Internationale Datentransfers: muss in Datenschutzhinweisen das konkrete Drittland angegeben werden?

Das Thema „internationale Datentransfers“ ist ja im Grunde ein stetiger Dauerbrenner im Datenschutzrecht. Sei es die Umsetzung der Vorgaben des EuGH bzw. des EDSA oder der zwingende Abschluss der neuen SCC vor Dezember 2022, wenn die alten SCC ihre Gültigkeit verlieren.

Eine Datenübermittlung in ein Land außerhalb des EWR hat aber auch (oft übersehene) Konsequenzen auf der Ebene der Transparenzpflichten, konkret in Art. 13 und 14 DSGVO. Nach Art. 13 Abs. 1 lit. f DSGVO muss der Verantwortliche den Betroffenen, etwa in Datenschutzhinwiesen auf der Webseite oder ggü. den Mitarbeitern, die Absicht mitteilen, „die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind“.

Bereits die „Absicht“ von Datentransfers löst hier also eine Informationspflicht aus. Das ist im Grunde ein Vorfeldschutz, vor der eigentlichen Übermittlung. „Absicht“ dürfte aber zumindest so zu verstehen sein, dass der Verantwortliche die Übermittlung auch tatsächlich plant und will; es geht also nicht um zufällig, unbewusste Übermittlungen.

Praktisch stellt sich oft die Frage, ob denn ein Verantwortlicher das konkrete Drittland in den Hinweisen benennen muss, in welches personenbezogene Daten gehen. Je nach eingebundenen Dienstleistern oder etwa der Größe eines Konzerns, kann hier schnell eine größere Anzahl an Drittländern zusammen kommen. Davon zu trennen ist freilich die stets bestehende Möglichkeit, dass Verantwortliche die spezifischen Drittländer einfach immer benennen, unabhängig davon, ob sie nun verpflichtet sind oder nicht.

Der Wortlaut der Norm spricht eher gegen eine genaue Angabe des Drittlandes. Dort heißt es „ein Drittland“, nicht etwa „das betreffende Drittland“ oder ähnlich. Speziell ist die Situation eventuell im Fall eines Angemessenheitsbeschlusses. Wenn man auf den konkreten Beschluss verweisen würde, ist klar, um welches Land es geht.

Der EDSA führt in seinen Leitlinien zur Transparenz (WP 260 rev01, S. 48) aus: „Im Einklang mit dem Grundsatz von Treu und Glauben sollten die zu Datenübermittlungen in Drittländer bereitgestellten Informationen den betroffenen Personen so zweckdienlich wie möglich sein; normalerweise bedeutet dies, dass die Drittländer namentlich angegeben werden“. Auch der EDSA sieht die Benennung der konkreten Drittländer also wohl eher nicht als Pflicht an, sondern empfiehlt deren Angabe. Die Leitlinien sprechen zumindest nicht davon, dass die Information anzugeben ist oder stets angegeben werden muss. Man mag den EDSA hier evtl. aber auch strenger verstehen.

Der BayLfD ist bei dieser Frage sehr klar (Orientierungshilfe „Informationspflichten des Verantwortlichen“, S. 20). Art. 13 Abs. 1 lit. f DSGVO verlange nicht, dass das betreffende Drittland namentlich genannt wird. Gleichwohl empfiehlt der BayLfD (ebenfalls unter Verweis auf Transparenzgründe) diese Information bereitzustellen.

Ein deutliches Argument gegen eine Pflicht zur Angabe des spezifischen Drittlands nach Art. 13 Abs. 1 lit. f DSGVO ist ein systematischer Vergleich mit der Pflicht des Art. 30 Abs. 1 lit. e DSGVO. Danach muss der Verantwortliche in dem Verzeichnis der Verarbeitungstätigkeiten gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands (Hervorhebung durch mich) dokumentieren. Hier sieht der Gesetzgeber ganz klar eine Pflicht zur Benennung des „betreffenden Drittlands“ vor. Wenn es gewollt gewesen wäre, hätte der Gesetzgeber eben diese Pflicht auch in Art. 13 Abs. 1 lit. f DSGVO aufgenommen. Man muss also davon ausgehen, dass dies bewusst nicht erfolgte.

Keine Auskunft und Reaktion auf Betroffenenanfrage: 20.000 EUR Bußgeld gegen Deutsche Bank in Italien

Die italienische Datenschutzbehörde hat am 16. Juni 2022 ein Bußgeld in Höhe von 20.000 EUR gegen die Deutsche Bank in Italien verhängt (Mitteilung der Behörde, auf Italienisch). Die Entscheidung ist besonders praxisrelevant, da es um einen Verstoß gegen Art. 12 und 15 DSGVO, also das Auskunftsrecht nach der DSGVO ging, welches Unternehmen immer wieder beschäftigt. Vorliegen lag auch einer der klassischen, aber gleichzeitig vermeidbaren Fehler vor: das Auskunftsersuchen wurde nicht (rechtzeitig) bearbeitet.  

Die Entscheidung ist nur auf Italienisch abrufbar. Ich habe sie selbst übersetzt und kann daher nicht für absolute Richtigkeit garantieren.

Sachverhalt

Der Betroffene legte am 26.10.2020 bei der Datenschutzbehörde eine Beschwerde über eine unrechtmäßige Verarbeitung personenbezogener Daten durch die Deutsche Bank S.p.A. ein und beschwerte sich zudem über die Nichtbeantwortung des an die Bank gerichteten Antrags auf Ausübung seiner Betroffenenrechte vom 15.07.2020. In diesem bat er um die nach Art. 13 DSGVO erforderlichen Informationen und wohl auch ganz generell um Auskunft zu seinen Daten (Art. 15 DSGVO). Innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen fristen ging jedoch keine Antwort der Bank ein.

Erst im Nachgang (im Jahr 2021), als die Datenschutzbehörde die Bank zur Auskunft aufforderte, wurde diese gegenüber dem Betroffenen erteilt

In einem Schreiben an die Aufsichtsbehörde räumte die Bank ein, dass sie dem Betroffenen keine Informationen und keine Auskunft erteilt hatte, und übermittelte dem Beschwerdeführer und der Behörde die angeforderten Unterlagen.

