht eher gegen eine genaue Angabe des Drittlandes. Dort heißt es „ein Drittland“, nicht etwa „das betreffende Drittland“ oder ähnlich. Speziell ist die Situation eventuell im Fall eines Angemessenheitsbeschlusses. Wenn man auf den konkreten Beschluss verweisen würde, ist klar, um welches Land es geht.

Der EDSA führt in seinen Leitlinien zur Transparenz (WP 260 rev01, S. 48) aus: „Im Einklang mit dem Grundsatz von Treu und Glauben sollten die zu Datenübermittlungen in Drittländer bereitgestellten Informationen den betroffenen Personen so zweckdienlich wie möglich sein; normalerweise bedeutet dies, dass die Drittländer namentlich angegeben werden“. Auch der EDSA sieht die Benennung der konkreten Drittländer also wohl eher nicht als Pflicht an, sondern empfiehlt deren Angabe. Die Leitlinien sprechen zumindest nicht davon, dass die Information anzugeben ist oder stets angegeben werden muss. Man mag den EDSA hier evtl. aber auch strenger verstehen.

Der BayLfD ist bei dieser Frage sehr klar (Orientierungshilfe „Informationspflichten des Verantwortlichen“, S. 20). Art. 13 Abs. 1 lit. f DSGVO verlange nicht, dass das betreffende Drittland namentlich genannt wird. Gleichwohl empfiehlt der BayLfD (ebenfalls unter Verweis auf Transparenzgründe) diese Information bereitzustellen.

Ein deutliches Argument gegen eine Pflicht zur Angabe des spezifischen Drittlands nach Art. 13 Abs. 1 lit. f DSGVO ist ein systematischer Vergleich mit der Pflicht des Art. 30 Abs. 1 lit. e DSGVO. Danach muss der Verantwortliche in dem Verzeichnis der Verarbeitungstätigkeiten gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands (Hervorhebung durch mich) dokumentieren. Hier sieht der Gesetzgeber ganz klar eine Pflicht zur Benennung des „betreffenden Drittlands“ vor. Wenn es gewollt gewesen wäre, hätte der Gesetzgeber eben diese Pflicht auch in Art. 13 Abs. 1 lit. f DSGVO aufgenommen. Man muss also davon ausgehen, dass dies bewusst nicht erfolgte.

Keine Auskunft und Reaktion auf Betroffenenanfrage: 20.000 EUR Bußgeld gegen Deutsche Bank in Italien

Posted on by

Die italienische Datenschutzbehörde hat am 16. Juni 2022 ein Bußgeld in Höhe von 20.000 EUR gegen die Deutsche Bank in Italien verhängt (Mitteilung der Behörde, auf Italienisch). Die Entscheidung ist besonders praxisrelevant, da es um einen Verstoß gegen Art. 12 und 15 DSGVO, also das Auskunftsrecht nach der DSGVO ging, welches Unternehmen immer wieder beschäftigt. Vorliegen lag auch einer der klassischen, aber gleichzeitig vermeidbaren Fehler vor: das Auskunftsersuchen wurde nicht (rechtzeitig) bearbeitet.  

Die Entscheidung ist nur auf Italienisch abrufbar. Ich habe sie selbst übersetzt und kann daher nicht für absolute Richtigkeit garantieren.

Sachverhalt

Der Betroffene legte am 26.10.2020 bei der Datenschutzbehörde eine Beschwerde über eine unrechtmäßige Verarbeitung personenbezogener Daten durch die Deutsche Bank S.p.A. ein und beschwerte sich zudem über die Nichtbeantwortung des an die Bank gerichteten Antrags auf Ausübung seiner Betroffenenrechte vom 15.07.2020. In diesem bat er um die nach Art. 13 DSGVO erforderlichen Informationen und wohl auch ganz generell um Auskunft zu seinen Daten (Art. 15 DSGVO). Innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen fristen ging jedoch keine Antwort der Bank ein.

Erst im Nachgang (im Jahr 2021), als die Datenschutzbehörde die Bank zur Auskunft aufforderte, wurde diese gegenüber dem Betroffenen erteilt

In einem Schreiben an die Aufsichtsbehörde räumte die Bank ein, dass sie dem Betroffenen keine Informationen und keine Auskunft erteilt hatte, und übermittelte dem Beschwerdeführer und der Behörde die angeforderten Unterlagen.

Entscheidung

Auf der Grundlage der von der Bank abgegebenen wurde ein Sanktionsverfahrens wegen Verstößen gegen Art. 12 Abs. 3 und Art. 15 DSGVO eingeleitet.

Die Datenschutzbehörde stellt fest, dass die Bank auf den vom Beschwerdeführer formulierten Antrag auf Ausübung seiner Rechte nicht innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen Frist geantwortet hat. Zudem informierte sie den Betroffenen auch nicht innerhalb der vorgegebenen Frist über die Gründe für die Nichterfüllung der Anforderungen und über die Möglichkeit, eine Beschwerde bei der Behörde einzureichen (Art. 12 Abs. 4 DSGVO).

Die Bank verteidigte sich wohl u.a. damit, dass der Antrag auf Ausübung von Rechten im Rahmen eines umfassenderen und detaillierteren Ersuchens des Kunden gestellt worden sei, was eine rechtzeitige Antwort verhindert hätte. Hierin sah die Datenschutzbehörde jedoch kein Argument dafür, die Betroffenenanfrage nicht fristgemäß zu beantworten.

