Verwaltungsgericht: Keine Ermächtigung für Datenschutzbehörde zur zwangsweisen (Ab-)Berufung eines Datenschutzbeauftragten?

Das Verwaltungsgericht Köln hat im Verfahren des einstweiligen Rechtsschutzes eine interessante Entscheidung getroffen (Az. 13 L 1707/21). Geklagt (und parallel im Wege des einstweiligen Rechtsschutzes die aufschiebende Wirkung betragt) hat eine Behörde gegen einen Bescheid des Bundesdatenschutzbeauftragten (BfDI). In diesem sollte die Behörde dazu verpflichtet werden, entweder einen Datenschutzbeauftragten (DSB) zu benennen oder den aktuellen abzuberufen; das wird aus der Begründung leicht nicht ganz klar.

Interessant ist die Begründung des Verwaltungsgerichts zu der Frage, ob denn die Datenschutzbehörde überhaupt eine Ermächtigungsgrundlage nach der DSGVO besitzt, um Verantwortliche oder Auftragsverarbeiter anzuweisen, einen DSB zu benennen oder einen bereits benannten abzuberufen (z.B. wegen mangelnder Qualifikation oder Interessenkonflikten).

Das Verwaltungsgericht führt zu dieser Frage aus:

Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des Art. 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind“.

In der Tat verlangt Abs. 2 lit. d) für die Anweisung durch den BfDI, dass „Verarbeitungsvorgänge“ vorliegen, die nach Ansicht der Aufsichtsbehörde auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen sind.

Die Tätigkeit des DSB und auch seine (Ab-)Berufung stellt jedoch nach Ansicht des Verwaltungsgerichts keinen solchen tatbestandlichen Verarbeitungsvorgang dar.

Das Verwaltungsgericht dazu: „Dass die (Ab-)Berufung eines behördlichen Datenschutzbeauftragten hierunter fallen könnte, ist nicht ersichtlich.“

Und es gibt in Art. 58 Abs. 2 DSGVO auch keine andere Ermächtigung, die speziell die Benennung des DSB adressieren würde. Man könnte nun spitzfindig überlegen, dass etwa die Benennung eines DSB schon eine Verarbeitung darstellt und diese Verarbeitung nur zulässig sein kann, wenn etwa der DSB auch qualifiziert und geeignet ist. Es würde dann um die personenbezogenen Daten dieses DSB gehen, etwa um zu dokumentieren, dass Herr / Frau XYZ zum DSB benannt wurde. Die Verarbeitung könnte dann die Aufsichtsbehörde eventuell angreifen oder eine solche Verarbeitung in Einklang mit der DSGVO verlangen. Jedoch dürfte dies ggfs. nicht ausreichen, da in Bezug auf die Daten des DSB wohl nur die Frage zu beantworten ist, ob diese Verarbeitung (Verwendung des Namens des DSB) zulässig war? Im Zweifel wird die Verarbeitung zulässig gewesen sein, um eine gesetzliche Pflicht (Art. 37 DSGVO) zu erfüllen. Eventuell mag man aber auch (ein wenig von hinten durch die Brust) den Schluss ziehen, dass wenn die Benennung (oder fehlende Benennung) nicht zulässig im Sinne des Art. 37 DSGVO war, dann dürfte auch die Verarbeitung der Daten des DSB unzulässig sein.

Mal sehen, wie die Sache im Hauptverfahren ausgeht.

Update vom 13.12.2021: der Bescheid erging nicht durch die LDI, sondern den BfDI.

Europäischer Datenschutzausschuss: was ist ein internationaler Datentransfer und in welchen Fällen sind die Pflichten des Kapitel V der DSGVO zu beachten?

Letzte Woche hat der EDSA seine Leitlinien 05/2021 über das Zusammenspiel zwischen Art. 3 DSGVO und den Bestimmungen über internationale Übermittlungen veröffentlicht (PDF). Diese Leitlinien wurden seit einiger Zeit mit Interesse erwartet, da die DSGVO keine eigene Definition für „internationale Übermittlungen“ vorsieht. Daneben enthalten die Leitlinien einige sehr praxisrelevante Feststellungen der europäischen Behörden, wann die zusätzlichen Anforderungen des Kapitel V zu beachten sind und wann nicht.

Art. 46 DSGVO? Immer die Erforderlichkeit zusätzlicher Schutzmaßnahmen prüfen

Zunächst stellt der EDSA (erneut) fest, dass bei der Inanspruchnahme eines der in Art. 46 DSGVO aufgeführten Übermittlungsinstrumente, wie etwa von EU Standarddatenschutzklauseln, stets geprüft werden muss, ob zusätzliche Schutzmaßnahmen umgesetzt werden müssen, um das Schutzniveau der übermittelten Daten auf den EU-Standard der wesentlichen Gleichwertigkeit zu bringen. Diese Ansicht ist nicht neu, für die Praxis jedoch wichtig.

Dies gilt nach Ansicht des EDSA übrigens auch in Situationen, in denen die Verarbeitung unter Art. 3 Abs. 2 DSGVO fällt. Dies, um zu vermeiden, dass der durch die DSGVO gewährte Schutz durch andere Rechtsvorschriften, denen der Importeur unterliegt, untergraben wird. Bereits hier in der Einleitung wird also klar: der EDSA geht von einer internationalen Übermittlung im Sinne des Kapitel V aus, auch wenn der Importeur der Daten bereits selbst nach Art. 3 Abs. 2 DSGVO dem europäischen Recht unterliegt (hierzu aber später noch mehr).

Was ist eine „Übermittlung an ein Drittland oder eine internationale Organisation“?

