Category Archives: Gesetze

Geplante Änderung des BDSG – Neue Zuständigkeitsregelung für gemeinsam Verantwortliche

Posted on by

Derzeit befindet sich der Referentenentwurf zur Änderung des BDSG in der Verbändeanhörung. Der Referentenentwurf wurde über eine Anfrage bei FragDenStaat öffentlich gemacht.

Nachfolgend möchte ich einige Anmerkungen zu einem neuen § 40a (Artikel 1 Nr. 13 des Entwurfs) machen. 

Der Vorschlag für § 40a BDSG, der sich mit der Zuständigkeit im Fall der gemeinsamen Verantwortlichkeit befasst, ist wie folgt:

§ 40a Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen

Sind Unternehmen gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679 und mehrere Aufsichtsbehörden für sie zuständig, können die Unternehmen gemeinsam anzeigen, dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. Die gemeinsame Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind, und muss die das umsatzstärkste Unternehmen nachweisenden Unterlagen enthalten. Ab dem Zeitpunkt, zu dem die Anzeige im Sinne der Sätze 1 und 2 bei der für das umsatzstärkste Unternehmen zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde. § 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.

In der Begründung (S. 17) wird betont, dass die gemeinsame Verantwortlichkeit ein Rechtsinstitut mit großen praktischen Auswirkungen ist. Zudem sei (nach der Rechtsprechung des Europäischen Gerichtshofs) der Anwendungsbereich der gemeinsamen Verantwortlichkeit sehr weit gefasst. 

„Als Anwendungsfälle gemeinsamer Verantwortlichkeit kommen zum Beispiel in Betracht: Datenplattformen, Unternehmenspräsenz in sozialen Medien (wie Facebook, Twitter, Instagram, XING), Stammdatenverwaltung im Unternehmensverbund, konzernweites Customer-Relationship-Management oder Nutzung eigener Datenbestände für Werbezwecke Dritter.“

Zweck des vorgeschlagenen § 40a BDSG ist laut der Begründung (S. 11), Unternehmen, die Möglichkeit zu geben, ihre gemeinsame Verantwortlichkeit anzuzeigen und „als Rechtsfolge der Anzeige per Gesetz die alleinige Zuständigkeit nur einer einzigen Aufsichtsbehörde herbeizuführen“. 

Die Rechtsänderung soll für die betroffenen Unternehmen auch eine entlastende Wirkung haben, da mögliche behördliche Vorgaben im Zusammenhang mit der Befolgung von Vorschriften der DSGVO nur noch zentral durch eine Stelle erfolgen. 

Anmerkungen

1.

Ganz interessant finde ich, dass der Entwurf mehrere Beispiele benennt, wann aus Sicht des Ministeriums eine gemeinsame Verantwortlichkeit vorliegen kann. Die Annahme, dass Art. 26 DSGVO große Praxisrelevanz hat, ist meiner Erachtens zutreffend. 

Kritisch bzw. mit dem BDSG inkonsistent sehe ich die Verwendung des Begriffs „Unternehmen“. Dieser wird im BDSG ansonsten nicht in dieser Weise genutzt, sondern vielmehr „nichtöffentliche Stellen“ (vgl. § 1 Abs. 4 BDSG). Hier stellt sich die Frage, ob mit „Unternehmen“ etwas anderes gemeint ist, als eine „nichtöffentliche Stelle“? In der Begründung wird auf Art. 4 Nr. 18 DSGVO verwiesen. Soll hier also auf den Begriff „Unternehmen“ nach der DSGVO abgestellt werden? Gibt es einen Unterschied zur „nichtöffentlichen Stelle“ iSd BDSG?

2.

Mir stellt sich auch die Frage, was mit „zuständig“ gemeint ist. Denn nach der DSGVO gibt es ja eine, wenn man so will, einfache Zuständigkeit und bei grenzüberschreitenden Verarbeitungen auch eine federführende Zuständigkeit. Welche ist hier mit „zuständig“ adressiert? Genügt es also für § 40a, wenn für gemeinsam Verantwortliche schlicht Aufsichtsbehörden zuständig sind, etwa allein aufgrund des Sitzes eines Unternehmens? Oder soll § 40a im Fall von eigentlich mehreren federführend zuständigen Aufsichtsbehörden eine Möglichkeit bieten, eine dieser Aufsichtsbehörden auszuwählen? Wenn dies nicht gemeint ist, könnte man ggfs. auch dazu kommen, dass eine „einfach“ zuständige Behörde auf einmal als Aufsichtsbehörde für die gemeinsame Verantwortlichkeit ausgewählt (bzw. „angezeigt“) wird. 

3.

Laut der Begründung soll die Anzeige tatsächlich eine Rechtsfolge auslösen, nämlich die Zuständigkeit festzulegen. Daher hielte ich es für sehr relevant, das Anzeigeverfahren klar und transparent zu regeln. In welcher Form kann die Anzeige zB erfolgen? Per Fax, E-Mail, elektronischem Behördenpostfach? Diesen Punkt halt ich besonders auch deshalb für wichtig, da nach § 40a ja Unterlagen mit gesendet werden soll. In der Praxis haben wir aber das Problem, dass Aufsichtsbehörden zum Teil E-Mail mit Anhängen nicht annehmen oder Anhänge zu groß sind. 

4.

Rechtsfolge der Anzeige ist laut Begründung „per Gesetz die alleinige Zuständigkeit nur einer einzigen Aufsichtsbehörde herbeizuführen“. Dies verstehe ich so, dass die Aufsichtsbehörde an diese Anzeige ebenfalls gebunden sein sollen. Zumindest wird keine Unterscheidung der Rechtsfolge für Verantwortliche und/oder Aufsichtsbehörden vorgenommen. 

Was geschieht aber, wenn eine beteiligte Aufsichtsbehörde nicht einverstanden ist bzw. die Angaben aus der Anzeige anzweifelt? Gibt es hier rechtliche Möglichkeiten der anderen Aufsichtsbehörden, gegen den Akt der Anzeige und/oder seine Rechtswirkung vorzugehen? 