Zur Begründung verweist die Aufsichtsbehörde auch auf Art. 12 Abs. 2 DSGVO, wonach „der für die Verarbeitung Verantwortliche die Ausübung der Rechte der betroffenen Person nach den Artikeln 15 bis 22 zu erleichtern hat“.

Zudem brachte die Bank als Argument vor, dass die Informationen gemäß Art. 13 DSGVO und die Daten, die Gegenstand des Antrags sind, der betroffenen Person bereits bekannt waren. Auch diesen Einwand lies die Datenschutzbehörde nicht gelten.

In Art. 15 DSGVO sei als erster Schritt das Rechts der betroffenen Person verankert, „von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht“ und, falls dies der Fall ist, das Recht, „Zugang zu den Daten“ und weitere Informationen zu erhalten. Dies geschehe auch, um die Richtigkeit und Vollständigkeit der verarbeiteten Daten zu überprüfen.

Basierend hierauf wurde die Beschwerde für begründet erklärt und basierend auf Art. 58 Abs. 2, 83 Abs. 3 DSGVO eine Geldbuße verhängt.

Die Behörde setzt die Geldbuße in Höhe von 20.000,00 EUR für den Verstoß gegen die Art. 12 und 15 DSGVO fest.

Fazit

Betroffenenrechte spielen, insbesondere im B2C-Bereich eine herausragende Rolle, wenn es um die DSGVO-Compliance geht. Insbesondere sollten datenverarbeitende Stellen intern Prozesse und Vorgaben etablieren, die eine rechtzeitige Bearbeitung von Betroffenenanfragen sicherstellen. Eine ausbleibende oder verspätete Antwort kann im schlimmsten Fall mit einem Bußgeld geahndet werden. Gerade der Fehler einer Nichtbearbeitung oder der Verspätung ist meiner Ansicht nach aber in der Praxis gut vermeidbar, wenn man intern entsprechende Vorgaben schafft und Mitarbeiter regelmäßig schult. 20.000 EUR für einen Fall mag im ersten Moment „vertretbar“ anmuten – jedoh sollte man aus Unternehmenssicht beachten, dass, bei fehlenden internen Leitlinien und Prozessen, über einen längeren Zeitraum evtl. nicht nur eine Anfrage, sondern eine viel größere Anzahl nicht richtig bearbeitet wird. Entsprechend dürfte dann auch das mögliche Bußgeld nach oben angepasst werden.

Datenschutzbehörde Liechtenstein: Betroffene haben keinen DSGVO-Anspruch auf Herausgabe der TOMs

Posted on by

In ihrem aktuellen Tätigkeitsbericht (PDF, S. 19) informiert die Datenschutzstelle Liechtenstein u.a. auch zu Beratungsanfragen zu dem Themenkomplex „Auskunft“ nach Art. 15 DSGVO.

Mehrere betroffene Personen als auch Verantwortliche stellten die Frage, ob im Rahmen der Auskunftserteilung nach Art. 15 DSGVO auch eine Information über technische und organisatorische Maßnahmen (TOM) erteilt werden muss. Dies ist ein Fall, der in der Praxis recht häufig vorkommt. Daneben verlangen Betroffene oft auch die Herausgabe des Verzeichnisses der Verarbeitungstätigkeiten.  

Die Antwort der Datenschutzbehörde ist hier (meines Erachtens zu Recht) eindeutig.

Weder Art. 13 oder 14 DSGVO noch Art. 15 DSGVO begründen einen Rechtsanspruch auf Informationen zu TOM.“

Die Aufsichtsbehörde geht in ihrer Einschätzung also auch auf die Informationspflichten nach Art. 13 und 14 DSGVO ein. Auch diese enthielten aber keine entsprechende Verpflichtung zur Zugänglichmachung der TOMs.

Zwar sehe Art. 30 DSGVO vor, dass im Verarbeitungsverzeichnis eine allgemeine Beschreibung der TOM zu erfolgen muss.

Dieses Verzeichnis muss allerdings nicht gegenüber betroffenen Personen offengelegt werden.“

Dies ist eine weitere praxisrelevante Feststellung der Aufsichtsbehörde.

Finnische Datenschutzbehörde: Regelmäßige Prüfung der Kontaktkanäle für Datenschutzanfragen erforderlich

Posted on by

Am 9.5.2022 hat die finnische Datenschutzbehörde gegen ein Unternehmen (einen finnischen Verlag) ein Bußgeld in Höhe von 85.000 EUR wegen mehrerer Verstöße gegen die DSGVO verhängt (Englisch). Die Entscheidung betrifft einige praxisrelevante Fragestellung der Umsetzung von Betroffenenrechten.

Einleitend informiert die Behörde darüber, dass sie insgesamt elf Beschwerden zu dem Unternehmen erhalten hatte. Unter anderem hatten die Betroffenen keine Antwort auf ihre Anträge oder Anfragen zu Datenschutzrechten erhalten.

Kontaktkanäle für betroffene Personen müssen regelmäßig getestet werden

Einige Datenschutzanfragen von Betroffenen wurden aufgrund eines technischen Problems bei der E-Mail-Weiterleitung nicht umgesetzt, als das Unternehmen seinen Dienstleister wechselte.

Dies führte dazu, dass E-Mails, die in dem für Datenschutzfragen reservierten E-Mail-Posteingang eingingen, nicht an die Mitarbeiter des Kundendienstes weitergeleitet wurden. Das Problem wurde erst durch das Auskunftsersuchen der Datenschutzbehörde entdeckt. Zu diesem Zeitpunkt hatte die Unterbrechung der E-Mail-Weiterleitung bereits sieben Monate gedauert.

