Berliner Datenschutzbehörde: Risiken bei Betroffenenanfragen an no-reply Adressen und in Ticket- oder CRM-Systemen

In ihrem aktuellen Jahresbericht 2020 (pdf) bespricht die Datenschutzbehörde aus Berlin einen sehr praxisrelevanten Aspekt der Erfüllung von Betroffenenanfragen, etwa in Bezug auf Löschung oder Auskunft (ab S. 164). Es geht um die Frage, ob Verantwortliche Anfragen auf jeglichem Kommunikationskanal beachten und bearbeiten müssen oder ob man Betroffene auf einen speziellen Datenschutzkontakt verweisen darf?

Die Ansicht der Berliner Behörde ist sehr klar: Verantwortliche müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

No-reply Adressen – ein DSGVO-Problem

Hauptargument der Behörde ist die Vorgabe des Art. 12 Abs. 2 DSGVO. Danach ist der Verantwortliche verpflichtet, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 zu erleichtern. Zudem verweist die Behörde auf die allgemeine Verantwortlichkeitsvorschrift des Art. 24 DSGVO. Die Behörde geht davon aus, dass Verantwortliche durch technisch-organisatorische Maßnahmen sicherstellen müsse,

dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“

Speziell in Bezug auf sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, geht die Behörde davon aus, dass jedenfalls dann ein datenschutzrechtliches Problem bestehe,

wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden“.

Interessant hierbei ist, dass die Behörde also nicht verlangt, dass die Anfrage tatsächlich bearbeitet wird, wenn zumindest in der E-Mail an den Betroffenen deutlich gemacht wird, an welche Adresse sie sich bei Datenschutzfragen wenden können. Zumindest verstehe ich die Aussage der Behörde oben so, quasi als Minimum-Anforderung.

Genau im Satz danach wird die Ansicht der Behörde dann aber doch wieder scheinbar strenger:

„Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen“.

Meiner Ansicht nach wiedersprechen sich die beiden zitierten Ansichten jedoch nicht unbedingt. Die Behörde verlangt grundsätzlich, das Betroffenenanfragen stets bearbeitet werden. Alles andere wäre ja auch überraschend. Geht es um den speziellen Fall einer no-reply Adresse, die deutlich als solche erkennbar ist und in der eine Alternative für Datenschutzanfragen angegeben wird, scheint die Behörde aber zumindest die von der DSGVO geforderte „Erleichterung“ als erfüllt anzusehen. Ich verstehe die Behörde so, dass es vor allem problematisch ist, wenn Betroffene nicht erkennen können, dass der von ihnen gewählte Kanal nicht bearbeitet wird und ihnen auch keine Alternative deutlich erkennbar angeboten wird.

Ticket- und CRM-Systeme

Interessant sind dann auch noch die Ansichten der Behörde zur Bearbeitung von Betroffenenanfragen in Ticket- oder CRM-Systemen, wie sie in der Praxis fast überall zum Einsatz kommen.

Die Behörde verweist darauf, dass bei der Nutzung von Ticket- oder CRM-Systemen darauf zu achten sei,

dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können“.

Bedeutet etwa bei Auskunftsanfragen, dass auch Personen, die keine Kunden sind, eine Negativauskunft zu erteilen ist.

Zudem berichtet die Behörde von einem Fall, in dem im Verlauf der Kommunikation zwischen dem Kundenservice und einer betroffenen Person irgendwann auch das Datenschutzteam in Kopie genommen wird, das verwendete CRM-System aber auf solche Konstellationen nicht eingestellt sei. In diesem Fall wurde dann wohl eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kundenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, wusste aber auch nicht um die Problematik der fehlenden automatischen Weiterleitung an das Datenschutzteam.

Insgesamt zeigt der Bericht der Datenschutzbehörde, dass Anfragen von Betroffenen immer Ernst genommen und intern schnell der zuständigen Abteilung weitergeleitet werden müssen. Wichtig hierbei ist auch eine entsprechende Sensibilisierung der Mitarbeiter, insb. Über Schulungen, interne FAQ-Seiten oder ähnliches.

Cookie-Einwilligungen nach dem TTDSG: Bald nur noch Buttons mit „Einwilligen“ und „Ablehnen“ zulässig?

Aktuell wird im Bundestag der Entwurf für ein Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG, BT Drs 19/27441, PDF) diskutiert. Bekanntlich sollen im TTDSG datenschutzrechtliche Regelungen aus dem TKG und dem TMG zusammengeführt werden. Zudem soll es in § 24 TTDSG eine neue Vorgabe zur Einwilligung beim Einsatz von Cookies und auch anderen Tracking-Technologien geben.

In diesem Zusammenhang ist die Stellungnahme des Bundesrats vom 26.3.2021 (BR Drs 163/21, PDF) ganz interessant.

In Ziff. 4 d) bittet der Bundesrat darum, dass im weiteren Gesetzgebungsverfahren im TTDSG eine Ermächtigungsgrundlage geschaffen wird

um damit für Nutzerinnen und Nutzer eine einfachere und standardisierte Handhabung in Bezug  auf die Ausgestaltung ihrer Einwilligung nach § 24 TTDSG-E zu ermöglichen.“

Diese Forderung klingt zunächst recht unverfänglich. Zumal ich mich frage, welche Art von „Ermächtigungsgrundlage“ der Bundesrat hier anspricht. Aus Sicht des Bundesrates mag es evtl. um eine Ermächtigung für die Bundesländer gehen; was aber im Ergebnis wieder die Gefahr unterschiedlicher Ansätze in der Praxis birgt.

