Baldiges EuGH-Urteil – Auskunft und Information allein über die Kategorien der Empfänger von Daten ausreichend?

Am 9. Juni 2022 hat Generalanwalt Pitruzzella zu einer nahenden Entscheidung des EuGH (Rechtssache C‑154/21) seine Schlussanträge vorgelegt.

In dem Verfahren aus Österreich geht es um die praxisrelevante Frage, ob Verantwortliche im Rahmen der Antwort auf Auskunftsanträge nach Art. 15 DSGVO den Betroffenen die konkreten Empfänger von Daten oder aber nur die Empfängerkategorien zur Verfügung stellen müssen (Art. 15 Abs. 1 lit. c DSGVO). Die Antwort auf diese Frage hat weitreichende Konsequenzen: müssten alle Datenempfänger konkret benannt werden, bedeutet dies, dass der zur Auskunft verpflichtete Verantwortliche jegliche (gemeinsam oder getrennt) Verantwortliche und (!) Auftragsverarbeiter aufführen muss, die Daten von ihm erhalten. Denn „Empfänger“ sind auch die Auftragsverarbeiter.

In der Praxis bedeutet dies natürlich, dass man im Grunde auch alle Stellen kennen muss, die Daten erhalten. Das kann in der heutigen Zeit durchaus herausfordernd sein. Stellen Sie sich hierzu einmal eine Webseite / App vor, auf der verschiedenste Dienstleister eingebunden sind.

Konkret geht es in dem Verfahren um die Auslegung von Art. 15 Abs. 1 lit. c DSGVO, in dem es heißt: „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“.

Der Generalanwalt legt die Norm nach verschiedenen Kriterien, u.a. Wortlaut und Sinn und Zweck aus. Hierbei kommt er zu einem klaren Ergebnis: Art. 15 Abs. 1 lit. c DSGVO ist dahin auszulegen, dass das dort vorgesehene Auskunftsrecht der betroffenen Person auf deren Antrag notwendigerweise auf die Angabe der konkreten Empfänger der Offenlegungen ihrer personenbezogenen Daten zu erstrecken ist.

Zur Begründung führt der Generalanwalt unter anderem folgende Argumente an:

  • Die Begriffe „Empfänger“ und „Kategorien von Empfängern“ sind neutral nebeneinander aufgeführt, ohne dass daraus geschlossen werden kann, dass zwischen diesen Begriffen ein Vorrangverhältnis besteht.
  • Die Struktur der Norm spreche dafür, einer Auslegung den Vorzug zu geben, wonach es der betroffenen Person obliegt, die Wahl zwischen den beiden dort vorgesehenen Alternativen zu treffen.
  • Die Ausübung des Auskunftsrechts muss es der betroffenen Person insbesondere ermöglichen, sich nicht nur zu vergewissern, dass ihre personenbezogenen Daten fehlerfrei verarbeitet werden, sondern auch, dass diese an Empfänger gerichtet sind, die zu ihrer Verarbeitung befugt sind. Das setzt grundsätzlich voraus, dass die Mitteilung von Informationen so präzise wie möglich erfolgt.
  • Würde man die Nennung von Kategorien ausreichen lassen, würde der betroffenen Person die Möglichkeit genommen, in vollem Umfang die Rechtmäßigkeit der vom Verantwortlichen vorgenommenen Verarbeitung und insbesondere die Rechtmäßigkeit der bereits erfolgten Offenlegungen von Daten überprüfen zu können.

Gleichzeitig macht der Generalanwalt zwei Ausnahmen:

  • In einem Fall, in dem aus tatsächlichen Gründen die Erteilung einer Auskunft über konkrete Empfänger nicht möglich ist, z. B. wenn diese tatsächlich noch nicht identifiziert wurden.
  • Zudem sei die Ausübung des Auskunftsrechts der betroffenen Person und die Erfüllung der entsprechenden Verpflichtung des Aufraggebers anhand der Grundsätze der Rechtmäßigkeit und der Verhältnismäßigkeit zu beurteilen. Diese Ausnahme ist spannend, denn hier verweist der Generalanwalt auch auf den möglichen Einwand nach Art. 12 Abs. 5 DSGVO, bei offenkundig unbegründeten oder exzessiven Anträgen.

Es handelt sich „nur“ um die Schlussanträge. Doch wenn man die Rechtsprechung des EuGH im Bereich Datenschutz anschaut, würde ich vermuten, dass er dem Ergebnis des Generalanwalts folgt.

Was bedeutet dies?

  • Sollte der EuGH entsprechend entscheiden, müssen bei der Beantwortung von Auskunftsanträgen jeweils immer die spezifischen Empfänger der Daten angegeben werden. Das setzt voraus, dass datenverarbeitendes Stelle alle Empfänmger auch kennen. Bedeutet: man muss wissen, wo welche Daten hingehen. Das ist in der Praxis eine Herausforderung. Ein gut geführter Verzeichnis nach Art. 30 DSGVO kann in solchen Fällen ein echter Segen sein.
  • Auch Art. 13 Abs. 1 und 14 Abs. 1 DSGVO enthalten eine entsprechende Vorgabe, wie Art. 15 Abs. 1 lit. c DSGVO; ich würde vermuten, dass insbesondere Aufsichtsbehörden die Begründung in diesem Verfahren daher auch auf Datenschutzerklärungen anwenden. Das bedeutet, diese müssten angepasst und um Empfängerlisten ergänzt werden.

Bundesrat: Bayern möchte Benennungspflicht für Datenschutzbeauftragte einschränken

Das Bundesland Bayern hat im Bundesrat einen Antrag für eine „Entschließung des Bundesrates zur Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU“ (PDF) mit Datum vom 10.5.2022 eingebracht. In dem Antrag schlägt Bayern verschiedenste Anpassungen des BDSG vor dem Hintergrund des Berichts des Bundesministeriums des Innern zur Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes aus 2021 vor.