Entscheidung

Auf der Grundlage der von der Bank abgegebenen wurde ein Sanktionsverfahrens wegen Verstößen gegen Art. 12 Abs. 3 und Art. 15 DSGVO eingeleitet.

Die Datenschutzbehörde stellt fest, dass die Bank auf den vom Beschwerdeführer formulierten Antrag auf Ausübung seiner Rechte nicht innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen Frist geantwortet hat. Zudem informierte sie den Betroffenen auch nicht innerhalb der vorgegebenen Frist über die Gründe für die Nichterfüllung der Anforderungen und über die Möglichkeit, eine Beschwerde bei der Behörde einzureichen (Art. 12 Abs. 4 DSGVO).

Die Bank verteidigte sich wohl u.a. damit, dass der Antrag auf Ausübung von Rechten im Rahmen eines umfassenderen und detaillierteren Ersuchens des Kunden gestellt worden sei, was eine rechtzeitige Antwort verhindert hätte. Hierin sah die Datenschutzbehörde jedoch kein Argument dafür, die Betroffenenanfrage nicht fristgemäß zu beantworten.

Zur Begründung verweist die Aufsichtsbehörde auch auf Art. 12 Abs. 2 DSGVO, wonach „der für die Verarbeitung Verantwortliche die Ausübung der Rechte der betroffenen Person nach den Artikeln 15 bis 22 zu erleichtern hat“.

Zudem brachte die Bank als Argument vor, dass die Informationen gemäß Art. 13 DSGVO und die Daten, die Gegenstand des Antrags sind, der betroffenen Person bereits bekannt waren. Auch diesen Einwand lies die Datenschutzbehörde nicht gelten.

In Art. 15 DSGVO sei als erster Schritt das Rechts der betroffenen Person verankert, „von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht“ und, falls dies der Fall ist, das Recht, „Zugang zu den Daten“ und weitere Informationen zu erhalten. Dies geschehe auch, um die Richtigkeit und Vollständigkeit der verarbeiteten Daten zu überprüfen.

Basierend hierauf wurde die Beschwerde für begründet erklärt und basierend auf Art. 58 Abs. 2, 83 Abs. 3 DSGVO eine Geldbuße verhängt.

Die Behörde setzt die Geldbuße in Höhe von 20.000,00 EUR für den Verstoß gegen die Art. 12 und 15 DSGVO fest.

Fazit

Betroffenenrechte spielen, insbesondere im B2C-Bereich eine herausragende Rolle, wenn es um die DSGVO-Compliance geht. Insbesondere sollten datenverarbeitende Stellen intern Prozesse und Vorgaben etablieren, die eine rechtzeitige Bearbeitung von Betroffenenanfragen sicherstellen. Eine ausbleibende oder verspätete Antwort kann im schlimmsten Fall mit einem Bußgeld geahndet werden. Gerade der Fehler einer Nichtbearbeitung oder der Verspätung ist meiner Ansicht nach aber in der Praxis gut vermeidbar, wenn man intern entsprechende Vorgaben schafft und Mitarbeiter regelmäßig schult. 20.000 EUR für einen Fall mag im ersten Moment „vertretbar“ anmuten – jedoh sollte man aus Unternehmenssicht beachten, dass, bei fehlenden internen Leitlinien und Prozessen, über einen längeren Zeitraum evtl. nicht nur eine Anfrage, sondern eine viel größere Anzahl nicht richtig bearbeitet wird. Entsprechend dürfte dann auch das mögliche Bußgeld nach oben angepasst werden.

Sensible Daten überall? – Versuch einer (irgendwie handhabbaren) Interpretation des EuGH-Urteils

Mit seinem gestrigen Urteil in der Rs. C-184/20 (Urt. v. 1.8.2022) hat er EuGH für einige Diskussionen und sicher auch hochgezogene Augenbrauen im #TeamDatenschutz gesorgt. Wobei man, wenn man ehrlich ist und die EuGH-Rechtsprechung zum Datenschutz verfolgt, nicht mehr allzu sehr überrascht von Entscheidungen sein sollte, in denen das Gericht den Anwendungsbereich der DSGVO weit auslegt und per se betroffenenfreundlich urteilt.

Was hat der EuGH entschieden?

Auf die Hintergründe des Urteils möchte ich hier nicht eingehen. Für diesen Blogbeitrag reicht es aus zu wissen, dass es in Litauen aus Gründen der Transparenz und Korruptionsbekämpfung eine gesetzliche Pflicht für gewisse Personen gibt, bestimmte Daten an eine Behörde zu geben und diese Behörde den Großteil dieser Daten dann auf ihrer Internetseite veröffentlicht. Zu den Daten gehören auch namensbezogenen Daten über den Ehegatten, Partner oder Lebensgefährten der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, sowie die Angabe des Gegenstands der Transaktionen mit einem Wert von mehr als 3 000 Euro.

Der EuGH geht am Ende ausdrücklich von einer „weiten Auslegung“ (Rz. 125) Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ (Art. 9 Abs. 1 DSGVO) aus.

Eine Verarbeitung von Daten, „die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“, stelle eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen dar (Rz. 128).

Der EuGH lässt es für die Anwendbarkeit des Art. 9 Abs. 1 DSGVO mithin genügen, dass aus Daten indirekt auf besondere Kategorien personenbezogener Daten geschlossen werden kann. Bsp: gibt ein Mann an, dass er mit einem Mann verheiratet ist, offenbart dies nach Ansicht des EuGH wohl seine sexuelle Orientierung. Art. 9 Abs. 1 DSGVO ist anwendbar, auch wenn die Daten dies selbst inhaltlich nicht (direkt) offenbaren.

Begründung des EuGH

Die Begründung für dieses Ergebnis, wenn man die generelle Linie des EuGH bei Datenschutz-Themen betrachtet, wenig überraschend. Im Kern nennt der EuGH zwei Argumente.

Erstens, eine kontextbezogene Analyse. Eine enge Auslegung des Begriffs der besonderen Kategorien personenbezogener Daten liefe insbesondere Art. 4 Nr. 15 der DSGVO zuwider, wonach „Gesundheitsdaten“ personenbezogene Daten sind, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand „hervorgehen“, und stünde auch im Widerspruch zu ErwG 35 DSGVO.