In der Begründung zu der Forderung erläutert der Bundesrat:

Mit der zunehmenden Umsetzung dieser Regelung wird der Besuch von Internetseiten für Endnutzerinnen und Endnutzer jedoch zunehmend beschwerlicher. Um eine für Endnutzerinnen und Endnutzer einfache und schnelle Handhabe zu ermöglichen, erscheint eine einfache Gestaltung beispielsweise mithilfe von nur zwei Buttons („Einwilligen“, „Ablehnen“) zielführend.“

Die Begründung referenziert hier auf die in der Praxis zu beobachtenden Cookie-Banner bzw. Consent-Management-Tools, die von Nutzern die Wahl hinsichtlich des Einsatzes von Cookies und anderer Tracker verlangen. Dies scheint aus Sicht des Bundesrates für die Nutzer kaum noch verständlich und evtl. auch zu beschwerlich zu sein. Als Lösung („einfache und schnelle Handhabe“) schlägt der Bundesrat daher wohl eine für Unternehmen verpflichtende Gestaltung des Frontends vor. Es soll nur zwei Buttons geben: „Einwilligen“, „Ablehnen“.

Eine solch spezifische Vorgabe existiert in der ePrivacy Richtlinie und auch in der DSGVO derzeit nicht.

In der Praxis sind die Einwilligungsabfragen auf Webseiten und Apps sehr unterschiedlich gestaltet. Viele der aktuell verwendeten Pop-ups und Cookie-Banner würden die hier angedachte verpflichtende Vorgabe zur Darstellung bei der Einwilligungsabfrage wohl nicht erfüllen.

Daneben regt der Bundesrat übrigens auch die Schaffung der Möglichkeit an, dass Einwilligungen über Browsereinstellungen erteilt werden können. Neu ist diese Idee nicht. So sieht bereits ErwG 66 der RL 2009/136/ EG (mit der Art. 5 Abs. 3 RL 2002/58/EG angepasst wurde) vor: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“. Ergänzend schlägt der Bundesrat aber vor, dass solche Einstellungen im Browser jedoch  Einzeleinwilligungen als Ausnahme berücksichtigen müssten. Also, wenn ein Nutzer zB das Tracking ablehnt, für bestimmte Seiten aber doch zustimmen möchte. Dann dürfe, nach Ansicht des Bundesrats, die Browsereinstellung dies nicht unterbinden. Ganz ähnliche Themen werden im Übrigen aktuell im Rahmen der Verhandlungen zur ePrivacy Verordnung diskutiert.

Online-Terminvereinbarung in Arztpraxen – Anforderungen des ULD

In seinem aktuellen Tätigkeitsbericht 2021 stellt das ULD Schleswig-Holstein u.a. auch seine Ansicht zu den datenschutzrechtlichen Anforderungen beim Einsatz von Terminbuchungssoftware bzw. -dienstleistern im medizinischen Bereich vor (ab S. 52).

Zum Ersten stört sich das ULD daran, dass zwar eine Terminbuchung auf einer solchen Plattform verschlüsselt möglich ist, jedoch die Antwort oft unverschlüsselt erfolgt. Ich vermute, dass ULD meint hier vor allem eine auf Webseiten eingesetzte TLS-Verschlüsselung bei der Übertragung der Daten. Jedoch merkt das ULD kritisch an, dass die Antwort per unverschlüsselter E-Mail an Patienten erfolge. Nach Ansicht des ULD genügt dies wohl nicht den Anforderungen des Art. 32 DSGVO (richtig deutlich wird es im Bericht aber nicht).

Praktisch relevant für Arztpraxen und andere Institutionen im Gesundheitsbereich ist der Hinweis des ULD, dass die „Verantwortung“ für die sichere Übermittlung der Arzt trage.

„Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass Unbefugte keine Kenntnis davon erhalten, wann wer warum in der Praxis einen Termin hat.“

An dieser Feststellung ist sicher richtig, dass der Arzt oder etwa ein Krankenhaus als Verantwortlicher nach Art. 32 DSGVO verpflichtet ist. Doch muss man auch darauf hinweisen, dass ein eingesetzter Auftragsverarbeiter (z.B. der Dienstleister für die Buchung von Online-Terminen) originäre Pflichten nach Art. 32 DSGVO bzgl. der Sicherheit der Verarbeitung hat. In der Konsequenz bedeutet dies nach Art. 82 Abs. 2 S. 2 DSGVO auch, dass ein Auftragsverarbeiter gegenüber Betroffenen selbst für Verstöße auf Schadensersatz haften kann. Natürlich könnte aber etwa das ULD dennoch überlegen, in einem solchen Fall ein Bußgeld gegen den Verantwortlichen zu verhängen, etwa mit der Begründung, er habe den Dienstleister nicht ordentlich ausgewählt oder die technischen Maßnahmen des Dienstleisters akzeptiert.