Da die DSGVO keine rechtliche Definition des Begriffs „Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation“ (vgl. Art. 44 S. 1 DSGVO) enthält, muss dieser Begriff nach Auffassung des EDSA „unbedingt geklärt werden“.

Vor diesem Hintergrund macht der EDSA einen eigenen Vorschlag für eine solche Definition. Zu beachten ist hierbei freilich, dass diese Auslegung „nur“ die Ansicht der europäischen Behörden darstellt und etwa die EU Kommission eine andere Auffassung vertreten könnte. Dennoch sind die Vorgaben des EDSA für die Praxis von besonderer Relevanz.

Der EDSA hat drei kumulative Kriterien vorgeschlagen, die eine Verarbeitung als Übermittlung qualifizieren. Es müssen also alle drei Anforderungen gemeinsam erfüllt sein:

1. Ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter unterliegt in Bezug auf die betreffende Verarbeitung den Bestimmungen der DSGVO.

2. Dieser Verantwortliche oder Auftragsverarbeiter („Exporteur“) macht durch Übermittlung oder auf andere Weise personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, einem anderen Verantwortlichen, gemeinsamen Verantwortlichen oder Auftragsverarbeiter („Importeur“) zugänglich.

Auch im Fall der Weitergabe von Daten zwischen gemeinsam Verantwortlichen kann also eine Übermittlung in ein Drittland vorliegen. Keine Privilegierung der Weitergabe zwischen diesen gemeinsam Verantwortlichen.

3. Der Importeur befindet sich in einem Drittland oder ist eine internationale Organisation, ungeachtet dessen, ob dieser Importeur in Bezug auf die betreffende Verarbeitung gemäß Art. 3 der DSGVO unterliegt oder nicht.

Wichtig: hier wird direkt eine relevante Klarstellung des EDSA deutlich. Der Exporteur muss gerade nicht (!) in der EU oder dem EWR ansässig sein. Nur der Empfänger der Daten, der Importeur, muss zwingend in einem Drittland ansässig sein. Diese Ansicht ist eigentlich auch nicht mehr überraschend, jedoch sollte man sich in der Praxis stets in Erinnerung rufen, dass für eine Anwendung der Vorschriften in Kapitel V gerade nicht Voraussetzung ist, dass der Exporteur unbedingt in der EU ansässig sein muss.

Zudem muss beachtet werden, dass es für die Frage der Anwendbarkeit von Art. 3 DSGVO stets auf die jeweilige Verarbeitung ankommt. Man muss also auf die einzelne Verarbeitung schauen und kann nicht global und allgemein die Anwendung von Art. 3 DSGVO allein mit Blick auf die datenverarbeitende Organisation prüfen.

Keine Übermittlung, wenn Betroffener selbst Daten freigibt

Das zweite Kriterium setzt nach Ansicht des EDSA stets voraus, dass entweder ein (gemeinsam) Verantwortlicher oder ein Auftragsverarbeiter handelt und die Daten durch Übermittlung oder in anderer Weise zur Verfügung stellt.

Dieses zweite Kriterium kann daher nicht als erfüllt angesehen werden, wenn die Daten direkt und auf auf eigene Initiative der betroffenen Person an den Empfänger weitergegeben werden. In diesem Fall gibt es keinen Verantwortlichen oder Auftragsverarbeiter, der die Daten übermittelt oder zur Verfügung stellt („Exporteur“).

„Übermittlung an ein Drittland“ kann auch vorliegen, wenn der Empfänger der DSGVO unterliegt

Besonders relevant ist die Ansicht des EDSA, ob die Vorgaben des Kapitel V auch dann zu beachten sind, wenn der Importeur der Daten bereits unmittelbar nach Art. 3 Abs. 2 DSGVO dieser unterliegt (derzeit arbeitet die EU Kommission wohl an weiteren Standardvertragsklauseln für genau diese Konstellation). Man könnte ja argumentieren, dass es in diesem Fall eigentlich nicht erforderlich ist, zusätzliche Übermittlungsanforderungen nach Kapitel V vorzusehen.

Der EDSA hebt hervor, dass für Verantwortliche und Auftragsverarbeiter, die nicht in der EU ansässig sind, gemäß Art. 3 Abs. 2 DSGVO für eine bestimmte Verarbeitung der DSGVO unterliegen können und daher bei der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation die Bestimmungen von Kapitel V einhalten müssen, wenn sie personenbezogene Daten in ein Drittland übermitteln oder als Importeur diese Daten erhalten.

Spannend sind hier die Aussagen des EDSA zu zukünftigen Standardvertragsklauseln für diese Konstellation. Denn nach Ansicht des EDSA sind bei der Übermittlung personenbezogener Daten an einen Verantwortlichen in einem Drittland weniger Schutzmaßnahmen/Garantien erforderlich, wenn dieser für die betreffende Verarbeitung bereits der DSGVO unterliegt. Und im Grunde adressiert der EDSA dann direkt die EU Kommission:

Daher sollte bei der Entwicklung entsprechender Übermittlungsinstrumente (die derzeit nur theoretisch zur Verfügung stehen), d. h. Standardvertragsklauseln oder Ad-hoc-Vertragsklauseln, die Situation nach Art. 3 Abs. 2 berücksichtigt werden, um die Verpflichtungen der Datenschutz-Grundverordnung nicht zu duplizieren, sondern vielmehr die „fehlenden“ Elemente und Grundsätze anzusprechen, die notwendig sind, um die Lücken zu schließen…“.

Ein Beispiel: der reisende Mitarbeiter – es müssen verschiedene juristische Personen vorliegen

In den Leitlinien sind zudem einige Beispiele enthalten. In Beispiel 5 geht der EDSA davon aus, dass durch Drittländer reisende Mitarbeiter, die remote Zugriff auf die Systeme des Arbeitgebers in der EU nehmen, keine internationale Übermittlung auslösen.

