Online-Terminvereinbarung in Arztpraxen – Anforderungen des ULD

In seinem aktuellen Tätigkeitsbericht 2021 stellt das ULD Schleswig-Holstein u.a. auch seine Ansicht zu den datenschutzrechtlichen Anforderungen beim Einsatz von Terminbuchungssoftware bzw. -dienstleistern im medizinischen Bereich vor (ab S. 52).

Zum Ersten stört sich das ULD daran, dass zwar eine Terminbuchung auf einer solchen Plattform verschlüsselt möglich ist, jedoch die Antwort oft unverschlüsselt erfolgt. Ich vermute, dass ULD meint hier vor allem eine auf Webseiten eingesetzte TLS-Verschlüsselung bei der Übertragung der Daten. Jedoch merkt das ULD kritisch an, dass die Antwort per unverschlüsselter E-Mail an Patienten erfolge. Nach Ansicht des ULD genügt dies wohl nicht den Anforderungen des Art. 32 DSGVO (richtig deutlich wird es im Bericht aber nicht).

Praktisch relevant für Arztpraxen und andere Institutionen im Gesundheitsbereich ist der Hinweis des ULD, dass die „Verantwortung“ für die sichere Übermittlung der Arzt trage.

„Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass Unbefugte keine Kenntnis davon erhalten, wann wer warum in der Praxis einen Termin hat.“

An dieser Feststellung ist sicher richtig, dass der Arzt oder etwa ein Krankenhaus als Verantwortlicher nach Art. 32 DSGVO verpflichtet ist. Doch muss man auch darauf hinweisen, dass ein eingesetzter Auftragsverarbeiter (z.B. der Dienstleister für die Buchung von Online-Terminen) originäre Pflichten nach Art. 32 DSGVO bzgl. der Sicherheit der Verarbeitung hat. In der Konsequenz bedeutet dies nach Art. 82 Abs. 2 S. 2 DSGVO auch, dass ein Auftragsverarbeiter gegenüber Betroffenen selbst für Verstöße auf Schadensersatz haften kann. Natürlich könnte aber etwa das ULD dennoch überlegen, in einem solchen Fall ein Bußgeld gegen den Verantwortlichen zu verhängen, etwa mit der Begründung, er habe den Dienstleister nicht ordentlich ausgewählt oder die technischen Maßnahmen des Dienstleisters akzeptiert.

Zum Zweiten geht das ULD davon aus, dass der Einsatz solcher externen Dienstleister für Terminbuchungen „regelhaft“ eine Auftragsverarbeitung darstellen wird. Und hieraus ergeben sich für das ULD zwei Anforderungen, die ich so jedoch aus der DSGVO nicht herauslese und hinsichtlich derer man daher zumindest auch anderer Ansicht sein kann.

Zum einen verlangt das ULD tatsächlich, dass „ein schriftlicher Auftragsverarbeitungsvertrag abgeschlossen wurde“. Nur dann sei die Auftragsverarbeitung zulässig. Diese Ansicht widerspricht klar den Vorgaben der DSGVO, konkret Art. 28 Abs. 9 DSGVO. Danach ist der Vertrag zwar schriftlich abzufassen, was aber auch in einem elektronischen Format erfolgen kann. Bedeutet (auch nach Ansicht anderer Behörden): Auftragsverarbeitungsverträge können auch elektronisch (zB per PDF und E-Mail Versand) abgeschlossen werden.

Zum anderen verlangt das ULD, dass die bei dem Dienstleister tätigen Personen „auf das Datengeheimnis verpflichtet“ wurden. Zumindest formell muss diesbezüglich angemerkt werden, dass die DSGVO den Begriff „Datengeheimnis“ nicht kennt. Nach Art. 28 Abs. 3 lit. b DSGVO müssen bei dem Dienstleister tätige Personen auf Vertraulichkeit verpflichtet worden sein. Jedoch kann man festhalten, dass sich der Inhalt des früheren Datengeheimnisses nach § 5 BDSG aF, also das Verbot der unrechtmäßigen Verarbeitung, in verschiedenen Regelungen der DSGVO wiederfindet. Mehr Informationen und Empfehlungen hierzu, hatte ich einmal in den BVD News niedergeschrieben (PDF, S. 16). Das in § 53 BDSG erwähnte „Datengeheimnis“ spielt hier keine Rolle, da die Vorschrift eine Umsetzung der JIRL darstellt und nicht in den Anwendungsbereich der DSGVO fällt.

Bundesdatenschutzbeauftragter zur Anonymisierung: Rechtsgrundlage und DSFA erforderlich

In seinem kürzlich veröffentlichten Tätigkeitsbericht (PDF), geht der BfDI auch auf den durch ihn initiierten Konsultationsprozess zum Thema der Anonymisierung von personenbezogenen Daten und damit zusammenhängenden datenschutzrechtlichen Anforderungen ein.

Wie wir wissen, lässt die DSGVO den Rechtsanwender leider nur mit wenigen Informationen zur Anonymisierung zurück. In ErwG 26 DSGVO wird erwähnt, dass die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Mehr gibt die DSGVO leider nicht her. Daher war der durch den BfDI angestoßene Prozess zu begrüßen.

Nachfolgend möchte ich einige praxisrelevante Ansichten des BfDI darstellen.

Zum einen spricht sich die Aufsichtsbehörde klar dafür aus, dass jede Anonymisierung eine Verarbeitung personenbezogener Daten darstellt

„und bedarf deshalb einer Rechtsgrundlage“.