Zum Zweiten geht das ULD davon aus, dass der Einsatz solcher externen Dienstleister für Terminbuchungen „regelhaft“ eine Auftragsverarbeitung darstellen wird. Und hieraus ergeben sich für das ULD zwei Anforderungen, die ich so jedoch aus der DSGVO nicht herauslese und hinsichtlich derer man daher zumindest auch anderer Ansicht sein kann.

Zum einen verlangt das ULD tatsächlich, dass „ein schriftlicher Auftragsverarbeitungsvertrag abgeschlossen wurde“. Nur dann sei die Auftragsverarbeitung zulässig. Diese Ansicht widerspricht klar den Vorgaben der DSGVO, konkret Art. 28 Abs. 9 DSGVO. Danach ist der Vertrag zwar schriftlich abzufassen, was aber auch in einem elektronischen Format erfolgen kann. Bedeutet (auch nach Ansicht anderer Behörden): Auftragsverarbeitungsverträge können auch elektronisch (zB per PDF und E-Mail Versand) abgeschlossen werden.

Zum anderen verlangt das ULD, dass die bei dem Dienstleister tätigen Personen „auf das Datengeheimnis verpflichtet“ wurden. Zumindest formell muss diesbezüglich angemerkt werden, dass die DSGVO den Begriff „Datengeheimnis“ nicht kennt. Nach Art. 28 Abs. 3 lit. b DSGVO müssen bei dem Dienstleister tätige Personen auf Vertraulichkeit verpflichtet worden sein. Jedoch kann man festhalten, dass sich der Inhalt des früheren Datengeheimnisses nach § 5 BDSG aF, also das Verbot der unrechtmäßigen Verarbeitung, in verschiedenen Regelungen der DSGVO wiederfindet. Mehr Informationen und Empfehlungen hierzu, hatte ich einmal in den BVD News niedergeschrieben (PDF, S. 16). Das in § 53 BDSG erwähnte „Datengeheimnis“ spielt hier keine Rolle, da die Vorschrift eine Umsetzung der JIRL darstellt und nicht in den Anwendungsbereich der DSGVO fällt.

Bundesdatenschutzbeauftragter zur Anonymisierung: Rechtsgrundlage und DSFA erforderlich

In seinem kürzlich veröffentlichten Tätigkeitsbericht (PDF), geht der BfDI auch auf den durch ihn initiierten Konsultationsprozess zum Thema der Anonymisierung von personenbezogenen Daten und damit zusammenhängenden datenschutzrechtlichen Anforderungen ein.

Wie wir wissen, lässt die DSGVO den Rechtsanwender leider nur mit wenigen Informationen zur Anonymisierung zurück. In ErwG 26 DSGVO wird erwähnt, dass die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Mehr gibt die DSGVO leider nicht her. Daher war der durch den BfDI angestoßene Prozess zu begrüßen.

Nachfolgend möchte ich einige praxisrelevante Ansichten des BfDI darstellen.

Zum einen spricht sich die Aufsichtsbehörde klar dafür aus, dass jede Anonymisierung eine Verarbeitung personenbezogener Daten darstellt

„und bedarf deshalb einer Rechtsgrundlage“.

S. 72

Interessant sind die Aussagen des BfDI zu den Rechtsgrundlagen. Zwar kommt grundsätzlich jede der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände in Betracht. Nach Ansicht des BfDI hätten aber vor allem die Einwilligung (!) und die Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO in Verbindung mit der ursprünglichen Rechtsgrundlage Relevanz. Diese Ansicht hat mich doch etwas erstaunt. Zum einen würde ich in der Praxis eigentlich immer auf die Einwilligung verzichten, wenn es möglich ist. Warum? Die zum Teil sehr formellen Anforderungen sind (je nach Auslegung) wahnsinnig hoch. Meiner Erfahrung nach kann eine Anonymisierung zB auch sehr gut auf Art. 6 Abs. 1 lit. c DSGVO oder eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO gestützt werden.

Zum anderen war ich (positiv) von der Ansicht des BfDI überrascht, dass er eine zweckändernde Verarbeitung auf die ursprüngliche Rechtsgrundlage stützt. Das ist ein durchaus diskutiertes Thema in der Literatur und auch bei den Behörden; u.a. mit dem Argument, dass der entsprechende Hinwies in ErwG 50 DSGVO ein Versehen (im Sinne eines Restes der Verhandlungen) sei. Der BfDI geht aber genau auf diesen ErwG ein. Bedeutet: diese Ansicht des BfDI gilt nicht nur exklusiv für eine Anonymisierung und datenverarbeitende Stellen sollten diese Position im Hinterkopf behalten.

Daneben ist meines Erachtens die Ansicht des BfDI von besonderer Praxisrelevanz, dass vor einer Anonymisierung

„grundsätzlich eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchzuführen“

S. 72

ist. Für Unternehmen bedeutet dies vor allem eines: Aufwand.