Nach Ansicht der Aufsichtsbehörde wäre das Unternehmen verpflichtet gewesen, sich um die Prüfung des E-Mail-Postfachs zu kümmern, da dies der wichtigste elektronische Kontaktkanal der betroffenen Personen in Datenschutzangelegenheiten war.

Aus der offiziellen Pressemitteilung wird leider nicht klar, welche Norm der DSGVO die Behörde hierdurch als verletzt ansieht. Auf der Webseite des EDSA wird u.a. ein Verstoß gegen Art. 12 DSGVO angegeben. Dies scheint mir hier auch die passende gesetzliche Grundlage zu sein. Nach Art. 12 Abs. 2 S. 1 DSGVO muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtern. Wenn aber Anfragen von Betroffenen gar nicht bearbeitet werden (und sei es auch nur aufgrund eines technischen Fehlers), dürfte dies gerade keine Erleichterung, sondern eine Erschwerung darstellen. Praktisch bedeutet dies, dass Unternehmen in regelmäßigen Abständen ihre DSGVO-Kanäle für Betroffene von extern testen sollten.

Unnötige Informationen dürfen nicht zur Identifizierung angefordert werden

Daneben konnten Betroffene mit einem ausdruckbaren Formular auch Anfragen zu ihren eigenen Daten stellen. Hierbei ging es wohl um Auskunftsanfragen nach Art. 15 DSGVO. Das Formular verlangte zur Identifikation jedoch die Unterschrift der betroffenen Person.

Nach Ansicht der Aufsichtsbehörde verarbeitete das Unternehmen aber auf diese Weise eine übermäßige Menge an Informationen zur Identifizierung. Insbesondere konnte das Unternehmen nicht darlegen, dass es die Unterschrift etwa mit bei sich vorhandenen Unterschriften der Betroffenen abglich. Denn es wurden ansonsten keine Unterschriften der Betroffenen erhoben.

Auch dieses Vorgehen dürfte nach Ansicht der Behörde einen Verstoß gegen Art. 12 Abs. 1 DSGVO darstellen. Zudem wird in der Mitteilung auf der Webseite des EDSA auch ein Verstoß gegen Art. 5 Abs. 1 lit. c DSGVO erwähnt, also gegen den Grundsatz der Datenminimierung. Die (nicht erforderliche) Erhebung es Datums „Unterschrift“ dürfte auch gegen diese Norm verstoßen haben.

Bayerischer Landesbeauftragter: Datenlöschung kann grundsätzlich von Verjährungs- oder Klagefristen abhängig gemacht werden

Posted on by

Der Bayerische Landesbeauftragte (BayLfD) hat im Juli eine schöne Orientierungshilfe zu dem Recht auf Löschung nach der DSGVO veröffentlicht (PDF). Hierbei geht die Behörde auch auf die praxisrelevante Frage ein, ob und wenn ja, wann personenbezogene Daten zu löschen sind, wenn diese Daten gegebenenfalls noch im Rahmen von rechtlichen Auseinandersetzungen und zur Verteilung gegen Ansprüche erforderlich sind.

Nach Art. 17 Abs. 1 lit. a) DSGVO sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Nach dem BayLfD sind die Daten für den Verarbeitungszweck unter anderem nicht mehr notwendig, wenn dieser Zweck schon erreicht wurde, indem die ursprünglich angedachte Maßnahme durchgeführt wurde, und dazu nur die temporäre Datennutzung erforderlich war. Ebenso ist es aber auch möglich, dass die Zwecke nicht erreicht wurden und auch nicht mehr erreichbar sind.

Nach Art. 17 Abs. 3 lit. e) DSGVO gilt Absatz 1 jedoch nicht (es besteht also keine Löschpflicht), soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Zweck dieser Vorschrift ist es laut dem BayLfD u.a., einem Beweismittelverlust durch Löschung entgegenwirken. Zudem gelte die Ausnahme sowohl für gerichtliche wie außergerichtliche Verfahren. Diese Klarstellung ist sehr praxisrelevant, da natürlich nicht jede Streitigkeit zu Verträgen oder etwa Ansprüchen von Kunden direkt gerichtlich ausgefochten wird.

Wann darf man sich auf die Ausnahme berufen?

Eine strenge Ansicht vertritt der BayLfD jedoch bei der Frage, wann davon auszugehen ist, dass die Daten für die Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich sind. Nach Ansicht der Behörde wäre es nicht mehr erforderlich,

wenn Daten nur zu dem Zweck dauerhaft gesammelt würden, weil diese theoretisch irgendwann Gegenstand eines Rechtsstreits sein könnten. Vielmehr muss die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bereits stattfinden oder mit einer hinreichend hohen Wahrscheinlichkeit bevorstehen“.

Diese Ansicht vertreten auch andere deutsche Aufsichtsbehörden. Meines Erachtens benachteiligt eine solche Auffassung aber datenverarbeitende Stellen unangemessen, bei denen es bisher nie zu Problemen kam. Ein Beispiel: der Schönheitschirurg, der sich bisher nie Klagen von Patienten ausgesetzt sah, dürfte Behandlungsdokumentation nicht mit dem Argument speichern, dass eine solche Klage in Zukunft aber theoretisch möglich ist. Andererseits dürfte der Arzt, bei dem es regelmäßig zu Klagen von Patienten wegen schlechter Behandlung kommt, die personenbezogenen Daten speichern, um sich verteidigen zu können. Denn bei ihm bestünde eine „hinreichende Wahrscheinlichkeit“. Dieses Ergebnis ist aus meiner Sicht unangemessen und so auch nicht aus Art. 17 Abs. 3 lit. e) DSGVO ableitbar.