Zweitens, eine zweckbezogene Auslegung der Norm innerhalb der DSGVO. Für eine weite Auslegung spreche das Ziel der DSGVO, das darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten.

Mögliche Folgen des Urteils

Überträgt man die Begründung des EuGH in die Praxis, bedeutet dies im worst case, dass bei sehr vielen Verarbeitungen die zusätzlichen und strengen Ausnahmen aus Art. 9 Abs. 2 DSGVO beachtet werden müssen. Dort findet sich insbesondere kein Erlaubnistatbestand der Vertragserfüllung wie in Art. 6 Abs. 1 lit. b oder der Interessenabwägung wie in Art. 6 Abs. 1 lit. f DSGVO. Ergebnis: kauft jemand online Schmerztabletten, ergibt sich hieraus indirekt der Gesundheitszustand. Art. 9 DSGVO ist anwendbar und im Zweifel muss für die Zulässigkeit der Verarbeitung eine Einwilligung eingeholt werden – die Rechtsgrundlage der Vertragsdurchführung würde nicht ausreichen.  

Ansatz einer eigenen Interpretation

Das oben beispielhaft dargestellte Ergebnis erscheint schon für sich sehr extrem. Noch diskussionswürdiger wird es, wenn man bedenkt, dass die Person, die Schmerztabletten kauft, ja gar nicht gerade akut Schmerzen haben muss oder diese Tabletten für ein Familienmitglied einkauft. Dann wäre selbst der indirekte Bezug zum Gesundheitszustand eigentlich nicht gegeben, weil der Käufer aktuell eben nicht Schmerzen hat oder Daten der anderen Person gar nicht verarbeitet werden.

Ich kann mir, nach erster Sichtung der Begründung, in der Zukunft daher eventuell die folgende Anwendung und Interpretation von Art. 9 Abs. 1 DSGVO vorstellen. Einerseits, um dem Willen des EuGH (weite Auslegung) zu genügen. Andererseits, um nicht jeglichen (möglichen!) Bezug zu Art. 9-Daten ausreichen zu lassen.

1.

Der EuGH geht klar davon aus, dass es in dem entschiedenen Fall tatsächlich möglich war, „aus den namensbezogenen Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person bestimmte Informationen über das Sexualleben oder die sexuelle Orientierung dieser Person und ihres Ehegatten, Lebensgefährten oder Partners abzuleiten“ (Rz. 119).

Dies ist mE ein wichtiger Aspekt. Der EuGH begründet seine Ansicht also stets vor der Tatsache, dass die Ableitung auf wirklich existierende besondere Kategorien personenbezogener Daten zumindest möglich war.

2.

Der EuGH fußt seine Begründung zudem ausdrücklich auf der Annahme, dass Daten betroffen sind, „aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann“ (Rz. 120).

Dieser Schluss auf besondere Kategorien personenbezogener Daten muss (theoretisch) wirklich möglich sein. Art. 9 Abs. 1 DSGVO muss daher nach Ansicht des EuGH zwar weit ausgelegt werden. Jedoch wiederholt der EuGH mehrmals in seiner Begründung den Aspekt, dass es um Daten geht, „aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben“ (Rz. 123).

3.

Art. 9 Abs. 1 DSGVO ist daher meines Erachtens zumindest dann (auch im Einklang mit dem EuGH) nicht anwendbar, wenn die indirekte Offenbarung bzw. der indirekte Schluss auf besondere Kategorien personenbezogener Daten faktisch nicht möglich ist, weil es diese sensiblen Daten gar nicht gibt. Dann kann sich, im Duktus des EuGH, mittels Ableitung oder Abgleich diese indirekte Information rein faktisch nicht ergeben. Eine falsche Ableitung (Person kauft Schmerztabletten, ist faktisch nicht krank, der Verantwortliche geht aber davon aus) darf hier meines Erachtens keine Beachtung finden, da nach dem Grundsatz aus Art. 5 Abs. 1 lit. d (Richtigkeit) per se nur richtige Daten verarbeitet werden dürfen.

Das würde wohl nicht in jedem Fall in der Praxis helfen, Art. 9 Abs. 1 DSGVO auszuschließen. Jedoch dürfte man in einigen, extrem praxisrelevanten Fällen dennoch allein Art. 6 Abs. 1 DSGVO zur Anwendung bringen können.  

Bezogen auf mein Beispiel der Schmerztabletten oben: da die Person, die den Kauf tätigt, nicht selbst krank ist, liegen keine Art. 9-Daten vor. Die Ableitung aus dem Kauf darauf, dass die Person selbst Schmerzen hat (= Gesundheitszustand) wäre falsch bzw. würde ins Leere gehen.

Ich bin mir auch nicht sicher, ob diese Idee und meine Gedanken dazu die beste Lösung darstellen. Zumindest könnte man hierüber in gewissen Konstellationen zu einem (irgendwie noch handhabbaren) Ergebnis für die Praxis gelangen, nicht in jedem Fall eine zusätzliche Einwilligung nach Art. 9 Abs. 1 lit. a DSGVO einholen zu müssen.

Datenschutzbehörde Liechtenstein: Betroffene haben keinen DSGVO-Anspruch auf Herausgabe der TOMs

In ihrem aktuellen Tätigkeitsbericht (PDF, S. 19) informiert die Datenschutzstelle Liechtenstein u.a. auch zu Beratungsanfragen zu dem Themenkomplex „Auskunft“ nach Art. 15 DSGVO.

Mehrere betroffene Personen als auch Verantwortliche stellten die Frage, ob im Rahmen der Auskunftserteilung nach Art. 15 DSGVO auch eine Information über technische und organisatorische Maßnahmen (TOM) erteilt werden muss. Dies ist ein Fall, der in der Praxis recht häufig vorkommt. Daneben verlangen Betroffene oft auch die Herausgabe des Verzeichnisses der Verarbeitungstätigkeiten.  

Die Antwort der Datenschutzbehörde ist hier (meines Erachtens zu Recht) eindeutig.