Ein Beispiel, welches sicher des Öfteren zutrifft: Software- oder sonstige Produkthersteller möchten personenbezogene Daten anonymisieren, bevor sie diese für Zwecke der statistischen Analyse zur Fehlersuche oder Produktverbesserung nutzen. Der BfDI begründet seine Ansicht u.a. damit, dass bei einer Anonymisierung der Verantwortliche regelmäßig davon ausgehen müsse, dass voraussichtlich ein hohes Risiko besteht. Das liege daran, dass in der Regel eine „Verarbeitung in großem Umfang“ stattfindet und die jeweilige Anonymisierungstechnik dem Begriff der neuen Technologien unterfällt. Damit verweist die Behörde wohl auf die durch den EDSA aufgestellten Kriterien zum Erfordernis einer DSFA (nach Ansicht der Behörden muss bei Erfüllung von zwei oder mehr Kriterien eine DSFA durchgeführt werden). Gesetzlich zwingend vorgesehen, ist die DSFA im Fall der Anonymisierung freilich nicht. Es ist etwa in der DSGVO schon gar nicht definiert, wann eine Verarbeitung „in großem Umfang“ vorliegt. Daher sollten Unternehmen stets für die von ihnen geplante Form der Anonymisierung prüfen, ob wirklich eine DSFA erforderlich ist. Hierfür bietet sich eine sog. Schwellwertanalyse an.

Urteil: DSGVO-Rechenschaftspflicht entbindet Aufsichtsbehörde nicht von eigener Prüfung und Sachverhaltsermittlung

Eine Neuerung der DSGVO ist die bekannte Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO, obwohl man auch ehrlich zugeben muss, dass niemand so genau weiß, wie diese in der Praxis konkret umzusetzen ist. Möglich ist sicher eine umfassende Dokumentation und die Einführung eines Datenschutz-Managements. Die Vorschrift selbst lässt aber großen Spielraum für andere Spielarten des Nachweises.

Zuweilen wird auch darüber diskutiert, ob denn mit der Rechenschaftspflicht eine Art Beweislastumkehr für Verantwortliche einhergeht. Dass diese also nachweisen müssten, dass keine Verletzung der DSGVO vorliegt. Insbesondere aus Behördensicht wäre eine solche Auslegung des Art. 5 Abs. 2 DSGVO natürlich immens vorteilhaft, da die Aufsichtsbehörde „nur“ die Nachweise anfordern müsste, aus denen die DSGVO-Compliance hervorgehen müsste.

In einem Urteil aus Dezember 2020 hat sich das Verwaltungsgericht Mainz (Urt. v. 17.12.2020, 1 K 778/19.MZ) zumindest kurz mit dieser Frage beschäftigt und eine für datenverarbeitende Unternehmen eher positive Position eingenommen. Das Urteil wurde in der Datenschutz-Community v.a. wegen des materiellen Kerns des Rechtsstreits, nämlich zur Frage einer Verschlüsselungspflicht bei E-Mails, diskutiert. Ich möchte hier aber auf den, meines Erachtens wirklich sehr relevanten Aspekt des Umfangs der Rechenschaftspflicht und eine daneben weiter existierende Ermittlungspflicht der Datenschutzbehörden eingehen.  

In dem Verfahren erteilte die Datenschutzbehörde Rheinland-Pfalz dem Kläger eine Verwarnung, weil dieser personenbezogene Daten ohne ein dem Risiko angemessenes Schutzniveau verarbeitet habe. Zur Begründung führte die Behörde aus, dass ein Verstoß gegen Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO vorliege. Der Versand per unverschlüsselter E-Mail biete keine ausreichende Sicherheit für Nachrichten, die sensible Informationen enthielten.

Hiergegen klagte der betroffene Rechtsanwalt und das Gericht hob den Bescheid der Datenschutzbehörde auf.

Das VG stellt fest, dass nicht davon auszugehen gewesen sei, dass es sich jedenfalls um derart schutzbedürftige Datenverarbeitungsvorgänge handelte, bei denen für die tatsächlich erfolgte Art der Versendung im Einzelfall kein angemessenes Schutzniveau gewährleistet war.

Und nun eine erste interessante Aussage: „Allein die pauschale subjektive Einschätzung des Beklagten im Bescheid vom 14. August 2019, dass es sich um „sensible“ Informationen handle, kann hier nicht den seinerseits angenommenen erhöhten Schutzbedarf rechtfertigen“.

Bedeutet: nur weil die Behörde davon ausgeht, dass es sich um besonders schützenswerte Daten handelt, muss dies objektiv betrachtet nicht wirklich so sein. Dies bezog sich hier konkret auf die Sensibilität von Daten (und das erforderliche Schutzniveau), kann aber meines Erachtens auch für andere Tatbestandsmerkmal in der DSGVO angewendet werden.

Das VG sieht durchaus, dass es die Rechenschaftspflicht gibt. So ist der Kläger gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung der Voraussetzungen des Art. 32 Abs. 1 DSGVO nachweispflichtig. Und dann kommt die zweite wichtige Aussage:

allerdings entbindet dies die beklagte Aufsichtsbehörde nicht davon, ihre Auffassung – auf Grundlage der (nachgewiesenen) Angaben des Verantwortlichen und sonstiger Ermittlungen – nachvollziehbar darzulegen, warum im Einzelfall das angemessene Schutzniveau durch die entsprechenden Maßnahmen nicht gewahrt war. Es hätte zudem für den Beklagten im Rahmen der Amtsermittlung naheliegen müssen, das entsprechende Schreiben des Klägers schon im Verwaltungsverfahren anzufordern“.