Der Grund: Exporteur und Importeur der Daten müssen nach Ansicht des EDSA stets getrennte juristische Einheiten sein. Damit es sich um eine internationale Übermittlung handeln kann, muss es einen Verantwortlichen oder einen Auftragsverarbeiter geben, der die Daten offenlegt (der Exporteur), und einen anderen Verantwortlichen oder einen anderen Auftragsverarbeiter, der die Daten erhält oder Zugang zu ihnen erhält (der Importeur). Im Fall des reisenden Mitarbeiters werden die Verarbeitungen, einschließlich des Fernzugriffs, juristisch betrachtet von seinem Arbeitgeber durchgeführt, d. h. von einem für die Verarbeitung Verantwortlichen mit Sitz in der Union.

Absender und Empfänger der Daten müssen nach Auffassung der Aufsichtsbehörden nicht verschiedene für die Verarbeitung Verantwortliche/Auftragsverarbeiter sein. Sind sie dies nicht, sollte die Weitergabe von
personenbezogener Daten nicht als Übermittlung gemäß Kapitel V DSGVO betrachtet werden, „da die Daten
innerhalb desselben für die Verarbeitung Verantwortlichen/Auftragsverarbeiters verarbeitet werden
„.

Finnische Datenschutzbehörde: Protokoll-/Logdaten sind nicht vom Auskunftsanspruch nach Art. 15 DSGVO umfasst

Die finnische Datenschutzbehörde (DSB) veröffentlicht auf ihrer Webseite unter der Rubrik „FAQ“ in englischer Sprache viele interessante und praxisrelevante Antworten auf Fragen, rund um das Verständnis der DSGVO.

Eine schöne Frage und Antwort der Behörde habe ich zum Recht auf Auskunft gefunden.  

Frage: Kann ein Betroffener aufgrund des Auskunftsrechts Anspruch auf die Protokolldaten (Logdaten) haben?

Antwort der Behörde: Nach der gängigen Entscheidungspraxis der DSB stehen Benutzerprotokolldaten im Zusammenhang mit der Zugriffsverwaltung auf die personenbezogenen Daten einer betroffenen Person und betreffen nicht die betroffene Person selbst. Vielmehr können Benutzerprotokolldaten z.B. die Mitarbeiter betreffen, die die Daten der Person verarbeitet haben. Art. 15 DSGVO sieht das Recht der betroffenen Person auf Auskunft über die sie betreffenden Daten vor.

Hieraus schließt die DSB: Da sich die Protokolldaten auf die Zugriffsverwaltung und nicht auf die betroffene Person beziehen, über die sie gesammelt werden, hat diese Person nach Auffassung der Aufsichtsbehörde aufgrund dieses Auskunftsrechts keinen Anspruch auf die Protokolldaten.

Diese Ansicht der DSB dürfte für Unternehmen in der Praxis besonders interessant sein. In Deutschland kann sich dasselbe Ergebnis auf Grundlage von § 34 Abs. 1 Nr. 2 lit. b BDSG ergeben, wenn die dort benannten Voraussetzungen erfüllt sind. Hierzu zählt etwa, dass die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Die finnische DSB scheint eher pauschal die Logdaten, welche beim Zugriff auf personenbezogene Daten entstehen, vom Umfang des Auskunftsanspruchs auszuschließen.

Schwedische Datenschutzbehörde: Ausübung von DSGVO-Betroffenenrechten per Tweet?

Die schwedische Datenschutzbehörde hat im Rahmen des Kohärenzverfahrens am 10.9.2021 eine Entscheidung (PDF) zu der durchaus praxisrelevanten Frage getroffen, ob Unternehmen Betroffenenanfragen bzw. die Ausübung von Betroffenenrechten der DSGVO per Tweets auf Twitter sicherstellen müssen.

Sachverhalt

Der Betroffene erwarb ein Produkt des Verantwortlichen. Im Nachgang erhielt der Betroffene drei werbliche SMS. Eine Abmeldung von dem SMS-Versand war wohl nur über den Versand einer SMS an eine ausländische Nummer möglich. Dies wollte der Betroffene jedoch nicht und wandte sich per Tweet an den Account des Unternehmens auf Twitter an den Verantwortlichen (wohl mit einer Bitte um Löschung seiner Daten). Er erhielt hierauf zunächst keine Antwort, jedoch eine weitere SMS. Daraufhin beschwerte er sich erneut per Tweet bei dem Unternehmen und forderte die Löschung seiner Daten. Auf den letzten Tweet antwortete das Unternehmen und bot ihm an, seine Daten aus der Datenbank zu löschen. Am Ende nahm das Unternehmen diese Löschung auch vor.

Entscheidung

Die interessante Frage war hier, ob die Tweets an den Account des Verantwortlichen auf Twitter als Ausübung eines Betroffenenrechts angesehen werden konnten (etwa mit der Folge des Laufs der Fristen nach Art. 12 Abs. 3 DSGVO).

Die schwedische, als federführende Aufsichtsbehörde, äußert sich in der veröffentlichten Entscheidung nicht ausdrücklich zu dieser Frage. Jedoch lässt die Begründung der Behörde erkennen, dass sie wohl nicht davon ausgeht, dass diese Anfragen per Tweet als Betroffenenanfragen im Sinne der DSGVO zu verstehen waren.