S. 72

Interessant sind die Aussagen des BfDI zu den Rechtsgrundlagen. Zwar kommt grundsätzlich jede der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände in Betracht. Nach Ansicht des BfDI hätten aber vor allem die Einwilligung (!) und die Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO in Verbindung mit der ursprünglichen Rechtsgrundlage Relevanz. Diese Ansicht hat mich doch etwas erstaunt. Zum einen würde ich in der Praxis eigentlich immer auf die Einwilligung verzichten, wenn es möglich ist. Warum? Die zum Teil sehr formellen Anforderungen sind (je nach Auslegung) wahnsinnig hoch. Meiner Erfahrung nach kann eine Anonymisierung zB auch sehr gut auf Art. 6 Abs. 1 lit. c DSGVO oder eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO gestützt werden.

Zum anderen war ich (positiv) von der Ansicht des BfDI überrascht, dass er eine zweckändernde Verarbeitung auf die ursprüngliche Rechtsgrundlage stützt. Das ist ein durchaus diskutiertes Thema in der Literatur und auch bei den Behörden; u.a. mit dem Argument, dass der entsprechende Hinwies in ErwG 50 DSGVO ein Versehen (im Sinne eines Restes der Verhandlungen) sei. Der BfDI geht aber genau auf diesen ErwG ein. Bedeutet: diese Ansicht des BfDI gilt nicht nur exklusiv für eine Anonymisierung und datenverarbeitende Stellen sollten diese Position im Hinterkopf behalten.

Daneben ist meines Erachtens die Ansicht des BfDI von besonderer Praxisrelevanz, dass vor einer Anonymisierung

„grundsätzlich eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchzuführen“

S. 72

ist. Für Unternehmen bedeutet dies vor allem eines: Aufwand.

Ein Beispiel, welches sicher des Öfteren zutrifft: Software- oder sonstige Produkthersteller möchten personenbezogene Daten anonymisieren, bevor sie diese für Zwecke der statistischen Analyse zur Fehlersuche oder Produktverbesserung nutzen. Der BfDI begründet seine Ansicht u.a. damit, dass bei einer Anonymisierung der Verantwortliche regelmäßig davon ausgehen müsse, dass voraussichtlich ein hohes Risiko besteht. Das liege daran, dass in der Regel eine „Verarbeitung in großem Umfang“ stattfindet und die jeweilige Anonymisierungstechnik dem Begriff der neuen Technologien unterfällt. Damit verweist die Behörde wohl auf die durch den EDSA aufgestellten Kriterien zum Erfordernis einer DSFA (nach Ansicht der Behörden muss bei Erfüllung von zwei oder mehr Kriterien eine DSFA durchgeführt werden). Gesetzlich zwingend vorgesehen, ist die DSFA im Fall der Anonymisierung freilich nicht. Es ist etwa in der DSGVO schon gar nicht definiert, wann eine Verarbeitung „in großem Umfang“ vorliegt. Daher sollten Unternehmen stets für die von ihnen geplante Form der Anonymisierung prüfen, ob wirklich eine DSFA erforderlich ist. Hierfür bietet sich eine sog. Schwellwertanalyse an.

Urteil: DSGVO-Rechenschaftspflicht entbindet Aufsichtsbehörde nicht von eigener Prüfung und Sachverhaltsermittlung

Eine Neuerung der DSGVO ist die bekannte Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO, obwohl man auch ehrlich zugeben muss, dass niemand so genau weiß, wie diese in der Praxis konkret umzusetzen ist. Möglich ist sicher eine umfassende Dokumentation und die Einführung eines Datenschutz-Managements. Die Vorschrift selbst lässt aber großen Spielraum für andere Spielarten des Nachweises.

Zuweilen wird auch darüber diskutiert, ob denn mit der Rechenschaftspflicht eine Art Beweislastumkehr für Verantwortliche einhergeht. Dass diese also nachweisen müssten, dass keine Verletzung der DSGVO vorliegt. Insbesondere aus Behördensicht wäre eine solche Auslegung des Art. 5 Abs. 2 DSGVO natürlich immens vorteilhaft, da die Aufsichtsbehörde „nur“ die Nachweise anfordern müsste, aus denen die DSGVO-Compliance hervorgehen müsste.

In einem Urteil aus Dezember 2020 hat sich das Verwaltungsgericht Mainz (Urt. v. 17.12.2020, 1 K 778/19.MZ) zumindest kurz mit dieser Frage beschäftigt und eine für datenverarbeitende Unternehmen eher positive Position eingenommen. Das Urteil wurde in der Datenschutz-Community v.a. wegen des materiellen Kerns des Rechtsstreits, nämlich zur Frage einer Verschlüsselungspflicht bei E-Mails, diskutiert. Ich möchte hier aber auf den, meines Erachtens wirklich sehr relevanten Aspekt des Umfangs der Rechenschaftspflicht und eine daneben weiter existierende Ermittlungspflicht der Datenschutzbehörden eingehen.  

In dem Verfahren erteilte die Datenschutzbehörde Rheinland-Pfalz dem Kläger eine Verwarnung, weil dieser personenbezogene Daten ohne ein dem Risiko angemessenes Schutzniveau verarbeitet habe. Zur Begründung führte die Behörde aus, dass ein Verstoß gegen Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO vorliege. Der Versand per unverschlüsselter E-Mail biete keine ausreichende Sicherheit für Nachrichten, die sensible Informationen enthielten.

Hiergegen klagte der betroffene Rechtsanwalt und das Gericht hob den Bescheid der Datenschutzbehörde auf.

Das VG stellt fest, dass nicht davon auszugehen gewesen sei, dass es sich jedenfalls um derart schutzbedürftige Datenverarbeitungsvorgänge handelte, bei denen für die tatsächlich erfolgte Art der Versendung im Einzelfall kein angemessenes Schutzniveau gewährleistet war.

Und nun eine erste interessante Aussage: „Allein die pauschale subjektive Einschätzung des Beklagten im Bescheid vom 14. August 2019, dass es sich um „sensible“ Informationen handle, kann hier nicht den seinerseits angenommenen erhöhten Schutzbedarf rechtfertigen“.