Orientierung an Verjährungs- und Klagefristen

Begrüßenswert ist die Auffassung des LfD, dass sich die zeitliche Dimension der Erforderlichkeit im Grundsatz klar bemessen lässt,

wenn die Möglichkeit der Rechtsdurchsetzung an Fristen (etwa Verjährungs- oder Klagefristen) gebunden ist.“

Die Behörde hält es also für zulässig, wenn sich Verantwortliche bei der Frage der Löschung an laufenden Verjährungsfristen und Klagefristen von Ansprüchen orientieren. Ich würde hier auch entsprechende Fristen zur Verfolgungsverjährung, etwa aus dem OwiG zählen (§ 31 OwiG). Jedoch schränkt der LfD seine Ansicht dahingehend ein, dass insbesondere bei langen Verjährungsfristen eine Abwägung zwischen den Interessen der betroffenen Person auf Löschung der Daten einerseits und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen andererseits vorzunehmen sei. Diesbezüglich stellt sich meines Erachtens erneut das oben angesprochene Problem, dass bei einer solchen Auslegung datenverarbeitende Stellen begünstigt wären (Daten also speichern dürften), wenn sie in der Vergangenheit mit Ansprüchen und Klagen konfrontiert waren; Unternehmen, bei denen es jedoch bislang nie solche Streitigkeiten gab, müssten aber wohl vor Ablauf einer „langen“ Verjährungsfrist löschen. Unklar ist hier, was der LfD unter einer „langen“ Frist versteht.

Datenschutzbehörde Hessen: Auskunftsanspruch kann wegen Zeugen-/Informantenschutz beschränkt werden

Posted on by

In ihrem aktuellen Tätigkeitsbericht 2021 (PDF, ab S. 109 ff.) befasst sich die Hessische Datenschutzbehörde (HBDI) mit der Frage, unter welchen Voraussetzungen eine Einschränkung des Auskunftsanspruchs nach Art. 15 Abs. 4 DSGVO möglich ist. In der Praxis ist diese Frage oft sehr relevant. Gleichzeitig fehlen jedoch konkrete Beispiele und Anwendungsfälle, wann sich ein Verantwortlicher auf „Rechte anderer Personen“ berufen kann und welche Rechte hiervon umfasst sind.

ErwG 63 DSGVO verweist beispielhaft auf Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht.

Der HBDI geht davon aus, dass unter diese „Rechte“ auch berechtigte Interessen anderer Personen fallen. Klarstellend fügt die Behörde hinzu, dass dieses Interesse

nicht notwendig durch eine Geheimhaltungsvorschrift geschützt sein“ muss.

Dies ist eine begrüßenswerte und praxisrelevante Ansicht. Denn von den „Rechten“ sind dann nicht nur rechtliche Schutzpositionen umfasst, die sich aus Gesetzen ableiten, wie etwa das Urheberrecht.

Die Behörde erläutert ihre Position anhand eines Beispiels. Umfasst sei insbesondere der Fall, dass der Verantwortliche Informationen über die betroffene Person von einer oder einem Anderen – unter Umständen gegen eine Zusage vertraulicher Behandlung – erhalten hat, die oder der ein z.B. behördliches Einschreiten gegen einen Missstand erreichen möchte.

Die Ausnahme des Abs. 4 erfasst also nach Ansicht des HBDI nicht nur rechtlich verbürgte Schutzpositionen, sondern auch berechtigte Erwartungen auf Geheimhaltung und Vertraulicheit. Dies ist eine relevante Klarstellung, die in der Praxis vor allem den Bereich des Compliance-Managements und eines Hinweisgebersystems betreffen dürfte.

Der HBDI begründet seine Ansicht weiter:

Das Interesse der anderen Person an einer Geheimhaltung ihrer Identität als „Quelle“ überwiegt gegenüber dem Auskunftsinteresse jedenfalls solange, wie Anhaltspunkte dafürsprechen, dass die Offenbarung der Identität der Informantin oder des Informanten zu rechtlichen oder tatsächlichen Benachteiligungen der „Quelle“ führen könnten.“

Dies dürfte man so verstehen, dass eine Information über die meldende Person im Rahmen einer Auskunft nicht herauszugeben ist, solange etwa ein Ermittlungs- oder Gerichtsverfahren läuft und zu befürchten ist, dass etwa der Zeuge oder Informant Nachteile erleiden könnte, sollte die Tatsache seiner Meldung herauskommen. 

Interessenkonflikte bei Datenschutzbeauftragten – Hessische Datenschutzbehörde gibt Beispiele

Posted on by

In seinem 50. Tätigkeitsbericht (PDF) zum Datenschutz hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einige interessante Hinweise rund um das Thema „Interessenkonflikte bei Datenschutzbeauftragten“ (ab S. 140) veröffentlicht.


Grundsätzlich können nach Ansicht des HBDI Datenschutzbeauftragte natürlich auch andere als die mit ihrer Benennung verbundenen Aufgaben wahrnehmen, sofern diese anderen Tätigkeiten nicht zu einem Interessenkonflikt führen, vgl. Art. 39 Abs. 1 DSGVO. Interessenkonflikte bei Datenschutzbeauftragten ergeben sich i.d.R. aus ihrer Stellung innerhalb des Unternehmens bzw. der datenverarbeitenden Stelle. Wichtig: der HBDI geht davon aus, dass es sich bei der Voraussetzung der Unabhängigkeit bzw. des Fehlens von Interessenkonflikten sowohl um eine Benennungsvoraussetzung als auch – nach der Benennung – um eine Organisationspflicht des Verantwortlichen und des Auftragsverarbeiters handelt. Bei Verstoßen können auch Bußgeldern verhängt werden.


