Landgericht Lübeck: fehlender Vertrag zur (Unter-)Auftragsverarbeitung führt zur Rechtswidrigkeit der Übermittlung?

Das Landgericht Lübeck (Urteil vom 04.10.2024 – 15 O 216/23) hatte sich in einem Verfahren zum Schadenersatz nach Art. 82 DSGVO, in dem im Ergebnis 350 EUR zugesprochen wurden, u.a. auch mit der Frage befasst, wie sich das Fehlen eines Vertrages nach Art. 28 DSGVO zwischen dem Verantwortlichen und Auftragsverarbeiter oder Auftragsverarbeiter und Unterauftragsverarbeiter auswirkt. Ob insbesondere das Fehlen des Vertrages zu einer Rechtswidrigkeit der Datenübermittlung führt.

Ansicht des Gerichts

Zunächst stellt das Gericht seine Ansicht zu Art. 28 DSGVO dar. Die Anforderungen an die Übertragung von Daten auf Auftragsverarbeiter ergeben sich aus Art. 28 DSGVO. Danach setze die Verarbeitung von Daten durch Auftragsverarbeiter voraus, dass ein Vertrag oder ein anderes Rechtsinstrument gem. Art. 28 Abs. 3 DSGVO vorliegt, der die dort im Einzelnen aufgezählten Maßnahmen und Gewährleistungen vorsieht.

Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, Art. 28 Abs. 4 DSGVO.“

Im konkreten Fall fehlte jedoch ein solcher Vertrag. Daraus folgert das Gericht: 

Fehlt es an diesen Voraussetzungen, so stellt sich (…) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar“.

Das Gericht sieht das (formelle) Erfordernis eines Vertrages nach Art. 28 Abs. 3 zw. Abs. 4 DSGVO also offensichtlich als Rechtmäßigkeitsvoraussetzung an. 

Zudem stellt das Gericht klar, dass als Folge eine wirksame Übertragung von Datenschutzverpflichtungen entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vorlag.

Andere Ansicht: EuGH?

Die Schlussfolgerung des Gerichts, dass ein Verstoß gegen Art. 28 Abs. 3 DSGVO auch zu einer rechtswidrigen Verarbeitung führe, halte ich jedoch für durchaus diskutabel. 

Denn zum ersten ergeben sich die Anforderungen für die Rechtmäßigkeit einer Verarbeitung (wie hier, eine Übermittlung) allein aus den Vorgaben der Art. 5 und 6 DSGVO. Dies hat der EuGH bereits entschieden. Jede Verarbeitung muss mit den in Art. 5 Abs. 1 der DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 DSGVO aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen (C‑60/22, Rz. 57). Der Verantwortliche muss nach Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 lit. a DSGVO sicherstellen, dass die von ihm durchgeführte Datenverarbeitung „rechtmäßig“ ist. „Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt“ (C‑60/22, Rz. 55).

Und zweitens hat der EuGH bereits für Art. 26 DSGVO entschieden, dass „die Einhaltung der in Art. 26 der DS-GVO vorgesehenen Pflicht zum Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung …, nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung zählen“ (C-60/22, Rz. 59). Man wird sicher darüber nachdenken können, diese Begründung auch auf den Vertrag nach Art. 28 DSGVO zu übertragen. Andererseits mag man anführen, dass im Rahmen des Art. 28 DSGVO die Vereinbarung gerade die „Erlaubnis“ des Auftragsverarbeiters darstellt. Dem jedoch könnte man entgegenhalten, dass das Gericht hier die Übermittlung als rechtswidrig ansieht – also die vorgelagerte Weitergabe der Daten an den Auftragsverarbeiter.

Automatische Verpflichtung der Töchter durch Vertragsschluss der Mutter?

Interessant sind zudem die Ansichten des Gerichts zu der von dem beklagten Unternehmen vorgebrachten Argument, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. 

Dies überzeugt das Gericht nicht. Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. 

Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten.

Vorliegend schien also der Hauptvertrag der Mutter keine Regelung zu einer Verpflichtung der anderen Gesellschaften zu enthalten. 

Unzureichende Einbindung des Gruppen/Konzern-DSB und mangelnde Ressourcen? 18.000 EUR Bußgeld gegen ein Unternehmen in Luxemburg

Das Verwaltungsgericht des Großherzogtums Luxemburg bestätigte ein von der luxemburgischen Datenschutzbehörde gegen einen Verantwortlichen verhängtes Bußgeld in Höhe von 18.000 EUR, weil dieser 1) den Datenschutzbeauftragten der Gruppe nicht ausreichend eingebunden und 2) ihm nicht genügend Ressourcen zur Erfüllung seiner Aufgaben zur Verfügung gestellt hatte. Die Entscheidung wurde in Englisch auf GDPRhub zusammengefasst.

Sachverhalt

Eine Unternehmensgruppe benannte einen Datenschutzbeauftragten („Group DPO“) gemäß Art. 37 Abs. 2 DSGVO. Zur Unterstützung des Group DPO wurde ein Rechtsanwalt (wohl aus dem Unternehmen) als lokale Kontaktstelle in Luxemburg eingesetzt. Der Verantwortliche richtete auch ein „GDPR-Board“ ein, ein Gremium, das sich mit dem Datenschutz in Luxemburg befassen musste.

Der Group DPO war jedoch kein Mitglied dieses Gremiums und wurde nur durch die Protokolle der GDPR-Board-Sitzungen oder durch Fragen, die die lokale Kontaktstelle stellte, über die behandelten Themen informiert.

Entscheidung des Gerichts (Bestätigung der Bußgeldentscheidung)

Keine ausreichende Beteiligung des Group DPO

Gemäß Art. 38 Abs. 1 DSGVO hat der Verantwortliche sicherzustellen, dass der DSB in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen ordnungsgemäß und frühzeitig eingebunden wird. Insbesondere relevant ist diese Vorgabe im Hinblick auf die Aufgabe des DSB gem. Art. 39 Abs. 1 DSGVO, den Verantwortlichen hinsichtlich seiner Pflichten nach der DSGVO zu unterrichten und zu beraten.

Vor diesem Hintergrund stellte das Gericht fest, dass es notwendig und zwingend erforderlich ist, dass der DSB bei allen Themen und Projekten, die die mit dem Schutz personenbezogener Daten zusammenhängenden Fragen betreffen, in einem möglichst frühen Stadium eingebunden wird.

In diesem Fall wurde der Group DPO aber erst eingeschaltet, wenn eine betroffene Person mit der Bearbeitung ihrer Anfrage durch die lokale Kontaktstelle nicht zufrieden war. Der Verantwortliche verwies zwar auf die regelmäßige Kommunikation (Telefon, Video und E-Mail) zwischen der lokalen Kontaktstelle und dem Group DPO, legte aber keine Nachweise dieser Kommunikation vor.

Das Gericht stellte fest, dass der Datenschutzbeauftragte nicht unmittelbar an allen datenschutzrelevanten Angelegenheiten beteiligt und eingebunden war, was einen Verstoß gegen Art. 38 Abs. 1 & 39 Abs. 1 DSGVO darstellt.

Das Gericht sieht hier also strenge Anforderungen an die Einbindung des Datenschutzbeauftragten. Es genügt gerade nicht, diesen nur regelmäßig über bestimmte Themen zu informieren – er muss auch (bereits möglichst frühzeitig) in diese Themen und die interne Beratung hierzu aktiv eingebunden werden.

Dem Datenschutzbeauftragten zur Verfügung gestellte Ressourcen

Gemäß Art. 38 Abs. 2 DSGVO hat der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen, indem er ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellt und Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt.