Bedeutet: nur weil die Behörde davon ausgeht, dass es sich um besonders schützenswerte Daten handelt, muss dies objektiv betrachtet nicht wirklich so sein. Dies bezog sich hier konkret auf die Sensibilität von Daten (und das erforderliche Schutzniveau), kann aber meines Erachtens auch für andere Tatbestandsmerkmal in der DSGVO angewendet werden.

Das VG sieht durchaus, dass es die Rechenschaftspflicht gibt. So ist der Kläger gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung der Voraussetzungen des Art. 32 Abs. 1 DSGVO nachweispflichtig. Und dann kommt die zweite wichtige Aussage:

allerdings entbindet dies die beklagte Aufsichtsbehörde nicht davon, ihre Auffassung – auf Grundlage der (nachgewiesenen) Angaben des Verantwortlichen und sonstiger Ermittlungen – nachvollziehbar darzulegen, warum im Einzelfall das angemessene Schutzniveau durch die entsprechenden Maßnahmen nicht gewahrt war. Es hätte zudem für den Beklagten im Rahmen der Amtsermittlung naheliegen müssen, das entsprechende Schreiben des Klägers schon im Verwaltungsverfahren anzufordern“.

Das Gericht stellt zum einen fest, dass allein die Rechenschaftspflicht nicht dazu führt, dass die Behörde auf eigene Ermittlungen verzichten darf, um ihre rechtliche Position nachvollziehbar begründen zu können. Dies bedeutet, dass mithin Nachweise aus der Rechenschaftspflicht natürlich verwendet werden können. Dennoch aber auch eigene Ermittlungen bzw. Gründe für die Behördenansicht darzulegen sind.

Und zum anderen verweist das Gericht auf den verwaltungsrechtlichen Amtsermittlungsgrundsatz, der ebenfalls unabhängig von der Rechenschaftspflicht besteht.

Insgesamt also aus Sicht der datenverarbeitenden Unternehmen eine interessante Entscheidung, die im Grunde zeigt, dass Behördenansichten erst einmal auch „nur“ Ansichten sind, die aber auch nachvollziehbar begründet werden müssen. Für verwaltungsrechtliche Auseinandersetzungen ist dies einer von mehreren wichtigen Aspekten, auf die Unternehmen bei einer Verteidigung achten sollten.

Betriebsrat als datenschutzrechtlich Verantwortlicher – gesetzliche Klarstellung wirklich vom Tisch?

Ende 2020 hatte das Bundesministerium für Arbeit und Soziales (BMAS) bekanntlich den Referentenentwurf für ein Betriebsrätestärkungsgesetz veröffentlicht (PDF). In einem neuen § 79a BetrVG sollte gesetzlich klargestellt werden, dass datenschutzrechtlich der Arbeitgeber Verantwortlicher ist, wenn der Betriebsrat personenbezogene Daten verarbeitet (hierzu mein Blogbeitrag).

Der Entwurf wurde von der Bundesregierung aber (noch) nicht offiziell beschlossen und erst einmal zurückgezogen. War es das also, mit einer Regelung zur Frage der Verantwortlichkeit der Personalvertretung?

Vielleicht nicht. Parallel zu diesem Vorschlag für den privatwirtschaftlichen Bereich, hat nämlich das Bundesinnenministerium eine Schwesterregelung für den öffentlichen Bereich erarbeitet und das „Gesetzes zur Novellierung des Bundespersonalvertretungsgesetzes“ (PDF) wurde von der Bundesregierung verabschiedet und ist bereits im Gesetzgebungsverfahren im Bundestag. Angedacht ist in dem Gesetz auch eine Ergänzung des Bundespersonalvertretungsgesetzes (BPersVG) um einen neuen § 69 BPersVG („Datenschutz“).

Bei der Verarbeitung personenbezogener Daten hat der Personalrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Personalrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist die Dienststelle der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

Wem diese Regelung bekannt vorkommt, der darf gerne einen Blick in den ursprünglich geplanten § 79a BetrVG werfen. Im Grunde handelt es sich um eine inhaltsgleiche Kopie.

Meine in dem oben verlinkten Beitrag geäußerte Kritik zu § 79a BetrVG würde ich genauso auf den geplanten § 69 BPersVG übertragen. Nur ein Beispiel. In der Begründung des Gesetzentwurfes heißt es (S. 111): „Schließlich hat der Personalrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Artikel 24 und 32 der Datenschutz-Grundverordnung sicherzustellen“. Warum soll der Personalrat „eigenverantwortlich“ die Umsetzung von Sicherheitsmaßnahmen sicherstellen, wenn er doch für die Umsetzung der Art. 24 und 32 DSGVO nach der Idee des Entwurfs gar nicht Verantwortlicher ist? Oder anders gefragt: wenn die Dienststelle datenschutzrechtlich Verantwortlicher ist, obliegt ihr die Einhaltung der Pflichten der DSGVO, auch innerhalb der organisationsinternen Einrichtung „Personalrat“. Nach dem Entwurf soll der Personalrat aber „eigenverantwortlich“ agieren. Wie passt das zusammen?

Spannend ist nun die Frage, was passiert, wenn das Gesetz in dieser Form in Kraft tritt (bzw., wie sich dann Interpretationen entwickeln).

Erste Möglichkeit: Regelung zur Verantwortlichkeit gilt wirklich nur für den Personalrat, also den öffentlichen Bereich; keine Auswirkung auf den privatwirtschaftlichen Bereich und Betriebsrat. Argument: Vorschlag des BMAS in dem Bereich ist ja gescheitert, obwohl man es regeln wollte.