Grundsätzliche Vorgaben
Sowohl der für die Verarbeitung Verantwortliche als auch die Mitglieder der Geschäftsführung oder des Vorstands tragen die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung bei dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und können sich selbst nicht wirksam datenschutzrechtlich kontrollieren.


Interessenkonflikte lassen sich auch bei externen Datenschutzbeauftragten nicht vermeiden. Der Verantwortliche oder der Auftragsverarbeiter sollen daher mit dem externen Datenschutzbeauftragten vertraglich vereinbaren, dass dieser keine Tätigkeiten ausübt, die zu potenziellen Interessenkonflikten mit den Aufgaben des Datenschutzbeauftragten für den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter führen. Um mögliche Interessenkonflikte von vornherein zu vermeiden, können verschiedene Maßnahmen erwogen werden. Eine denkbare Maßnahme ist eine interne Richtlinie, die die konkreten Aufgaben und Kompetenzen des Datenschutzbeauftragten im Unternehmen klar definiert. Auf diese Weise können potenzielle Interessenkonflikte frühzeitig erkannt und nach Möglichkeit vermieden werden.


Benennung von beispielhaften Personengruppen, bei denen ein Interessenkonflikt vorliegen kann
Außerdem wird in dem Tätigkeitsbericht ausgeführt, welche Personen nicht die Funktion des Datenschutzbeauftragten ausüben sollten. Als Beispiele bzw. Fallgruppen für die Unzulässigkeit nennt die hessische Behörde:

Die Führungskräfte eines Unternehmens, insbesondere die Leitung der Personalabteilung, weil sie für Mitarbeiterdaten zuständig ist, die Leitung der IT-Abteilung, weil sie für technische und organisatorische Maßnahmen verantwortlich ist, und die Leitung der Marketing- oder Vertriebsabteilung, weil sie für die Verarbeitung von Kundendaten zuständig ist.

Ebenso ist es nach Ansicht des HBDI unzulässig, einen Datenschutzbeauftragten zu benennen, der ein besonderes wirtschaftliches Interesse am Erfolg des Unternehmens hat, z. B. wenn er Gesellschafter oder ein Familienmitglied der Geschäftsführung ist.

Als markantes Beispiel für das Vorliegen eines Interessenkonflikts führt die hessische Behörde die Position des IT-Sicherheitsbeauftragten an: Um mögliche Missbräuche aufzudecken und möglichst frühzeitig zu verhindern, hat die IT-Sicherheitsabteilung eines Unternehmens regelmäßig ein erhebliches Interesse an der umfassenden Erhebung personenbezogener Daten. Übernimmt der IT-Sicherheitsbeauftragte Umsetzungsaufgaben mit Budgetverantwortung, ist der Interessenkonflikt aus Sicht des HBDI noch offensichtlicher.

Ein Interessenkonflikt sei auch bei Compliance-Beauftragten und Rechtsabteilungsleitern anzunehmen, da diese regelmäßig stark in interne Prozesse einbezogen sind und damit nicht mehr die notwendige Unabhängigkeit bei der Beurteilung einzelner Datenverarbeitungen hätten.
• Interessant ist, dass der HBDI auch die Benennung eines Datenschutzbeauftragten, der gleichzeitig nur Mitglied (!) oder Vorsitzender des Betriebsrats ist, als kritisch beurteilt. Der HBDI verweist hierzu auf die bei dem EuGH anhängigen Fragen des BAG (BAG, Beschl v. 27.04.2021 – 9 AZR 383/19 (A)).

Insgesamt würde ich die Ansicht des HBDI eher als streng einordnen. Die Behörde weist aber auch darauf hin, dass aufgrund der strukturellen Unterschiede des jeweiligen Unternehmens oder der jeweiligen Branche stets eine Einzelfallbetrachtung vorzunehmen ist.

Baldiges EuGH-Urteil – Auskunft und Information allein über die Kategorien der Empfänger von Daten ausreichend?

Posted on by

Am 9. Juni 2022 hat Generalanwalt Pitruzzella zu einer nahenden Entscheidung des EuGH (Rechtssache C‑154/21) seine Schlussanträge vorgelegt.

In dem Verfahren aus Österreich geht es um die praxisrelevante Frage, ob Verantwortliche im Rahmen der Antwort auf Auskunftsanträge nach Art. 15 DSGVO den Betroffenen die konkreten Empfänger von Daten oder aber nur die Empfängerkategorien zur Verfügung stellen müssen (Art. 15 Abs. 1 lit. c DSGVO). Die Antwort auf diese Frage hat weitreichende Konsequenzen: müssten alle Datenempfänger konkret benannt werden, bedeutet dies, dass der zur Auskunft verpflichtete Verantwortliche jegliche (gemeinsam oder getrennt) Verantwortliche und (!) Auftragsverarbeiter aufführen muss, die Daten von ihm erhalten. Denn „Empfänger“ sind auch die Auftragsverarbeiter.

In der Praxis bedeutet dies natürlich, dass man im Grunde auch alle Stellen kennen muss, die Daten erhalten. Das kann in der heutigen Zeit durchaus herausfordernd sein. Stellen Sie sich hierzu einmal eine Webseite / App vor, auf der verschiedenste Dienstleister eingebunden sind.