Pflicht zur Benennung eines Datenschutzbeauftragten

Kernbestandteil des Entwurfs ist die Beschränkung der Benennungspflicht für Datenschutzbeauftragte nach § 38 BDSG. Hinsichtlich dieser nationalen Regelung wird bereits ganz allgemein Kritik geäußert, in dem die Änderungsvorschläge wie folgt eingeleitet werden: „Soll an der zusätzlichen nationalen Regelung überhaupt weiterhin festgehalten werden…“.

In dem Entwurf schlägt Bayern vor, „in Anlehnung an den von der DSGVO verfolgten risikobasierten Ansatz“, § 38 Abs. 1 BDSG anzupassen. Die dort vorgegebene Grenze von mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, soll insofern modifiziert werden, dass als relevante Beschäftigte nur solche Personen gelten, die bei ihrer Tätigkeit die Voraussetzungen des Art. 37 Abs. 1 lit. b, c DSGVO erfüllen.

Derzeit bestehen nur die Anforderungen, dass die 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Voraussetzung soll nun noch verschärft werden, in dem zusätzlich an die Kriterien aus Art. 37 Abs. 1 lit. b und c DSGVO angeknüpft werden soll.

Der Antrag begründet hierzu:

Die zusätzliche Benennungspflicht nach nationalem Recht sollte demnach nur dann bestehen, soweit der Verantwortliche oder Auftragsverarbeiter mindestens 20 Personen beschäftigen, deren Kerntätigkeit in der Durchführung von Verarbeitungstätigkeiten besteht, welche aufgrund ihrer Art, ihres Umfangs und / oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder deren Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten i.S.d. Art. 9, 10 DSGVO besteht.“

Ziel dieses Vorschlags ist es, kleinere und mittlere Unternehmen zu entlasten.

Ich persönlich sehe solche Forderungen kritisch. Denn nur weil ggfs. die Benennungspflicht entfällt, bedeutet dies natürlich nicht, dass die Unternehmen sich nicht mehr an die DSGVO halten müssen. In der Praxis existiert aber leider die Vorstellung: „Kein DSB erforderlich – Keine Vorgaben aus dem Datenschutzrecht zu beachten“. Das ist natürlich falsch und für die Unternehmen im schlimmsten Fall auch rechtlich gefährlich. Politisch klingt ein solcher Vorschlag freilich super: wir entlasten die Unternehmen (von einer Pflicht…).

Verzeichnis von Verarbeitungstätigkeiten

Zudem schlägt Bayern vor, in die gegebenenfalls zu erstellende Gesetzbegründung den Hinweis aufzunehmen, dass Unternehmen, wenn sie nach (einem neuen) § 38 BDSG keinen Datenschutzbeauftragten benennen müssen, auch kein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen müssen.

Auch diesen Vorschlag empfinde ich eher als politisches Geschenk an die wählenden Unternehmen. Denn auch hier gilt: nur, weil ich als Unternehmen evtentuell kein Verzeichnis führen muss, muss ich dennoch die übrigen Pflichten der DSGVO einhalten. UND: das Verzeichnis ist in der Praxis eine extrem relevante Hilfe bei der Erfüllung weiterer Pflichten, wie etwa jener zur Informationserteilung nach Art. 13, 14 DSGVO oder auch zur Erfüllung von Auskunftsanträgen nach Art. 15 DSGVO. Fällt die Pflicht für das Verzeichnis weg, steht das Unternehmen im Zweifel „nackig“, ohne Übersicht zu seinen Datenverarbeitungen da, wenn der erste Betroffene Auskunft über seine Daten, die Empfänger etc. verlangt.

Institutionalisierung der DSK

Auch zur Zukunft der DSK enthält der Entwurf eine Position. So wird die Auffassung des BMI aus seinem Bericht geteilt, dass eine Regelung im BDSG

zur weitergehenden Institutionalisierung der DSK wegen des Verbots der Mischverwaltung an verfassungsrechtliche Grenzen stößt.“

Zudem schlägt Bayern vor, sich gegen Befugnisse der DSK zu verbindlichen Entscheidungen über Auslegungsmaximen des Datenschutzrechts und Angelegenheiten des Datenschutzes auszusprechen.

Datenschutzbehörde Brandenburg: „Einstellungen oder ablehnen“-Button im Cookie-Banner ist nicht ausreichend

Die korrekte (bzw. rechtskonforme) Ausgestaltung von Consent Management Plattformen (und auch von Cookie-Bannern) zur Einholung von Einwilligungen für den Einsatz von Cookies und anderen Tracking-Technologien ist bereits seit einiger Zeit in der Diskussion.

In ihrem jüngsten Tätigkeitsbericht 2021 (PDF) äußert sich die Landesdatenschutzbehörde Brandenburg (LDA) unter anderem auch zu diesem Thema. Das LDA informiert dort (Ziffer 4) über die Prüfung eines brandenburgischen Medienunternehmens im Rahmen der koordinierten Prüfung von Webseiten verschiedener Medienunternehmen in Deutschland.