Zweite Möglichkeit: Regelung der Verantwortlichkeit muss man so auch im privatwirtschaftlichen Bereich annehmen; es würde ja keinen Sinn machen, das unterschiedlich zu behandeln, zumal die Gesetzesbegrünung fast identisch ist.

Ich bin gespannt, wie sich das Thema entwickelt.

Französische Datenschutzbehörde: Rechtliche Anforderungen beim Einsatz von Chatbots

Die französische Datenschutzbehörde (CNIL) hat auf ihrer Webseite Hinweise zum datenschutzkonformen Einsatz von Chatbots auf Webseiten oder in Apps veröffentlicht (Französisch).

Die Ansichten und Vorgaben der CNIL, finde ich erfreulich pragmatisch und gut umsetzbar. Nachfolgend eine kleine Zusammenfassung auf Grund einer inoffiziellen Übersetzung.

Einsatz von Cookies

Um einen Chatbot auf einer Webseite zu betreiben, werden häufig Cookies eingesetzt. Sei es, um den Chat seitenübergreifend anzeigen oder den Chatverlauf auch im Nachgang speichern zu können. Wie wir wissen, gelten bei dem Einsatz von Cookies per se die Vorgaben der RL 2002/58/EG, also Art. 5 Abs. 3. Soweit nachgelagert mit personenbezogenen Daten umgegangen wird, dürfte die DSGVO zu beachten sein.

Die CNIL verlangt für den Einsatz von Cookies bei dem Einsatz von Chatbots (meines Erachtens zurecht) nicht immer eine Einwilligung. Wenn Cookies vor Aktivierung durch den Besucher bzw. Nutzer gesetzt werden sollen, ist eine Einwilligung erforderlich.

Wenn aber das Cookie erst abgelegt wird, wenn der Benutzer den Chatbot aktiviert (z. B. durch Anklicken des zuvor angezeigten Konversationsfensters oder durch Anklicken einer Schaltfläche, die explizit das Öffnen des Chatbots auslöst), ist keine Einwilligung erforderlich. Denn dann greift die Ausnahme nach Art. 5 Abs. 3 S. 2 RL 2002/58/EG. Die Speicherung des Cookies ist dann „für die Bereitstellung eines Online-Kommunikationsdienstes auf ausdrücklichen Wunsch des Nutzers unbedingt erforderlich“ und bedarf nicht der Einwilligung.

Wie lange können die über den Chatbot gesammelten Daten aufbewahrt werden?

Im Grundsatz gilt, wie immer: die Daten müssen/dürfen so lange aufbewahrt werden, wie es für die Erreichung des festgelegten Zwecks der Verarbeitung erforderlich ist.

Die CNIL schlägt eine Differenzierung vor:

  • solche Fälle, in denen die Daten gelöscht werden sollten, sobald die Konversation beendet ist (wie im Fall eines Chatbots, der bei dem Abschluss eines Kaufvertrages unterstützt)
  • und Fälle, in denen der für die Datenverarbeitung Verantwortliche die Daten legitimerweise für einen längeren Zeitraum aufbewahren kann (z. B. für eine Reklamation über ein gekauftes Produkt, also z.B. für die Dauer der Gewährleistungsfristen).

Was tun bei der Erfassung sensibler Daten (z.B. Gesundheitsdaten)?

Sehr interessant ist die Ansicht der CNIL zu der Situation, wenn der Verantwortliche über den Chatbot besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) „aufgedrängt“ erhält, obwohl er diese gar nicht angefragt hat. Meines Erachtens kann die Auffassung der CNIL auch abstrahiert auf andere Fälle Anwendung finden (Bsp: Bewerbungsverfahren).

Sollten besondere Kategorien von Daten durch den Nutzer in dem Chatbot eingegeben werden, sind nach Ansicht der CNIL die Ausnahmevorschriften nach Art. 9 Abs. 2 DSGVO zu beachten. Wenn es um aktiv angefragte Daten geht (z. B. mit dem Chatbot eines Dienstes zur Unterstützung sexueller oder gesundheitsbezogener Minderheiten), kann etwa eine Einwilligung eingeholt werden oder die Verarbeitung darf auf Grundlage der Ausnahme nach Art. 9 Abs. 2 lit. g DSGVO erfolgen, wenn die Verarbeitung aus einem wichtigen Grund des öffentlichen Interesses erforderlich ist.

Sollte der Verantwortliche die sensiblen Daten jedoch nicht angefragt haben, so geht die CNIL davon aus, dass Verantwortliche nicht verpflichtet sind, die vorherige Einwilligung der Benutzer einzuholen. Eine aus meiner Sicht richtige Auffassung. Gleichzeitig verlangt die CNIL dann, dass der Verantwortliche aber intern Maßnahmen umsetzen muss, um die Risiken für die Rechte und Freiheiten des Einzelnen zu minimieren:

  • indem vor jeder Nutzung des Chatbots eine Warnung/Information angezeigt wird, die dazu auffordert, von der Kommunikation sensibler Daten abzusehen;
  • durch Einrichtung eines internen Systems zur sofortigen oder zumindest regelmäßigen Löschung, da die Aufbewahrung solcher sensiblen Daten nicht erforderlich ist.

Beide von der CNIL angedachten Maßnahmen halte ich für nachvollziehbar und praktisch auch gut umsetzbar.

Drittstaatentransfers: Deutsche Behörden planen Begutachtung der Rechtslage in den USA und Stichprobenprüfung bei Unternehmen

Kürzlich wurde das Protokoll der 100. Sitzung der DSK im Internet veröffentlicht (pdf).

Neben anderen praxisrelevanten Themen haben sich die deutschen Datenschutzbehörden in ihrer Sitzung Ende November 2020 auch mit Umsetzung der Vorgaben des EuGH aus dem Schrems —Urteil befasst (siehe Top 22).