Die Aufsichtsbehörde stellt „fest, dass der Beschwerdeführer einen informellen Weg zur Kontaktaufnahme mit dem Unternehmen genutzt hat (durch einen Tweet auf Twitter).“ (inoffizielle Übersetzung)

Diese Einschätzung lässt eine gewisse Tendenz erkennen, die Tweets nicht als Ausübung eines Betroffenenrechts zu verstehen. Wobei man sicherlich anmerken muss, dass die DSGVO keinen „formellen“ Weg für Betroffenenanfragen vorsieht. Art. 12 Abs. 2 DSGVO verpflichtet den Verantwortliche dazu, dass er der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtert.

Die Aufsichtsbehörde begründet weiter, dass es ist verständlich sei, dass der Beschwerdeführer keine Gebühr zahlen wollte, um gegen die Marketing-SMS Einspruch zu erheben.

aber gleichzeitig ist es auch verständlich, dass das Unternehmen nicht direkt über Twitter eine formelle Antwort gegeben hat“. (inoffizielle Übersetzung)

Die schwedische Behörde geht davon aus, dass es höchstwahrscheinlich andere Möglichkeiten gab, mit dem Unternehmen in Kontakt zu treten (z. B. per E-Mail), als per SMS. Auch diese Begründung spricht meines Erachtens eher dafür, dass die Aufsichtsbehörde von dem Betroffenen verlangt, einen förmlicheren Weg bei der Ausübung seiner Rechte zu gehen.

Letztlich schloss die Aufsichtsbehörde das Verfahren ohne eine aufsichtsbehördliche Maßnahme ab.

Finnische Datenschutzbehörde: Gesprächsaufzeichnungen sind nach Art. 15 Abs. 3 DSGVO herauszugeben

Die finnische Datenschutzbehörde entschied (PDF) am 24. Juni 2021 in einem Kohärenzverfahren zu Fragen des Auskunftsanspruchs in Bezug auf Aufzeichnungen von Telefongesprächen. Die Datenschutzbehörde sieht den Verantwortlichen in der Pflicht, auch solche Aufzeichnungen im Rahmen des Art. 15 Abs. 3 DSGVO herauszugeben.

Sachverhalt

Der Fall basiert auf einer Beschwerde eines Betroffenen. Von ihm wurden durch das Unternehmen Telefongespräche wurden aufgezeichnet, die er mit dem Kundenservice des Unternehmens führt. Darauf enthalten waren sowohl die Stimme des Betroffenen, als auch anderer Person (wohl Mitarbeiter des Unternehmens). Der Betroffene verlangte Auskunft nach Art. 15 DSGVO. Das Unternehmen hab ihm (verspätet) jedoch nur Dokumente heraus und nicht die Aufzeichnungen der Telefongespräche.

Die Finnische Behörde prüfte Verstöße gegen Art. 12 Abs. 1 und 3 sowie Art. 15 Abs. 3 DSGVO. Das Verfahren endete in einer Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Verspätete Auskunftserteilung

Insgesamt geht die Behörde von einem Verstoß gegen Art. 12 Abs. 3 und gegen Art. 12 Abs. 1, Art 15 Abs. 3 DSGVO aus.

Ursprünglich wurde im November 2018 Auskunft geltend gemacht und teilweise im August 2020 erfüllt Dies jedoch nicht in Bezug auf Gesprächsaufzeichnungen. Die Behörde stellt diesbezüglich einen Verstoß gegen Art. 12 Abs. 3 DSGVO fest, da das Unternehmen die Auskunft nicht innerhalb der gesetzlichen Frist (maximal 3 Monate) erteilte.

Keine Herausgabe der Gesprächsaufzeichnungen

Der Verantwortliche stellt die Aufzeichnungen von Telefongespräche mit dem Betroffenen im Rahmen der Auskunft nicht zur Verfügung. Zur Begründung führte das Unternehmen Art. 15 Abs. 4 DSGVO und die Rechte von anderen Personen an, die ebenfalls auf den Aufzeichnungen zu hören sind.

Die Aufsichtsbehörde stellt zunächst fest, dass die Stimme einer Person ein personenbezogenes Datum im Sinne der DSGVO ist. Daher geht die Behörde davon aus, dass sich das Recht auf Auskunft im Grundsatz auch auf aufgezeichnete Telefongespräche bezieht.

Interessant ist die Ansicht der Behörde zur Ausnahme vom Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO. Nach Art. 15 Abs. 4 DSGVO darf das Recht auf Erhalt einer Kopie gemäß Abs. 3 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Das Unternehmen hatte hier Rechte anderer Personen, die ebenfalls auf den Aufzeichnungen zu hören sind, als einschränkende Ausnahme vorgebracht. Im konkreten Fall lies dies die Behörde jedoch nicht geltend. Denn nach Ansicht der Behörden sind keine Rechte anderer Personen beeinträchtigt, wenn diese anderen Personen die Telefonaufzeichnungen im Rahmen der Ausübung ihrer beruflichen Tätigkeit vornehmen.

Es ging hier also wohl um Mitarbeiter im Kundenservice des Verantwortlichen, die auf der Aufzeichnung des Telefongesprächs zu hören waren. Nach Auffassung der Datenschutzbehörde stelle dies aber keinen Fall dar, in dem die Rechte dieser Mitarbeiter beeinträchtigt würden, wenn die Aufzeichnungen der Telefongespräche an den Betroffenen herausgegeben werden. Die Aufsichtsbehörde scheint hierbei an den beruflichen Kontext der Aufzeichnung der Stimme der Mitarbeiter anzuknüpfen und darauf eine fehlende Beeinträchtigung abzuleiten.

Zudem begründet die Behörde ihre Ansicht, dass die Ausnahme nach Art. 15 Abs. 4 DSGVO nicht greift, damit, dass im Fall von aufgezeichneten Telefongesprächen immer auch personenbezogene Daten anderer Personen (der Gesprächsteilnehmer) vorhanden sind. Würde man hier die Ausnahme gelten lassen, würde quasi die Ausnahme zur Regel.