Das Gericht stellt zum einen fest, dass allein die Rechenschaftspflicht nicht dazu führt, dass die Behörde auf eigene Ermittlungen verzichten darf, um ihre rechtliche Position nachvollziehbar begründen zu können. Dies bedeutet, dass mithin Nachweise aus der Rechenschaftspflicht natürlich verwendet werden können. Dennoch aber auch eigene Ermittlungen bzw. Gründe für die Behördenansicht darzulegen sind.

Und zum anderen verweist das Gericht auf den verwaltungsrechtlichen Amtsermittlungsgrundsatz, der ebenfalls unabhängig von der Rechenschaftspflicht besteht.

Insgesamt also aus Sicht der datenverarbeitenden Unternehmen eine interessante Entscheidung, die im Grunde zeigt, dass Behördenansichten erst einmal auch „nur“ Ansichten sind, die aber auch nachvollziehbar begründet werden müssen. Für verwaltungsrechtliche Auseinandersetzungen ist dies einer von mehreren wichtigen Aspekten, auf die Unternehmen bei einer Verteidigung achten sollten.

Betriebsrat als datenschutzrechtlich Verantwortlicher – gesetzliche Klarstellung wirklich vom Tisch?

Ende 2020 hatte das Bundesministerium für Arbeit und Soziales (BMAS) bekanntlich den Referentenentwurf für ein Betriebsrätestärkungsgesetz veröffentlicht (PDF). In einem neuen § 79a BetrVG sollte gesetzlich klargestellt werden, dass datenschutzrechtlich der Arbeitgeber Verantwortlicher ist, wenn der Betriebsrat personenbezogene Daten verarbeitet (hierzu mein Blogbeitrag).

Der Entwurf wurde von der Bundesregierung aber (noch) nicht offiziell beschlossen und erst einmal zurückgezogen. War es das also, mit einer Regelung zur Frage der Verantwortlichkeit der Personalvertretung?

Vielleicht nicht. Parallel zu diesem Vorschlag für den privatwirtschaftlichen Bereich, hat nämlich das Bundesinnenministerium eine Schwesterregelung für den öffentlichen Bereich erarbeitet und das „Gesetzes zur Novellierung des Bundespersonalvertretungsgesetzes“ (PDF) wurde von der Bundesregierung verabschiedet und ist bereits im Gesetzgebungsverfahren im Bundestag. Angedacht ist in dem Gesetz auch eine Ergänzung des Bundespersonalvertretungsgesetzes (BPersVG) um einen neuen § 69 BPersVG („Datenschutz“).

Bei der Verarbeitung personenbezogener Daten hat der Personalrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Personalrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist die Dienststelle der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

Wem diese Regelung bekannt vorkommt, der darf gerne einen Blick in den ursprünglich geplanten § 79a BetrVG werfen. Im Grunde handelt es sich um eine inhaltsgleiche Kopie.

Meine in dem oben verlinkten Beitrag geäußerte Kritik zu § 79a BetrVG würde ich genauso auf den geplanten § 69 BPersVG übertragen. Nur ein Beispiel. In der Begründung des Gesetzentwurfes heißt es (S. 111): „Schließlich hat der Personalrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Artikel 24 und 32 der Datenschutz-Grundverordnung sicherzustellen“. Warum soll der Personalrat „eigenverantwortlich“ die Umsetzung von Sicherheitsmaßnahmen sicherstellen, wenn er doch für die Umsetzung der Art. 24 und 32 DSGVO nach der Idee des Entwurfs gar nicht Verantwortlicher ist? Oder anders gefragt: wenn die Dienststelle datenschutzrechtlich Verantwortlicher ist, obliegt ihr die Einhaltung der Pflichten der DSGVO, auch innerhalb der organisationsinternen Einrichtung „Personalrat“. Nach dem Entwurf soll der Personalrat aber „eigenverantwortlich“ agieren. Wie passt das zusammen?

Spannend ist nun die Frage, was passiert, wenn das Gesetz in dieser Form in Kraft tritt (bzw., wie sich dann Interpretationen entwickeln).

Erste Möglichkeit: Regelung zur Verantwortlichkeit gilt wirklich nur für den Personalrat, also den öffentlichen Bereich; keine Auswirkung auf den privatwirtschaftlichen Bereich und Betriebsrat. Argument: Vorschlag des BMAS in dem Bereich ist ja gescheitert, obwohl man es regeln wollte.

Zweite Möglichkeit: Regelung der Verantwortlichkeit muss man so auch im privatwirtschaftlichen Bereich annehmen; es würde ja keinen Sinn machen, das unterschiedlich zu behandeln, zumal die Gesetzesbegrünung fast identisch ist.

Ich bin gespannt, wie sich das Thema entwickelt.

Französische Datenschutzbehörde: Rechtliche Anforderungen beim Einsatz von Chatbots

Die französische Datenschutzbehörde (CNIL) hat auf ihrer Webseite Hinweise zum datenschutzkonformen Einsatz von Chatbots auf Webseiten oder in Apps veröffentlicht (Französisch).