Das Gericht stellte fest, dass der Verantwortliche keine Informationen zur formalen Festlegung der Arbeitszeit der lokalen Kontaktstelle vorgelegt hat. Nach Ansicht des Gerichts rechtfertigt der Umfang der Tätigkeit des Verantwortlichen in Luxemburg (70 Standorte, zwischen 1.600 und 2.100 Beschäftigte und 25.000 Verbraucher pro Tag) die Beschäftigung von mindestens einer Vollzeitkraft für den Datenschutz.

Das Gericht nahm einen Verstoß gegen Art. 38 Abs. 2 DSGVO an, da dem Datenschutzbeauftragten die erforderlichen Ressourcen nicht im angemessenen Umfang zur Verfügung gestellt wurden.

Endlich: Keine Anwendbarkeit des Fernmeldegeheimnisses für Arbeitgeber bei erlaubter / geduldeter privater Nutzung von betrieblichen E-Mail- oder Internetdiensten – Datenschutzbehörde NRW

„Halleluja“, möchte man fast ausrufen. Eine seit Ewigkeiten bestehende rechtliche Diskussion um die Anwendbarkeit der strengen Vorgaben des Fernmeldegeheimnisses auf Arbeitgeber scheint sich aufzulösen – und zwar im positiven Sinne für Arbeitgeber.

Rückblick

Seit Jahren wird bekanntlich darüber diskutiert, geschrieben und geurteilt, ob und wann Arbeitgeber als Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten (§ 3 Abs. 2 TDDDG) gelten – womit auch das Fernmeldegeheimnis greifen würde – wenn sie ihren Mitarbeitern die private Nutzung von beruflichen E-Mail-Postfächern und/oder Internetzugang gestatten oder dies dulden.

In ihrer Orientierungshilfe (PDF) aus 2016 ging die DSK davon aus, dass wenn der Arbeitgeber den Beschäftigten auch die private Nutzung von Internet und/oder des betrieblichen E-Mail-Postfaches erlaubt, zusätzlich zum allgemeinen Datenschutzrecht das (damals noch geltende) Telekommunikationsgesetz (TKG) bzw. das Telemediengesetz (TMG) zu beachten ist.

Nach Auffassung der Aufsichtsbehörden ist der Arbeitgeber in diesem Fall Telekommunikationsdienste- bzw. Telemediendienste-Anbieter. Dies hat die Konsequenz, dass er an das Fernmeldegeheimnis des § 88 Abs. 2 S. 1 TKG gebunden ist“.

Die Folge in der Praxis: Arbeitgeber durften (bei gestatteter / geduldeter privater Nutzung) im Grunde nur mit Einwilligung der Mitarbeiter Zugriff auf beruflich bereitgestellte Postfächer nehmen oder den Internetverkehr prüfen. Zudem galt ein strafrechtliches Verbot nach § 206 StGB.

Diese Auffassung wurde insbesondere in der Literatur und auch Teilen der Rechtsprechung nicht geteilt (vgl. etwa LAG Berlin-Brandenburg, Urt. v. 14.1.2016 – 5 Sa 657/15; LG Krefeld, Urt. v. 7.2.2018 – 7 O 198/17; LG Erfurt, Urt. v. 28.4.2021 – 1 HK O 43/20). Diese Ansicht lehnte die Anwendung des Fernmeldegeheimnisses ab.

Aktuelle Entwicklung

Letzte Woche hat die Datenschutzbehörde NRW (LDI) ihren Jahresbericht 2024 veröffentlicht (PDF). Dort wird unter Ziff. 12.2. festgehalten:

Für Arbeitgeber*innen gilt nicht mehr das Fernmeldegeheimnis, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden.“

Dieser Trend hat sich schon letztes Jahr abgezeichnet (vgl. Datenschutzbehörde Hessen, Jahrsebericht 2022, S. 30, PDF).

Sehen dies alle deutschen Aufsichtsbehörden so? Hierzu gibt es derzeit keine neuere Aussage der DSK. Nach Angaben der LDI NRW gehen aber mehrere deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich nach Inkrafttreten des TTDSG (jetzt: TDDDG) die rechtliche Bewertung geändert hat: Arbeitgeber, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, unterliegen nicht mehr dem Telekommunikationsrecht.

Deshalb haben sie gegenüber ihren Beschäftigten auch nicht das Fernmeldegeheimnis zu garantieren.

Ein, aus meiner Sicht zutreffendes, Argument der LDI: Bei Arbeitgebern, die die private Nutzung erlauben oder dulden, fehlt es in der Regel am Rechtsbindungswillen. Arbeitgeber treten gegenüber ihren Beschäftigten nicht als geschäftsmäßige Telekommunikationsdienstleister auf.

Die Folge in der Praxis ist, dass bei der Verarbeitung von Mitarbeiterdaten im Rahmen der Zurverfügungstellung von betrieblichen E-Mail-Postfächern oder des Internetzugangs, die allgemeinen Vorgaben der DSGVO und auch des BDSG (oder von Landesdatenschutzgesetzen) zu beachten sind. Es bedarf aber nach Ansicht der LDI NRW gerade keiner Einwilligung, speziell für den Schutzbereich des Fernmeldegeheimnisses. Diese Ansicht dürfte in der Praxis einige Unsicherheiten beseitigen.

Die LDI NRW nennt auch ein konkretes Beispiel: in der Vergangenheit galt, dass Arbeitgeber nur auf die Protokolldaten oder E-Mails der Beschäftigten zugreifen konnten, wenn dafür deren Einwilligung vorlag.

Mit dem TTDSG finden statt der spezifischen telekommunikationsrechtlichen Regeln nun die Vorschriften der DS-GVO Anwendung. Die DS-GVO sichert ein ähnlich hohes Schutzniveau für die personenbezogenen Daten der Beschäftigten.“

Bedeutet: es kann sein, dass auch nach der DSGVO je nach Verarbeitungszweck und Umfang der Verarbeitung dennoch eine Einwilligung erforderlich ist – aber eben nicht per se aufgrund der Geltung des Fernmeldegeheimnisses. Die LDI empfiehlt zurecht, dass wie bisher über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung getroffen bzw. interne Vorgaben erstellt werden sollten. Darin sollen etwa die Fragen des Zugriffs, der Protokollierung, der Auswertung und der Durchführung von Kontrollen geklärt werden.

Bundesregierung plant „Entbürokratisierung“ des Datenschutzes – Erhöhung der Benennungsschwelle für DSB, Konzentration von Behördenzuständigkeiten und verbindliche Beschlüsse der DSK

Der Bundeskanzler, der Vizekanzler und der Bundesminister der Finanzen haben sich am 5. Juli 2024 auf eine „umfassende Wachstumsinitiative“ geeinigt. Der Text des Dokuments ist hier abrufbar (PDF). Laut der Einleitung hat sich die Bundesregierung auf ein umfassendes Maßnahmenpaket verständigt, das der deutschen Wirtschaft umgehend Impulse für mehr wirtschaftliche Dynamik geben wird.

Zum Zeitplan (immerhin ist bald Sommerpause im Parlament und im September 2025 stehen Bundestagswahlen an) wird dort beschrieben, dass die Bundesregierung die in diesem Paket enthaltenen Maßnahmen „nun schnell umsetzen“ werde. Soweit es neuer Gesetze oder weiterer gesetzlicher Anpassungen bedarf, werden die entsprechenden Regelungsvorschläge gemeinsam mit dem Haushaltsgesetz oder später im zweiten Halbjahr 2024 im Kabinett beschlossen. Klingt aus meiner Sicht sehr optimistisch.

Nachfolgend möchte ich schlaglichtartig einen Blick auf die Vorschläge und mögliche Konsequenzen im Bereich Datenschutzrecht werden.