Vorliegend bot das Unternehmen dem Betroffenen an, dass er vor Ort die Aufzeichnung des Telefongesprächs anhören konnte. Die Aufsichtsbehörde lies diese Alternative mit Blick auf die Vorgaben nach Art. 12 Abs. 1 DSGVO und Art. 15 Abs. 3 DSGVO nicht ausreichen. Danach sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, wenn der Betroffene den Antrag elektronisch stellt und nichts anderes angibt.

Die Aufsichtsbehörde gesteht dem Verantwortlichen zwar als Alternative zu, dass er dem Betroffenen ein Anhören der Aufzeichnung direkt vor Ort anbietet. Jedoch, so die Behörde, kann dies nicht die einzige Form der Zurverfügungstellung der Aufzeichnungen sein, wenn der Betroffene diese Form nicht wünscht.

Da die Aufzeichnungen mittlerweile gelöscht wurden, konnte die Behörde den Verantwortlichen nicht zur Herausgabe der Aufzeichnungen verpflichten. Es erging eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Datenschutzbehörde: „Woher haben Sie meine E-Mail-Adresse“? – Kein Antrag auf volle Auskunft nach Art. 15 DSGVO

Die dänische Datenschutzbehörde hat eine interessante Entscheidung zur Beantwortung von Auskunftsanfragen (oder eben keinen solchen Anfragen) nach Art. 15 DSGVO getroffen (Entscheidung vom 21.6.2021, PDF, Englisch)

Sachverhalt

Der Beschwerdeführer hatte einen Newsletter des betroffenen Unternehmens (Pixojet) erhalten. Am selben Tag bat er Pixojet, ihm mitzuteilen, woher Pixojet seine E-Mail-Adresse erhalten hatte. Pixojet teilte ihm mit, dass er sich für den Newsletter von Pixojet angemeldet habe und dass Pixojet sein Abonnement wieder löschen kann. Der Beschwerdeführer ging jedoch davon aus, dass er sich nie für den Newsletter angemeldet habe, und bat dann um Auskunft darüber, wann er den Newsletter abonniert habe und von welcher Quelle. 

Pixojet antwortete hierauf nicht direkt. Erst nach erneuter Nachfrage, woher Pixojet seine Informationen hatte antwortete ein Mitarbeiter des Kundendienstes, dass er sich nicht sicher ist, dass es aber nach einer manuellen Registrierung durch den Beschwerdeführer aussehe.

Der Beschwerdeführer ging weiter davon aus, dass er sich nie für den Newsletter angemeldet hatte. Er ging von einem Verstoß gegen die DSGVO aus. Sowohl, wie die Daten zu Pixojet gelangten /ggfs. über eine Drittquelle) als auch hinsichtlich der Antwort von Pixojet auf seinen Auskunftsantrag nach Art. 15 DSGVO.

Entscheidung

Die dänische Datenschutzbehörde verweist zunächst allgemein auf den Auskunftsanspruch nach Art. 15 DSGVO. Danach habe die betroffenen Personen in der Regel das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten ob personenbezogene Daten über die betroffene Person verarbeitet werden und gegebenenfalls, Auskunft über die personenbezogenen Daten und eine Reihe weiterer Informationen.

Nach Art. 15 Abs. 1 lit. g) DSGVO habe die betroffene Person das Recht, alle verfügbaren Informationen über die Herkunft der personenbezogenen Daten zu erhalten, wenn diese nicht bei der betroffenen Person erhoben wurden. 

Die Datenschutzbehörde hat die Beschwerde so verstanden, dass die betroffene Person hier der Meinung ist, Pixojet habe ihm keine Auskunft entsprechend den Vorgaben des Art. 15 DSGVO gewährt. 

Dies sieht die Aufsichtsbehörde jedoch nicht so und geht davon aus, dass kein Verstoß vorliegt. Grund: die Fragen des betroffenen stellten schon keinen Auskunftsantrag nach Art. 15 DSGVO dar.

Die dänische Datenschutzbehörde sieht laut ihrer Begründung keinen Anhaltspunkt, die Einschätzung des Unternehmens, dass die Anfragen des Beschwerdeführers nicht als Antrag auf uneingeschränkte Auskunft gemäß Art. 15 DSGVO zu verstehen sind, zu beanstanden. 

Die Behörde geht also davon aus, dass die oben dargestellten Fragen des Betroffenen keine Ausübung des vollständigen Auskunftsanspruchs nach Art. 15 DSGVO darstellen. Damit treffen das Unternehmen natürlich auch nicht alle Pflichten des Art. 15 DSGVO.

Aus der Begründung (inoffiziell übersetzt): „Die dänische Datenschutzbehörde hat dabei den Schwerpunkt auf den Wortlaut der Anfragen des Beschwerdeführers gelegt, der angibt, dass er konkret wissen möchte, wo Pixojet seine E-Mail-Adresse hatte.

Die Behörde geht also wohl nur von einer sehr begrenzten Ausübung des Auskunftsanspruchs aus; konkret in Bezug auf die Herkunft der Daten. Die dänische Datenschutzbehörde stellt dann fest, dass Pixojet den Beschwerdeführer darüber informiert hat, dass die Informationen über ihn wahrscheinlich aus einem manuellen Eintrag in den Newsletter von Pixojet auf der Website des Unternehmens stammen. Dies war aus Sicht der Behörde ausreichend, da das Unternehmen über keine weiteren Informationen verfügte.

Fazit

Die Entscheidung ist unter zwei Gesichtspunkten praxisrelevant.