Konkret geht es in dem Verfahren um die Auslegung von Art. 15 Abs. 1 lit. c DSGVO, in dem es heißt: „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“.

Der Generalanwalt legt die Norm nach verschiedenen Kriterien, u.a. Wortlaut und Sinn und Zweck aus. Hierbei kommt er zu einem klaren Ergebnis: Art. 15 Abs. 1 lit. c DSGVO ist dahin auszulegen, dass das dort vorgesehene Auskunftsrecht der betroffenen Person auf deren Antrag notwendigerweise auf die Angabe der konkreten Empfänger der Offenlegungen ihrer personenbezogenen Daten zu erstrecken ist.

Zur Begründung führt der Generalanwalt unter anderem folgende Argumente an:

  • Die Begriffe „Empfänger“ und „Kategorien von Empfängern“ sind neutral nebeneinander aufgeführt, ohne dass daraus geschlossen werden kann, dass zwischen diesen Begriffen ein Vorrangverhältnis besteht.
  • Die Struktur der Norm spreche dafür, einer Auslegung den Vorzug zu geben, wonach es der betroffenen Person obliegt, die Wahl zwischen den beiden dort vorgesehenen Alternativen zu treffen.
  • Die Ausübung des Auskunftsrechts muss es der betroffenen Person insbesondere ermöglichen, sich nicht nur zu vergewissern, dass ihre personenbezogenen Daten fehlerfrei verarbeitet werden, sondern auch, dass diese an Empfänger gerichtet sind, die zu ihrer Verarbeitung befugt sind. Das setzt grundsätzlich voraus, dass die Mitteilung von Informationen so präzise wie möglich erfolgt.
  • Würde man die Nennung von Kategorien ausreichen lassen, würde der betroffenen Person die Möglichkeit genommen, in vollem Umfang die Rechtmäßigkeit der vom Verantwortlichen vorgenommenen Verarbeitung und insbesondere die Rechtmäßigkeit der bereits erfolgten Offenlegungen von Daten überprüfen zu können.

Gleichzeitig macht der Generalanwalt zwei Ausnahmen:

  • In einem Fall, in dem aus tatsächlichen Gründen die Erteilung einer Auskunft über konkrete Empfänger nicht möglich ist, z. B. wenn diese tatsächlich noch nicht identifiziert wurden.
  • Zudem sei die Ausübung des Auskunftsrechts der betroffenen Person und die Erfüllung der entsprechenden Verpflichtung des Aufraggebers anhand der Grundsätze der Rechtmäßigkeit und der Verhältnismäßigkeit zu beurteilen. Diese Ausnahme ist spannend, denn hier verweist der Generalanwalt auch auf den möglichen Einwand nach Art. 12 Abs. 5 DSGVO, bei offenkundig unbegründeten oder exzessiven Anträgen.

Es handelt sich „nur“ um die Schlussanträge. Doch wenn man die Rechtsprechung des EuGH im Bereich Datenschutz anschaut, würde ich vermuten, dass er dem Ergebnis des Generalanwalts folgt.

Was bedeutet dies?

  • Sollte der EuGH entsprechend entscheiden, müssen bei der Beantwortung von Auskunftsanträgen jeweils immer die spezifischen Empfänger der Daten angegeben werden. Das setzt voraus, dass datenverarbeitendes Stelle alle Empfänmger auch kennen. Bedeutet: man muss wissen, wo welche Daten hingehen. Das ist in der Praxis eine Herausforderung. Ein gut geführter Verzeichnis nach Art. 30 DSGVO kann in solchen Fällen ein echter Segen sein.
  • Auch Art. 13 Abs. 1 und 14 Abs. 1 DSGVO enthalten eine entsprechende Vorgabe, wie Art. 15 Abs. 1 lit. c DSGVO; ich würde vermuten, dass insbesondere Aufsichtsbehörden die Begründung in diesem Verfahren daher auch auf Datenschutzerklärungen anwenden. Das bedeutet, diese müssten angepasst und um Empfängerlisten ergänzt werden.

Datenschutzbehörde Brandenburg: „Einstellungen oder ablehnen“-Button im Cookie-Banner ist nicht ausreichend

Posted on by

Die korrekte (bzw. rechtskonforme) Ausgestaltung von Consent Management Plattformen (und auch von Cookie-Bannern) zur Einholung von Einwilligungen für den Einsatz von Cookies und anderen Tracking-Technologien ist bereits seit einiger Zeit in der Diskussion.

In ihrem jüngsten Tätigkeitsbericht 2021 (PDF) äußert sich die Landesdatenschutzbehörde Brandenburg (LDA) unter anderem auch zu diesem Thema. Das LDA informiert dort (Ziffer 4) über die Prüfung eines brandenburgischen Medienunternehmens im Rahmen der koordinierten Prüfung von Webseiten verschiedener Medienunternehmen in Deutschland.