Die Sicht der Bundesregierung auf den Datenschutz

Zunächst fällt auf, unter welchen Schlagworten die Parteien SPD, Die Grünen und die FDP den Datenschutzschutz verorten. Vorschläge im Bereich des Datenschutzrechts finden sich im Abschnitt „II. Unternehmerische Dynamik stärken: Unnötige Bürokratie abbauen“. Ein wenig mag man sich hierbei schon die Augen reiben. Parteien wie die SPD, die insbesondere für die Interessen der Arbeitnehmer (und damit den Mitarbeiterdatenschutz) eintritt oder Die Grünen, deren Mitglied und früheres Mitglied des Europäischen Parlaments, Jan Philipp Albrecht, die DSGVO überhaupt erst möglich gemacht hat, verstehen den Datenschutz als „unnötige Bürokratie“. Die FDP vertritt ohnehin die Position, dass der bürokratische Aufwand überprüft werden muss.

Ziel der Bundesregierung ist: die Anwendung datenschutzrechtlicher Anforderungen reduzieren. Das klingt zunächst politisch natürlich super – wer soll da widersprechen? Wenn wir uns gleich einige Vorschläge aus der Initiative anschauen, können Sie ja einmal für sich prüfen, welche Anforderungen dadurch auch tatsächlich reduziert werden.

Die Bundesregierung strebt in Abstimmung mit den Ländern folgende Maßnahmen an:

1. Zuständigkeitskonzentration bei einer Aufsichtsbehörde

Für bestimmte Branchen/Sektoren wird mit den Ländern vereinbart, die Zuständigkeit bei der Aufsichtsbehörde eines Landes zu konzentrieren, damit es bundesweit für die Unternehmen eine Aufsicht und damit u.a. eine einheitliche Ansprechstelle mit besonderer Expertise für komplexe Fragestellungen gibt.“

Die Bundesregierung hat hier wahrscheinlich die Schaffung von ausschließlich zuständigen Aufsichtsbehörden für bestimmten Themenbereiche im Sinne. Bsp: alle Fragen des Online-Handels werden bei der Behörde in Hamburg gebündelt. Alle anderen Aufsichtsbehörden der Länder wären dann z.B. für Fragen des Datenschutzes bei Kunden- & Gastkonten, der Löschung von Kundendaten etc. nicht mehr zuständig.

Zunächst wird es hier aus meiner Sicht einer Herausforderung sein, die „Branchen/Sektoren“ für die Praxis und Aufsicht sauber zu trennen. Zum obigen Beispiel: gehört zum Online-Shopping auch das Tracking in der App / auf der Webseite? Gehören dazu auch Verarbeitungen von bloßen Webseitenbesuchern von Online-Shops, die aber noch nicht kaufen? Gehören hierzu auch Verträge mit Dienstleistern, die etwa eine Chatfunktion im Shop bereitstellen?

Zweitens wird eine solche Konzentration aus meiner Sicht für die betroffenen Unternehmen nicht immer „positiv ausgehen“. Bsp: Online-Shops werden in Zukunft allein aus Hamburg beaufsichtigt. Unternehmen mit Zentralen in Bayern, Baden-Württemberg oder etwa NRW erhalten für alltägliche Fragen zu ihrem Angebot damit neue Ansprechpartner und vor allem verschwindet damit für die Mehrheit der Unternehmen natürlich auch der lokale Bezug der Aufsichtsbehörden. Man mag es kaum glauben, aber ja, man kann (und viele Unternehmen tun dies sehr erfolgreich) mit seiner zuständigen Aufsicht proaktiv in den Austausch gehen – man kann sich vor Ort treffen, Trends besprechen und die Umsetzung des Datenschutzes proaktiv begleiten. Ob diese Arbeitsweise auch noch stattfindet, wenn allein eine (aus Sicht des Unternehmens unbekannte und weit entfernte) Behörde zuständig ist?

Nun mag man einwenden: heutzutage kein Problem. Dann macht man das alles per Videokonferenz. Das Bsp. Online-Shop ist natürlich nur eines von vielen Themen – bzw. knüpft die Regieurng ja eher an Branchen/Sektoren.

Ich gebe Ihnen ein anderes (sehr provokatives) Bsp: für Fragen des Datenschutzes im Automobilbereich (automatisiertes Fahren, Datenverarbeitung im Bereich Infotainment) ist in Zukunft Thüringen zuständig. Hersteller wie VW, BMW und Mercedes (aber auch 1st Tier Zulieferer) müssen dann in allen Fragen des Datenschutzes mit dieser einen Behörde sprechen – und ggfs. auch Kämpfe führen. Und das ist dann eben nicht mehr die Behörde vor Ort.

Meine Erfahrung mit Mandanten ist, dass Unternehmen mit der „eigenen“ Behöre oft sehr gut und vertrauensvoll zusammenarbeiten. Und gerade diese, langjährige Zusammenarbeit, spart am Ende Aufwand im Datenschutzrecht, den man hätte, wenn man einfach mal „drauf los entwickelt“ und sich nicht abstimmt.

2. Verbindliche Beschlüsse der DSK

Stärkere bundesweite Vereinheitlichung der Anwendung des Datenschutzrechts durch verbindliche Beschlüsse der Datenschutzkonferenz; damit Rechtsunsicherheiten und bürokratischer Aufwand für Unternehmen reduziert werden und die Unternehmen sich innerhalb von Deutschland auf eine möglichst einheitliche Anwendung durch die verschiedenen Aufsichtsbehörden der Länder verlassen können.“

Zunächst eine, aus meiner Sicht, gute Nachricht – die Regierung möchte die föderale Struktur der Behörden zumindest im Grundsatz weiter fortführen. In welcher inhaltlichen Form, wird sich zeigen, siehe Ziffer 1.

Die Beschlüsse der DSK sollen, wohl für die Aufsichtsbehörden selbst, bindend werden. Also eine Orientierung an Art. 65 DSGVO zur Streitbeilegung im EDSA. Eine solche Initiative ist aus meiner Sicht durchaus sinnvoll. Vor allem mit Blick auf die Rechts(un)sicherheit bei der Anwendung des Datenschutzrechts. Spannend wird natürlich dann, in welcher Form Rechtsschutzmöglichkeiten der Aufsichtsbehörden selbst (Klagen gegen den Beschluss) und betroffener Unternehmen ausgestaltet werden, wenn Unternehmen inhaltlich nicht mit der Meinung der DSK übereinstimmen.

Einige Leser/innen wissen, dass ich ein großer Verfechter der föderalen Struktur in Deutschland und auch der manchmal unterschiedlichen Auslegungen des Datenschutzrechts bin. In der Praxis kommt es aus meiner Sicht einfach darauf an, was man aus den verschiedenen Ansichten von Datenschutzbehörden macht. Denn dies kann für Unternehmen durchaus auch positive Effekte (Stichwort: Bußgeldrisiko bei unterschiedlichen Meinungen der Aufsichtsbehörden?) haben. Als kleines lokales Unternehmen hat man andererseits immer die Möglichkeit, die Sichtweise seiner Aufsichtsbehörde zu folgen, um „Ruhe“ zu habe.

3. Weniger Datenschutzbeauftragte = besserer Datenschutz?

Aus meiner Sicht ein Evergreen der letzten Jahre. Die Regierung möchte § 38 BDSG zwar nicht mehr in Gänze streichen, nun aber (wieder einmal) die Benennungsschwelle erhöhen.

Erhöhung der Schwelle, ab der Unternehmen einen Datenschutzbeauftragten bestellen müssen von derzeit 20 Mitarbeitenden auf 50 Mitarbeitende.“

Die Regierung betreibt hier aus meiner Sicht reinen Populismus. Denn: nur, weil ein kleines Unternehmen evtl. keinen DSB mehr benennen muss, bedeutet dies ja nicht, dass es sich nicht mehr an das Datenschutzrecht halten muss. Viele betroffenen Unternehmen denken aber so. Leider. Kein DSB, dann auch keine DSGVO.