Zum einen löst eine konkrete Nachfrage von Betroffenen nicht direkt die volle Verpflichtungskaskade des Art. 15 DSGVO aus. Fraglich ist freilich, ab wann dann von einer vollumfänglichen Ausübung auszugehen ist., Wohl ziemlich sicher, wenn eine Person deutlich macht, dass sie umfassend Auskunft nach Art. 15 DSGVO begehrt.

Zum anderen ist die Auskunftspflicht des Art. 15 Abs. 1 lit. g) DSGVO erfüllt, wenn das Unternehmen seinem Kenntnisstand entsprechend informiert, woher die Daten stammen. Eine weiter Aufklärungs- oder Nachforschungspflicht ist hiervon nicht umfasst.

Kunde trägt falsche E-Mail-Adresse beim Online-Shopping ein – Datenschutzverstoß des Unternehmens?

Im Rahmen des One Stop Shop Verfahrens hat die norwegische Datenschutzbehörde zu einem sehr praxisrelevanten entschieden (pdf, Englisch).

Sachverhalt

Oft kommt es vor, dass Kunden eines Online-Shops aus Versehen eine falsche E-Mail-Adresse im Rahmen des Kaufprozesses eintragen. Oft reicht ja bereits ein falscher Buchstabe oder eine falsche Top Level Domain (.de statt eigentlich .net). Die Folge: Kaufbestätigung, Rechnung etc. gehen an die falsche Adresse und damit die falsche Person (wenn diese E-Mail-Adresse vergeben ist). Genau einen solchen Fall hatte die Datenschutzbehörde zu entscheiden. Der Beschwerdeführer hatte im Bestellprozess seine eigene E-Mail-Adresse falsch eingetragen. Eine andere Person erhielt deshalb die kaufrelevanten Unterlagen. Der Beschwerdeführer ging von einem Verstoß gegen die DSGVO aus, da seiner Ansicht nach das Unternehmen Daten aus zwei Kundenkonten vermischt wurden.

Entscheidung

Die Datenschutzbehörde sah allein durch den Fehlversand von Dokumenten (sicher auch mit personenbezogenen Daten des Beschwerdeführers) an eine andere Person keinen Verstoß gegen die DSGVO.

Das von der Behörde angeschriebene Unternehmen teilte mit, dass es davon ausgeht, dass der Beschwerdeführer versehentlich die falsche E-Mail-Adresse eingegeben hat, als er einen Kauf tätigte. Infolgedessen begann der falsche Kunde, E-Mails zu den Bestellungen des Beschwerdeführers zu erhalten.

Die norwegische Datenschutzbehörde ist der Ansicht, „dass der Fehler für die Registrierung der falschen E-Mail-Adresse beim Beschwerdeführer liegt“. Daher kam die Behörde zu dem Schluss, dass das Unternehmen über angemessene Verfahren und Maßnahmen verfügt um sicherzustellen, dass personenbezogene Daten korrekt aufgenommen werden.

Spannend wäre hier natürlich noch die Frage gewesen, ob auch bei einer normalen Onlinebestellung eine Art Double Opt in Verfahren umzusetzen wäre. Meines Erachtens ist dies nicht zwingend allein wegen Art. 32 DSGVO oder Art. 25 DSGVO erforderlich. Diskutieren mag man diese Option aber sicher.

Aber Achtung: einen DSGVO-Verstoß des Unternehmens gab es dann doch. Der Beschwerdeführer kontaktierte das Unternehmen und forderte eine Berichtigung seiner Daten. Das Unternehmen reagierte auf diese Betroffenenanfrage nach Art. 16 DSGVO (Berichtigung) jedoch zu langsam. Im konkreten Fall dauerte es mehr als 6 Monate, die E-Mail-Adresse zu korrigieren. Die norwegische Datenschutzbehörde ist der Ansicht, dass dies einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt. Danach muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats reagieren. Das Unternehmen gelobte diesbezüglich Besserung und die Schaffung eines verbesserten Prozesses zur Berichtigung von Daten.

Rechenschaftspflichten der DSGVO: Rechtmäßigkeit der Verarbeitung personenbezogener Daten in Dokumenten und Aufbewahrungsdauer

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) (zuständig für öffentliche Stellen) hat kürzlich eine neue Orientierungshilfe (PDF) zur Einwilligung nach der DSGVO veröffentlicht.

Eine abstrakt relevante Ansicht findet sich dort zu der Frage, ob und wenn ja, auf welcher Grundlage Verantwortliche personenbezogene Daten verarbeiten dürfen bzw. müssen, um ihren Rechenschaftspflichten, etwa Art. 5 Abs. 2 oder Art. 7 Abs. 1 DSGVO, nachzukommen.

Es geht mithin um die Frage, ob die in Dokumenten enthaltenen personenbezogenen Daten von Betroffenen verarbeitet werden dürfen, auch wenn die eigentliche Verarbeitung der Daten schon beendet ist. Beispiel: Aufbewahrung der einmal erteilten Einwilligung im Fall des Widerrufs. Nach Ansicht der Behörde weist der Verantwortliche damit nach, dass mit der Einwilligung eine Rechtsgrundlage bestand und die darauf beruhende Verarbeitung personenbezogener Daten bis zum  Widerruf der Einwilligung rechtmäßig war.

Diese Gedanke, dass der Nachweis zu einer in der Vergangenheit zulässigen Verarbeitung auch nach deren Beendigung aufbewahrt werden muss, lässt sich auch auf andere Konstellationen und Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO übertragen.

Konkret auf den Fall der Einwilligung führt die Behörde aus:

„Die in der Einwilligungserklärung und dem Widerruf enthaltenen personenbezogenen Daten unterliegen ihrerseits auch dem Recht auf Löschung“.