Dasselbe Problem ergibt sich meines Erachtens auch für den Kreis der Verantwortlichen? Wenn ein Unternehmen mit anderen Partnern gemeinsamer Verantwortlicher ist, und dann ein Verantwortlicher voreilig die Anzeige versendet, bindet dies alle gemeinsam Verantwortlichen mit Eingang der Anzeige? Wenn ja, gibt es hiergegen eine Rechtsschutzmöglichkeit für andere Verantwortliche?

Zudem stellt sich mir die Frage, wie man die Rechtsfolge einer Anzeige zurücknehmen kann? Oder ist dies gar nicht vorgesehen. 

5.

Und noch zu dem entscheidenden Zuständigkeitskriterium des § 40a. Die Norm gibt vor, dass allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. Das Anknüpfungskriterium des Umsatzes ist meines Erachtens für behördliche Zuständigkeitsfragen ungeeignet. Zum einen kann dies im Ergebnis bedeuten, dass eine Aufsichtsbehörde an dem Sitz eines Unternehmens allein (!) zuständig wird, an dem es keine Leitungspersonen gibt. Hierauf stellt die DSGVO aber gerade bei Fragen der Zuständigkeit, insbesondere bei der Hauptniederlassung, ab. Will man, was sich wohl auf der Begründung ableiten lässt, wegen möglicher Bußgelder die alleinige Zuständigkeit am Ort des höchsten Umsatzes begründen, bricht dies daher aus meiner Sicht mit der Systematik der DSGVO. 

6.

Zudem stellt sich mir die Frage, was es bedeutet, wenn eine Aufsichtsbehörde „allein … zuständig sein soll“? Gelten dann nicht mehr die Vorgaben der DSGVO (bzw. auch des BDSG) zur Zuständigkeit von allen betroffenen Behörden? Will § 40a BDSG also im Grunde das System der federführenden Behörde im Bereich der gemeinsamen Verantwortlichkeit nicht fortführen. Dafür könnte man vorbringen, dass nach Ansicht des EDSA die DSGVO für den Fall des Art. 26 DSGVO gerade keine Zuständigkeitsvorgaben enthält. 

Andererseits durchzieht die DSGVO ja gerade der Gedanke der Abstimmung zwischen zuständigen Aufsichtsbehörden, was gerade der einheitlichen Anwendung der DSGVO dienen soll. Mit dem Vorschlag in § 40a BDSG, wirklich eine komplett singuläre Zuständigkeit einzuführen, die auch nicht einmal mehr im Rahmen von Abstimmungen vor Entscheidungen unter den Aufsichtsbehörden „aufgemacht“ wird, schafft man im Grunde eine zuständige „Superbehörde“, auf deren Entscheidungen andere Aufsichtsbehörden nicht einmal mehr Einfluss nehmen könnten. 

EU-Kommission plant Anpassung der DSGVO – Überblick zur Initiative

Posted on by

Die Europäische Kommission hat eine Initiative für die Anpassung ausgewählter Bereich der DSGVO gestartet. Bis zum 24.3.23 können interessierte Gruppen hierzu Stellungnahmen abgeben.

Um was geht es?

Direkt vorab: die Kommission plant (zumindest nach ihrem Vorschlag) nicht, die DSGVO „komplett auf zu machen“. Vielmehr ist die Idee der Kommission, eine Verordnung zur Anpassung ganz spezifischer Vorschriften der DSGVO bzw. auch zum Erlass eigenständiger Regelungen zu entwerfen. Hier kann man sich dazu einen Überblick verschaffen und auch eine Stellungnahme abgeben.

Laut den Angaben der Kommission zielt die Initiative darauf ab, „die Zusammenarbeit zwischen den nationalen Datenschutzaufsichtsbehörden bei der Durchsetzung der Datenschutz-Grundverordnung (DSGVO) in grenzüberschreitenden Fällen zu optimieren“.

Es soll die „Harmonisierung einiger Aspekte der Verwaltungsverfahren, die die Datenschutzaufsichtsbehörden in diesen Fällen anwenden, vorgeschlagen“ werden. Aus diesen Angaben lässt sich bereits der beschränkte Anwendungsbereich der Initiative erkennne. Es geht der Kommission um die Zusammenarbeit und die Vereinheitlichung von Verfahren bei „grenzüberschreitenden Fällen“; betroffen dürften daher Vorschriften in Kapitel VII (ab Art. 60 DSGVO) sein.

Was wird vorgeschlagen?

Auf der oben verlinkten Webseite ist im unteren Bereich ein Sondierungsdokument der Kommission mit weiteren Informationen verfügbar (PDF), aus dem sich ein guter erster Überblick zu dem Inhalt des Vorschlags ergibt.

Bei den nachfolgend genannten Themen sieht die Kommission Änderungsbedarf:

  • Bearbeitung von Beschwerden
  • Beschwerdeformular
  • Verfahrensdauer
  • Umfang des Anspruchs auf rechtliches Gehör und Zeitpunkt des Verfahrens, zu dem es gewährt wird
  • die Einbeziehung der Beschwerdeführer während des Verfahrens, einschließlich der Bereitstellung von Informationen über den Fortgang der Untersuchung

Es geht also vor allem um Aspekte auf Verfahrensebene, wenn Aufsichtsbehörden zusammenarbeiten und Betroffenenbeschwerden bearbeiten. Die Anpassungen bzw. Neuregelungen sollen in der Form einer EU-Vorordnung erlassen werden, also mit unmittelbarer Wirkung in den Mitgliedstaaten.

Vor allem geht es der Kommission auch darum, dass eine Untersuchung durch Datenschutzbehörden sowohl für die betroffenen Personen als auch für die von der Untersuchung betroffenen Parteien schneller abgeschlossen werden kann. Hierzu sollen im Rahmen der Initiative weitere Schritte für die Zusammenarbeit zur Konsensbildung zwischen den Aufsichtsbehörden festgelegt werden.