Das ist ein absoluter Trugschluss, den die Regierung aber auch mit keinem Wort aufklärt. Weniger Bürokratie? Auf dem Papier entfällt ggfs. eine Pflicht. Jene zur Benennung des DSB. Aber dennoch müssen diese kleinen Unternehmen ja immer noch voll die DSGVO einhalten. Und wir können nun gemeinsam überlegen, wie gut dies in der Praxis funktioniert, wenn es in diesen Unternehmen keine zuständige Person mehr für Fragen des Datenschutzes geben soll. Wer kümmert sich dann (wenn überhaupt noch)? Am Ende könnte gerade diese Maßnahme sogar zu noch mehr Frust bei betroffenen Unternehmen führen, wenn gegen sie z.B. eine Beschwerde eingereicht wird und sie dann merken, dass die DSGVO dennoch voll anwendbar ist.

Achso, und noch ein kleiner Nachtrag: dass nach § 38 Abs. 1 S. 2 BDSG eigentlich ohnehin viele Unternehmen, auch mit weniger als 20 oder dann 50 Mitarbeitenden, einen DSB benötigen, wird natürlich auch nicht beachtet. Denn danach muss jedes Unternehmen, unabhängig von der Mitarbeiterzahl, einen DSB benennen, wenn die Voraussetzungen zur Durchführung einer DSFA nach Art. 35 DSGVO vorliegen. Und wenn man nun die Blacklists der DSK, der Aufsichtsbehörden und auch die Kriterienkataloge des EDSA betrachtet, ist man schneller in einer DSFA-Pflicht, als man „Piep“ sagen kann.

4. Europäische Ebene

Eher als Absichtserklärung zu verstehen, sind die geplanten Maßnahmen auf europäischer Ebene.

Auf europäischer Ebene wird sich die Bundesregierung dafür einsetzen, dass a. die Anwendung und Durchsetzung der DSGVO auf europäischer Ebene mit dem Ziel der Vereinfachung harmonisiert und die Zusammenarbeit der Aufsichtsbehörden der Mitgliedstaaten (insbesondere im Europäischen Datenschutzausschuss) verbessert wird“.

Welche konkreten Maßnahmen die Regierung hier auf Ebene des EDSA im Blick, wird nicht klar. Aktuell geht die Tendenz auf europäischer Ebene aber aus meiner Sicht eher nicht Richtung „Vereinfachung“ der Zusammenarbeit der Behörden, sondern in die andere Richtung. Denn bald wird eine neue Verordnung zur Durchsetzung der DSGVO das Licht der Welt erbblicken, die Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679. Aus meiner Sicht hat diese bislang in Deutschland noch wenige Platz in der Diskussion gefunden, obwohl sie einige extrem relevante Regelungen enthält. Hier ein Blogbetrag dazu von mir.

VG Wiesbaden: Inkassounternehmen sind in der Regel keine Auftragsverarbeiter

Das Verwaltungsgericht (VG) Wiesbaden hat ich in seinem Beschluss vom 13.05.2024 (Az. 6 K 1306/22.WI; derzeit leider nur kostenpflichtig zugänglich, zB via BeckRS 2024, 11305) mit der Frage auseinandergesetzt, welche datenschutzrechtliche Rolle Inkassodienstleiter nach der DSGVO einnehmen, wenn sie personenbezogene Daten verarbeiten: Auftragsverarbeiter oder Verantwortliche?

Das VG verweist zunächst auf Ansichten in der Rechtsprechung und Literatur, wonach überwiegend die Auffassung vertreten werde, dass Inkassounternehmen eigene Verantwortliche seien, da sie regelmäßig die Zwecke und Mittel der Datenverarbeitung weitgehend selbst bestimmen und nur ausnahmsweise, beispielsweise bei der teilweisen weisungsgebundenen Übertragung des Forderungsmanagements auch Auftragsverarbeitungen i. S. d. Art. 28 DSGVO denkbar seien.

Als Argumente gegen eine Einordnung als Auftragsverarbeiter führt das VG dann folgende Aspekte an:

  • Auch bei der (teilweise) weisungsgebundenen Überragung des Forderungsmanagements ist diese durch eine weitgehend selbstständige Aufgabenwahrnehmung des Inkassounternehmens geprägt, die deren Einordnung als Verantwortliche nahelegen.
  • Aus der sog. teilweisen weisungsabhängigen „Einziehungsermächtigung“, bei der der Auftraggeber rechtlicher Eigentümer der Forderung bleibt, folgt nach Ansicht des VG auch keine andere Bewertung. Denn das Rechtsdienstleistungsgesetz (RDG) unterscheide nicht zwischen der Einziehung fremder oder zum Zwecke der Einziehung auf fremde Rechnung abgetretener Forderungen. Die rechtliche Inhaberschaft einer Forderung bleibe auf die Zulässigkeit der Rechtsdienstleistung ohne Einfluss, wie auch die Ausführung der Inkassotätigkeit vom Status der Forderung nicht abhängt.
  • Gegen eine Einordnung als Auftragsverarbeiter spreche auch der nur graduelle Unterschied zu Rechtsanwälten im erforderlichen Knowhow und Professionalisierungsgrad.
  • Zudem die häufig völlige Freiheit bei der Wahl der Mittel zur Umsetzung, die sehr weitgehende Freiheit bei der Bestimmung des Zwecks bzw. die erheblichen Eigeninteressen an dieser Dienstleistung.
  • Bei einem externem Inkassomanagement stehe der Einordnung einer Auftragsverarbeitung auch regelmäßig entgegen, dass eine vollständige Bestimmung über die Mittel der Verarbeitung durch die Verantwortlichen nicht mehr gewährleistet sein dürfte.
  • Zudem verweist das Gericht auf die Entscheidung des VG Mainz aus 2020, wonach eine Auftragsverarbeitung bei der Übermittlung von Daten im Rahmen einer Forderungsabtretung eines Tierarztes an ein Inkassobüro mangels Weisungsgebundenheit aus scheide (Az. 1 K 467/19.MZ).
  • Gegen eine Einordnung als Verantwortlicher spreche auch nicht, dass die Unabhängigkeit des Inkassodienstleisters nicht gesetzlich verpflichtend vorgegeben sei.  Das Inkassounternehmen bestimme faktisch die Zwecke und Mittel der Datenverarbeitung derart autonom, dass es datenschutzrechtlich als der für die Datenverarbeitung personenbezogener Daten Verantwortliche erscheine.

Im Ergebnis geht des VG daher davon aus: „In aller Regel ist daher auch das Inkassounternehmen im Mandatsverhältnis für die Verarbeitung personenbezogener Daten Verantwortlicher und nicht Auftragsverarbeiter“.

Bundesverwaltungsgericht Österreich wendet EDSA-Leitlinien zur Berechnung von Geldbußen an

Datenschutzbehörden verwenden zur Berechnung von Geldbußen bekanntlich die EDSA-Leitlinien 04/2022 vom 24.5.2023. Gleichzeitig wissen wir, dass Leitlinien des EDSA keine unmittelbare rechtliche Bindungswirkung für Verantwortliche, Auftragsverarbeiter oder auch nationale Gerichte haben. Der EDSA selbst stellte dazu bereits 2021 fest: „In dieser Hinsicht spiegeln die Leitlinien und Empfehlungen des EDPB, obwohl sie an sich nicht verbindlich sind, den gemeinsamen Standpunkt und das gemeinsame Verständnis wider, das die Behörden einheitlich anwenden wollen“. (Stellungnahme des EDSA).