Diese personenbezogenen Daten werden durch den Verantwortlichen aber nach Art. 6 Abs. 1 lit. c, Abs. 3 lit. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO. Diese Begründung lässt sich verallgemeinert auf die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO übertragen.

Die in den Nachweisen enthaltenen Daten sind gemäß Art. 17 Abs. 1 lit. a DSGVO zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, wenn also Nachweis- und Rechenschaftspflichten eine weitere Aufbewahrung nicht mehr erfordern.

Und wann enden solche Aufbewahrungsfristen? Die DSGVO macht hierzu keine spezifischen Vorgaben.

Nach Ansicht des BayLfD enden sie dann, wenn die Verarbeitung vollständig abgeschlossen ist, die aufgrund der Einwilligung verarbeiteten personenbezogenen Daten beim Verantwortlichen nicht mehr vorhanden sind

und der Verantwortliche kein rechtliches Interesse (etwa mit Blick auf Schadensersatzprozesse, vgl. Art. 17 Abs. 3 lit. e DSGVO) mehr daran hat, den Nachweis noch führen zu können.“

Die Behörde akzeptiert hiermit als wohl auch auch eine Orientierung an Verjährungsvorschriften für Schadensersatzansprüche nach Zivilrecht. Ergänzend würde ich zudem auch noch Verjährungsvorschriften für eine Verhängung von Bußgeldern durch eine Aufsichtsbehörde (§ 31 Abs. 2 OwiG) erwähnen.

Gerade im Bereich der Einwilligung ist zudem eine Änderung im UWG für Telefonwerbung zu beachten. Am 1.10.2021 tritt ein neuer § 7a UWG in Kraft. In Abs. 1 wird vorgegeben, dass Einwilligungen für Telefonwerbung gegenüber einem Verbraucher zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Abs. 2 S. 1 aufzubewahren. Und Abs. 2 S. 1 gibt vor: „Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren„.

Schwedische Datenschutzbehörde: wann werden personenbezogene Daten „unverzüglich“ gelöscht?

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

In der Praxis stellt sich oft die Frage, wie schnell denn nun Daten zu löschen sind? Was also „unverzüglich“ bedeutet (ausführlicher haben sich Philipp Quiel und ich hiermit in unserem Beitrag zur Herbstakademie 2020 „Bestimmt unbestimmt – Vorschläge zur Auslegung und Anwendung unklarer Formulierungen in der Datenschutz-Grundverordnung“ (DSRITB 2020, 1) befasst).

Generell ist bei der Anwendung von Unionsrecht (wie hier der DSGVO) zu beachten, dass bei einer unionsrechtlich autonom erfolgenden Interpretation rein nationale Rechtsverständnisse in der Regel nur sehr begrenzt zur Klärung des Regelungsinhalts einer Norm hinzugezogen werden können. Daher ist es meines Erachtens auch nicht richtig, bei der Auslegung eines europäischen Rechtsbegriffs wie „unverzüglich“ allein auf tradierte nationale Verständnisse abzustellen, wie etwa auf § 121 Abs. 1 S. 1 BGB und das Verständnis von „ohne schuldhaftes Zögern (unverzüglich)“. Hierfür wird davon ausgegangen, dass ein Zuwarten von zwei Wochen als nicht mehr unverzüglich anzusehen ist, wenn keine besonderen Umstände vorliegen (MüKom/BGB, 8. Aufl. 2018, § 121 Rn. 7).

Die schwedische Datenschutzbehörde hat nun in einem Prüfverfahren (PDF) (welches im One Stop Shop Verfahren nach der DSGVO bearbeitet wurde) entschieden, dass eine Löschung von personenbezogenen Daten innerhalb von 16 Tagen als „unverzüglich“ anzusehen war. Dies zeigt deutlich, dass bei Auslegung und Anwendung der DSGVO der rein nationale Blick oft zu kurz greift. Zum anderen gibt diese Entscheidung für die Praxis zumindest einen ersten Anhaltspunkt dafür, was aus Behördensicht eine „unverzügliche“ Löschung bedeuten kann.

Internes EDSA Dokument: Territoriale Anwendung der ePrivacy-Richtlinie und Zuständigkeit der Aufsichtsbehörden

Im Rahmen der 50. Sitzung des Europäischen Datenschutzausschusses (EDSA) vom 18.6.2021 hat das Gremium ein internes Dokument mit dem Titel „Dokument 04/2021 über Kriterien der territorialen Zuständigkeit der Aufsichtsbehörden für die Durchsetzung von Artikel 5 Absatz 3 der Datenschutzrichtlinie für die elektronische Kommunikation“ (PDF) angenommen. Im Rahmen eines Antrags auf Zugang zu öffentlichen Dokumenten nach den Vorgaben des EU-Rechts, habe ich das Dokument nun erhalten.

Nach Angaben des federführenden Berichterstatters ziele das Dokument darauf ab, gemeinsame Kriterien für die territoriale Zuständigkeit der Aufsichtsbehörden gemäß Art. 5 (3) der Richtlinie 2002/58/EG (ePrivacy-RL) festzulegen, insbesondere in Situationen, in denen ein für die Verarbeitung Verantwortlicher bzw. Diensteanbieter Niederlassungen in mehreren Mitgliedstaaten hat.

Hintergrund

Hintergrund des Dokuments sind verschiedene Entscheidungen von Aufsichtsbehörden in Mitgliedstaaten zur Durchsetzung der Vorgaben des Art. 5 Abs. 3 ePrivacy-RL, also der Regelung zur Einwilligung (und den Ausnahmen) beim Einsatz von Cookies und anderen Trackingtechnologien. In dem ab 1.12.2021 geltenden § 25 TTDSG wird diese Vorgabe nun auch in deutsches Recht umgesetzt. Das EDSA-Dokument dürfte daher auch für Unternehmen von praktischer Relevanz sein, etwa im Fall ein Prüfverfahrens zum Einsatz von Cookies auf Webseiten oder in Apps, wenn ein Unternehmen mehrere Niederlassungen in der EU hat.