So hat die Behörde aus Berlin vorgeschlagen, „hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen“. Wichtig ist der Behörde ein gemeinsames Vorgehen der Aufsichtsbehörden zur Umsetzung des Urteils. Laut dem Protokoll soll nun der DSK-Vorsitz ein Umlaufverfahren hinsichtlich der Beauftragung eines Gutachtens sowie dessen Finanzierung einzuleiten.

Die Initiative aus Berlin ist meines Erachtens durchaus praxisrelevant. Zum Teil wird ja sowohl dem EuGH als auch den Aufsichtsbehörden vorgehalten, sich nicht genauer mit der Rechtslage in den USA befasst zu haben. Dieses Argument kann auch bei der rechtlichen Beurteilung von Schutzmaßnahmen, die man ergänzend zu EU-Standarddatenschutzklauseln vereinbart, Bedeutung haben. Denn der Exporteur in der EU soll ja nach dem Urteil des EuGH (mit Unterstützung des Importeurs) beurteilen, wie sich die Rechtslage in dem jeweiligen Drittland in Bezug auf den Importeur und durch diesen verarbeitete Daten auswirkt.

Eventuell ist nun von Behördenseite angedacht, diese „Lücke“ zu schließen und, zumindest auf Behördenseite, eine Begutachtung der Rechtslage in den USA stets verfügbar zu haben. Für Unternehmen, die sich z.B. in einem Prüfverfahren mit der Behörde befinden, kann dies etwa auch dazu führen, dass sie sich gegen Aussagen aus dem Gutachten verteidigen bzw. diese entkräften müssen, wenn die Aufsichtsbehörde das Gutachten zur Grundlage ihrer Argumentation macht.

Wie beschrieben, soll aber nun erst einmal innerhalb der DSK abgefragt werden, ob die Behörden ein solches Gutachten in Auftrag geben möchten.  

In diesem Zusammenhang enthält das Protokoll einen weiteren wichtigen Hinweis: die Datenschutzbehörde aus Hamburg ergänzt in der Sitzung, „dass Stichproben mit Hilfe eines abgestimmten Fragebogens hinsichtlich der Umsetzung des Schrems II-Urteil bei Verantwortlichen durchgeführt werden sollen“. Die Aufsichtsbehörden solle einzeln über eine Teilnahme an dieser Abfrage entscheiden.

Nach meiner Kenntnis, liegt ein innerhalb der DSK abgestimmter Fragebogen zur Prüfung von Drittstaatentransfers aktuell noch nicht vor. Dies schließt freilich nicht aus, dass etwa die Behörde aus Hamburg, wie im Protokoll angekündigt, auch selbstständig entsprechende Prüfungen startet. Letzte Anmerkung dazu: die Prüfung soll bei „Verantwortlichen“ durchgeführt werden. Also wohl nicht bei Dienstleistern mit Sitz in der EU, die Daten in Drittländer übermitteln.  

Bundesregierung plant neue Dokumentationspflicht für Werbeeinwilligungen

In dem „Entwurf eines Gesetzes für faire Verbraucherverträge“ (BR Drs 18/21, PDF) vom 1.1.2021 schlägt die Bundesregierung in Artikel 3 die Schaffung eines neuen § 7a UWG vor. Es geht um die Einführung einer ausdrücklichen Aufbewahrungspflicht für Einwilligung im Bereich Telefonwerbung. In der Begründung wird u.a. auch mit den Vorgaben der DSGVO argumentiert.

Hier der Vorschlag:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Zuständige Behörde wäre hier die BNetzA.

Nach der Gesetzesbegründung (S. 8) sieht die Bundesregierung das Problem, dass in zivilrechtlichen Verfahren und auch nach Art. 7 Abs. 1 DSGVO der Werbende die Darlegungs- und Beweislast für das Vorliegen einer Einwilligung trage. Jedoch müsse im Ordnungswidrigkeitenverfahren zunächst die Behörde den Nachweis der Tatbestandsverwirklichung erbringen, zum Beispiel durch Zeugenbefragungen. Dies gestalte die Verfahren umfangreich und kompliziert.

Interessant ist auch der Hinweis auf die Argumente der werbenden Unternehmen. Diese

versuchen sich dabei zum Teil zu entlasten, indem sie behaupten, die Einwilligungserklärung habe aus Gründen des Datenschutzes nicht länger aufbewahrt werden dürfen und sei daher vernichtet worden“.

Diese Begründung würde ich aus datenschutzrechtlicher Sicht tatsächlich auch nicht verstehen. Denn als Verantwortlicher bin ich sowohl nach Art. 7 Abs. 1 DSGVO als auch allgemein nach Art. 5 Abs. 2 DSGVO zum Nachweis der Zulässigkeit der Datenverarbeitung verpflichtet. Selbst von Datenschutzbehörden ist akzeptiert, dass ich zum Nachweis einer einmal erteilten Einwilligung die erforderliche Dokumentation länger aufbewahren darf. Personenbezogene Daten (in der Einwilligung) dürfen auf der Grundlage von Artt. 6 Abs. 1 lit. c, 7 Abs. 1 DSGVO aufbewahrt werden, so etwa der BayLfD (28. TB, Ziff. 2.3):


Diese personenbezogenen Daten werden durch den Verantwortlichen freilich nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO“.

Zurück zum Gesetzesentwurf. Durch Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher soll die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden.

Fraglich ist jedoch, ob der neu vorgesehene § 7a UWG mit der DSGVO, konkret mit Art. 7 Abs.1 DSGVO, vereinbar ist. Denn das UWG kennt ja keinen eigenen Einwilligungsbegriff, sondern die relevante RL 2002/58/EG verweist auf die alte RL 95/46/EG, die nun durch die DSGVO ersetzt wurde. Nun sollen aber im UWG spezifische Anforderungen an die Dokumentation der Einwilligung aufgenommen werden, die so nicht in der unmittelbar anwendbaren DSGVO festgelegt sind (insbesondere etwa die Dauer von 5 Jahren).