Weder Art. 13 oder 14 DSGVO noch Art. 15 DSGVO begründen einen Rechtsanspruch auf Informationen zu TOM.“

Die Aufsichtsbehörde geht in ihrer Einschätzung also auch auf die Informationspflichten nach Art. 13 und 14 DSGVO ein. Auch diese enthielten aber keine entsprechende Verpflichtung zur Zugänglichmachung der TOMs.

Zwar sehe Art. 30 DSGVO vor, dass im Verarbeitungsverzeichnis eine allgemeine Beschreibung der TOM zu erfolgen muss.

Dieses Verzeichnis muss allerdings nicht gegenüber betroffenen Personen offengelegt werden.“

Dies ist eine weitere praxisrelevante Feststellung der Aufsichtsbehörde.

Landesarbeitsgericht: Betriebsrat muss eigene angemessene Schutzmaßnahmen vorsehen und nachweisen, wenn er vom Arbeitgeber Auskunft über sensible Daten verlangt

Das Landesarbeitsgericht Baden-Württemberg hat sich mit Beschluss vom 20.5.2022 (Az 12 TaBV 4/21) zu den datenschutzrechtlichen Voraussetzungen der Weitergabe besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) vom Arbeitgeber an den Betriebsrat geäußert. Im konkreten Fall ging es um ein Auskunftsbegehren des Betriebsrates nach § 80 Abs. 2 S. 1 BetrVG, in Bezug auf Anzahl und Namen von schwerbehinderten/gleichgestellten Menschen.

Rechtsgrundlage der Datenverarbeitung

Die Weitergabe der Daten an den Betriebsrat kann auf die Rechtsgrundlage des § 26 Abs. 3 BDSG (als Umsetzung von der Öffnungsklausel in Art. 9 Abs. 2 lit. b DSGVO) gestützt werden. Bei der Weitergabe solcher hier betroffener „sensibler“ Daten an den Betriebsrat, sind nach § 26 Abs. 3 S. 3 BDSG zudem die besonderen Anforderungen des § 22 Abs. 2 BDSG zu beachten. Es sind danach angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.

Aber: der Arbeitgeber habe rein faktisch die Beachtung des Gebots angemessener und spezifischer Schutzmaßnahmen nicht in der Hand.

Ihm sind hierauf bezogene Vorgaben an den Betriebsrat aufgrund dessen Unabhängigkeit als Strukturprinzip der Betriebsverfassung verwehrt“.

Hieraus folgert das LAG, dass es Aufgabe des Betriebsrates sei, bei der Geltendmachung eines auf sensitive Daten gerichteten Auskunftsbegehrens,

das Vorhalten von Maßnahmen darzulegen, welche die berechtigten Interessen der betroffenen Arbeitnehmer – vorliegend der ihre Schwerbehinderung mitteilenden Arbeitnehmer – wahren“.

Für die Praxis bedeutet dies, dass der Betriebsrat, bevor der Arbeitgeber die Daten weitergaben oder zB Zugriff gewähren kann, entsprechende Schutzmaßnahmen nachweisen muss. Der Nachweis dieser Schutzmaßnahmen ist nach Ansicht des LAG ein Teil der Rechtmäßigkeitsvoraussetzungen der Datenverarbeitung. Dies macht das LAG in seiner Begründung sehr deutlich:


Ein Fehlen solcher Schutzmaßnahmen oder ihre Unzulänglichkeit – was der Würdigung des Tatsachengerichts unterliegt – schließt den streitbefangenen Anspruch aus“.

Erforderliche Schutzmaßnahmen

Zunächst stellt des LAG klar, dass die in § 22 Abs. 2 BDSG genannten Maßnahmen allein eine beispielhafte Aufzählung bilden und nicht abschließend zu verstehen sind.

Ziel der Schutzmaßnahmen muss auf Seiten des Betriebsrates die Gewährleistung sein, dass er bei einer Verarbeitung sensitiver Daten das Vertraulichkeitsinteresse der Betroffenen strikt achtet und Vorkehrungen trifft, die bei wertender Betrachtung den in § 22 Abs. 2 S. 2 BDSG aufgelisteten Kriterien entsprechen.

Das LAG benennt in seiner Entscheidung einige Beispielmaßnahmen.

Hierzu können Maßnahmen zur Datensicherheit wie das zuverlässige Sicherstellen des Verschlusses der Daten, die Gewähr begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe gehören.“

Im konkreten Fall erachtete das LAG die vorhandenen Maßnahmen als ausreichend. So existierte etwa für eine elektronische Übermittlung eine spezielle Empfängeradresse mit Passwortschutz. Hiermit, so das LAG, wird der Betriebsrat zugleich seiner Pflicht zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO gerecht.

Eine Anonymisierung bzw. Pseudonymisierung (vgl. § 22 Abs. 2 Nr. 6 BDSG) kann hier nicht verlangt werden. Denn der Auskunftsanspruch des Betriebsrates zielt ja gerade auf Namen von Personen. Ohne diese Namen könnte der Betriebsrat also seine Aufgaben nicht wahrnehmen.  

Zudem nennt das LAG allgemein noch weitere möglich Maßnahmen, die der Betriebsrat ergreifen könnte: freiwillige Benennung eines Datenschutz-Sonderbeauftragten für das Gremium, eine verpflichtende Grundschulung im Datenschutz für sämtliche Betriebsratsmitglieder zu organisieren, ein eigenes Datenschutzkonzept zu entwickeln, die Rechte der betroffenen Beschäftigten sicherzustellen.

Diese Liste mit Maßnahmen kann in der Praxis als eine gute Grundlage für eigene Prüfung der Zulässigkeit einer Datenweitergabe an den Betriebsrat verwendet werden.

Datenschutzbeauftragter des Arbeitgebers darf auch den Betriebsrat überwachen

Zudem beantwortet das LAG noch eine, in der Praxis immer mal wieder diskutierte, Frage. Benötigt der Betriebsrat einen eigenen Datenschutzbeauftragten oder darf bzw. muss der Datenschutzbeauftragte des Arbeitgebers auch den Betriebsrat kontrollieren?