Die Ansichten und Vorgaben der CNIL, finde ich erfreulich pragmatisch und gut umsetzbar. Nachfolgend eine kleine Zusammenfassung auf Grund einer inoffiziellen Übersetzung.

Einsatz von Cookies

Um einen Chatbot auf einer Webseite zu betreiben, werden häufig Cookies eingesetzt. Sei es, um den Chat seitenübergreifend anzeigen oder den Chatverlauf auch im Nachgang speichern zu können. Wie wir wissen, gelten bei dem Einsatz von Cookies per se die Vorgaben der RL 2002/58/EG, also Art. 5 Abs. 3. Soweit nachgelagert mit personenbezogenen Daten umgegangen wird, dürfte die DSGVO zu beachten sein.

Die CNIL verlangt für den Einsatz von Cookies bei dem Einsatz von Chatbots (meines Erachtens zurecht) nicht immer eine Einwilligung. Wenn Cookies vor Aktivierung durch den Besucher bzw. Nutzer gesetzt werden sollen, ist eine Einwilligung erforderlich.

Wenn aber das Cookie erst abgelegt wird, wenn der Benutzer den Chatbot aktiviert (z. B. durch Anklicken des zuvor angezeigten Konversationsfensters oder durch Anklicken einer Schaltfläche, die explizit das Öffnen des Chatbots auslöst), ist keine Einwilligung erforderlich. Denn dann greift die Ausnahme nach Art. 5 Abs. 3 S. 2 RL 2002/58/EG. Die Speicherung des Cookies ist dann „für die Bereitstellung eines Online-Kommunikationsdienstes auf ausdrücklichen Wunsch des Nutzers unbedingt erforderlich“ und bedarf nicht der Einwilligung.

Wie lange können die über den Chatbot gesammelten Daten aufbewahrt werden?

Im Grundsatz gilt, wie immer: die Daten müssen/dürfen so lange aufbewahrt werden, wie es für die Erreichung des festgelegten Zwecks der Verarbeitung erforderlich ist.

Die CNIL schlägt eine Differenzierung vor:

  • solche Fälle, in denen die Daten gelöscht werden sollten, sobald die Konversation beendet ist (wie im Fall eines Chatbots, der bei dem Abschluss eines Kaufvertrages unterstützt)
  • und Fälle, in denen der für die Datenverarbeitung Verantwortliche die Daten legitimerweise für einen längeren Zeitraum aufbewahren kann (z. B. für eine Reklamation über ein gekauftes Produkt, also z.B. für die Dauer der Gewährleistungsfristen).

Was tun bei der Erfassung sensibler Daten (z.B. Gesundheitsdaten)?

Sehr interessant ist die Ansicht der CNIL zu der Situation, wenn der Verantwortliche über den Chatbot besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) „aufgedrängt“ erhält, obwohl er diese gar nicht angefragt hat. Meines Erachtens kann die Auffassung der CNIL auch abstrahiert auf andere Fälle Anwendung finden (Bsp: Bewerbungsverfahren).

Sollten besondere Kategorien von Daten durch den Nutzer in dem Chatbot eingegeben werden, sind nach Ansicht der CNIL die Ausnahmevorschriften nach Art. 9 Abs. 2 DSGVO zu beachten. Wenn es um aktiv angefragte Daten geht (z. B. mit dem Chatbot eines Dienstes zur Unterstützung sexueller oder gesundheitsbezogener Minderheiten), kann etwa eine Einwilligung eingeholt werden oder die Verarbeitung darf auf Grundlage der Ausnahme nach Art. 9 Abs. 2 lit. g DSGVO erfolgen, wenn die Verarbeitung aus einem wichtigen Grund des öffentlichen Interesses erforderlich ist.

Sollte der Verantwortliche die sensiblen Daten jedoch nicht angefragt haben, so geht die CNIL davon aus, dass Verantwortliche nicht verpflichtet sind, die vorherige Einwilligung der Benutzer einzuholen. Eine aus meiner Sicht richtige Auffassung. Gleichzeitig verlangt die CNIL dann, dass der Verantwortliche aber intern Maßnahmen umsetzen muss, um die Risiken für die Rechte und Freiheiten des Einzelnen zu minimieren:

  • indem vor jeder Nutzung des Chatbots eine Warnung/Information angezeigt wird, die dazu auffordert, von der Kommunikation sensibler Daten abzusehen;
  • durch Einrichtung eines internen Systems zur sofortigen oder zumindest regelmäßigen Löschung, da die Aufbewahrung solcher sensiblen Daten nicht erforderlich ist.

Beide von der CNIL angedachten Maßnahmen halte ich für nachvollziehbar und praktisch auch gut umsetzbar.

Drittstaatentransfers: Deutsche Behörden planen Begutachtung der Rechtslage in den USA und Stichprobenprüfung bei Unternehmen

Kürzlich wurde das Protokoll der 100. Sitzung der DSK im Internet veröffentlicht (pdf).

Neben anderen praxisrelevanten Themen haben sich die deutschen Datenschutzbehörden in ihrer Sitzung Ende November 2020 auch mit Umsetzung der Vorgaben des EuGH aus dem Schrems —Urteil befasst (siehe Top 22).