Die Bundesregierung sieht in § 7a UWG-E kein Problem. In der Gesetzesbegründung (S. 13) geht sie davon aus, dass die neue Norm „Artikel 7 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vereinbar“ ist.

Nach Ansicht der Bundesregierung stellt die Regelung „eine spezielle Ausfüllung der Beweislastverteilung der in Artikel 7 Absatz 1 DSGVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar“. Hinsichtlich des § 7a Abs. 1 UWG-E, mag man dies noch verstehen. Denn es wird tatsächlich keine bestimmte Form für die Einwilligung selbst oder den Nachweis vorgegeben. Auch die DSGVO kennt keine Formanforderungen der Einwilligung. Fraglich könnte aber sein, ob die Pflicht zur Aufbewahrung für 5 Jahre nach Abs. 2 so von Art. 7 Abs. 1 DSGVO gedeckt ist. Die DSGVO sieht keine konkreten Zeiträume vor, wie lange Dokumente aufzubewahren sind, um der Rechenschaftspflicht zu genügen. Dies wird man dann sowohl als Pro- als auch als Contra-Argument nutzen können. Diskutabel ist der Punkt meines Erachtens aber schon.

Klar ist aber aus Unternehmenssicht auch, wenn § 7a UWG-E in dieser Form kommt, dass dann § 7a Abs. 2 UWG-E iVm Art. 6 Abs. 1 lit. c DSGVO eine Rechtsgrundlage für die Aufbewahrung der Einwilligungsdokumente und darin enthaltener personenbezogener Daten darstellt.

Kein Prozess zur regelmäßigen Prüfung von Sicherheitsmaßnahmen: 460.000 EUR Bußgeld

Die polnische Datenschutzbehörde (UODO) hat ein durchaus beachtliches Bußgeld gegen ein Unternehmen verhängt, welches nach Ansicht der UODO gegen den Datenschutzgrundsatz der Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verstoßen hatte.

Insgesamt wurde ein Bußgeld in Höhe von 460.000 EUR verhängt. Konkret beanstandet die Behörde, dass das Unternehmen keine ausreichenden technischen und vor allem organisatorische Maßnahmen zum Schutz personenbezogener Daten umgesetzt hatte. Bemängelt wurde insbesondere ein unzureichender Prozess der Prüfung und ggfs. Anpassung bereits vorhandener Schutzmaßnahmen.

Nach Art. 5 Abs. 1 lit. f DSGVO dürfen personenbezogene Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Die Einhaltung dieses Grundsatzes muss der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Zudem möchte ich auch noch auf die allgemein gültige Vorgabe des Art. 24 Abs. 1 DSGVO hinweisen (auch wenn ein Verstoß gegen Art. 24 DSGVO selbst nicht bußgeldbewährt ist), die in andere Vorschriften ausstrahlen. Danach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Und wichtig: „Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert“.

Genau dieser Aspekt wurde von der UODO moniert.

Nach den Schilderungen in der Mitteilung wurden von dem Unternehmen keine Tests durchgeführt, um die Sicherheitsmaßnahmen in Bezug auf die Übertragung von Daten zwischen Anwendungen, die mit der Betreuung von Käufern von Prepaid-Diensten zusammenhängen, zu überprüfen. Darüber hinaus wurde die mit dem Datenaustausch in diesen Systemen verbundene Schwachstelle von einer unbefugten Person genutzt, um Daten von einigen Kunden des Unternehmens abzuziehen.

Zudem führte das Unternehmen keine regelmäßigen und umfassenden Tests und Bewertungen der Effektivität der angewandten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der verarbeiteten Daten durch. Diesbezügliche Aktivitäten wurden nur bei Verdacht auf eine Schwachstelle oder im Zusammenhang mit organisatorischen Änderungen durchgeführt.

Diese organisatorische Ausgestaltung des Prüfprozesses der Sicherheitsmaßnahmen bewertete die Behörde als ungenügend. Der Vorwurf der Behörde richtet sich hier also vor allem auf eine ungenügende organisatorische Ausgestaltung des Datenschutzmanagement.

Für Unternehmen ergeben sich aus den oben genannten Vorschriften also nicht nur einmalige Pflichten zur Umsetzung von Sicherheitsmaßnahmen. Erforderlich ist auch die Einführung und Umsetzung eines Prozesses zur regelmäßigen Validierung der Maßnahmen. Dieser Prozess darf zudem nicht nur dann in Gang gesetzt werden, wenn „etwas passiert“, sondern muss regelmäßig erfolgen.

DSGVO-Bußgeld ohne Sachverhaltsermittlung?

Heute hat die Niedersächsische Datenschutzbehörde bekannt gegeben, dass sie ein Bußgeld in Höhe von über 10 Mio Euro gegen die notebooksbilliger.de AG verhängt hat. Inhaltlich soll es um eine länger andauernde Videoüberwachung von Mitarbeitern gehen, die nach Ansicht der Behörde unzulässig erfolgte.

Das Unternehmen hat sich ebenfalls öffentlich zu dem Bußgeld geäußert und wird gegen den Bescheid vorgehen.

Ich möchte mich hier zu diesem konkreten Verfahren gar nicht äußern. Wir werden (sollte die LfD den Bescheid nicht aufheben) wohl sicher noch eine gerichtliche Entscheidung in dieser Sache erleben.