Wenn man sich dafür interessiert, was dies konkret bedeutet, lohnt sich ein Blick in ein Dokument (PDF) des EDSA, welches der Kommission im Oktober 2022 übersendet wurde. Die Kommission verweist in ihrer Initiative explizit auf diesen, wenn man so will, Vorschlagskatalog der Aufsichtsbehörden.

Was ist nicht von der Initiative umfasst?

Im Grunde alle anderen Vorschriften der DSGVO. Die Initiative zielt also etwa nicht darauf ab, Änderungen bei den Informationspflichten nach Art. 13 und 14 DSGVO oder bei dem Auskunftsanspruch nach Art. 15 DSGVO oder den Vorgaben zum Umgang mit besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) vorzuschlagen.

Zumindest ist dies derzeit nicht die Intention der Kommission. Man darf gespannt sein, ob es bei diesem sehr eng begrenzten Themenfeld der Initiative bleibt und ob die Kommission sich hier gegen Änderungsvorschläge- und wünsche für weitere Bereiche der DSGVO „wehren“ kann. Es würde mich nicht wundern und wäre verständlich, wenn die Initiative der Kommission von interessierten Gruppen auch dazu verwendet wird, den Umfang der geplanten Anpassungen zu erweitern. Nach dem Motto: „Wenn wir die DSGVO jetzt schon einmal auf machen, dann aber richtig.“

Bayerischer Landesbeauftragter: Datenlöschung kann grundsätzlich von Verjährungs- oder Klagefristen abhängig gemacht werden

Posted on by

Der Bayerische Landesbeauftragte (BayLfD) hat im Juli eine schöne Orientierungshilfe zu dem Recht auf Löschung nach der DSGVO veröffentlicht (PDF). Hierbei geht die Behörde auch auf die praxisrelevante Frage ein, ob und wenn ja, wann personenbezogene Daten zu löschen sind, wenn diese Daten gegebenenfalls noch im Rahmen von rechtlichen Auseinandersetzungen und zur Verteilung gegen Ansprüche erforderlich sind.

Nach Art. 17 Abs. 1 lit. a) DSGVO sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Nach dem BayLfD sind die Daten für den Verarbeitungszweck unter anderem nicht mehr notwendig, wenn dieser Zweck schon erreicht wurde, indem die ursprünglich angedachte Maßnahme durchgeführt wurde, und dazu nur die temporäre Datennutzung erforderlich war. Ebenso ist es aber auch möglich, dass die Zwecke nicht erreicht wurden und auch nicht mehr erreichbar sind.

Nach Art. 17 Abs. 3 lit. e) DSGVO gilt Absatz 1 jedoch nicht (es besteht also keine Löschpflicht), soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Zweck dieser Vorschrift ist es laut dem BayLfD u.a., einem Beweismittelverlust durch Löschung entgegenwirken. Zudem gelte die Ausnahme sowohl für gerichtliche wie außergerichtliche Verfahren. Diese Klarstellung ist sehr praxisrelevant, da natürlich nicht jede Streitigkeit zu Verträgen oder etwa Ansprüchen von Kunden direkt gerichtlich ausgefochten wird.

Wann darf man sich auf die Ausnahme berufen?

Eine strenge Ansicht vertritt der BayLfD jedoch bei der Frage, wann davon auszugehen ist, dass die Daten für die Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich sind. Nach Ansicht der Behörde wäre es nicht mehr erforderlich,

wenn Daten nur zu dem Zweck dauerhaft gesammelt würden, weil diese theoretisch irgendwann Gegenstand eines Rechtsstreits sein könnten. Vielmehr muss die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bereits stattfinden oder mit einer hinreichend hohen Wahrscheinlichkeit bevorstehen“.

Diese Ansicht vertreten auch andere deutsche Aufsichtsbehörden. Meines Erachtens benachteiligt eine solche Auffassung aber datenverarbeitende Stellen unangemessen, bei denen es bisher nie zu Problemen kam. Ein Beispiel: der Schönheitschirurg, der sich bisher nie Klagen von Patienten ausgesetzt sah, dürfte Behandlungsdokumentation nicht mit dem Argument speichern, dass eine solche Klage in Zukunft aber theoretisch möglich ist. Andererseits dürfte der Arzt, bei dem es regelmäßig zu Klagen von Patienten wegen schlechter Behandlung kommt, die personenbezogenen Daten speichern, um sich verteidigen zu können. Denn bei ihm bestünde eine „hinreichende Wahrscheinlichkeit“. Dieses Ergebnis ist aus meiner Sicht unangemessen und so auch nicht aus Art. 17 Abs. 3 lit. e) DSGVO ableitbar.

Orientierung an Verjährungs- und Klagefristen

Begrüßenswert ist die Auffassung des LfD, dass sich die zeitliche Dimension der Erforderlichkeit im Grundsatz klar bemessen lässt,

wenn die Möglichkeit der Rechtsdurchsetzung an Fristen (etwa Verjährungs- oder Klagefristen) gebunden ist.“

Die Behörde hält es also für zulässig, wenn sich Verantwortliche bei der Frage der Löschung an laufenden Verjährungsfristen und Klagefristen von Ansprüchen orientieren. Ich würde hier auch entsprechende Fristen zur Verfolgungsverjährung, etwa aus dem OwiG zählen (§ 31 OwiG). Jedoch schränkt der LfD seine Ansicht dahingehend ein, dass insbesondere bei langen Verjährungsfristen eine Abwägung zwischen den Interessen der betroffenen Person auf Löschung der Daten einerseits und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen andererseits vorzunehmen sei. Diesbezüglich stellt sich meines Erachtens erneut das oben angesprochene Problem, dass bei einer solchen Auslegung datenverarbeitende Stellen begünstigt wären (Daten also speichern dürften), wenn sie in der Vergangenheit mit Ansprüchen und Klagen konfrontiert waren; Unternehmen, bei denen es jedoch bislang nie solche Streitigkeiten gab, müssten aber wohl vor Ablauf einer „langen“ Verjährungsfrist löschen. Unklar ist hier, was der LfD unter einer „langen“ Frist versteht.