So hat die Behörde aus Berlin vorgeschlagen, „hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen“. Wichtig ist der Behörde ein gemeinsames Vorgehen der Aufsichtsbehörden zur Umsetzung des Urteils. Laut dem Protokoll soll nun der DSK-Vorsitz ein Umlaufverfahren hinsichtlich der Beauftragung eines Gutachtens sowie dessen Finanzierung einzuleiten.

Die Initiative aus Berlin ist meines Erachtens durchaus praxisrelevant. Zum Teil wird ja sowohl dem EuGH als auch den Aufsichtsbehörden vorgehalten, sich nicht genauer mit der Rechtslage in den USA befasst zu haben. Dieses Argument kann auch bei der rechtlichen Beurteilung von Schutzmaßnahmen, die man ergänzend zu EU-Standarddatenschutzklauseln vereinbart, Bedeutung haben. Denn der Exporteur in der EU soll ja nach dem Urteil des EuGH (mit Unterstützung des Importeurs) beurteilen, wie sich die Rechtslage in dem jeweiligen Drittland in Bezug auf den Importeur und durch diesen verarbeitete Daten auswirkt.

Eventuell ist nun von Behördenseite angedacht, diese „Lücke“ zu schließen und, zumindest auf Behördenseite, eine Begutachtung der Rechtslage in den USA stets verfügbar zu haben. Für Unternehmen, die sich z.B. in einem Prüfverfahren mit der Behörde befinden, kann dies etwa auch dazu führen, dass sie sich gegen Aussagen aus dem Gutachten verteidigen bzw. diese entkräften müssen, wenn die Aufsichtsbehörde das Gutachten zur Grundlage ihrer Argumentation macht.

Wie beschrieben, soll aber nun erst einmal innerhalb der DSK abgefragt werden, ob die Behörden ein solches Gutachten in Auftrag geben möchten.  

In diesem Zusammenhang enthält das Protokoll einen weiteren wichtigen Hinweis: die Datenschutzbehörde aus Hamburg ergänzt in der Sitzung, „dass Stichproben mit Hilfe eines abgestimmten Fragebogens hinsichtlich der Umsetzung des Schrems II-Urteil bei Verantwortlichen durchgeführt werden sollen“. Die Aufsichtsbehörden solle einzeln über eine Teilnahme an dieser Abfrage entscheiden.

Nach meiner Kenntnis, liegt ein innerhalb der DSK abgestimmter Fragebogen zur Prüfung von Drittstaatentransfers aktuell noch nicht vor. Dies schließt freilich nicht aus, dass etwa die Behörde aus Hamburg, wie im Protokoll angekündigt, auch selbstständig entsprechende Prüfungen startet. Letzte Anmerkung dazu: die Prüfung soll bei „Verantwortlichen“ durchgeführt werden. Also wohl nicht bei Dienstleistern mit Sitz in der EU, die Daten in Drittländer übermitteln.  

Bundesregierung plant neue Dokumentationspflicht für Werbeeinwilligungen

In dem „Entwurf eines Gesetzes für faire Verbraucherverträge“ (BR Drs 18/21, PDF) vom 1.1.2021 schlägt die Bundesregierung in Artikel 3 die Schaffung eines neuen § 7a UWG vor. Es geht um die Einführung einer ausdrücklichen Aufbewahrungspflicht für Einwilligung im Bereich Telefonwerbung. In der Begründung wird u.a. auch mit den Vorgaben der DSGVO argumentiert.

Hier der Vorschlag:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Zuständige Behörde wäre hier die BNetzA.

Nach der Gesetzesbegründung (S. 8) sieht die Bundesregierung das Problem, dass in zivilrechtlichen Verfahren und auch nach Art. 7 Abs. 1 DSGVO der Werbende die Darlegungs- und Beweislast für das Vorliegen einer Einwilligung trage. Jedoch müsse im Ordnungswidrigkeitenverfahren zunächst die Behörde den Nachweis der Tatbestandsverwirklichung erbringen, zum Beispiel durch Zeugenbefragungen. Dies gestalte die Verfahren umfangreich und kompliziert.

Interessant ist auch der Hinweis auf die Argumente der werbenden Unternehmen. Diese

versuchen sich dabei zum Teil zu entlasten, indem sie behaupten, die Einwilligungserklärung habe aus Gründen des Datenschutzes nicht länger aufbewahrt werden dürfen und sei daher vernichtet worden“.

Diese Begründung würde ich aus datenschutzrechtlicher Sicht tatsächlich auch nicht verstehen. Denn als Verantwortlicher bin ich sowohl nach Art. 7 Abs. 1 DSGVO als auch allgemein nach Art. 5 Abs. 2 DSGVO zum Nachweis der Zulässigkeit der Datenverarbeitung verpflichtet. Selbst von Datenschutzbehörden ist akzeptiert, dass ich zum Nachweis einer einmal erteilten Einwilligung die erforderliche Dokumentation länger aufbewahren darf. Personenbezogene Daten (in der Einwilligung) dürfen auf der Grundlage von Artt. 6 Abs. 1 lit. c, 7 Abs. 1 DSGVO aufbewahrt werden, so etwa der BayLfD (28. TB, Ziff. 2.3):


Diese personenbezogenen Daten werden durch den Verantwortlichen freilich nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO“.