Nach Auffassung des LAG richtet sich die (u.a. auch in § 22 Abs. 2 Nr. 4 BDSG) vorgesehene Bestellung eines Datenschutzbeauftragten nicht an den Betriebsrat, sondern an den Arbeitgeber. Und weiter:

„Die Verarbeitung personenbezogener Daten durch den Betriebsrat unterliegt unter Geltung der DSGVO dabei ohnehin der Überwachung durch den betrieblichen Datenschutzbeauftragten“

Dies, so das LAG, werde zwar in der neuen Vorschrift des § 79a BetrVG nicht ausdrücklich geregelt, aber sowohl von § 79a S. 4 BetrVG als auch im Regierungsentwurf vorausgesetzt, BT-Drs. 19/2899, S. 22.

Verwaltungsgericht Bremen: Keine Auskunft über Betroffenenrechte, wenn der Betroffene diese kennt und selbst erwähnt?

Das Verwaltungsgericht (VG) Bremen hat sich in einem Urteil vom 22.06.2022 (Az. 4 K 1/21; derzeit leider bei BeckOnline kostenpflichtig abrufbar, BeckRS 2022, 16412) mit Fragen rund um das Auskunftsrecht nach Art. 15 DSGVO befasst. Das VG lehnt zum Teil eine Pflicht des Verantwortlichen ab, Informationen nach Art. 15 Abs. 1 lit. a) – h) DSGVO zu erteilen. Der Fall selbst erscheint mir einigermaßen „speziell“.

Sachverhalt

Die Kläger machen gegenüber der Beklagten (einer öffentlichen Stelle) Auskunftsansprüche nach der DSGVO geltend. Mit Schreiben vom 16.06.2020, adressiert an die Beklagte – Amt für Kinder, Jugend und Familie -, beantragte die Klägerin zu 1. für sich und die Kläger zu 2. und 3. bei der Beklagten unter Hinweis auf Art. 15 Abs. 1 lit. a) bis h) DSGVO die Erteilung von Auskünften über die über sie selbst und ihre beiden Söhne erhobenen und verarbeiteten personenbezogenen Daten.

Die Beklagte teilte ihr daraufhin mit, dass es keine zentrale Stelle gäbe, die sämtliche personenbezogenen Daten von Betroffenen erfassen und zusammenführen würde, weswegen sie sich hinsichtlich des geltend gemachten Anspruchs an die jeweilige Stelle in Bremerhaven wenden müsste. Am 03.01.2021 wurde Klage und zugleich ein Antrag auf Gewährung vorläufigen Rechtsschutzes eingereicht und zur Begründung vorgetragen, die Beklagte habe nicht auf ihr Auskunftsbegehren vom 16.06.2020 reagiert. Auch die nachträglich vorgelegten Unterlagen seien unvollständig.

Mit Schreiben vom 03.03.2022 hat die Beklagte der Klägerin zu 1. u.a. eine ExcelTabelle zu den verarbeiteten personenbezogenen Daten übermittelt. Mit Schreiben vom 11.05.2022 hat die Beklagte u.a. auch noch einen Auszug aus der LogoData-Software zu den verarbeiteten personenbezogenen Daten übermittelt. Die Schreiben bzw. Tabellen und Übersichten enthielten jedoch keine Hinweise auf Betroffenenrechte oder Beschwerderechte. Ferner enthielten sie auch keine Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Die Kläger gingen weiter davon aus, dass ihr Anspruch aus Art. 15 DSGVO nicht erfüllt sei.

Entscheidung

Das VG ging zunächst davon aus, dass der Anspruch nach Art. 15 DSGVO mit der Übersendung der Excel-Tabellen und eines Auszugs aus der verwendeten Software zum Teil erfüllt war.

Erfüllung mit Screenshots und Kopien aus Systemen

Die Aussagen zu der übersendeten Excel-Tabelle (ich vermute, als Screenshot / Ausdruck und Kopie) sind durchaus interessant. Die Excel-Tabelle war so aufgebaut, dass dort sämtliche bei der Beklagten vorhandene personenbezogene Daten i.S.v. Art. 15 Abs. 1 lit. a) bis d) und g) DSGVO zu den Klägern eingetragen werden konnten, was auch geschehen ist.

Aus den LogoData-Softwareauszügen, welche per Schreiben (also wohl auch eine Kopie eines Screenshots bzw. ein Ausdruck) übermittelt wurden, wurde ersichtlich, dass, und darüber hinaus auch konkret welche Daten nach Art. 15 Abs. 1 lit. a) bis d) und g) DSGVO beim Sozialen Dienst der Beklagten zum Zwecke der Bearbeitung des Unterhaltsvorschusses und der wirtschaftlichen Jugendhilfe verarbeitet wurden.

Keine Auskunft über bekannte Betroffenenrechte?

Sehr interessant finde ich die Begründung des VG zu der Frage, ob die beklagte Behörde nicht auch die Informationen nach Art. 15 Abs. 1 lit. e) und h) DSGVO erteilen musste. Es war klar, dass sämtliche der Klägerin übermittelten Unterlagen keine Informationen zu den nach Art. 15 Abs. 1 lit. e) und h) DSGVO zu übermittelnden Angaben enthielten.

Das VG fand hier aber einen Begründungsansatz, warum diese Informationen nicht erforderlich waren.

Für den Hinweis auf das Bestehen eines Rechts auf Berichtigung oder Löschung der die Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung (Art. 15 Abs. 1 lit. e) DSGVO) bestand nach Auffassung des VG kein Bedürfnis,

nachdem die Kläger bereits in den Schriftsatz vom 04.01.2021, mit dem sie die Klage eingereicht hatten, Art. 15 Abs. 1 DSGVO vollständig zitiert hatten. Die Kläger können sich im vorliegenden Fall gerade nicht darauf berufen, sie hätten keine Kenntnis von ihren Betroffenenrechten gehabt und die Beklagte müsste nun dazu verpflichtet werden, sie hierauf hinzuweisen.“

(gemeint ist wohl die Klage vom 03.01). Das VG argumentiert hier nicht europarechtlich aus der DSGVO heraus, sondern basierend auf dem deutschen Verwaltungsprozessrecht. Diesen Ansatz finde ich durchaus nachvollziehbar.