Eine Anforderung des LDA für eine wirksame Einwilligung nach Art. 7 DSGVO ist, dass diese freiwillig abgegeben wird. Hierfür verlangt das LDA:

Hiervon kann im Kontext der Ausgestaltung des Cookie-Banners nur ausgegangen werden, wenn eine wirkliche Wahl besteht, der Datenverarbeitung zuzustimmen oder diese abzulehnen.“

Dieses Merkmal wird nach Ansicht des LDA jedoch unter gewissen Umständen nicht erfüllt. Insbesondere dann nicht, wenn keine wirkliche Wahlmöglichkeit für Betroffene besteht. Dies ist nach Ansicht des LDA der Fall, wenn eine „eindeutige Ablehnungsmöglichkeit“ auf der ersten Ebene des Cookie-Banners fehlt. Dann

„gilt die Einwilligung als nicht freiwillig erteilt und ist damit unwirksam.“

Das LDA stellt hierbei insbesondere darauf ab, ob die Ablehnung einen Mehraufwand (im Vergleich zur Erteilung der Einwilligung) erfordert. Was nach Ansicht des LDA ein solcher Mehraufwand ist, wird ebenfalls erläutert:

„Der Mehraufwand besteht dabei nicht nur darin, dass die betroffene Person, die eine Ablehnung äußern möchte, einmal mehr klicken muss als für die Zustimmung. Vielmehr müssen die weiteren Informationen und Einstellungsmöglichkeiten, mit denen sie auf einer zweiten Ebene des Einwilligungsdialoges konfrontiert wird, lesen, nachvollziehen und dann unter den weiteren Optionen die richtige auswählen.“

Ein solcher Mehraufwand stelle einen spürbaren Nachteil für die Betroffenen dar und die Einwilligung wäre in diesem Fall nicht wirksam erteilt.

Konkret schildert das LDA dann die Erfahrungen aus der Prüfung eines Unternehmens in Brandenburg.

Das Unternehmen fragte, ob eine Abwandlung des Cookie-Banners – nämlich die Änderung der Bezeichnung der Schaltfläche „Optionen“ in „Einstellungen oder ablehnen“ – eine datenschutzgerechte Verarbeitung ermöglichen würde.

Die Ansicht des LDA:

Auch hier wiesen wir den Verantwortlichen darauf hin, dass diese Form des Einwilligungsdialoges ebenso zu einem spürbaren Nachteil und Mehraufwand für die betroffenen Personen führt und dazu dient, in treuwidriger Art und Weise Einfluss auf sie zu nehmen.“

Das LDA verlangt, dass eine Schaltfläche auf erster Ebene des Cookie-Banners eingerichtet wird, mit der Nutzer den Einsatz von einwilligungsbedürftigen Cookies und Tracking-Maßnahmen sowie die Einbindung von Drittdiensten ablehnen können.

Wie genau diese Schaltfläche grafisch ausgestaltet werden muss, wird nicht beschrieben. Hier dürften in der Praxis also weiterhin verschiedenste Gestaltungsoptionen für Unternehmen in Betracht kommen.

Generalanwalt: Zulässigkeit der (zweckändernden) Verarbeitung von Kundendaten für Zwecke der Datensicherheit

In seinen Schlussanträgen in der Rs. C-77/21 vom 31.03.2022 des Generalanwalts Pikamäe, äußert sich dieser zu zwei interessanten Fragen, wenn es um eine Verarbeitung von Kundendaten nicht nur für die Vertragsdurchführung, sondern auch für Zwecke der Datensicherheit (insbesondere der Verfügbarkeit der Daten) geht.

  • Zum einen, ob die Verarbeitung, die auf die Einhaltung der Pflichten aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO gerichtet ist, eine Zweckänderung darstellt
  • Zum anderen, ob, bei Vorliegen eines anderen Zwecks, die Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO zulässig ist

Sachverhalt

In dem Verfahren aus Ungarn ging es um eine Klage eines Anbieters von Internet- und Fernsehdiensten (Digi) gegen eine Entscheidung der ungarischen Datenschutzbehörde.

Im April 2018 richtete Digi, nach einer technischen Serverstörung unter der Bezeichnung „test“ eine Datenbank ein, in die es personenbezogene Daten von ungefähr einem Drittel der Privatkunden kopierte. Am 23.09.2019 erfuhr Digi, dass ein „ethischer Hacker“ auf die personenbezogenen Daten von rund 322.000 Personen zugegriffen hatte. Der Hacker setzte das Unternehmen schriftlich davon in Kenntnis. Digi behob den Fehler, schloss mit dem Hacker eine Vertraulichkeitsvereinbarung und zahlte ihm eine Belohnung.

Digi meldete danach am 25.09.2019 die Verletzung des Schutzes personenbezogener Daten der Datenschutzbehörde, die daraufhin ein Untersuchungsverfahren einleitete. Die Behörde stellte nachfolgend Verstöße gegen Art. 5 Abs. 1 lit. b und e DSGVO fest. U.a. mit dem Argument, dass Digi die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht gelöscht und dadurch in dieser Testdatenbank eine große Menge personenbezogener Daten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert habe, die die Identifizierung der betroffenen Personen ermöglicht habe.

Einschätzung des Generalanwalts

In seinen Schlussanträgen befasst sich der Generalanwalt u.a. mit den beiden oben beschriebenen Fragen.

Liegt eine Zweckänderung vor?

Fraglich war zunächst, ob das Kopieren und Speichern der Daten in der „test“ Datenbank eine Zweckänderung im Vergleich zu dem Zweck der Erhebung der Kundendaten darstellt.

Interessant ist hier, dass die Europäische Kommission nicht von einer zweckändernden Verarbeitung ausgeht. Die Verarbeitung der Daten für den Zweck der Sicherheit der Daten also von dem ursprünglichen Erhebungszweck (Durchführung der Kundenverträge) umfasst sieht. Eine solche Verarbeitung,

die auf die Einhaltung der dem für die Verarbeitung Verantwortlichen durch Art. 5 Abs. 1 Buchst. f der DSGVO auferlegten und in deren Art. 32 näher erläuterten Sicherheitspflicht abziele, könne nicht als Verfolgung eines neuen oder anderen Zwecks angesehen werden“.