Eine Anforderung des LDA für eine wirksame Einwilligung nach Art. 7 DSGVO ist, dass diese freiwillig abgegeben wird. Hierfür verlangt das LDA:

Hiervon kann im Kontext der Ausgestaltung des Cookie-Banners nur ausgegangen werden, wenn eine wirkliche Wahl besteht, der Datenverarbeitung zuzustimmen oder diese abzulehnen.“

Dieses Merkmal wird nach Ansicht des LDA jedoch unter gewissen Umständen nicht erfüllt. Insbesondere dann nicht, wenn keine wirkliche Wahlmöglichkeit für Betroffene besteht. Dies ist nach Ansicht des LDA der Fall, wenn eine „eindeutige Ablehnungsmöglichkeit“ auf der ersten Ebene des Cookie-Banners fehlt. Dann

„gilt die Einwilligung als nicht freiwillig erteilt und ist damit unwirksam.“

Das LDA stellt hierbei insbesondere darauf ab, ob die Ablehnung einen Mehraufwand (im Vergleich zur Erteilung der Einwilligung) erfordert. Was nach Ansicht des LDA ein solcher Mehraufwand ist, wird ebenfalls erläutert:

„Der Mehraufwand besteht dabei nicht nur darin, dass die betroffene Person, die eine Ablehnung äußern möchte, einmal mehr klicken muss als für die Zustimmung. Vielmehr müssen die weiteren Informationen und Einstellungsmöglichkeiten, mit denen sie auf einer zweiten Ebene des Einwilligungsdialoges konfrontiert wird, lesen, nachvollziehen und dann unter den weiteren Optionen die richtige auswählen.“

Ein solcher Mehraufwand stelle einen spürbaren Nachteil für die Betroffenen dar und die Einwilligung wäre in diesem Fall nicht wirksam erteilt.

Konkret schildert das LDA dann die Erfahrungen aus der Prüfung eines Unternehmens in Brandenburg.

Das Unternehmen fragte, ob eine Abwandlung des Cookie-Banners – nämlich die Änderung der Bezeichnung der Schaltfläche „Optionen“ in „Einstellungen oder ablehnen“ – eine datenschutzgerechte Verarbeitung ermöglichen würde.

Die Ansicht des LDA:

Auch hier wiesen wir den Verantwortlichen darauf hin, dass diese Form des Einwilligungsdialoges ebenso zu einem spürbaren Nachteil und Mehraufwand für die betroffenen Personen führt und dazu dient, in treuwidriger Art und Weise Einfluss auf sie zu nehmen.“

Das LDA verlangt, dass eine Schaltfläche auf erster Ebene des Cookie-Banners eingerichtet wird, mit der Nutzer den Einsatz von einwilligungsbedürftigen Cookies und Tracking-Maßnahmen sowie die Einbindung von Drittdiensten ablehnen können.

Wie genau diese Schaltfläche grafisch ausgestaltet werden muss, wird nicht beschrieben. Hier dürften in der Praxis also weiterhin verschiedenste Gestaltungsoptionen für Unternehmen in Betracht kommen.

Generalanwalt: Zulässigkeit der (zweckändernden) Verarbeitung von Kundendaten für Zwecke der Datensicherheit

Posted on by

In seinen Schlussanträgen in der Rs. C-77/21 vom 31.03.2022 des Generalanwalts Pikamäe, äußert sich dieser zu zwei interessanten Fragen, wenn es um eine Verarbeitung von Kundendaten nicht nur für die Vertragsdurchführung, sondern auch für Zwecke der Datensicherheit (insbesondere der Verfügbarkeit der Daten) geht.

  • Zum einen, ob die Verarbeitung, die auf die Einhaltung der Pflichten aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO gerichtet ist, eine Zweckänderung darstellt
  • Zum anderen, ob, bei Vorliegen eines anderen Zwecks, die Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO zulässig ist

Sachverhalt

In dem Verfahren aus Ungarn ging es um eine Klage eines Anbieters von Internet- und Fernsehdiensten (Digi) gegen eine Entscheidung der ungarischen Datenschutzbehörde.

Im April 2018 richtete Digi, nach einer technischen Serverstörung unter der Bezeichnung „test“ eine Datenbank ein, in die es personenbezogene Daten von ungefähr einem Drittel der Privatkunden kopierte. Am 23.09.2019 erfuhr Digi, dass ein „ethischer Hacker“ auf die personenbezogenen Daten von rund 322.000 Personen zugegriffen hatte. Der Hacker setzte das Unternehmen schriftlich davon in Kenntnis. Digi behob den Fehler, schloss mit dem Hacker eine Vertraulichkeitsvereinbarung und zahlte ihm eine Belohnung.

Digi meldete danach am 25.09.2019 die Verletzung des Schutzes personenbezogener Daten der Datenschutzbehörde, die daraufhin ein Untersuchungsverfahren einleitete. Die Behörde stellte nachfolgend Verstöße gegen Art. 5 Abs. 1 lit. b und e DSGVO fest. U.a. mit dem Argument, dass Digi die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht gelöscht und dadurch in dieser Testdatenbank eine große Menge personenbezogener Daten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert habe, die die Identifizierung der betroffenen Personen ermöglicht habe.

Einschätzung des Generalanwalts

In seinen Schlussanträgen befasst sich der Generalanwalt u.a. mit den beiden oben beschriebenen Fragen.

Liegt eine Zweckänderung vor?

Fraglich war zunächst, ob das Kopieren und Speichern der Daten in der „test“ Datenbank eine Zweckänderung im Vergleich zu dem Zweck der Erhebung der Kundendaten darstellt.

Interessant ist hier, dass die Europäische Kommission nicht von einer zweckändernden Verarbeitung ausgeht. Die Verarbeitung der Daten für den Zweck der Sicherheit der Daten also von dem ursprünglichen Erhebungszweck (Durchführung der Kundenverträge) umfasst sieht. Eine solche Verarbeitung,

die auf die Einhaltung der dem für die Verarbeitung Verantwortlichen durch Art. 5 Abs. 1 Buchst. f der DSGVO auferlegten und in deren Art. 32 näher erläuterten Sicherheitspflicht abziele, könne nicht als Verfolgung eines neuen oder anderen Zwecks angesehen werden“.