Denn auf diese Weise könnten die Kläger keine Verbesserung ihrer Rechtsposition erreichen. Eine Klage, bei der nicht einmal die Möglichkeit einer Verbesserung der eigenen Rechtsposition besteht, ist als rechtsmissbräuchlich zu bewerten und daher unzulässig“.

Es dürfte sich aber eine Gegenposition ebenso vertreten lassen. Im Grunde geht die DSGVO als unmittelbar anwendbares Recht dem nationalen Recht vor. Art. 15 Abs. 1 DSGVO sieht keine Ausnahme der Auskunftspflichten vor, wenn die betroffene Person diese Rechte bereits kennt bzw. selbst zitiert. Am Ende wird man diskutieren müssen, ob das deutsche Prozessrecht von der DSGVO unbeeinflusst gilt und auch Auswirkungen auf materiell-rechtliche Anforderungen der DSGVO haben kann.   

Keine Auskunft, wenn nicht relevant?

Auch die Informationserteilung nach Art. 15 Abs. 1 lit. h) DSGVO lehnt das VG ab.

Diesbezüglich jedoch mit einer anderen Begründung. Für diese Information bestand nach Auffassung des Gerichts kein Bedürfnis,

weil im vorliegenden Fall keinerlei Anhaltspunkte dafür bestanden, dass die personenbezogenen Daten der Kläger zum Zwecke der automatisierten Entscheidungsfindung einschließlich Profiling verarbeitet worden sein könnten.“

Findet eine automatisierten Entscheidungsfindung nicht statt, muss also nach Ansicht des VG darüber auch nicht negativ informiert werden. Diese Begründung halte ich durchaus für gangbar, zumal lit. h) ausdrücklich vorsieht, dass der Verantwortliche über „das Bestehen“ einer automatisierten Entscheidungsfindung einschließlich Profiling informieren soll. Findet dies aber nicht statt, dann liegt auch kein „Bestehen“ vor.

Finnische Datenschutzbehörde: Regelmäßige Prüfung der Kontaktkanäle für Datenschutzanfragen erforderlich

Am 9.5.2022 hat die finnische Datenschutzbehörde gegen ein Unternehmen (einen finnischen Verlag) ein Bußgeld in Höhe von 85.000 EUR wegen mehrerer Verstöße gegen die DSGVO verhängt (Englisch). Die Entscheidung betrifft einige praxisrelevante Fragestellung der Umsetzung von Betroffenenrechten.

Einleitend informiert die Behörde darüber, dass sie insgesamt elf Beschwerden zu dem Unternehmen erhalten hatte. Unter anderem hatten die Betroffenen keine Antwort auf ihre Anträge oder Anfragen zu Datenschutzrechten erhalten.

Kontaktkanäle für betroffene Personen müssen regelmäßig getestet werden

Einige Datenschutzanfragen von Betroffenen wurden aufgrund eines technischen Problems bei der E-Mail-Weiterleitung nicht umgesetzt, als das Unternehmen seinen Dienstleister wechselte.

Dies führte dazu, dass E-Mails, die in dem für Datenschutzfragen reservierten E-Mail-Posteingang eingingen, nicht an die Mitarbeiter des Kundendienstes weitergeleitet wurden. Das Problem wurde erst durch das Auskunftsersuchen der Datenschutzbehörde entdeckt. Zu diesem Zeitpunkt hatte die Unterbrechung der E-Mail-Weiterleitung bereits sieben Monate gedauert.

Nach Ansicht der Aufsichtsbehörde wäre das Unternehmen verpflichtet gewesen, sich um die Prüfung des E-Mail-Postfachs zu kümmern, da dies der wichtigste elektronische Kontaktkanal der betroffenen Personen in Datenschutzangelegenheiten war.

Aus der offiziellen Pressemitteilung wird leider nicht klar, welche Norm der DSGVO die Behörde hierdurch als verletzt ansieht. Auf der Webseite des EDSA wird u.a. ein Verstoß gegen Art. 12 DSGVO angegeben. Dies scheint mir hier auch die passende gesetzliche Grundlage zu sein. Nach Art. 12 Abs. 2 S. 1 DSGVO muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtern. Wenn aber Anfragen von Betroffenen gar nicht bearbeitet werden (und sei es auch nur aufgrund eines technischen Fehlers), dürfte dies gerade keine Erleichterung, sondern eine Erschwerung darstellen. Praktisch bedeutet dies, dass Unternehmen in regelmäßigen Abständen ihre DSGVO-Kanäle für Betroffene von extern testen sollten.

Unnötige Informationen dürfen nicht zur Identifizierung angefordert werden

Daneben konnten Betroffene mit einem ausdruckbaren Formular auch Anfragen zu ihren eigenen Daten stellen. Hierbei ging es wohl um Auskunftsanfragen nach Art. 15 DSGVO. Das Formular verlangte zur Identifikation jedoch die Unterschrift der betroffenen Person.

Nach Ansicht der Aufsichtsbehörde verarbeitete das Unternehmen aber auf diese Weise eine übermäßige Menge an Informationen zur Identifizierung. Insbesondere konnte das Unternehmen nicht darlegen, dass es die Unterschrift etwa mit bei sich vorhandenen Unterschriften der Betroffenen abglich. Denn es wurden ansonsten keine Unterschriften der Betroffenen erhoben.

Auch dieses Vorgehen dürfte nach Ansicht der Behörde einen Verstoß gegen Art. 12 Abs. 1 DSGVO darstellen. Zudem wird in der Mitteilung auf der Webseite des EDSA auch ein Verstoß gegen Art. 5 Abs. 1 lit. c DSGVO erwähnt, also gegen den Grundsatz der Datenminimierung. Die (nicht erforderliche) Erhebung es Datums „Unterschrift“ dürfte auch gegen diese Norm verstoßen haben.

Bayerischer Landesbeauftragter: Datenlöschung kann grundsätzlich von Verjährungs- oder Klagefristen abhängig gemacht werden

Der Bayerische Landesbeauftragte (BayLfD) hat im Juli eine schöne Orientierungshilfe zu dem Recht auf Löschung nach der DSGVO veröffentlicht (PDF). Hierbei geht die Behörde auch auf die praxisrelevante Frage ein, ob und wenn ja, wann personenbezogene Daten zu löschen sind, wenn diese Daten gegebenenfalls noch im Rahmen von rechtlichen Auseinandersetzungen und zur Verteilung gegen Ansprüche erforderlich sind.