Dennoch stellen die Leitlinien des EDSA in der Praxis, aber auch in gerichtlichen Verfahren, eine wichtige Ansicht dar, die auch von Generalanwälten am EuGH zur Auslegung der DSGVO verwendet werden (vgl. etwa Rz. 28 in der Rs. C-307/22, zu den Leitlinien 01/2022).

Für die Wirkung und auch rechtliche Bedeutung von Leitlinien relevant ist daher eine neuere Entscheidung des Bundesverwaltungsgerichts (BVwG) aus Österreich vom 26.3.2024 (Gz. W137 2241630-1).

In dem Verfahren ging es um eine Geldbuße der österreichischen Behörde auf Grundlage von Art. 83 DSGVO. Hiergegen wurde Beschwerde eingelegt. Das Bundesverwaltungsgericht setzte das Verfahren dann zunächst aus, bis der EuGH in der Rechtssache Deutsche Wohnen (C-807/21) entschieden hatte. Danach wurde das Verfahren inhaltlich fortgesetzt.

Das BVwG teilte den Parteien nach der Fortsetzung der Verhandlung mit, dass das Gericht bei der Frage der Bemessung der Geldbuße die Leitlinien 04/2022 zumindest mit heranziehen wird.

Dabei wurde den Verfahrensparteien bekannt gegeben, dass sich der Senat bei der allfälligen Strafbemessung an den Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO des Europäischen Datenschutzausschusses, Version 2.1; angenommen am 24. Mai 2023 (auch „Guidelines“ des EDPB) orientieren werde.“

Hiergegen scheint keine der Verfahrensparteien Einwände gehabt zu haben oder rechtliche Argumente gegen die Anwendung der Kriterien des EDSA vorgebracht zu haben.

Bei der konkreten Berechnung der Geldbuße hat das BVwG die Leitlinien des EDSA auch verwendet – wohl aber nicht allein die Leitlinien, da das Gericht davon spricht, dass es diese „ergänzend…herangezogen“ hat.

Das Bundesverwaltungsgericht hat ergänzend die Leitlinien 04/2022 des Europäischen Datenschutzausschusses  als Berechnungsgrundlage herangezogen, die bei – hier gegebenem geringem Schweregrad („low level of seriousness“) – und der oben festgehaltenen Umsatzgröße einen statischen Strafrahmen von bis zu EUR 500.000 annehmen, wobei der konkrete Umsatz im unteren Drittel der Bandbreite (100 Millionen bis 250 Millionen Euro) liegt“.

Was lässt sich aus dieser Entscheidung des BVwG ableiten?

Das Gericht scheint zum einen keinerlei rechtliche Bedenken hinsichtlich der Anwendung der Leitlinien zur Berechnung von Geldbußen zu haben. Zum anderen wird die dort vorgeschlagene Berechnungsmethode vom BVwG verwendet (was für das betroffene Unternehmen im Übrigen auch nicht immer „schlecht“ sein muss). Daher scheint das Gericht also auch die vorgeschlagene Berechnung des EDSA auf Basis des Art. 83 DSGVO als schlüssig anzusehen. Zumindest ergeben sich aus der Entscheidung des BVwG keine Hinweise darauf, dass das Gericht die Vorschläge des EDSA inhaltlich als unzulässig oder mit der DSGVO nicht vereinbar ansieht. Im Ergebnis wird man die Entscheidung des BVwG daher auch als eine Art „Bestätigung“ der vom EDSA vorgeschlagenen Berechnungsmethode ansehen können.

Neuer Referentenentwurf: Recht (Pflicht) auf Verschlüsselung bei Telemedien? Unklare Vorschläge und Risiko der Europarechtswidrigkeit

Das Bundesministeriums für Digitales und Verkehr (BMDV) hat mit Stand 07.02.24 einen Referentenentwurf für ein erstes Gesetz zur Änderung des Telekommunikation- Telemedien-Datenschutz-Gesetzes (TTDSG) erarbeitet (netzpolitik.org hat den Entwurf veröffentlicht). Ziel der vorgeschlagenen Regelungen (zumindest laut der Begründung): sog. nummernunabhängige interpersonelle Telekommunikationsdienste (also etwa E-Mail- Dienste, Messengerdienste und Chat-Dienste) sollen dazu verpflichtet werden, als Standard eine Ende-zu-Ende-Verschlüsselung anzubieten. Also eine Pflicht zur Verschlüsselung.

Für die breitere Praxis relevant, weil Telemedien (also insbesondere Online-Angebote) erfasst sind: „das Gleiche“ soll für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten gelten. Das betrifft aber (anders als man meinen mag) nicht nur die „Großen“ wie AWS, Azure oder Apple.

Nachfolgend möchte ich kritisch auf einige Aspekte des Entwurfs konkret bezogen auf Cloud-Dienste eingehen.

Geplante Vorgabe, § 19 Abs. 6 TTDSG
Es soll ein neuer § 19 Abs. 6 TTDSG eingefügt werden:

(6) „Anbieter von Telemedien, deren Dienstleistung darin besteht, vom Nutzer von Te- lemedien bereitgestellte Informationen für diesen auf einem Datenspeicher zum Abruf bereitzuhalten, informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, die gewährleistet, dass die Informationen nur vom bereitstellenden Nutzer gelesen werden können.“

Adressiert werden hier gerade nicht nur die (kleinere) Gruppe von nummernunabhängige interpersonelle Telekommunikationsdiensten, sondern allgemein Anbieter von Telemedien (etwa Webseiten und Apps), die aber zusätzlich noch als Leistung das Speichern von Informationen anbieten müssen. Diese Fallgruppe kann aber ziemlich umfassend sein, wenn man etwa Angebote (B2B und auch B2C) in den Blick nimmt, die für ihre Nutzer z.B. Rechnungen und Belege zum Abruf bereithalten, das Hochladen von Fotos und Videos ermöglichen oder Kundenkonten und dort enthaltene Angaben speichern etc.

Pflicht zur Verschlüsselung?
Unklar ist aber bereits, ob für diese Anbieter

  • eine Pflicht zur Verschlüsselung,
  • eine Pflicht zum Vorhalten der Möglichkeit der Verschlüsselung oder
  • nur eine Pflicht zur Information über eine mögliche Verschlüsselung
    geschaffen werden soll.

§ 19 Abs. 6 TTDSG spricht eher für eine reine Informationspflicht. „informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, …“ Dies würde dann aber auch kein „Recht auf Verschlüsseung“ für Betroffene schaffen.

So wird auch in der Begründung zu § 19 Abs. 6 TTDSG (S. 12 des Entwurfs) ausgeführt: „In § 19 Absatz 6 wird eine Informationspflicht hinsichtlich der Möglichkeiten einer sicheren und durchgehenden Verschlüsselung der bereitgestellten Informationen bei der Nutzung von Cloud-Speichern eingeführt“.

Ganz anders lautet dagegen die Begründung in Teil A des Entwurfs (S. 7): „Das Recht auf Verschlüsselung wird hier für solche Clouddienste geregelt, die als Speicherdienste fungieren, die von den meisten Unternehmen, aber auch von Bürgerinnen und Bürgern zunehmend genutzt werden…“ und „Anbieter von Clouddiensten sollten zur Gewährleistung des Datenschutzes und der Cybersicherheit im Rahmen ihrer technischen und organisatorischen Vorkehrungen gewährleisten, dass die Nutzer solcher Dienste die gespeicherten Informationen mit einer sicheren und durchgängigen Verschlüsselung schützen können“.

Hier wird vorgegeben, dass Anbieter zumindest die Verschlüsselung „gewährleisten“ müssen.

Danach wird aber wieder einschränkend erläutert: „Das Recht auf Verschlüsselung ist hier eine Informationspflicht des Anbieters, da die Verschlüsslung in den Händen des jeweiligen Nutzers liegt.“

Mir ist daher aktuell nicht klar, welche konkreten Pflichten für die betroffenen Anbieter von Telemedien mit dem Entwurf vorgesehen werden sollen.