Dies würde in der Konsequenz auch bedeuten, dass keine Vereinbarkeitsprüfung der Zweck nach Art. 6 Abs. 4 DSGVO erfolgen müsste.

Der Generalanwalt lehnt diese Auffassung jedoch ab. Dieser, seiner Ansicht nach, abstrakte und systematische Ansatz stehe im Widerspruch zu dem Erfordernis, die Rechtmäßigkeit jedes einzelnen Verarbeitungsvorgangs unter Berücksichtigung aller relevanten Umstände des Einzelfalls zu beurteilen.

Vereinbarkeit der Zwecke oder gesetzliche Grundlage (Art. 6 Abs. 4 DSGVO)

Daher ist der Generalanwalt gezwungen, in die Prüfung nach Art. 6 Abs. 4 DSGVO einzusteigen.

Er verweist zusätzlich auf die Vorgaben in ErwG 50 DSGVO. Beide Vorschriften bringen seiner Ansicht nach eine Verbindung zwischen dem Grundsatz der Zweckbindung und der Rechtsgrundlage der betreffenden Verarbeitung zum Ausdruck.

Eine Vereinbarkeitsprüfung der Zwecke ist nach Art. 6 Abs. 4 DSGVO nicht erforderlich, wenn die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht. Dann müssen die Zwecke also gerade nicht miteinander vereinbar sein.

Wenn ja, ist der für die Verarbeitung Verantwortliche gemäß Abs. 2 des 50. Erwägungsgrundes der DSGVO berechtigt, personenbezogene Daten unabhängig von der Vereinbarkeit der Zwecke weiterzuverarbeiten“.

Ich bin ja ein Verfechter der Ansicht, dass personenbezogene Daten für Zwecke der Datensicherheit, also der Erfüllung gesetzlicher Pflichten nach Art. 32 DSGVO, auf der Grundlage von Art. 6 Abs. 1 lit. c) (Erfüllung rechtlicher Pflichten) verarbeitet werden dürfen.

Der Generalanwalt scheint diese Ansicht jedoch abzulehnen, wie sich aus seinen Anmerkungen in Fußnote 28 ergibt. Dort begründet er, dass

dass die auf Art. 6 Abs. 1 Buchst. c der DSGVO gestützten Verarbeitungen, die für die Erfüllung einer rechtlichen Verpflichtung erforderlich sind, der der für die Verarbeitung Verantwortliche unterliegt, und insbesondere die in Art. 5 Abs. 1 Buchst. f dieser Verordnung vorgesehene Verpflichtung zur Gewährleistung einer angemessenen Datensicherheit, nicht zu den vom Erfordernis der Vereinbarkeit befreiten Verarbeitungen gehören“.

Diese „befreite“ Verarbeitung wäre eine solche, die auf Grundlage der Einwilligung oder auf einer Rechtsvorschrift der Union beruht, also etwa Art. 32, Art. 6 Abs. 1 lit. c DSGVO. Der Generalanwalt, lehnt dies jedoch ab. Ich vermute, er würde die Datenverarbeitung dann auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO stützen.

Danach erfolgt logischerweise der Vereinbarkeitstest der beiden Zwecke nach den Vorgaben des Art. 6 Abs. 4 DSGVO.

Der Generalanwalt geht davon aus, dass

unbestreitbar eine Verbindung zwischen dem Zweck der ursprünglichen Datenerhebung, nämlich der Erfüllung des Vertrags über ein Internet- und Fernsehabonnement, und einer Verarbeitung zur Sicherung dieser Daten in einer zusätzlichen internen Datenbank und zur sicheren Durchführung von Tests zur Behebung einer technischen Störung, die für die Erbringung der vertraglich vereinbarten Dienstleistung potenziell schädlich sein könnte

besteht.

Zwar überschneiden sich die Zwecke nicht. Sie stünden aber dennoch logisch miteinander in Verbindung. Zudem geht der Generalanwalt davon aus, dass eine zusätzliche Speicherung von Daten auf einem internen Datenträger, die durch die Notwendigkeit begründet ist, eine technische Störung zu beheben, die den Zugang zu den Daten in der ursprünglichen Datenbank beeinträchtigt,

nicht als überraschend oder unwahrscheinlich angesehen werden

kann. Diese Feststellung ist sowohl für Art. 6 Abs. 4 DSGVO, aber auch für Art. 6 Abs. 1 lit. f DSGVO, nämlich die berechtigten Erwartungen der Betroffenen, relevant.

Zudem, so der Generalanwalt, werden die betreffenden Daten weiterhin von demselben Verantwortlichen verarbeitet. Insgesamt scheint er davon auszugehen, dass die Verarbeitung für Zwecke der Sicherheit der Daten also recht unproblematisch den Vereinbarkeitstest nach Art. 6 Abs. 4 DSGVO bestehen würde.

Fazit

Das Ergebnis teile ich. Wie beschrieben, würde ich aber einen anderen Weg wählen und von einer Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Anforderungen des Art. 32 DSGVO ausgehen. Eventuell äußert sich ja auch noch der EuGH zu der Frage der Rechtsgrundlage. Für die Praxis könnte man natürlich überlegen, ob man bereits bei Erhebung darüber informiert, dass die Daten gerade auch für Zwecke der Datensicherheit (insb. Verfpgbarkeit) verarbeitet werden. Dies könnte gegen eine Zweckänderung sprechen, da man die Daten schon von Beginn an für diesen Zweck verwendet.

Missbräuchliche Ausübung von Betroffenenrechten – Klarheit durch neuen Richtlinienvorschlag der EU-Kommission?