Bundesrat: Bayern möchte Benennungspflicht für Datenschutzbeauftragte einschränken

Posted on by

Das Bundesland Bayern hat im Bundesrat einen Antrag für eine „Entschließung des Bundesrates zur Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU“ (PDF) mit Datum vom 10.5.2022 eingebracht. In dem Antrag schlägt Bayern verschiedenste Anpassungen des BDSG vor dem Hintergrund des Berichts des Bundesministeriums des Innern zur Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes aus 2021 vor.

Pflicht zur Benennung eines Datenschutzbeauftragten

Kernbestandteil des Entwurfs ist die Beschränkung der Benennungspflicht für Datenschutzbeauftragte nach § 38 BDSG. Hinsichtlich dieser nationalen Regelung wird bereits ganz allgemein Kritik geäußert, in dem die Änderungsvorschläge wie folgt eingeleitet werden: „Soll an der zusätzlichen nationalen Regelung überhaupt weiterhin festgehalten werden…“.

In dem Entwurf schlägt Bayern vor, „in Anlehnung an den von der DSGVO verfolgten risikobasierten Ansatz“, § 38 Abs. 1 BDSG anzupassen. Die dort vorgegebene Grenze von mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, soll insofern modifiziert werden, dass als relevante Beschäftigte nur solche Personen gelten, die bei ihrer Tätigkeit die Voraussetzungen des Art. 37 Abs. 1 lit. b, c DSGVO erfüllen.

Derzeit bestehen nur die Anforderungen, dass die 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Voraussetzung soll nun noch verschärft werden, in dem zusätzlich an die Kriterien aus Art. 37 Abs. 1 lit. b und c DSGVO angeknüpft werden soll.

Der Antrag begründet hierzu:

Die zusätzliche Benennungspflicht nach nationalem Recht sollte demnach nur dann bestehen, soweit der Verantwortliche oder Auftragsverarbeiter mindestens 20 Personen beschäftigen, deren Kerntätigkeit in der Durchführung von Verarbeitungstätigkeiten besteht, welche aufgrund ihrer Art, ihres Umfangs und / oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder deren Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten i.S.d. Art. 9, 10 DSGVO besteht.“

Ziel dieses Vorschlags ist es, kleinere und mittlere Unternehmen zu entlasten.

Ich persönlich sehe solche Forderungen kritisch. Denn nur weil ggfs. die Benennungspflicht entfällt, bedeutet dies natürlich nicht, dass die Unternehmen sich nicht mehr an die DSGVO halten müssen. In der Praxis existiert aber leider die Vorstellung: „Kein DSB erforderlich – Keine Vorgaben aus dem Datenschutzrecht zu beachten“. Das ist natürlich falsch und für die Unternehmen im schlimmsten Fall auch rechtlich gefährlich. Politisch klingt ein solcher Vorschlag freilich super: wir entlasten die Unternehmen (von einer Pflicht…).

Verzeichnis von Verarbeitungstätigkeiten

Zudem schlägt Bayern vor, in die gegebenenfalls zu erstellende Gesetzbegründung den Hinweis aufzunehmen, dass Unternehmen, wenn sie nach (einem neuen) § 38 BDSG keinen Datenschutzbeauftragten benennen müssen, auch kein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen müssen.

Auch diesen Vorschlag empfinde ich eher als politisches Geschenk an die wählenden Unternehmen. Denn auch hier gilt: nur, weil ich als Unternehmen evtentuell kein Verzeichnis führen muss, muss ich dennoch die übrigen Pflichten der DSGVO einhalten. UND: das Verzeichnis ist in der Praxis eine extrem relevante Hilfe bei der Erfüllung weiterer Pflichten, wie etwa jener zur Informationserteilung nach Art. 13, 14 DSGVO oder auch zur Erfüllung von Auskunftsanträgen nach Art. 15 DSGVO. Fällt die Pflicht für das Verzeichnis weg, steht das Unternehmen im Zweifel „nackig“, ohne Übersicht zu seinen Datenverarbeitungen da, wenn der erste Betroffene Auskunft über seine Daten, die Empfänger etc. verlangt.

Institutionalisierung der DSK

Auch zur Zukunft der DSK enthält der Entwurf eine Position. So wird die Auffassung des BMI aus seinem Bericht geteilt, dass eine Regelung im BDSG

zur weitergehenden Institutionalisierung der DSK wegen des Verbots der Mischverwaltung an verfassungsrechtliche Grenzen stößt.“

Zudem schlägt Bayern vor, sich gegen Befugnisse der DSK zu verbindlichen Entscheidungen über Auslegungsmaximen des Datenschutzrechts und Angelegenheiten des Datenschutzes auszusprechen.

Interessenkonflikt des internen Datenschutzbeauftragten: Belgische Datenschutzbehörde verhängt 75.000 EUR Bußgeld

Posted on by

NOYB berichtet in seinem GDPRhub über eine praxisrelevante Entscheidung (Englisch) der belgischen Datenschutzbehörde vom 16.12.2021.

Die belgische Datenschutzbehörde verhängte danach gegen eine Bank eine Geldbuße, weil ihr Datenschutzbeauftragter gleichzeitig Leiter von drei Abteilungen mit Entscheidungsbefugnissen über die Verarbeitung personenbezogener Daten war. Nach Ansicht der Aufsichtsbehörde führte dies zu einem Interessenkonflikt, der gegen Art. 38 Abs. 6 DSGVO verstieß.

Danach kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen. Jedoch muss der Verantwortliche oder der Auftragsverarbeiter sicherstellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

In dem vorliegenden Fall war der interne Datenschutzbeauftragte gleichzeitig Leiter

  • des operativen Risikomanagements der Bank,
  • der Abteilung für Informationsrisikomanagement und
  • der Sonderermittlungsstelle.