Welche Art der Verschlüsselung?
Doch die Unklarheiten des Vorschlags gehen weiter.

§ 19 Abs. 6 TTDSG spricht von einer „durchgehenden und sicheren Verschlüsselung“. Das ist etwas anderes, als die in dem vorgeschlagenen § 2 Abs. 2 Nr. 7 TTDSG eingefügte Legaldefinition der „sicheren Ende-zu-Ende-Verschlüsselung“.

Hätte der Entwurfsverfasser auch in § 19 Abs. 6 TTDSG eine Ende-zu-Ende-Verschlüsselung gemeint, hätte man dies dort erwähnen können (bzw. müssen). Denn an anderer Stelle des Entwurfs wird der Begriff ja sogar gesetzlich definiert. Da in Abs. 6 aber gerade diese Art der Verschlüsselung nicht erwähnt wird, muss es sich um eine andere Form der Verschlüsslung handeln. Eventuell „nur“ eine Transportverschlüsselung? Der Entwurf lässt potentielle Adressaten hierüber im Unklaren.

Widersprüchlich ist leider auch erneut die Begründung des Entwurfs. Auf S. 1 heißt es: „sollen nummernunabhängige interpersonelle Telekommunikationsdienste dazu verpflichtet werden, ihre Telekommunikationsdienste als Standard mit einer Ende-zu-Ende-Verschlüs- selung anzubieten. Das Gleiche gilt für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten,…

Hier wird also auf eine Ende-zu-Ende-Verschlüsselung abgestellt – die im vorgeschlagenen Normtext aber gerade fehlt.

Fehlende Regelungskompetenz – Verstoß gegen die DSGVO
Neben diesen inhaltlichen Mängeln des Vorschlags, schwebt über der angedachten Regelung in § 19 Abs. 6 TTDSG aber meines Erachtens ohnehin das Damoklesschwert der Europarechtswidrigkeit (wie im Übrigen über dem ganzen § 19 TTDSG).

Nach der Begründung des Entwurfs und auch des Textes zu § 19 Abs. 6 TTDSG sollen „bereitgestellt Informationen“ verschlüsselt werden.

Personenbezogene Daten erfasst? DSGVO anwendbar
Aufgrund der weite dieses Begriffs, dürften hiervon natürlich auch personenbezogene Daten (z.B. Bilder, Videos, Rechnungen in Kundenkonten etc.) erfasst sein. Oder anders ausgedrückt: wenn der Vorschlag aus dem BMDV überhaupt nicht personenbezogene Daten beim „Recht auf Verschlüsselung“ umfassen würde, könnte man die Initiative im Bereich Cloud-Dienste wohl gleich wieder beerdigen, da es nur wenige Anwendungsbereiche gäbe.

Wenn aber § 19 Abs. 6 TTDSG auch personenbezogene Daten umfasst, wird sich hinsichtlich der Stoßrichtung des Vorschlags eine ganz entscheidende Frage stellen:

  • ist mit der Regelung eine Pflicht zur Verschlüsselung oder
  • mindestens eine Pflicht zum Vorhalten von Verschlüsselungsmöglichkeiten vorgesehen?

Kollision mit Vorgaben des Art. 32 DSGVO
Sollte eine dieser Fragen mit „ja“ beantwortet werden, kollidiert die Regelungen mit den unmittelbar geltenden Vorgaben der DSGVO, insbesondere Art. 32 DSGVO, der gerade keine Pflicht zur Verschlüsselung vorsieht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Art. 32 Abs. 1 a) DSGVO sieht beispielhaft die Verschlüsselung vor – aber nicht verpflichtend.

§ 19 Abs. 6 TTDSG würde also, wenn man hier eine Pflicht schaffen will, von den Vorgaben des Art. 32 DSGVO abweichen. Wohl im Sinne einer „strengeren“ Regelung.

Abweichung möglich? Keine Öffnungsklausel
Die DSGVO gilt als EU-Verordnung unmittelbar in Deutschland. Soweit ihr Anwendungsbereich betroffen ist, also personenbezogene Daten verarbeitet werden, soll die DSGVO nach Ansicht des EuGH (vgl. etwa C-319/20, Rz. 57) eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Verordnungen nach Art. 288 AEUV haben sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären (Rz. 58).

Von dieser Regel gibt es in der DSGVO aber Ausnahmen. Der EuGH hat hierzu geurteilt, dass einzelne Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit eröffnen, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen („Öffnungsklauseln“). Mitgliedstaaten dürfen nur unter den Voraussetzungen und innerhalb der Grenzen eben dieser Bestimmungen von den Vorgaben der DSGVO abweichen (Generalanwalt, C-319/20, Rz. 52).

Das Problem: für das Thema der zwingenden Verschlüsselung personenbezogener Daten bei Telemedien sieht die DSGVO gar keine Öffnungsklausel vor.

  • Art. 32 DSGVO enthält eine solche Ausnahme bzw. Öffnungsklausel für Mitgliedstaaten gerade nicht.
  • Die Einschränkungsmöglichkeiten des Art. 23 DSGVO sind auf Art. 32 DSGVO nicht anwendbar.
  • Öffnungsklauseln aus Kapitel IX dürften hier auch nicht einschlägig sein.

Fazit
Ich bin gespannt, wie sich der nun vorliegende Referentenentwurf inhaltlich entwickelt. Derzeit sehe ich aber sowohl konkret inhaltliche Probleme bzgl. der einzelnen Vorgaben, als auch abstrakt strukturelle Risiken hinsichtlich des Verhältnisses zur DSGVO.

Mitbestimmungsrecht des Betriebsrates beim Einsatz von ChatGPT & Co? Arbeitsgericht Hamburg sagt „nein“ – im konkreten Fall

Seit einiger Zeit erfahren Systeme mit künstlicher Intelligenz und vor allem das Tool ChatGPT reges Interesse. Viele Unternehmen möchten ihren Mitarbeitenden ermöglichen, diese Tools zu verwenden. In einem nun entschiedenen Fall hatte das Arbeitsgericht (ArbG) Hamburg die Frage zu beantworten, ob der Betriebsrat vor dem Einsatz von ChatGPT und ähnlichen Programmen zu beteiligen ist und eventuell auch ein Verbot des Einsatzes dieser Systeme erzwingen kann (Beschl. v. 16.01.2024 – 24 BVGa 1/24).

Sachverhalt
Im Rahmen des einstweiligen Rechtsschutzes begehrte der Konzernbetriebsrat von einem Unternehmen u.a., dass dieses seinen Mitarbeitern den Einsatz von ChatGPT und anderen Systemen der Künstlichen Intelligenz verbietet.

Das Unternehmen wollte für die Mitarbeitenden generative Künstliche Intelligenz als neues Werkzeug bei der Arbeit zur Unterstützung nutzbar machen. Es veröffentlichte dafür auf der Intranetplattform „Guidelines for Generative Al Utilization“, eine Generative KI-Richtlinie Version 1 und ein Handbuch „Generative al Manual ver.1.0.“, die den Arbeitnehmern Vorgaben machen, wenn diese bei der Arbeit IT-Tools mit künstlicher Intelligenz bei der Arbeit nutzen. Gleichzeitig veröffentlichte das Unternehmen im Intranet eine Erklärung an die Mitarbeiter, in der über die KI-Leitlinien informiert wird.

ChatGPT und auch andere KI-Systeme werden im konkreten Fall nicht auf den Computersystemen der Arbeitgeberin installiert. Die Nutzung der Tools erfolgt mittels Webbrowser und erfordert lediglich die Anlegung eines Accounts auf dem Server des jeweiligen Anbieters. Wollen die Mitarbeiter ChatGPT nutzen, müssen diese eigene, private Accounts anlegen.