Auf welchen praxisrelevanten Aspekt ich hinweisen möchte, ist der Vorwurf von notebooksbilliger.de an die LfD, dass die Behörde nicht selbst vor Ort war und die Kamerasysteme in Augenschein genommen hat. Auf der Webseite des Unternehmens heißt es:

Zu keinem Zeitpunkt war das Videosystem darauf ausgerichtet, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Das von der Datenschutzbeauftragten suggerierte Klima der Furcht ist eine haltlose Unterstellung und gefährdet unseren Ruf.

Außerdem hat trotz mehrmaliger Einladung durch NBB kein Mitarbeiter der Behörde in den Lagern oder Versandzentren des Unternehmens mit Mitarbeitern gesprochen. Es wurde sich also weder ein Bild von den Kameras gemacht noch über Arbeitsprozesse und die Unternehmenskultur informiert“.

Untersuchungsgrundsatz nach VwVfG

Im Kern steht hier also der Vorwurf im Raum, dass die Aufsichtsbehörde ihre Pflicht zu Ermittlung des entscheidungserheblichen Sachverhalts (Untersuchungsgrundsatz, § 24 VwVfG) verletzt hat. Diese verwaltungsrechtliche Anforderung entstammt nicht dem Datenschutzrecht, aber ist selbstverständlich von den Datenschutzbehörden zu beachten. Daher ist dieser Aspekt (des möglicherweise anstehenden gerichtlichen Verfahrens) auch generell für Unternehmen von Bedeutung, wenn sie sich einer Untersuchung durch Datenschutzbehörden ausgesetzt sehen.

Es wird davon ausgegangen, dass die Ermittlung des entscheidungserheblichen Sachverhalts eine originäre Pflicht der zuständigen Behörde ist. Hierzu kann sie sich auch der Hilfe Dritter bedienen.

Speziell datenschutzrechtlich sieht die DSGVO eine Befugnis der Datenschutzbehörden vor, die mit der Pflicht zur Sachverhaltsermittlung korreliert. Nach Art. 58 Abs. 1 lit. f DSGVO ist die Datenschutzbehörde etwa befugt, nach dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. Diese Befugnis dient gerade dazu, eine Prüfung der Einhaltung der DSGVO vornehmen zu können.

Folge bei unterbliebener Ermittlung

Der Vorwurf des Unternehmens lautet hier, dass die Behörde nicht vor Ort war, um die Kameraanlage zu prüfen. Nun könnte man evtl. argumentieren, dass eine Inaugenscheinnahme nicht zwingend erforderlich ist, wenn man stattdessen Kamerapläne und weitere Beschreibungen oder Fotos erhält. Gerade bei dem Einsatz von Kameras erscheint meines Erachtens aber der persönliche Eindruck vor Ort durchaus von Relevanz zu sein. Nicht umsonst gibt es ja viele Urteile, die allein die Wirkung von Kameraattrappen ausreichen lassen, um eine Verletzung von Persönlichkeitsrechten anzunehmen.

Geht man davon aus, dass die Behörde den Untersuchungsgrundsatz aus § 24 VwVfG verletzt hat, muss man auf der Rechtsfolgenseite trennen.

Per se ist die mangelhafte Sachverhaltsermittlung nicht selbstständig anfechtbar, sondern nur bei einem Vorgehen gegen die Sachentscheidung (§ 44a VwGO).

Bei fehlender oder mangelhafter Aufklärung des Sachverhalts liegt ein Verfahrensfehler in Bezug auf den jeweiligen Verwaltungsakt vor, der aber „nur“ zu einer formellen Rechtswidrigkeit führt. Eine Aufhebung kommt dann nur unter den gesteigerten Voraussetzungen des § 46 VwVfG in Betracht.

Aber, und dies ist für die materielle Rechtmäßigkeit der Entscheidung relevant: wenn der Sachverhalt mangelhaft ermittelt ist, kann sich dies bei einer Ermessensentscheidung auf die materielle Rechtmäßigkeit des Verwaltungsaktes auswirken. Aber: ein Ermessensfehler liegt grunsätzlich erst dann vor, wenn die Behörde tatsächlich vorhandene entscheidungserhebliche Gesichtspunkte außer acht gelassen oder falsch gewichtet hat.

Eine Entscheidung aus dem Datenschutzrecht (wenn auch noch zum BDSF aF) gibt es zu diesem Thema etwa vom VG Gelsenkirchen (Beschl. v. 14.10.2013 – 17 L 304/13). Dort wurde (im Eilverfahren) gegen einen Bescheid der Datenschutzbehörde NRW vorgegangen. Aus der Begründung des Gerichts:

Es ist anerkannt, dass die rechtsfehlerfreie Ermessensausübung als Grundlage einer Entscheidung die zutreffende und vollständige Sachverhaltsermittlung voraussetzt. Denn die Verwaltung kann ihren Entscheidungsfreiraum nur sachgerecht nutzen, wenn sie den wesentlichen Sachverhalt kennt“.

Und weiter:
Ermessensfehlerhaft sind daher Entscheidungen, wenn die Behörde von unzutreffenden tatsächlichen Voraussetzungen oder einer unvollständigen Sachverhaltsvorstellung ausgeht“.

In diesem Verfahren gab das Gericht dem Antragsteller recht und erkannte den Bescheid der Datenschutzbehörde bei summarischer Prüfung als materiell rechtswidrig an. Wegen Verstoßes gegen § 24 VwVfG und dessen Auswirkung auf die Ermessenentscheidung der Behörde.

Gemessen hieran begründen bereits die vorstehend angeführten Unklarheiten hinsichtlich des rechtlich relevanten Sachverhalts die Ermessensfehlerhaftigkeit des angefochtenen Bescheides“.

Auch die Verhängung eines Bußgeldes nach Art. 59 Abs. 2 lit. i, 83 DSGVO steht im Ermessen der Datenschutzbehörde (vgl. etwa VG Ansbach, Urt. v. 16.3.2020 – AN 14 K 19.00464).