In der Praxis ist die Geltendmachung und Bearbeitung von Betroffenenrechten der DSGVO ein wichtiges Thema. Dabei fällt auf, dass gerade Rechte wie der Auskunftsanspruch (Art. 15 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO) auch in Situationen geltend gemacht werden, in denen der Datenschutz ganz offensichtlich nicht im Fokus der Betroffenen steht. Sondern es geht, etwa in Verfahren vor Arbeitsgerichten, darum, der Gegenseite weiteren Aufwand zu machen bzw. diese, wenn möglich „auszuforschen“ (je nachdem, wie das Gericht den Umfang des Auskunftsrechts versteht). Oft stellt sich dann die Frage, ob denn der Verantwortliche nicht eine missbräuchliche Geltendmachung des Betroffenenrechts einwenden und die Erfüllung ablehnen kann. Mein Kollege Johannes Zwerschke und ich haben zu dem Thema „Missbräuchliche Ausübung von DS-GVO-Betroffenenrechten – zulässiger Verteidigungseinwand für Verantwortliche?“ einen Aufsatz in Heft 1/2022 der RDV veröffentlicht.

Merkmal „offenkundig unbegründet“

Fraglich ist hierbei unter anderem, wie das Merkmal „offenkundig unbegründet“ in Art. 12 Abs. 5 DSGVO in Bezug auf Anträge von Betroffenen zu verstehen ist. Die DSGVO gibt hierauf keine konkrete Antwort. Da es sich hierbei um unmittelbar anwendbares europäisches Recht handelt, ist das Merkmal nicht allein aus nationaler Sicht, sondern europarechtsautonom auszulegen.

Richtlinienvorschlag der Kommission zu missbräuchlichen Gerichtsverfahren

Spannend ist daher ein neuer Richtlinienvorschlag der EU-Kommission vom 27.4.2022. Es geht um eine Richtlinie zum Schutz von Personen, die sich öffentlich beteiligen, vor offenkundig unbegründeten oder missbräuchlichen Gerichtsverfahren („strategische Klagen gegen öffentliche Beteiligung“) (COM(2022) 177 final, PDF). Hintergrund des Vorschlags ist der Wunsch, Maßnahmen zur Verbesserung des Schutzes von Journalisten und Menschenrechtsverteidigern vor missbräuchlichen Gerichtsverfahren zu schaffen. „Strategische Klagen gegen öffentliche Beteiligung“ oder „SLAPP-Klagen“ (strategic lawsuits against public participation) sind nach Ansicht der Kommission eine besondere Form der Belästigung, um Äußerungen zu Angelegenheiten im öffentlichen Interesse zu verhindern oder zu sanktionieren. Die vorgeschlagene Richtlinie „ermöglicht es Richtern, offenkundig missbräuchliche Klagen gegen Journalisten und Menschenrechtsverteidiger rasch abzuweisen“.

Und hier wird es natürlich für uns aus DSGVO-Sicht interessant. Zum einen verwendet die Richtlinie exakt dasselbe Merkmal wie die DSGVO („offenkundig unbegründet“). Zum anderen ist die Ausgangssituation auch sehr ähnlich: es geht darum zu verhindern, dass Rechte missbräuchlich genutzt werden. Die Parallele zu Situationen unter der DSGVO, ergibt sich etwa aus ErwG 20 der Richtlinie: „Bei missbräuchlichen Gerichtsverfahren handelt es sich in der Regel um bösgläubige Verfahrenstaktiken, z. B. die Verzögerung von Verfahren, das Verursachen unverhältnismäßig hoher Kosten für den Beklagten im Verfahren oder die Wahl des günstigsten Gerichtsstands“. Und: „Diese Taktiken werden von den Klägern zu anderen Zwecken eingesetzt, als um Zugang zur Justiz zu erhalten“.

Was versteht die Kommission unter „offenkundig unbegründet“?

Und was versteht die Kommission nun unter dem Begriff „offenkundig unbegründet“? Eine abschließende Definition dieses Merkmals bzw. des Oberbegriffs „missbräuchliche Gerichtsverfahren“ liefert die Richtlinie nicht. Art. 3 der Richtlinie zählt eine nicht erschöpfende Liste der häufigsten Indikatoren von Missbrauch auf. Darunter fallen nach Ansicht der Kommission:

  • Unverhältnismäßigkeit,
  • Maßlosigkeit oder
  • Unangemessenheit der Forderung oder eines Teils davon,
  • Vorhandensein mehrerer Verfahren, die vom Antragsteller oder mit ihm verbundenen Parteien in ähnlichen Angelegenheiten angestrengt wurden,
  • Einschüchterungen, Belästigungen oder Drohungen von Seiten des Klägers oder seiner Vertreter.

In den Erläuterungen zu dem Entwurf geht die Kommission noch etwas genauer auf mögliche Merkmale ein, die meines Erachtens durchaus auch im Bereich der DSGVO herangezogen werden können.

Bei missbräuchlichen Gerichtsverfahren handelt es sich häufig um bösgläubige Verfahrenspraktiken, z. B. die Verzögerung von Verfahren, das Verursachen unverhältnismäßig hoher Kosten für den Beklagten im Verfahren oder die Wahl des günstigsten Gerichtsstands. Diese Taktiken, die von den Klägern zu anderen Zwecken als dem Zugang zur Justiz eingesetzt werden…

Gerade diese letzte Erläuterungen ist meiner Ansicht nach sehr gut auf die missbräuchliche Geltendmachung von Betroffenenrechten übertragebar (wie etwa: Verursachen unverhältnismäßig hoher Kosten; zu anderen Zwecken als dem Zugang zur Justiz (bzw. dem Schutz personenbezogener Daten)).

Europäischer Datenschutzbeauftragter: Newsletter-Dienst, der die Übermittlung von Daten in Drittländer beinhaltet, mit ausdrücklicher Zustimmung möglich

Diese Woche hat der EDSB seinen jüngsten Jahresbericht (PDF) veröffentlicht.