Zurück zum Gesetzesentwurf. Durch Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher soll die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden.

Fraglich ist jedoch, ob der neu vorgesehene § 7a UWG mit der DSGVO, konkret mit Art. 7 Abs.1 DSGVO, vereinbar ist. Denn das UWG kennt ja keinen eigenen Einwilligungsbegriff, sondern die relevante RL 2002/58/EG verweist auf die alte RL 95/46/EG, die nun durch die DSGVO ersetzt wurde. Nun sollen aber im UWG spezifische Anforderungen an die Dokumentation der Einwilligung aufgenommen werden, die so nicht in der unmittelbar anwendbaren DSGVO festgelegt sind (insbesondere etwa die Dauer von 5 Jahren).

Die Bundesregierung sieht in § 7a UWG-E kein Problem. In der Gesetzesbegründung (S. 13) geht sie davon aus, dass die neue Norm „Artikel 7 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vereinbar“ ist.

Nach Ansicht der Bundesregierung stellt die Regelung „eine spezielle Ausfüllung der Beweislastverteilung der in Artikel 7 Absatz 1 DSGVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar“. Hinsichtlich des § 7a Abs. 1 UWG-E, mag man dies noch verstehen. Denn es wird tatsächlich keine bestimmte Form für die Einwilligung selbst oder den Nachweis vorgegeben. Auch die DSGVO kennt keine Formanforderungen der Einwilligung. Fraglich könnte aber sein, ob die Pflicht zur Aufbewahrung für 5 Jahre nach Abs. 2 so von Art. 7 Abs. 1 DSGVO gedeckt ist. Die DSGVO sieht keine konkreten Zeiträume vor, wie lange Dokumente aufzubewahren sind, um der Rechenschaftspflicht zu genügen. Dies wird man dann sowohl als Pro- als auch als Contra-Argument nutzen können. Diskutabel ist der Punkt meines Erachtens aber schon.

Klar ist aber aus Unternehmenssicht auch, wenn § 7a UWG-E in dieser Form kommt, dass dann § 7a Abs. 2 UWG-E iVm Art. 6 Abs. 1 lit. c DSGVO eine Rechtsgrundlage für die Aufbewahrung der Einwilligungsdokumente und darin enthaltener personenbezogener Daten darstellt.

Kein Prozess zur regelmäßigen Prüfung von Sicherheitsmaßnahmen: 460.000 EUR Bußgeld

Die polnische Datenschutzbehörde (UODO) hat ein durchaus beachtliches Bußgeld gegen ein Unternehmen verhängt, welches nach Ansicht der UODO gegen den Datenschutzgrundsatz der Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verstoßen hatte.

Insgesamt wurde ein Bußgeld in Höhe von 460.000 EUR verhängt. Konkret beanstandet die Behörde, dass das Unternehmen keine ausreichenden technischen und vor allem organisatorische Maßnahmen zum Schutz personenbezogener Daten umgesetzt hatte. Bemängelt wurde insbesondere ein unzureichender Prozess der Prüfung und ggfs. Anpassung bereits vorhandener Schutzmaßnahmen.

Nach Art. 5 Abs. 1 lit. f DSGVO dürfen personenbezogene Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Die Einhaltung dieses Grundsatzes muss der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Zudem möchte ich auch noch auf die allgemein gültige Vorgabe des Art. 24 Abs. 1 DSGVO hinweisen (auch wenn ein Verstoß gegen Art. 24 DSGVO selbst nicht bußgeldbewährt ist), die in andere Vorschriften ausstrahlen. Danach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Und wichtig: „Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert“.

Genau dieser Aspekt wurde von der UODO moniert.

Nach den Schilderungen in der Mitteilung wurden von dem Unternehmen keine Tests durchgeführt, um die Sicherheitsmaßnahmen in Bezug auf die Übertragung von Daten zwischen Anwendungen, die mit der Betreuung von Käufern von Prepaid-Diensten zusammenhängen, zu überprüfen. Darüber hinaus wurde die mit dem Datenaustausch in diesen Systemen verbundene Schwachstelle von einer unbefugten Person genutzt, um Daten von einigen Kunden des Unternehmens abzuziehen.

Zudem führte das Unternehmen keine regelmäßigen und umfassenden Tests und Bewertungen der Effektivität der angewandten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der verarbeiteten Daten durch. Diesbezügliche Aktivitäten wurden nur bei Verdacht auf eine Schwachstelle oder im Zusammenhang mit organisatorischen Änderungen durchgeführt.

Diese organisatorische Ausgestaltung des Prüfprozesses der Sicherheitsmaßnahmen bewertete die Behörde als ungenügend. Der Vorwurf der Behörde richtet sich hier also vor allem auf eine ungenügende organisatorische Ausgestaltung des Datenschutzmanagement.

Für Unternehmen ergeben sich aus den oben genannten Vorschriften also nicht nur einmalige Pflichten zur Umsetzung von Sicherheitsmaßnahmen. Erforderlich ist auch die Einführung und Umsetzung eines Prozesses zur regelmäßigen Validierung der Maßnahmen. Dieser Prozess darf zudem nicht nur dann in Gang gesetzt werden, wenn „etwas passiert“, sondern muss regelmäßig erfolgen.