Nach Art. 17 Abs. 1 lit. a) DSGVO sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Nach dem BayLfD sind die Daten für den Verarbeitungszweck unter anderem nicht mehr notwendig, wenn dieser Zweck schon erreicht wurde, indem die ursprünglich angedachte Maßnahme durchgeführt wurde, und dazu nur die temporäre Datennutzung erforderlich war. Ebenso ist es aber auch möglich, dass die Zwecke nicht erreicht wurden und auch nicht mehr erreichbar sind.

Nach Art. 17 Abs. 3 lit. e) DSGVO gilt Absatz 1 jedoch nicht (es besteht also keine Löschpflicht), soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Zweck dieser Vorschrift ist es laut dem BayLfD u.a., einem Beweismittelverlust durch Löschung entgegenwirken. Zudem gelte die Ausnahme sowohl für gerichtliche wie außergerichtliche Verfahren. Diese Klarstellung ist sehr praxisrelevant, da natürlich nicht jede Streitigkeit zu Verträgen oder etwa Ansprüchen von Kunden direkt gerichtlich ausgefochten wird.

Wann darf man sich auf die Ausnahme berufen?

Eine strenge Ansicht vertritt der BayLfD jedoch bei der Frage, wann davon auszugehen ist, dass die Daten für die Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich sind. Nach Ansicht der Behörde wäre es nicht mehr erforderlich,

wenn Daten nur zu dem Zweck dauerhaft gesammelt würden, weil diese theoretisch irgendwann Gegenstand eines Rechtsstreits sein könnten. Vielmehr muss die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bereits stattfinden oder mit einer hinreichend hohen Wahrscheinlichkeit bevorstehen“.

Diese Ansicht vertreten auch andere deutsche Aufsichtsbehörden. Meines Erachtens benachteiligt eine solche Auffassung aber datenverarbeitende Stellen unangemessen, bei denen es bisher nie zu Problemen kam. Ein Beispiel: der Schönheitschirurg, der sich bisher nie Klagen von Patienten ausgesetzt sah, dürfte Behandlungsdokumentation nicht mit dem Argument speichern, dass eine solche Klage in Zukunft aber theoretisch möglich ist. Andererseits dürfte der Arzt, bei dem es regelmäßig zu Klagen von Patienten wegen schlechter Behandlung kommt, die personenbezogenen Daten speichern, um sich verteidigen zu können. Denn bei ihm bestünde eine „hinreichende Wahrscheinlichkeit“. Dieses Ergebnis ist aus meiner Sicht unangemessen und so auch nicht aus Art. 17 Abs. 3 lit. e) DSGVO ableitbar.

Orientierung an Verjährungs- und Klagefristen

Begrüßenswert ist die Auffassung des LfD, dass sich die zeitliche Dimension der Erforderlichkeit im Grundsatz klar bemessen lässt,

wenn die Möglichkeit der Rechtsdurchsetzung an Fristen (etwa Verjährungs- oder Klagefristen) gebunden ist.“

Die Behörde hält es also für zulässig, wenn sich Verantwortliche bei der Frage der Löschung an laufenden Verjährungsfristen und Klagefristen von Ansprüchen orientieren. Ich würde hier auch entsprechende Fristen zur Verfolgungsverjährung, etwa aus dem OwiG zählen (§ 31 OwiG). Jedoch schränkt der LfD seine Ansicht dahingehend ein, dass insbesondere bei langen Verjährungsfristen eine Abwägung zwischen den Interessen der betroffenen Person auf Löschung der Daten einerseits und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen andererseits vorzunehmen sei. Diesbezüglich stellt sich meines Erachtens erneut das oben angesprochene Problem, dass bei einer solchen Auslegung datenverarbeitende Stellen begünstigt wären (Daten also speichern dürften), wenn sie in der Vergangenheit mit Ansprüchen und Klagen konfrontiert waren; Unternehmen, bei denen es jedoch bislang nie solche Streitigkeiten gab, müssten aber wohl vor Ablauf einer „langen“ Verjährungsfrist löschen. Unklar ist hier, was der LfD unter einer „langen“ Frist versteht.

Datenschutzbehörde Hessen: Auskunftsanspruch kann wegen Zeugen-/Informantenschutz beschränkt werden

In ihrem aktuellen Tätigkeitsbericht 2021 (PDF, ab S. 109 ff.) befasst sich die Hessische Datenschutzbehörde (HBDI) mit der Frage, unter welchen Voraussetzungen eine Einschränkung des Auskunftsanspruchs nach Art. 15 Abs. 4 DSGVO möglich ist. In der Praxis ist diese Frage oft sehr relevant. Gleichzeitig fehlen jedoch konkrete Beispiele und Anwendungsfälle, wann sich ein Verantwortlicher auf „Rechte anderer Personen“ berufen kann und welche Rechte hiervon umfasst sind.

ErwG 63 DSGVO verweist beispielhaft auf Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht.

Der HBDI geht davon aus, dass unter diese „Rechte“ auch berechtigte Interessen anderer Personen fallen. Klarstellend fügt die Behörde hinzu, dass dieses Interesse

nicht notwendig durch eine Geheimhaltungsvorschrift geschützt sein“ muss.

Dies ist eine begrüßenswerte und praxisrelevante Ansicht. Denn von den „Rechten“ sind dann nicht nur rechtliche Schutzpositionen umfasst, die sich aus Gesetzen ableiten, wie etwa das Urheberrecht.

Die Behörde erläutert ihre Position anhand eines Beispiels. Umfasst sei insbesondere der Fall, dass der Verantwortliche Informationen über die betroffene Person von einer oder einem Anderen – unter Umständen gegen eine Zusage vertraulicher Behandlung – erhalten hat, die oder der ein z.B. behördliches Einschreiten gegen einen Missstand erreichen möchte.