In dem Bericht (S. 75) informiert der EDSB über ein Beratungsersuchen einer europäischen Institution (EUI). Die EUI nutzte einen Newsletter-Dienst, bei dem interessierte Personen den Newsletter über die Website der EUI abonnieren konnten, „auf der Grundlage ihrer Zustimmung“ und „nachdem sie sehr klare Informationen (auch über die mit den Übermittlungen verbundenen Risiken) erhalten hatten“.

Der Dienstleister der EUI war in der EU ansässig, hatte aber Unterauftragsverarbeiter in den USA. Eine in der Praxis sehr oft anzutreffende Konstellation.

Nach Ansicht des EDSB ist die Inanspruchnahme eines solchen Dienstes nicht per se rechtswidrig. Auch die Datenübermittlung in die USA ist für sich kein Ausschlusskriterium. Jedoch nennt der EDSB einige Anforderungen, die es seiner Ansicht nach zu erfüllen gilt. Im konkreten Fall befasst sich die Aufsichtsbehörde mit der Ausnahmevorschrift des Art. 50 Abs. 1 lit. a der Verordnung (EU) 2018/1725. Diese gilt zwar nur für öffentliche Stellen der EU. Jedoch sind die Regelungen zum Teil deckungsgleich mit jenen der DSGVO. Daher sind die Hinweise des EDSB auch für eine Anwendung von Art. 49 Abs. 1 lit. a DSGVO relevant.

Der EDSB legt einige spezifische Anforderungen fest:

  • Vor der Übermittlung – bevor die Abonnenten des Newsletters ihre personenbezogenen Daten bereitstellen, muss die EUI sicherstellen, dass die Abonnenten spezifische Informationen über die Übermittlung ihrer personenbezogenen Daten in das Drittland erhalten
  • Die Informationen müssen die Risiken der Übermittlung an einen in den USA ansässigen Unterauftragsverarbeiter enthalten
  • Die EUI muss sicherstellen, dass die Betroffenen der Übermittlung ihrer Daten an den in den USA ansässigen Unterauftragsverarbeiter ausdrücklich zustimmen (zusätzlich zu ihrer Zustimmung zu der Verarbeitung der Daten für den Versand des Newsletters im Allgemeinen)

Der EDSB verlangt also zwei, wohl separate Einwilligungen der Betroffenen. Eine für den Newsletter als solchen (Verarbeitung von Daten zu Marketing-/Informationszwecken) und eine zweite für die Übermittlung der Daten in die USA.

Generalanwalt: Öffentlich abrufbare Daten stellen noch keine Übermittlung in ein Drittland dar

Was genau eine „Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation“ (Art. 45 Abs. 1 S. 1 DSGVO) darstellt, definiert die DSGVO nicht. Der EDSA hat ein, wie ich finde, sehr lesenswertes Papier (Leitlinien 05/2021 https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf PDF) zu dem Thema veröffentlicht, in dem er sich diesem Begriff definitorisch nähert und 3 Merkmale herausstellt, die für eine solche Übermittlung erfüllt sein müssen.

Interessant ist, dass der EDSA in seinem Papier eine der alltäglichsten Situationen nicht anspricht, die aber sogar unter der alten Datenschutzrichtlinie 95/46/EG schon einmal vor dem EuGH lag (in der Sache Lindqvist, C-101/01): findet eine Übermittlung in ein Drittland automatisch statt, wenn personenbezogene Daten öffentlich abrufbar im Internet, also auf einer Webseite, bereitgestellt werden?

Die Antwort auf diese Frage ist durchaus von praktischer Relevanz. Bsp: Daten zu Mitarbeitern auf Unternehmenswebseiten; Daten zu Personen auf Webseiten von News-Portalen etc.

EuGH zur alten Rechtslage

Der EuGH entschied mit Urteil vom 6.11.2003 (Rs C-101/01) noch zu Art. 25 der RL 95/46/EG, dass das Einstellen von personenbezogenen Daten auf einer Webseite, die weltweit abgerufen werden kann, keine „Übermittlung von Daten in ein Drittland“ darstellt (Rz. 70). U.a. begründete der EuGH dies damit, dass bei einer extensiven Auslegung der Übermittlung eine solche dann in jedes Land auf der Welt vorliegen würde. Und:

Damit würde die in Kapitel IV der Richtlinie 95/46 vorgesehene Sonderregelung notwendig zu einer allgemeinen Regelung für Vorgänge im Rahmen des Internets werden.

EDSA

Der EDSA äußert sich in seinen Leitlinien wie gesagt nicht konkret zu dieser Konstellation. Zwar deckt das Beispiel 1 in den Leitlinien eventuell einen Teilaspekt der Diskussion ab. Danach liegt keine Übermittlung nach Kap. V DSGVO vor, wenn ein Betroffener auf einer Webseite selbst Daten eingibt und an einen Verantwortlichen sendet, der außerhalb der EU sitzt.

Jedoch wird dort nicht die Frage beantwortet, was bei Webseiten gilt, auf denen schon personenbezogene Daten durch Verantwortliche eingestellt und öffentlich abrufbar sind. Zudem wird nicht die Konstellation angesprochen, dass der Verantwortliche für die Webseite in der EU sitzt und ob dieser dann Daten automatisch an alle Drittländer sendet.  

Generalanwalt

In seinen Schlussanträgen vom 20.1.2022 in den verbundene Rechtssachen C‑37/20 und C‑601/20 äußert sich der Generalanwalt Pitruzzella nun zumindest mittelbar zu dem Thema. Es ging dort um (teilweise) öffentlich abrufbar Daten auf online zugänglichen Registern.