Der Betriebsrat ging davon aus, dass sowohl ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG als auch nach § 87 Abs. 1 Nr. 6 und Nr. 7 BetrVG bestehe. Die Arbeitgeberin habe durch die Entsperrung von ChatGPT verbunden mit der Veröffentlichung von Richtlinien zur Nutzung generativer Künstlichen Intelligenz die Mitbestimmungs- und Mitwirkungsrechte des Betriebsrates grob verletzt.

Entscheidung
Das ArbG lehnte die Anträge des Betriebsrates zum Teil als unzulässig und auch als unbegründet ab.

Der Antrag, Guidelines, Handbuch und KI-Richtlinie vom Intranet zu entfernen, sei unbegründet.

§ 87 Abs. 1 Nr. 1 BetrVG (Verhalten der Arbeitnehmer im Betrieb)
Nach § 87 Abs. 1 Nr. 1 BetrVG hat der Betriebsrat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb mitzubestimmen.

Nach Ansicht des ArbG hat die Arbeitgeberin mit ihren Maßnahmen, die zur Gestattung der Nutzung von ChatGPT und vergleichbarer Konkurrenzprogramme durch die Mitarbeiter geführt haben, § 87 Abs. 1 Nr. 1 BetrVG aber nicht verletzt.

Mitbestimmungsfrei sind danach Maßnahmen, die das so genannte Arbeitsverhalten der Beschäftigten regeln. Darum handele es sich, wenn der Arbeitgeber kraft seines arbeitsvertraglichen Weisungsrechts näher bestimmt, welche Arbeiten auszuführen sind und in welcher Weise das geschehen soll.

Nach Ansicht des ArbG

„fallen die Vorgaben zur Nutzung von ChatGPT und vergleichbarer Tools unter das mitbestimmungsfreie Arbeitsverhalten“.

Ergänzend sollte man sicher anfügen: im konkreten Fall.

Das Gericht begründet seine Ansicht weiter, dass die Arbeitgeberin ihren Arbeitnehmern ein neues Arbeitsmittel unter bestimmten Bedingungen zur Verfügung stellt. Richtlinien, Handbuch usw. sind somit Anordnungen, welche die Art und Weise der Arbeitserbringung betreffen, weshalb kein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 1 BetrVG bestehe.

§ 87 Abs. 1 Nr. 6 BetrVG
Nach dieser Norm hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen.

Auch dieses Mitbestimmungsrecht habe die Arbeitgeberin hier nach Ansicht des ArbG nicht verletzt.

Zweck des Mitbestimmungsrechts ist es, Arbeitnehmer vor Beeinträchtigungen ihres Persönlichkeitsrechts durch den Einsatz technischer Überwachungseinrichtungen zu bewahren. Zwar sind technische Einrichtungen bereits dann zur Überwachung „bestimmt“, wenn sie objektiv geeignet sind, dass der Arbeitgeber Verhaltens- oder Leistungsinformationen über den Arbeitnehmer erheben und aufzuzeichnen kann.

Vorliegend stellte das ArbG u.a. darauf ab, dass ChatGPT und die vergleichbaren Konkurrenzprodukte nicht auf den Computersystemen der Arbeitgeberin installiert wurden. Will ein Arbeitnehmer diese Tools nutzen, muss er diese wie jede andere Homepage auch, mittels eines Browsers aufrufen. Zudem erhalte die Arbeitgeberin keine Meldung oder Information, wann welcher Arbeitnehmer wie lange und mit welchem Anliegen ChatGPT genutzt hat.

Zwar werde der Browser die Nutzung des Tools regelmäßig aufzeichnen.

„Dies stellt aber keine Besonderheit von ChatGPT dar, sondern ergibt sich aus den Funktionsmöglichkeiten des Browsers, der den Surfverlauf des Nutzers abspeichert“.

Der Browser selbst sei zwar somit eine technische Einrichtung, die geeignet ist, Leistungs- und Verhaltensinformationen der Arbeitnehmer aufzuzeichnen. Jedoch haben die Parteien hier zur Nutzung von Browsern eine Konzernbetriebsvereinbarung abgeschlossen, weshalb der Betriebsrat sein Mitbestimmungsrecht aus § 87 Abs. 1 S. 1 BetrVG bereits ausgeübt hat.

Zweitens begründet das ArbG seine Ansicht damit, dass der Anbieter des Tools, etwa von ChatGPT, die vorgenannten Daten wohl aufzeichnet.

„Dies führt aber nicht zur Mitbestimmung, denn der dadurch entstehende Überwachungsdruck wird nicht vom Arbeitgeber ausgeübt.“

Denn die Arbeitgeberin könne auf die vom Hersteller gewonnenen Informationen nicht zugreifen.

Fazit
Wie oben angesprochen, ist diese Entscheidung konkret bezogen auf die Gegebenheiten des Einzelfalls erfolgt – was auch völlig richtig ist. Insbesondere hat das ArbG hier etwa auf die bestehende Betriebsvereinbarung zu Browsern verweisen können. In anderen Konstellationen mag die Entscheidung eines Gerichts daher aber auch anders ausfallen. Interessant für die Praxis sind die Erwägungen des ArbG aber in jedem Fall.

BDSG-Reform: Bundesregierung verabschiedet Entwurf zur Änderung des BDSG (Videoüberwachung, Auskunftsanspruch, gemeinsame Verantwortliche und Scoring)

Die Bundesregierung hat heute ihren Entwurf für ein Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) verabschiedet (Gesetzentwurf, PDF). Nachfolgend möchte ich einen ganz kurzen Überblick zu einigen vorgeschlagenen Änderungen geben.

Die DSK wird im BDSG verankert

In einem neuen § 16a BDSG soll die Datenschutzkonferenz (DSK) im BDSG institutionalisiert werden. Es wird jedoch keine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK getroffen, da, so die Begründung, „damit wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berührt würden“.

Die Anpassung ist am Ende aus meiner Sicht nicht besonders praxisrelevant. Denn die DSK existiert bereits jetzt schon und hat auch eine Geschäftsordnung. Es wird als gesetzlich festgeschrieben, was bereits existiert.

Wegfall der Regelung zur Videoüberwachung für private Stellen

§ 4 Abs. 1 BDSG soll neu wie folgt gefasst werden:

Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen ist nur zulässig,…“.

Hierdurch wird die Regelung zur Videoüberwachung öffentlich zugänglicher Räume durch nichtöffentliche Stellen, also insbesondere Unternehmen, aus dem Bundesrecht genommen. Die Zulässigkeit dieser Videoüberwachung ergibt sich unmittelbar aus Art. 6 Abs. 1 lit. f DSGVO.

Mögliche Auswirkung: sollte die Regelung so in Kraft treten, wäre bei Hinweisschildern zur Videoüberwachung an eine Anpassung hinsichtlich der Rechtsgrundlage zu denken, wenn dort noch auf § 4 Abs. 1 BDSG verwiesen wird.

Wichtig für die Praxis: Einschränkung des Auskunftsrechts bei Geschäftsgeheimnissen

Eine praxisrelevante Anpassung wird in § 34 Abs. 1 BDSG vorgeschlagen. Es soll folgender Satz neu angefügt werden:

Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“

Laut der Gesetzesbegründung soll klargestellt werden, dass im Rahmen der Ausnahmen von dem Recht auf Auskunft (Art. 15 Abs. 4 DSGVO) unter den Schutz „anderer Personen“ auch der Verantwortliche fällt und gewisse herauszugebende Daten einen rechtlichen Schutz genießen. „Betriebs- und Geschäftsgeheimnisse genießen einen solchen Schutz“.