Nach Auffassung der belgischen Datenschutzbehörde handelte es sich bei diesen Tätigkeiten nicht nur um eine rein beratende und überwachende Funktion. Ein Interessenkonflikt wird von Behörden oft angenommen, wenn der Datenschutzbeauftragte über die Verarbeitung personenbezogener Daten entscheiden kann.

Hier die Ansicht des EDSA (damals noch Art. 29 Gruppe) aus dem WP 243 (S. 19):


dass der DSB innerhalb einer Einrichtung keine Position innehaben kann, welche es mit sich bringt, dass er die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Aufgrund der jeder Einrichtung eigenen strukturellen Unterschiede ist diese Frage fallweise zu betrachten.“

Da der Datenschutzbeauftragte hier die endgültige Verantwortung für die genannten Abteilungen trug, war die Datenschutzbehörde der Ansicht, dass ein Interessenkonflikt vorlag, der gegen die DSGVO.

Auf dieser Grundlage verhängte die Datenschutzbehörde eine Geldbuße in Höhe von 75.000 Euro gegen die Bank.

Der „Zugriff“ auf Endeinrichtungen nach § 25 TTDSG – ein historischer Blick auf den Schutzzweck der Norm

Posted on by

Mit der Neureglung des § 25 Abs. 1 TTDSG wird aktuell oft darüber diskutiert, wann eine tatbestandliche „Speicherung von Informationen“ oder ein „Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ vorliegt. Die Antwort auf diese Frage kann in der Praxis darüber entscheiden, ob ein bestimmter (technischer) Vorgang in den Anwendungsbereich des § 25 Abs. 1 TTDSG und damit dem Einwilligungsvorbehalt unterliegt.

Für das Verständnis dieser Begrifflichkeiten ist meines Erachtens elementar, den Sinn der europäischen Grundlage, Art. 5 Abs. 3 ePrivacy Richtlinie, und die dahinter liegende Intention des Gesetzgebers zu beleuchten. Nachfolgend möchte ich daher einen Überblick über die Entstehung der Vorschrift und die Begründungen des Gesetzgebers hierzu geben.

Ursprung – das Parlament

Im ursprünglichen Entwurf für die ePrivacy Richtlinie der EU Kommission war Abs. 3 des Artikel 5 noch gar nicht enthalten. In dem zweiten Bericht des LIBE-Ausschusses vom 24.10.2001 wurde mit Änderungsantrag 26 ein neuer Art. 5 Abs. 2a vorgeschlagen. Dieser lautete:

Die Mitgliedstaaten verbieten die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die auf dem Endgerät eines Teilnehmers oder Nutzers gespeichert sind, ohne die vorherige ausdrückliche Einwilligung des betreffenden Teilnehmers oder Nutzers. Dies gilt nicht für eine technische Speicherung oder den Zugang zum alleinigen Zweck der Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.“

Für das Verständnis der Norm und vor allem ihres Schutzgedankens, ist die Begründung für diesen Vorschlag relevant. Danach sind Endgeräte der Nutzer elektronischer Kommunikationsnetze und etwaige dort gespeicherte Informationen Teil der Privatsphäre des Nutzers und schutzwürdig.

Weiter wird die Anpassung damit begründet, dass sogenannte cookies, spyware, web bugs, hidden identifiers (Software zum Ausspionieren im Internet) und ähnliche Systeme, die ohne ausdrückliches Wissen oder ausdrückliche Zustimmung des Nutzers in sein Endgerät eindringen, um Zugang zu Informationen zu bekommen, verborgene Informationen zu speichern oder die Aktivitäten des Nutzers zurückzuverfolgen, eine ernsthafte Verletzung der Privatsphäre darstellen können.

Daher, so die Begründung, sollte die Verwendung solcher Systeme deshalb verboten werden, es sei denn, der betreffende Benutzer hat ausdrücklich und in Kenntnis der Sachlage freiwillig seine Einwilligung gegeben.

Deutlich wird in dieser Begründung, dass der LIBE-Ausschuss die Privatsphäre der Nutzer vor „Software zum Ausspionieren“ schützen und eine Zurückverfolgung des Nutzers verhindern möchte. Gleichzeitig sieht Satz des Vorschlags aber bereits Ausnahmen von dem Einwilligungserfordernis vor.

Die Schutzrichtung des Vorschlags bezieht sich auf ein „Eindringen“ in das Endgerät. Man wollte hier also wohl die Privatsphäre nach außen schützen, jedoch nicht die Gegenrichtung, das Aussenden von Informationen von dem Endgerät selbst erfassen (vgl. „in sein Endgerät eindringen“).

Dieser Vorschlag wurde so auch durch das Parlament am 13.11.2001 angenommen.

Anpassungen im Rat

Am 30.11.2001 hat sich der Ausschuss der ständigen Vertreter (PDF) im Rat der Europäischen Union mit den Änderungsvorschlägen des Parlaments befasst. Dort wird zu dem neuen Art. 5 Abs. 2 a darüber informiert, dass nach Auffassung der Kommission diese Abänderung zwar neue und positiv zu bewertende Elemente, aber in ihrer Tragweite noch präzisiert werden müsste. Vor diesem Hintergrund hat der Ratsvorsitz zwei neue Erwägungsgründe 24 und 25 eingefügt, „um die unterschiedliche Behandlung einerseits von „Cookies – mit denen legitime Ziele verfolgt werden und die unter bestimmten Bedingungen verwendet werden dürfen – und andererseits von Spionageprogrammen – die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind – klarzustellen“. Zudem sollte der neue Abs. 2 a entsprechend angepasst werden.

Auch hier wird deutlich, dass die vorgeschlagene Regelung zum einen eine Balance ermöglichen sollte, gewissen Zugriffe bzw. das Speichern von Informationen (konkret werden Cookies genannt) ohne Einwilligung zuzulassen. Zum anderen grenzt der Rat diese, wenn man so will „guten“ Zugriffe von Spionageprogrammen ab, „die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind“. Vor allem die Heimlichkeit des Zugriffs scheint hier ein wichtiger Faktor aus Sicht des Rates zu sein.