Da es um den Spezialfall eines Registers ging, legt der Generalanwalt Art. 49 Abs. 1 lit. g) DSGVO aus. Es geht dort auch um die Frage, wann eine Übermittlung in ein Drittland vorliegt. Der Generalanwalt verweist darauf (Rz. 239), dass Art. 49 Abs. 1 lit. g) und Abs. 2 DSGVO speziell für jede Übertragung „aus“ einem öffentlichen Register gilt. Und dann kommt die interessante Feststellung bzw. Ansicht:

„Der Umstand, dass ein Register öffentlich ist, stellt an sich aber noch keine Übermittlung dar.“

Jetzt kann man natürlich argumentieren, dass der Generalanwalt hier allein Register und das Merkmal „aus“ interpretieren wollte. Dem lässt sich aber meines Erachtens entgegenhalten, dass der Generalanwalt ziemlich klar der Frage nachgeht, ob überhaupt eine Übermittlung nach Kap. V DSGVO vorliegt oder nicht. Zudem ist die Aussage des Generalanwalts auch abstrakt verwertbar, etwa für die Situation von Daten auf Webseiten. Darauf bezogen könnte man formulieren: der Umstand, dass eine Webseite öffentlich ist, stellt an sich noch keine Übermittlung der auf ihr vorhandenen Daten dar.

Dies lehnt er hier mit dem Argument ab, dass allein der Umstand, dass ein Register (und damit dort enthaltene Daten) öffentlich abrufbar sind, noch nicht ausreicht. Im Grunde dürfte eine solche Sichtweise mit der alten EuGH Rechtsprechung auf einer Linie liegen.

Spannend an dieser Interpretation ist, dass der Generalanwalt damit wohl auf noch keine „Form der Bereitstellung“ im Sinne von Art. 4 Nr. 2 DSGVO erkennt. Nach der Definition der „Verarbeitung“ liegt eine „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ vor. Der EDSA verweist etwa in seinen Leitlinien auch auf dieses Merkmal der „Bereitstellung“ von Daten.  

Fazit

Der Generalanwalt begründet seine Ansicht nicht weiter. Daher wird man, wie beschrieben, die Aussage auch anders verstehen können. Eventuell wird der EuGH in dem noch folgenden Urteil etwas dazu sagen, ob hier eine Übermittlung im Sinne von Kap. V DSGVO vorliegt.

Europäischer Datenschutzbeauftragter: Internationaler Datentransfer auf Basis eines im Interesse der betroffenen Person geschlossenen Vertrags

In seinem neuesten Newsletter berichtet der EDPS über die Beratungsanfrage einer Bibliothek. Es ging dort unter anderem auch um die Frage, auf welcher Rechtsgrundlage die Daten von Abonnenten an Verlage in Drittländern außerhalb der EU übermittelt werden dürfen. Die Verlage hatten, für den Zugang zu ihren Werken, Verträge mit der Bibliothek abgeschlossen.

Bislang verlangte die Bibliothek für die Datenübermittlung an die Verlage in Drittländern eine Einwilligung der Betroffenen. Der EDPS vertrat jedoch eine andere Auffassung. Nach seiner Ansicht kann sich die Bibliothek, als Verantwortlicher, in diesem Fall auf die Ausnahmeregelung des Art. 50 Abs. 1 lit. c der Verordnung 2018/1725 berufen. Die Begründung des EDPS:

„…weil die Übermittlung von Abonnentendaten an Verlage außerhalb des EWR für den Zugang zu Veröffentlichungen mit Sitz außerhalb der EU/des EWR erforderlich ist.“

Zwar gilt die Verordnung 2018/1725 nur für die öffentliche Stellen der EU. Die entscheidende Vorschrift findet sich aber ebenso auch in der DSGVO, in Art. 49 Abs. 1 lit. c DSGVO: „die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich“.

Die Aufsichtsbehörde geht also davon aus, dass in diesem Fall die Datenübermittlung auf den Vertrag zwischen der Bibliothek und dem Verlag im Drittland gestützt werden darf. Dieser Fall ist eines der sehr seltenen Beispiele, wann eine Aufsichtsbehörde tatsächlich einmal diese Ausnahmevorschrift für anwendbar hält. Die Erwägungen der Behörde lassen sich sicher auch auf den Anwendungsbereich der DSGVO, also insbesondere privatwirtschaftliche Bibliotheken und Verlage übertragen.

Einhaltung des Grundsatzes der Rechenschaftspflicht nach der DSGVO – weitere Hinweise des Europäischen Datenschutzausschusses

In der Praxis führt der Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO häufig zu der Frage, wie Unternehmen die Anforderungen erfüllen können. Denn die rechtliche Anforderung ist sehr weit gefasst und vage: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Wie der Nachweis konkret erfolgen soll bzw. kann, wird nicht spezifiziert.

Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien zu „Dark Patterns“ (Leitlinien 3/2022, PDF) einige Präzisierungen zur Frage der Umsetzung dieser Verpflichtung vorgenommen (Rz. 11). Der EDSA stellt fest (inoffizielle Übersetzung):

  • Die Benutzeroberfläche und die User Journey können als Dokumentationsinstrument verwendet werden, um nachzuweisen, dass die Nutzer bei ihren Handlungen auf der Social-Media-Plattform die Datenschutzinformationen gelesen und berücksichtigt haben, dass sie ihre Einwilligung frei gegeben haben, dass sie ihre Rechte problemlos wahrgenommen haben, usw.
  • Qualitative und quantitative Nutzerforschungsmethoden wie A/B-Tests, Eye-Tracking oder Nutzerinterviews, ihre Ergebnisse und ihre Analyse können ebenfalls zum Nachweis der Einhaltung der Vorschriften verwendet werden.
  • Wenn die Nutzer beispielsweise ein Kästchen ankreuzen oder eine von mehreren Datenschutzoptionen anklicken müssen, können Screenshots der Schnittstellen dazu dienen, den Weg der Nutzer durch die Datenschutzinformationen zu zeigen und zu erklären, wie die Nutzer eine informierte Entscheidung treffen.