Die Ausnahme greift dann, wenn das Interesse an der Geheimhaltung der Betriebs- und Geschäftsgeheimnisse das Interesse der betroffenen Person an der Information überwiegt.

Diese Klarstellung ist zu begrüßen, jedoch wohl nicht zwingend erforderlich, da bereits ErwG 63 DSGVO „Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse“ ausdrücklich erwähnt.

Zuständige Aufsichtsbehörde bei gemeinsam Verantwortlichen

Zudem soll ein neuer § 40a BDSG mit dem Titel „Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen“ eingefügt werden.

Die Regelung soll in Situationen gelten, in denen mehrere Unternehmen gemeinsam Verantwortliche (Art. 26 DSGVO) sind und mehrere Aufsichtsbehörden für sie zuständig wären. Dann sollen diese Verantwortlichen gemeinsam anzeigen können,

dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat“.

Die Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind. Sie muss etwa die Vereinbarung gem. Art. 26 DSGVO enthalten.

Wichtige Folge dieser Anzeige: ab dem Zeitpunkt, zu dem die Anzeige bei der zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde.

Vorgaben zum Scoring

Neu eingefügt (wenn auch angelehnt an den bisherigen § 31) wird ein § 37a BDSG, der Anforderungen an die Erstellung und auch Verwendung von „Wahrscheinlichkeitswerten“ regeln soll.

Nach § 37a Abs. 1 Nr. 1 BDSG dürfen etwa folgende Daten nicht für die Erstellung der Wahrscheinlichkeitswerte genutzt werden: besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Anschriftendaten.

Geplante EU-Verordnung zur besseren Durchsetzung der DSGVO – Weitergabe von Informationen aus behördlichen Datenschutzverfahren an andere nationale Aufsichtsbehörden (z. B. Wettbewerb, Finanzen) vorgeschlagen

Derzeit wird in Brüssel über den Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 (2023/0202(COD)) verhandelt. Im Europäischen Parlament ist der LIBE-Ausschuss federführend zuständig und dieser hat mit Datum vom 14. Dezember 2023 seine Änderungsvorschläge zu dem Berichtsentwurf vom 9. November 2023 vorgelegt.

Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO

Ich hatte hier im Blog schon vor einiger Zeit einen Beitrag zu einer möglichen geänderten Fristenberechnung bei der Meldung von Datenschutzverletzungen verfasst. Die vorgeschlagene Verordnung fliegt meines Erachtens immer noch sehr unter dem „Radar“ der betroffenen Kreise, hat dabei extrem viele (potentiell) relevante Änderungen zur Folge.

Kurz zur Einordnung: die Verordnung soll Verfahrensregeln im Fall von grenzüberschreitenden Verarbeitungen und darauf basierenden aufsichtsbehördlichen Verfahren etablieren. Die Regelungen der Verordnung würden nationalen Verfahrensvorgaben als Spezialvorschriften vorgehen.

Heute möchte ich auf einen aus meiner Sicht für betroffene Unternehmen und öffentliche Stellen beachtenswerten Vorschlag aus dem LIBE-Ausschuss hinweisen.

Weitergabe von Informationen aus aufsichtsbehördlichen Verfahren an andere nationale Stellen

Nach einem neu vorgeschlagenen Art. 7 Abs. 2a (Änderungsantrag 311 in dem Dokument vom 14. Dezember 2023) sollen die Aufsichtsbehörden anstreben, die im Rahmen der in dieser Verordnung festgelegten Verfahren erhaltenen Informationen an die für den Datenschutz und andere Bereiche zuständigen nationalen und Unionsaufsichtsbehörden, einschließlich der Wettbewerbs-, Finanzdienstleistungs-, Energie-, Telekommunikations- und Verbraucherschutzbehörden, weiterzuleiten, wenn die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden.

Hier noch das englische Original:

Supervisory authorities shall strive to communicate the information obtained in the context of the procedures set out in this Regulation to national and Union supervisory authorities competent in data protection and other areas, including competition, financial services, energy, telecommunications and consumer protection authorities, where the information is deemed relevant to the tasks and duties of those authorities.”

Der Vorschlag bedeutet im Grunde, dass Datenschutzbehörden dazu angehalten sind, Informationen aus einem Aufsichtsverfahren gegen einen Verantwortlichen oder Auftragsverarbeiter auch an andere nationale Stellen zu geben, die ebenfalls in ihrem jeweiligen Rechtsbereich für die Überwachung des Verantwortlichen oder Auftragsverarbeiters zuständig sind.

Interessant ist, dass der Vorschlag wohl keine Pflicht zur Weitergabe der Informationen vorsieht. Andererseits sollen die Aufsichtsbehörden zur Informationsweitergabe angehalten werden. Für die Frage, ob Informationen aus dem Verfahren weitergegeben werden sollen, kommt es nach dem Vorschlag wohl allein auf die Einschätzung der Datenschutzbehörde an. Die Weitergabe soll erfolgen, wenn „die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden“ – aus Sicht der Datenschutzbehörde.

An welche Aufsichtsbehörden in anderen Rechtsbereichen die Informationen weitergegeben werden sollen, wird nicht abschließend benannt („einschließlich“). Beispielhaft werden etwa Behörden aus dem Bereich Wettbewerb, Energie, Telekommunikation oder auch Verbraucherschutz.

In Deutschland könnte man also an die Weitergabe von „relevanten“ Informationen an die BaFin oder das Bundeskartellamt denken. Ziemlich klar ist der Zweck des Vorschlags, anderen Aufsichtsbehörden ebenfalls die Durchführung von entsprechenden Verfahren zu ermöglichen.

Jedoch soll die Weitergabe nach dem Vorschlag wohl tatsächlich nur an Behörden, also öffentliche Stellen, erfolgen.

Der Sinn und Zweck des Vorschlags ergibt sich recht klar aus der Begründung im Berichtsentwurf (Änderungsantrag 117, Dokument vom 9. November 2023; inoffizielle Übersetzung):

In der Erkenntnis, dass die Untersuchung von Verstößen im Bereich des Datenschutzes Beweise für Verstöße in anderen Bereichen liefern können. Dies ist eine Forderung vieler zivilgesellschaftlicher Organisationen

Keine Pflicht zur Vertraulichkeit?

Man wird die Frage stellen können, wie eine solche Vorgabe bzw. ein solches Recht mit der Vertraulichkeitsverpflichtung der Datenschutzbehörden einhergeht.

Nach Art. 54 Abs. 2 DSGVO sind ja die Mitglieder und die Bediensteten jeder Aufsichtsbehörde gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Eventuell mag man über Art. 57 Abs. 1 g) DSGVO hiervon noch eine Ausnahme machen – jedoch allein in Bezug auf andere Datenschutzbehörden.

Sollte aber die neue Verordnung für zusätzliche Verfahrensregeln anwendbar werden, dann gilt diese (als EU-Verordnung) neben der DSGVO und konkretisiert bzw. ändert als Spezialregelung sogar die allgemeinen Regelungen der DSGVO, wie auch Art. 54 Abs. 2 DSGVO.

Auch ein Verweis auf möglicherweise entgegenstehende nationale Verbote würde wohl nicht helfen. Denn auch hierbei ist zu beachten, dass die verschlagene Verordnung unmittelbar in jedem Mitgliedsstaat Anwendung finden würde. So führt etwa die EU-Kommission in der Begründung ihres Entwurfs aus: „Daher ist eine (in den Mitgliedstaaten unmittelbar geltende) Verordnung erforderlich, um die rechtliche Fragmentierung zu verringern und das Maß an Harmonisierung zu gewährleisten“.

Ich werde in Zukunft sicher noch ein paar Beiträge zu der Verordnung veröffentlichen. Wie gesagt, sind dort viele interessante und praxisrelevante Änderungsvorschläge enthalten.