Auch diese Begründung spricht für eine Auslegung, dass die Norm einen Schutz nach außen schaffen möchte, jedoch nicht dazu gedacht war, das Aussenden von Informationen aus Endgeräten, die ohne vorherigen Einfluss von außen erfolgen, zu untersagen.

Frankreich wird etwas konkreter

Noch konkreter wurde am 4.12.2001 die französische Delegation, die einen Vorschlag (PDF) für Anpassungen, sowohl der Erwägungsgründe als auch des Art. 5 selbst vorlegte. Die Vorschläge Frankreichs basieren auf den neuen Entwürfen des Ratsvorsitzes.

Zum einen fällt natürlich auf, dass der Rat (und ohne Änderung Frankreichs) das Einwilligungserfordernis des Parlaments in ein Widerspruchsrecht umwandelte. Schlussendlich wurde die Einwilligung mit der RL 2009/136/EG in Art. 5 Abs. 3 verankert.

Zum anderen zeigen auch die Vorschläge Frankreichs ziemlich deutlich, welche Schutzrichtung der damalige Art. 5 Abs. 3 bezweckte. So führte Frankreich in ErwG 25 den Satz ein: „Die Information über die Verwendung mehrerer derartiger Instrumente durch Installierung im Endgerät des Nutzers…“. Hieraus wird deutlich, dass das Endgerät nach außen hin („durch Installierung im Endgerät“) geschützt werden soll. Auch in dem Vorschlag des Ratsvorsitzes zu dem neuen ErwG 25 wird dies klar. So heißt es dort „der Betreiber einer Website, der solche Instrumente versendet oder Dritten erlaubt, diese über seine Website zu versenden“. Der neue Art. 5 Abs. 3 sollte mithin Schutz gegen das Versenden von Instrumenten von außen bieten. Es wird jedoch nie erwähnt, dass auch ein Aussenden aus dem Endgerät für die Norm von Relevanz wäre.

Fazit

Ich denke, es sprechen sowohl der Wortlaut der jetzt gültigen Norm als auch die Erwägungen ihrer Entstehung recht klar für ein Verständnis, dass Art. 5 Abs. 3 Zugriffe (zB „Eindringen“) von außen von der Einwilligung abhängig machen möchte, wenn nicht eine Ausnahme vorliegt. Existiert aber schon kein solcher tatbestandlicher Vorgang des Zugriffs oder Eindringens von außen in das Endgerät, sondern werden zB von diesem Daten und Informationen ausgesendet, dürfte der Anwendungsbereich von Art. 5 Abs. 3 ePrivacy Richtlinie und § 25 TTDSG nicht eröffnet sein.

Datenschutzbehörden (noch) nicht zuständig für TTDSG-Bußgelder? – Berlin plant Anpassungen

Posted on by

Die Frage, welche Aufsichtsbehörden für die Verhängung von Bußgeldern nach § 28 Abs. 1 und 2 TTDSG zuständig ist, wurde bereits in der Vergangenheit diskutiert. Diese Frage dürfte sich insbesondere auch bei möglichen Verstößen gegen § 25 TTDSG stellen.

Unklarheiten bei der Zuständigkeit für Bußgelder – gesetzliche Grundlage erforderlich

Hintergrund dieser Diskussion ist, dass die ePrivacy-RL, als europäische Grundlage des TTDSG, gerade nicht vorgibt, dass die Sanktionierung zwingend durch die nationalen Datenschutzbehörden erfolgen muss. Hierzu etwa der EDSA (Stellungnahme 5/2019, PDF): „Mitgliedstaaten können dieselbe Behörde mit der Zuständigkeit ausgestattet haben, die nationale Umsetzung der e-Datenschutz-Richtlinie (teilweise) durchzusetzen, aber sie können sich auch für eine oder mehrere andere Behörden entschieden haben,…“ (Rz. 63).

Nach § 1 Abs. 1 Nr. 8 TTDSG bleiben bei Telemedien die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 BDSG unberührt. Für das TTDSG bleibt es im Bereich der Telemedien bei der Durchführung des Gesetzes durch die Länder und damit bei datenschutzrechtlichen Regelungen bei der Zuständigkeit der Datenschutzaufsichtsbehörden der Länder. Das bedeutet, dass die Bundesländer (wie übrigens auch zum alten TMG bisher) ausdrücklich festlegen, ob ihre jeweilige Landesdatenschutzbehörde auch zuständig ist, die Einhaltung der Vorgaben des TTDSG zu überwachen und Bußgelder zu verhängen.

Landesdatenschutzbehörden in Deutschland sind daher nicht per se auch zuständige Aufsichtsbehörden zur Überwachung der Einhaltung des TTDSG, insbesondere von § 25 TTDSG als Umsetzung von Art. 5 Abs. 3 ePrivacy-RL. Nationale Datenschutzbehörden sind nur dann für eine Überwachung der Umsetzungsvorschriften der ePrivacy-RL zuständig, „wenn das nationale Gesetz ihnen diese Zuständigkeit überträgt“ (EDSA, Stellungnahme 5/2019, Rz. 68).

In der Vergangenheit haben diese Zuständigkeitsbestimmung für das TMG aF auch einige Bundesländer vorgenommen. So etwa in Berlin, in § 1 Nr. 16 ZustVO-OWiG.

In den letzten Monaten sind Aufsichtsbehörden in Deutschland aber oft davon ausgegangen, dass sie auch weiterhin für Bußgelder bei TTDSG-Verstößen zuständig sind, auch wenn dies nicht ausdrücklich geregelt ist.

Neue Entwicklung: Berliner Senat plant Anpassung der Zuständigkeitsregeln wegen des TTDSG

Nun veröffentlichte der Berliner Senat am 1.2.22 eine Pressemitteilung in der es heißt: „Der Senat von Berlin hat heute auf Vorlage der Senatorin für Inneres, Digitalisierung und Sport, Iris Spranger, den Entwurf einer Änderungsverordnung zur Kenntnis genommen. Damit soll die Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten an die seit 1. Dezember 2021 geltende Rechtslage des Telemediengesetzes und des Telekommunikation-Telemedien-Datenschutz-Gesetzes angepasst werden“.