Fazit

Sollte sich in einem gerichtlichen Verfahren wirklich herausstellen, dass hier der Untersuchungsgrundsatz nicht beachtet wurde, bestehen also durchaus Chancen dafür, dass der Bescheid der Behörde wegen Ermessensfehlerhaftigkeit aufgehoben wird. Unternehmen sollten diesen, zunächst evtl. rein förmlich anmutenden Aspekt, daher stets im Rahmen von behördlichen Verfahren beachten.  

Generalanwalt am EuGH: Rechtsgrundlage für die Erlangung von IP-Adressen zur Rechteverfolgung im Internet

Am 17.12.2020 hat der Generalanwalt am EuGH (GA) Maciej Szpunar in der Rechtssache C‑597/19 seine Schlussanträge vorgelegt.

In dem Verfahren geht es um die Klage einer Lizenzinhaberin aus Zypern (Mircom), die erotische Filme öffentlich wiedergeben darf. Gleichzeitig ist Mircom auch mit der Verfolgung unzulässiger öffentlicher Wiedergaben in Peer-to-Peer-Netz beauftragt.

Mircom erhob in Antwerpen Klage, mit der sie u. a. beantragte, den Internetzugangsanbieter Telenet aufzugeben, die Daten zur Identifizierung ihrer Kunden vorzulegen, deren Internetanschlüsse dazu genutzt worden seien, in einem Peer-to-Peer-Netz mittels des BitTorrent-Protokolls Filme aus dem Repertoire von Mircom zu teilen. Die IP-Adressen dieser Verbindungen wurden für Mircom von der Media Protector GmbH mittels einer speziellen Software erhoben.

Zunächst befasst sich der GA kurz mit der Frage, ob eine IP-Adresse ein personenbezogenes Datum darstellt. Mit Verweis auf das EuGH-Urteil in der Sache Breyer (C‑582/14) bejaht dies der GA, wenn Verantwortliche über ein gesetzliches Mittel zur Identifizierung der Inhaber von Internetanschlüssen verfügen.

Sodann geht es in den Schlussanträgen um die Frage der Zulässigkeit des Umgangs mit den IP-Adressen und die Rechtsgrundlage hierfür. Das vorlegende Gericht möchte wissen, ob Art. 6 Abs. 1 lit. f DSGVO dahin auszulegen ist, dass die Speicherung der IP-Adressen der Personen, deren Internetanschlüsse für das Teilen geschützter Werke in Peer-to-Peer-Netzen verwendet wurden, wie die von Media Protector für Mircom vorgenommene, eine rechtmäßige Verarbeitung personenbezogener Daten darstellt. Es geht also um die Erhebung und Verwendung der IP-Adressen zur Verfolgung von Rechtsverletzungen.

Der Erlaubnistatbestand erfordert kumulativ:

(1) Vorliegen eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden

(2) Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses

(3) kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person

Zu (1):

Nach Ansicht des GA hängt das berechtigte Interesse im konkreten Fall auch davon ab, ob der Verantwortliche hier befugt ist, einen Antrag auf Offenlegung der IP-Adresse nach der Richtlinie 2004/48 zu stellen. Sollte dies nicht der Fall sein, bestünde auch kein berechtigtes Interesse. Oder allgemeiner: kein berechtigtes Interesse für eine Datenverarbeitung, die gegen gesetzliche Vorgaben verstößt.

Etwas allgemeiner formuliert der GA zudem, dass die ordnungsgemäße Beitreibung von Forderungen durch einen Zessionar dieser Forderungen ein berechtigtes Interesse darstellen kann, das die Verarbeitung personenbezogener Daten rechtfertigt. Damit eine solche Verarbeitung gerechtfertigt ist, muss der Zessionar jedoch anschließend diese Daten nutzen können, um die Schuldner der erworbenen Forderungen zu ermitteln. Hier kommt im konkreten Fall dann wieder die Frage ins Spiel, ob der Antrag auf Auskunft über die Namen der Inhaber der Internetanschlüsse, die durch die fraglichen IP-Adressen identifiziert wurden, zulässig ist.

Zu (2):

Bei dem Merkmal der „Erforderlichkeit“ hat der GA kein Bedenken. Die Verwendung der IP-Adresse ist seiner Ansicht nach erforderlich, um das berechtigte Interesse zu verwirklichen. Denn die Kommunikation in einem Netz von Rechnern erfolgt zwangsläufig über IP-Adressen, die verschiedenen Routern zugeordnet sind.

Jede Feststellung einer Handlung, mit der eine Datei über ein solches Netz geteilt wird, und damit einer Verletzung von Urheberrechten und verwandten Schutzrechten, wenn die Datei ein geschütztes Werk enthält und das Teilen ohne Zustimmung der Inhaber dieser Rechte geschieht, erfolgt zwangsläufig über die Identifizierung und Speicherung der IP-Adresse, von der aus diese Handlung vorgenommen wurde“.

Interessant an der Begründung des GA ist, dass es für die „Erforderlichkeit“ ausreicht, dass der Inhaber des Anschlusses nicht unbedingt auch der Verletzter sein muss (der die Handlung begangen hat). Doch ist dieser nach Ansicht des GA in der Lage, Auskunft über die verantwortliche Person zu erteilen, oder kann für die über seinen Internetanschluss begangenen Handlungen selbst haftbar gemacht werden. Auch dies reicht also für eine datenschutzrechtliche Erforderlichkeit aus.

Zu (3):

Hinsichtlich der Abwägung des Interesses mit den Grundrechten und ‑freiheiten der betroffenen Personen, verweist der GA darauf, dass es sich um das Vorliegen etwaiger besonderer Umstände des Einzelfalls handelt. Es ist Sache des zuständigen Gerichts, zu prüfen, ob solche besonderen Umstände vorliegen.