Die Hinweise des EDSA zeigen, dass man bei der Erfüllung der Rechenschaftspflicht durchaus kreativ sein kann und auch Prozesse bzw. Dokumentation relevant ist, die ohnehin, etwa im Rahmen der Produktentwicklung, genutzt werden. Spannend ist sicherlich, ob der EDSA mit diesen Hinweisen gleichzeitig auch ein Tracking als zulässig ansehen würde, welches das Verhalten der Nutzer in Bezug auf die Interaktion mit Datenschutzhinweisen oder z.B. Datenschutzeinstellungen erfasst und auswertet. In diesem Fall kann man sicher argumentieren, dass hierfür keine Einwilligung nach § 25 Abs. 1 TTDSG erforderlich ist, sondern eine Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG. Zur Erfüllung rechtlicher Pflichten aus der DSGVO.

Hamburger Datenschutzbehörde: Bußgeld bei mangelhaft durchgeführten Asset Deal

Die Hamburger Datenschutzbehörde hat jüngst ihren Tätigkeitsbericht für das Jahr 2021 veröffentlicht (PDF). Dort berichtet die Behörde (ab S. 70) auch über zwei Bußgelder gegen Unternehmen, weil Widersprüche von Kunden im Rahmen eines Asset Deals (fehlerhaft) nicht beachtet wurden.

Hintergrund der Ordnungswidrigkeitenverfahren war die Ausgliederung der Heizenergiesparte eines Energieversorgers und die anschließende Veräußerung der ausgegliederten Sparte. Hierbei sollten Kunden (mit ihren Verträgen) auf das kaufende Unternehmen übergehen. Die Kunden, die von dem Übergang betroffen waren, wurden über die Vertragsübergänge ihrer Strombelieferungsverträge informiert und ihnen wurde ein Widerspruchsrecht eingeräumt.

Rechtsgrundlage: Interessenabwägung

Relevant ist zunächst, dass die Aufsichtsbehörde hier nicht etwa das wohl durchgeführte Widerspruchs-Modell an sich kritisiert. Nach Ansicht der DSK in ihrem Beschluss aus dem Jahr 2019 zum Thema „Asset Deal“ (PDF), bedarf es beim Übergang von Daten in laufenden Vertragsbeziehungen einer „datenschutzrechtlichen Zustimmung“, die aber in der zivilrechtlichen Genehmigung als Minus enthalten sei. Gleichzeitig werden die Fallgruppen im Beschluss der DSK aber alle unter dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO (also der Interessenabwägung) diskutiert. In der Vergangenheit wurde daher diskutiert, was die DSK hiermit konkret meint. Ob nun eine Einwilligung erforderlich ist oder eine Interessenabwägung ebenfalls möglich erscheint. Die Informationen der Hamburger Behörde scheinen deutlich zu machen, dass es keiner datenschutzrechtlichen Einwilligung bedarf, sondern dass die Übermittlung von Daten der Kunden auf der Grundlage von einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erfolgen kann.

Fehler: Datenübermittlung trotz Widerspruch

In dem Verfahren aus Hamburg, sollten im Falle eines erklärten Widerspruchs keine personenbezogenen Daten der Kunden an das neue Unternehmen übermittelt werden. Natürlich schlug dann die Realität zu. Trotz ordnungsgemäß erklärtem Widerspruch von Kunden kam es in einem gewissen Ausmaß dennoch zur Migration von Strombelieferungsverträgen auf den Erwerber der Heizenergiesparte.

„Dadurch waren Kundendaten auch in den Fällen an das neue Unternehmen übermittelt, in denen die Betroffenen ordnungsgemäß einen entsprechenden Widerspruch erklärt hatten“.

Hintergrund dessen waren nach Angabe der Aufsichtsbehörde Fehler bei der Verarbeitung der Widersprüche durch den eingesetzten Auftragsverarbeiter des veräußernden Unternehmens.

Die Aufsichtsbehörde benennt nicht konkret den DSGVO-Verstoß. Jedoch kann man vermuten, dass wohl von einer unzulässigen Übermittlung der Daten ausgegangen wurde, also ein Verstoß gegen Art. 6 Abs. 1 DSGVO oder eine Nichtbeachtung des Widerspruchs, also ein Verstoß gegen Art. 21 Abs. 1 DSGVO vorlag.  

Die Aufsichtsbehörde verhängt nach den Angaben im Tätigkeitsbericht zwei Bußgelder in Höhe von je 12.500 EUR. Im Bericht heißt es: „Aufgrund der Vielzahl der Verstöße war es angezeigt, Bußgeldverfahren gegen die Unternehmen einzuleiten“. Ich vermute, dass die Behörde hier also sowohl ein Bußgeld gegen den Verkäufer als auch gegen das erwerbende Unternehmen verhängt hat.

Fazit

Asset Deals sind in der Praxis bei der Übernahme von Kunden(verträgen) immer auch mit datenschutzrechtlichen Fragen verbunden. Der Fall aus Hamburg zeigt gut, dass der Datenschutz hier nicht unüberwindbare Hürden aufstellt. Dennoch ist bei der Umsetzung besonders darauf zu achten, dass personenbezogene Daten nicht aus Versehen oder fehlerhaft übermittelt werden. Daher sind auch Konstellationen, in denen zB zunächst einmal alle Kundendaten an ein erwerbendes Unternehmen übermittelt werden und man dann die widersprechenden Kunden aussortiert, kritisch zu sehen.