Inhalt

Grundsätzlich stellt der EDSA fest, dass es nach den Bestimmungen der ePrivacy-RL jedem Mitgliedstaat obliegt, die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die Ziele der Richtlinie erreicht werden. Jedoch enthält die ePrivacy-RL keine Angaben zu ihrem räumlichen Geltungsbereich.

Der EDSA trennt in dem Dokument zwei Situationen.

Zum einen den Fall, dass ein Unternehmen Niederlassungen in mehreren Mitgliedstaaten hat. Nach Ansicht der Datenschutzbehörden gibt die Rechtsprechung des EuGH zur territorialen Anwendung der aufgehobenen Richtlinie 95/46/EG einen Hinweis darauf, wie die territoriale Anwendung geregelt werden sollte. Der EDSA verweist hier auf die „Fanpage“-Entscheidung des EuGH, C-210/16 vom 5.6.2018. Bemerkenswert an dieser Einordnung ist freilich, dass die ePrivacy-RL diesen Verweis auf Vorgaben zum Anwendungsbereich und Zuständigkeit von Behörden nach der Richtlinie 95/46/EG gerade nicht vorsieht. Zwar stellen nach Art. 1 Abs. 2 ePrivacy-RL deren Bestimmungen eine „Detaillierung und Ergänzung der Richtlinie 95/46/EG“ dar. Gerade für den praktisch extrem relevanten Bereich des Art. 5 Abs. 3 ePrivacy-RL, passt dieser Verweis aber nicht, da es dort gerade nicht (!) um personenbezogene Daten geht.

Anknüpfungspunkt für den EDSA ist (durchaus verständlich, mit Blick auf den alten Art. 4 Richtlinie 95/46/EG) also das Vorhandensein einer Niederlassung in einem Mitgliedstaat. Daraus folgert der EDSA, dass jeder Mitgliedstaat berechtigt ist, sein nationales Recht zur Umsetzung der ePrivacy-RL durchzusetzen, „soweit es Nutzer betrifft, die sich in ihrem Hoheitsgebiet befinden“. Dies bedeutet nach Auffassung der Behörden auch, dass keine Gesetzgebung zur Umsetzung der ePrivacy-RL die Aufsichtsbehörde eines anderen Mitgliedstaats daran hindern kann die Richtlinie im Einklang mit ihren innerstaatlichen Bestimmungen in Bezug auf Nutzer in ihrem Hoheitsgebiet durchzusetzen.

Der EDSA orientiert sich also tatsächlich stark an dem vorbenannten Urteil des EuGH.

Zum anderen den Fall, dass keine Niederlassung in der EU vorhanden ist. In diesem Fall, so der EDSA, kann das nationale Recht eines Mitgliedstaats andere Kriterien als die Niederlassung vorsehen, um sein nationales Recht in Bezug auf diesen für die Verarbeitung Verantwortlichen bzw. Diensteanbieter durchsetzen.

Zusammengefasst, folgt daraus aus Sicht der europäischen Datenschutzbehörden.

Wenn die Verarbeitung ausschließlich durch die nationalen Rechtsvorschriften zur Umsetzung von Art. 5 Abs. 3 ePrivacy-RL geregelt ist, ist die für die Durchsetzung zuständige Behörde berechtigt, ihre Befugnisse auszuüben, wenn:

  • der für die Verarbeitung Verantwortliche/Dienstleister ist in ihrem Hoheitsgebiet niedergelassen;
  • die Verarbeitung erfolgt im Rahmen der Tätigkeiten einer Niederlassung in ihrem Hoheitsgebiet, auch wenn die ausschließliche Verantwortung für Erhebung und Verarbeitung für das gesamte Gebiet der Europäischen Union bei einer Niederlassung in einem anderen Mitgliedstaat liegt;
  • bei Fehlen eines für die Verarbeitung Verantwortlichen/Diensteanbieters oder einer Niederlassung in ihrem Hoheitsgebiet, das nationale Recht ein weiteres Kriterium für seine Durchsetzung enthalten kann.

Aus meiner Sicht dürfte für die Praxis vor allem die Interpretation in dem zweiten Bulletpoint relevant sein, wenn also mehrere Niederlassungen in mehreren Mitgliedstaaten vorhanden sind. Dann kommt es nach dem EDSA, auch im Anwendungsberiech des Art. 5 Abs. 3 ePrivacy-RL, auf die Frage an, ob der Zugriff auf Informationen oder das Speichern von Informationen in Endgeräten „im Rahmen der Tätigkeiten“ einer Niederlassung in dem jeweiligen Mitgliedstaat erfolgen. Ob diese analoge Anwendung der Vorgaben der Richtlinie 95/46/EG bzw. der Rechtsprechung des EuGH hierzu zwingend ist, erscheint mir jedoch (wie beschrieben) mindestens diskutabel. Zudem muss beachtet werden, dass zur Durchsetzung der e-Privacy-RL nicht zwingend die Datenschutzbehörden berufen sind. Die ePrivacy-RL eröffnet dem nationalen Gesetzgeber entsprechenden Spielraum bei der Umsetzung, was im Ergebnis bedeuten würde, die Rechtsprechung des EuGH zur Zuständigkeit von Datenschutzbehörden auf die Zuständigkeit anderer Behörden zu übertragen. Ich bin sehr gespannt, wie dieses Papier in Zukunft in Behördenentscheidungen Eingang findet.