Die Ausnahme des Abs. 4 erfasst also nach Ansicht des HBDI nicht nur rechtlich verbürgte Schutzpositionen, sondern auch berechtigte Erwartungen auf Geheimhaltung und Vertraulicheit. Dies ist eine relevante Klarstellung, die in der Praxis vor allem den Bereich des Compliance-Managements und eines Hinweisgebersystems betreffen dürfte.

Der HBDI begründet seine Ansicht weiter:

Das Interesse der anderen Person an einer Geheimhaltung ihrer Identität als „Quelle“ überwiegt gegenüber dem Auskunftsinteresse jedenfalls solange, wie Anhaltspunkte dafürsprechen, dass die Offenbarung der Identität der Informantin oder des Informanten zu rechtlichen oder tatsächlichen Benachteiligungen der „Quelle“ führen könnten.“

Dies dürfte man so verstehen, dass eine Information über die meldende Person im Rahmen einer Auskunft nicht herauszugeben ist, solange etwa ein Ermittlungs- oder Gerichtsverfahren läuft und zu befürchten ist, dass etwa der Zeuge oder Informant Nachteile erleiden könnte, sollte die Tatsache seiner Meldung herauskommen. 

Interessenkonflikte bei Datenschutzbeauftragten – Hessische Datenschutzbehörde gibt Beispiele

In seinem 50. Tätigkeitsbericht (PDF) zum Datenschutz hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einige interessante Hinweise rund um das Thema „Interessenkonflikte bei Datenschutzbeauftragten“ (ab S. 140) veröffentlicht.


Grundsätzlich können nach Ansicht des HBDI Datenschutzbeauftragte natürlich auch andere als die mit ihrer Benennung verbundenen Aufgaben wahrnehmen, sofern diese anderen Tätigkeiten nicht zu einem Interessenkonflikt führen, vgl. Art. 39 Abs. 1 DSGVO. Interessenkonflikte bei Datenschutzbeauftragten ergeben sich i.d.R. aus ihrer Stellung innerhalb des Unternehmens bzw. der datenverarbeitenden Stelle. Wichtig: der HBDI geht davon aus, dass es sich bei der Voraussetzung der Unabhängigkeit bzw. des Fehlens von Interessenkonflikten sowohl um eine Benennungsvoraussetzung als auch – nach der Benennung – um eine Organisationspflicht des Verantwortlichen und des Auftragsverarbeiters handelt. Bei Verstoßen können auch Bußgeldern verhängt werden.


Grundsätzliche Vorgaben
Sowohl der für die Verarbeitung Verantwortliche als auch die Mitglieder der Geschäftsführung oder des Vorstands tragen die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung bei dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und können sich selbst nicht wirksam datenschutzrechtlich kontrollieren.


Interessenkonflikte lassen sich auch bei externen Datenschutzbeauftragten nicht vermeiden. Der Verantwortliche oder der Auftragsverarbeiter sollen daher mit dem externen Datenschutzbeauftragten vertraglich vereinbaren, dass dieser keine Tätigkeiten ausübt, die zu potenziellen Interessenkonflikten mit den Aufgaben des Datenschutzbeauftragten für den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter führen. Um mögliche Interessenkonflikte von vornherein zu vermeiden, können verschiedene Maßnahmen erwogen werden. Eine denkbare Maßnahme ist eine interne Richtlinie, die die konkreten Aufgaben und Kompetenzen des Datenschutzbeauftragten im Unternehmen klar definiert. Auf diese Weise können potenzielle Interessenkonflikte frühzeitig erkannt und nach Möglichkeit vermieden werden.


Benennung von beispielhaften Personengruppen, bei denen ein Interessenkonflikt vorliegen kann
Außerdem wird in dem Tätigkeitsbericht ausgeführt, welche Personen nicht die Funktion des Datenschutzbeauftragten ausüben sollten. Als Beispiele bzw. Fallgruppen für die Unzulässigkeit nennt die hessische Behörde:

Die Führungskräfte eines Unternehmens, insbesondere die Leitung der Personalabteilung, weil sie für Mitarbeiterdaten zuständig ist, die Leitung der IT-Abteilung, weil sie für technische und organisatorische Maßnahmen verantwortlich ist, und die Leitung der Marketing- oder Vertriebsabteilung, weil sie für die Verarbeitung von Kundendaten zuständig ist.

Ebenso ist es nach Ansicht des HBDI unzulässig, einen Datenschutzbeauftragten zu benennen, der ein besonderes wirtschaftliches Interesse am Erfolg des Unternehmens hat, z. B. wenn er Gesellschafter oder ein Familienmitglied der Geschäftsführung ist.

Als markantes Beispiel für das Vorliegen eines Interessenkonflikts führt die hessische Behörde die Position des IT-Sicherheitsbeauftragten an: Um mögliche Missbräuche aufzudecken und möglichst frühzeitig zu verhindern, hat die IT-Sicherheitsabteilung eines Unternehmens regelmäßig ein erhebliches Interesse an der umfassenden Erhebung personenbezogener Daten. Übernimmt der IT-Sicherheitsbeauftragte Umsetzungsaufgaben mit Budgetverantwortung, ist der Interessenkonflikt aus Sicht des HBDI noch offensichtlicher.

Ein Interessenkonflikt sei auch bei Compliance-Beauftragten und Rechtsabteilungsleitern anzunehmen, da diese regelmäßig stark in interne Prozesse einbezogen sind und damit nicht mehr die notwendige Unabhängigkeit bei der Beurteilung einzelner Datenverarbeitungen hätten.
• Interessant ist, dass der HBDI auch die Benennung eines Datenschutzbeauftragten, der gleichzeitig nur Mitglied (!) oder Vorsitzender des Betriebsrats ist, als kritisch beurteilt. Der HBDI verweist hierzu auf die bei dem EuGH anhängigen Fragen des BAG (BAG, Beschl v. 27.04.2021 – 9 AZR 383/19 (A)).

Insgesamt würde ich die Ansicht des HBDI eher als streng einordnen. Die Behörde weist aber auch darauf hin, dass aufgrund der strukturellen Unterschiede des jeweiligen Unternehmens oder der jeweiligen Branche stets eine Einzelfallbetrachtung vorzunehmen ist.