Der Entwurf der Änderungen ist leider noch nicht öffentlich verfügbar. Jedoch wird in der Pressemitteilung erläutert: „Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit übernimmt die Zuständigkeit für die Verfolgung und Ahndung von Verstößen gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz“.

Na nu, mag man meinen. Aber wenn doch die Datenschutzbehörden ohnehin schon jetzt zuständig wären, Bußgelder für TTDSG-Verstöße zu verhängen, warum muss dann die gesetzliche Grundlage dafür angepasst werden?

Natürlich zeigt diese geplante Anpassung in Berlin, dass wohl die Landesregierung mindestens Unsicherheiten bei der Frage sieht, welche Aufsichtsbehörde für die Verhängung von Bußgeldern (insbesondere auch bei Verstößen gegen § 25 TTDSG) zuständig ist. Man könnte also die Frage stellen, ob die Zuständigkeit in Berlin, bis zur finalen Anpassung der ZustVO-OWiG, noch nicht geregelt ist. Dies hätte Auswirkungen auf mögliche Bußgeldverfahren.

Zudem finde ich die Überlegung spannend, was diese öffentlich angekündigte Anpassung in Berlin für andere Länder und dortige Aufsichtsbehörden bedeutet? Stehen diese nun ebenfalls unter Zugzwang, entsprechende landesrechtliche Zuweisungen zu erhalten? Denn die Argumentation, dass eine landesrechtliche Anpassung notwendig scheint, dürfte übertragbar sein. Ich kenne bisher noch keine explizite Zuständigkeitsregelung für TTDSG-Verstöße in anderen Bundesländern.

Oberlandesgericht Dresden: Gesetzliche Aufbewahrungspflichten müssen für das einzelne Datum in Dokumenten geprüft werden

Posted on by

In seinem Urteil vom 14.12.2021 (Az 4 U 1278/21) befasst sich das Gericht u.a. mit der Frage, ob nationale Pflichten zur Aufbewahrung von Dokumenten als Rechtsgrundlage für eine weitere Speicherung jeglicher in den Dokumenten enthaltenen Daten dienen können.

Nach Auffassung des Gerichts stellen gesetzliche Aufbewahrungspflichten keine Rechtfertigung dar, um nicht rechtmäßig erhobene Daten dauerhaft speichern zu dürfen.

es ist Aufgabe des Aufbewahrungspflichtigen, seinen Datenbestand so zu organisieren, dass der Zugriff auf rechtswidrig erlangte Daten des Betroffenen nicht möglich ist.“

Konkret befasst sich das Gericht auch mit einer möglichen Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der nationalen Regelung des § 147 AO. Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Die Datenverarbeitung könne zwar erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen.

Die Erlaubnis zur Datenverarbeitung ist jedoch nach Ansicht des OLG auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt. Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen.

Das OLG verweist hier darauf, dass es auf die Form der Korrespondenz nicht ankommt, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind.

Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Nach Ansicht des OLG sind im vorliegenden Fall die Beklagten nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. HIer wird deutlich, dass das Gericht die Löschpflicht (und damit im Gegensatz dazu die legitimierende Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO) datumsbezogen versteht.

Das Gericht betrachtet folglich nicht das Dokument an sich (mit allen dort enthaltenen Daten) und knüpft daran eine mögliche Pflicht zur weiteren Speicherung der enthaltenen Daten. Sondern das Gericht verlangt wohl eine Prüfung der Rechtsgrundlge für jedes in dem Dokument enthaltene Datum.

Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige – und aufbewahrungspflichtige Daten zugreifen kann“.

Dies könne in der Praxis z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen.

Die Entscheidung des Gerichts ist praktisch relevant, da sie datenverarbeitende Stellen vor die Herausforderung stellt, Aufbewahrungspflichten nicht allein anhand von Dokumenten zu prüfen, sondern in dem Dokument jedes Datum näher zu betrachten und ggfs. entsprechene Maßnahmen zur Löschung, zB als Schwärzung, zu ergreifen.

Bundesinnenministerium: DSGVO-Bußgelder müssen nach den Vorgaben des deutschen OWiG verhängt werden

Posted on by

Das Bundesministerium des Innern (BMI) hat das neue BDSG evaluiert und den entsprechenden Bericht nun veröffentlicht (abrufbar auf der Webseite, PDF). Für die Evaluation wurden u.a. öffentliche als auch private Stellen sowie Datenschutzaufsichtsbehörden befragt.

Von besonderer Praxisrelevanz ist das Ergebnis des Berichts zu der umstrittenen Anwendung der Vorgaben der §§ 30, 130 OWiG im Rahmen der Verhängung von Bußgeldern nach Art. 83 DSGVO.

Hintergrund

Nach § 41 Abs. 1 S. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO, soweit das BDSG nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Nach § 41 Abs. 2 S. 1 BDSG gelten auch für Verfahren wegen eines Verstoßes nach Art. 83 Abs. 4 bis 6 DSGVO die Vorschriften des OWiG.

Zu beachten ist, dass das OWiG keine unmittelbare bußgeldrechtliche Haftung von Unternehmen kennt. Bei einer Verhängung von Geldbußen müssen die Voraussetzungen des § 30 Abs. 1 OWiG erfüllt sein. Hierfür bedarf es einer Tat, die der juristischen Person zugerechnet werden kann. Der Täter dieser Tat muss zu dem in § 30 Abs. 1 Nr. 1 – 5 OWiG genannten Personenkreis stammen; erfasst sind sog. Leitungsperson.

Das bedeutet, dass Täter nach dem System des OWiG eine natürliche Person und gerade nicht das Unternehmen selbst sein kann.