Dies würde in der Konsequenz auch bedeuten, dass keine Vereinbarkeitsprüfung der Zweck nach Art. 6 Abs. 4 DSGVO erfolgen müsste.

Der Generalanwalt lehnt diese Auffassung jedoch ab. Dieser, seiner Ansicht nach, abstrakte und systematische Ansatz stehe im Widerspruch zu dem Erfordernis, die Rechtmäßigkeit jedes einzelnen Verarbeitungsvorgangs unter Berücksichtigung aller relevanten Umstände des Einzelfalls zu beurteilen.

Vereinbarkeit der Zwecke oder gesetzliche Grundlage (Art. 6 Abs. 4 DSGVO)

Daher ist der Generalanwalt gezwungen, in die Prüfung nach Art. 6 Abs. 4 DSGVO einzusteigen.

Er verweist zusätzlich auf die Vorgaben in ErwG 50 DSGVO. Beide Vorschriften bringen seiner Ansicht nach eine Verbindung zwischen dem Grundsatz der Zweckbindung und der Rechtsgrundlage der betreffenden Verarbeitung zum Ausdruck.

Eine Vereinbarkeitsprüfung der Zwecke ist nach Art. 6 Abs. 4 DSGVO nicht erforderlich, wenn die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht. Dann müssen die Zwecke also gerade nicht miteinander vereinbar sein.

Wenn ja, ist der für die Verarbeitung Verantwortliche gemäß Abs. 2 des 50. Erwägungsgrundes der DSGVO berechtigt, personenbezogene Daten unabhängig von der Vereinbarkeit der Zwecke weiterzuverarbeiten“.

Ich bin ja ein Verfechter der Ansicht, dass personenbezogene Daten für Zwecke der Datensicherheit, also der Erfüllung gesetzlicher Pflichten nach Art. 32 DSGVO, auf der Grundlage von Art. 6 Abs. 1 lit. c) (Erfüllung rechtlicher Pflichten) verarbeitet werden dürfen.

Der Generalanwalt scheint diese Ansicht jedoch abzulehnen, wie sich aus seinen Anmerkungen in Fußnote 28 ergibt. Dort begründet er, dass

dass die auf Art. 6 Abs. 1 Buchst. c der DSGVO gestützten Verarbeitungen, die für die Erfüllung einer rechtlichen Verpflichtung erforderlich sind, der der für die Verarbeitung Verantwortliche unterliegt, und insbesondere die in Art. 5 Abs. 1 Buchst. f dieser Verordnung vorgesehene Verpflichtung zur Gewährleistung einer angemessenen Datensicherheit, nicht zu den vom Erfordernis der Vereinbarkeit befreiten Verarbeitungen gehören“.

Diese „befreite“ Verarbeitung wäre eine solche, die auf Grundlage der Einwilligung oder auf einer Rechtsvorschrift der Union beruht, also etwa Art. 32, Art. 6 Abs. 1 lit. c DSGVO. Der Generalanwalt, lehnt dies jedoch ab. Ich vermute, er würde die Datenverarbeitung dann auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO stützen.

Danach erfolgt logischerweise der Vereinbarkeitstest der beiden Zwecke nach den Vorgaben des Art. 6 Abs. 4 DSGVO.

Der Generalanwalt geht davon aus, dass

unbestreitbar eine Verbindung zwischen dem Zweck der ursprünglichen Datenerhebung, nämlich der Erfüllung des Vertrags über ein Internet- und Fernsehabonnement, und einer Verarbeitung zur Sicherung dieser Daten in einer zusätzlichen internen Datenbank und zur sicheren Durchführung von Tests zur Behebung einer technischen Störung, die für die Erbringung der vertraglich vereinbarten Dienstleistung potenziell schädlich sein könnte

besteht.

Zwar überschneiden sich die Zwecke nicht. Sie stünden aber dennoch logisch miteinander in Verbindung. Zudem geht der Generalanwalt davon aus, dass eine zusätzliche Speicherung von Daten auf einem internen Datenträger, die durch die Notwendigkeit begründet ist, eine technische Störung zu beheben, die den Zugang zu den Daten in der ursprünglichen Datenbank beeinträchtigt,

nicht als überraschend oder unwahrscheinlich angesehen werden

kann. Diese Feststellung ist sowohl für Art. 6 Abs. 4 DSGVO, aber auch für Art. 6 Abs. 1 lit. f DSGVO, nämlich die berechtigten Erwartungen der Betroffenen, relevant.

Zudem, so der Generalanwalt, werden die betreffenden Daten weiterhin von demselben Verantwortlichen verarbeitet. Insgesamt scheint er davon auszugehen, dass die Verarbeitung für Zwecke der Sicherheit der Daten also recht unproblematisch den Vereinbarkeitstest nach Art. 6 Abs. 4 DSGVO bestehen würde.

Fazit

Das Ergebnis teile ich. Wie beschrieben, würde ich aber einen anderen Weg wählen und von einer Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Anforderungen des Art. 32 DSGVO ausgehen. Eventuell äußert sich ja auch noch der EuGH zu der Frage der Rechtsgrundlage. Für die Praxis könnte man natürlich überlegen, ob man bereits bei Erhebung darüber informiert, dass die Daten gerade auch für Zwecke der Datensicherheit (insb. Verfpgbarkeit) verarbeitet werden. Dies könnte gegen eine Zweckänderung sprechen, da man die Daten schon von Beginn an für diesen Zweck verwendet.