In der Vergangenheit haben das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) einerseits und das LG Berlin (Beschl v. 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20)) andererseits unterschiedliche Auffassung dazu vertreten, ob dieser Verweis in § 41 BDSG auf die Vorgaben des deutschen OWiG europarechtskonform ist. Es wird darüber gestritten, ob nicht die DSGVO (insb. wegen des ErwG 150 DSGVO) eine unmittelbare Unternehmenshaftung (Verbandshaftung) vorschreibe und daher eine Anknüpfung an das Verhalten einer natürlichen Person (entsprechend § 30 OWiG) gegen die DSGVO verstoßen würde.

Einschätzung des BMI

Zunächst verweist das BMI in Bezug auf den Kontext der Schaffung von § 41 Abs. 1 BDSG darauf, dass sich der Gesetzgeber seinerzeit bewusst („und in Kenntnis der Rechtsauffassung der Datenschutzaufsichtsbehörden“) zu dieser Thematik dafür entschieden habe, die §§ 30, 130 OWiG nicht aus den nach § 41 Abs. 1 BDSG anwendbaren Vorschriften des OWiG auszunehmen.

Das BMI gibt also im Grunde den Hinweis, dass die Erklärung der Anwendbarkeit der §§ 30, 130 OWiG bewusst vom Gesetzgeber gewollt war, in Kenntnis der kritischen Stimmen.

Sodann begründet das BMI diese Entscheidung des Gesetzgebers. Diese basiere auf der Erwägung, dass Art. 83 Abs. 8 DSGVO es gerade den Mitgliedstaaten überlasse, die Einzelheiten des Bußgeldverfahrens zu regeln. Und dann führt das BMI aus (S. 62):


Etwas anderes ergibt sich im Übrigen auch nicht aus Erwägungsgrund 150 zur DSGVO; dieser ist insgesamt und in seinem systematischen Kontext zu lesen. Er bezieht sich auf Artikel 83 DSGVO und konkret auf die dortigen Regelungen der Bußgeldhöhe, enthält aber keine Vorgaben zu den Voraussetzungen, unter denen Verstöße von natürlichen Personen eine bußgeldrechtliche Verantwortlichkeit von juristischer Person und Personenvereinigung auslösen.“

Das BMI geht von der Zulässigkeit des Verweises auf die §§ 30, 130 OWiG auch vor dem Hintergrund der Vorgaben des ErwG 150 DSGVO aus, da dieser (und auch Art. 83 DSGVO) gerade keine Regelungen zum Adressaten des Bußgeldes machen, sondern allein zur Berechnung bzw. zum finanziellen Rahmen.

Rechenschaftspflichten der DSGVO: Rechtmäßigkeit der Verarbeitung personenbezogener Daten in Dokumenten und Aufbewahrungsdauer

Posted on by

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) (zuständig für öffentliche Stellen) hat kürzlich eine neue Orientierungshilfe (PDF) zur Einwilligung nach der DSGVO veröffentlicht.

Eine abstrakt relevante Ansicht findet sich dort zu der Frage, ob und wenn ja, auf welcher Grundlage Verantwortliche personenbezogene Daten verarbeiten dürfen bzw. müssen, um ihren Rechenschaftspflichten, etwa Art. 5 Abs. 2 oder Art. 7 Abs. 1 DSGVO, nachzukommen.

Es geht mithin um die Frage, ob die in Dokumenten enthaltenen personenbezogenen Daten von Betroffenen verarbeitet werden dürfen, auch wenn die eigentliche Verarbeitung der Daten schon beendet ist. Beispiel: Aufbewahrung der einmal erteilten Einwilligung im Fall des Widerrufs. Nach Ansicht der Behörde weist der Verantwortliche damit nach, dass mit der Einwilligung eine Rechtsgrundlage bestand und die darauf beruhende Verarbeitung personenbezogener Daten bis zum  Widerruf der Einwilligung rechtmäßig war.

Diese Gedanke, dass der Nachweis zu einer in der Vergangenheit zulässigen Verarbeitung auch nach deren Beendigung aufbewahrt werden muss, lässt sich auch auf andere Konstellationen und Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO übertragen.

Konkret auf den Fall der Einwilligung führt die Behörde aus:

„Die in der Einwilligungserklärung und dem Widerruf enthaltenen personenbezogenen Daten unterliegen ihrerseits auch dem Recht auf Löschung“.

Diese personenbezogenen Daten werden durch den Verantwortlichen aber nach Art. 6 Abs. 1 lit. c, Abs. 3 lit. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO. Diese Begründung lässt sich verallgemeinert auf die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO übertragen.

Die in den Nachweisen enthaltenen Daten sind gemäß Art. 17 Abs. 1 lit. a DSGVO zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, wenn also Nachweis- und Rechenschaftspflichten eine weitere Aufbewahrung nicht mehr erfordern.

Und wann enden solche Aufbewahrungsfristen? Die DSGVO macht hierzu keine spezifischen Vorgaben.

Nach Ansicht des BayLfD enden sie dann, wenn die Verarbeitung vollständig abgeschlossen ist, die aufgrund der Einwilligung verarbeiteten personenbezogenen Daten beim Verantwortlichen nicht mehr vorhanden sind

und der Verantwortliche kein rechtliches Interesse (etwa mit Blick auf Schadensersatzprozesse, vgl. Art. 17 Abs. 3 lit. e DSGVO) mehr daran hat, den Nachweis noch führen zu können.“

Die Behörde akzeptiert hiermit als wohl auch auch eine Orientierung an Verjährungsvorschriften für Schadensersatzansprüche nach Zivilrecht. Ergänzend würde ich zudem auch noch Verjährungsvorschriften für eine Verhängung von Bußgeldern durch eine Aufsichtsbehörde (§ 31 Abs. 2 OwiG) erwähnen.

Gerade im Bereich der Einwilligung ist zudem eine Änderung im UWG für Telefonwerbung zu beachten. Am 1.10.2021 tritt ein neuer § 7a UWG in Kraft. In Abs. 1 wird vorgegeben, dass Einwilligungen für Telefonwerbung gegenüber einem Verbraucher zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Abs. 2 S. 1 aufzubewahren. Und Abs. 2 S. 1 gibt vor: „Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren„.