Bußgeldhaftung nach der DSGVO: welche Faktoren sprechen für und gegen ein Verschulden? Bundesverwaltungsgericht Österreich zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“

Das Bundesverwaltungsgericht Österreich (BVwG) hat kürzlich eine wichtige Entscheidung gefällt, die sich mit den Faktoren für und auch gegen ein Verschulden im Rahmen von Art. 83 DSGVO befasst. Interessant ist dabei insbesondere, dass die Vorgaben des EuGH aus dem Deutsche Wohnen-Verfahren nun durch ein mitgliedstaatliches Gericht konkretisiert werden.

Hintergrund

Das Unternehmen betreibt ein Kundenbindungsprogramm, im Rahmen dessen auch Einwilligungen für die Verarbeitung zu werblichen Zwecken eingeholt wurden. Die österreichische Aufsichtsbehörde (DSB) leitete ein Prüfverfahren und aufgrund der Ermittlungsergebnisse auch ein Verwaltungsstrafverfahren ein, welches mit einem Bußgeldbescheid endete. Gegen diesen legte das Unternehmen Beschwerde ein.

Nach Ansicht der DSB habe das Ersuchen um Einwilligung der betroffenen Personen, die sich für das Kundenbindungsprogramm registriert hätten, nicht den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO entsprochen. Das Unternehmen habe daher personenbezogene Daten unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt habe werden können.

Im vorliegenden Verfahren ging um Fragen der Bußgeldhaftung des Unternehmens, also Art. 83 DSGVO. Konkret möchte ich mich hier mit dem Merkmal des Verschuldens (also der subjektiven Tatseite) befassen.

Merkmal des Verschuldens

Wie bekannt, hatte der EuGH in dem Deutsche Wohnen-Verfahren (C-807/21) im Dezember 2023 geurteilt, dass gegen einen Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Ein Verschulden liegt nach Rechtsprechung des EuGH wiederum dann vor, wenn das Unternehmen hätte erkennen können, dass sein Verhalten datenschutzwidrig war.

Die DSB sah ein Verschulden als gegeben an: die Geschäftsführer des Unternehmens hätten im konkreten Fall zunächst aufgrund objektiver Sorgfaltswidrigkeit die Entwürfe zu den gegenständlichen Ersuchen um Einwilligung genehmigt, obwohl diese dem Wortlaut der DSGVO bzw. den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO widersprechen würden. Zudem, so die DSB, hätten sie kein wirksames internes Kontrollsystem im Rahmen des Betriebs des Unternehmens implementiert, um die laufende Rechtsentwicklung in Bezug auf die gegenständlichen Einwilligungsersuchen zu überwachen.

Die beiden Kernvorwürfe waren also:

  • (Er)Kennenmüssen der Unzulässigkeit der Einwilligung, allein aufgrund der DSGVO-Anforderungen
  • Kein ausreichendes internes Compliance-System, das auch die aktuelle Rechtsprechung und Behördenansichten zu Anforderungen an die Einwilligung nach der DSGVO überwacht

Entscheidung des BVwG zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte

Das BVwG befasst sich mit der Frage des Verschuldens im Abschnitt „3.3.4.1. Zur strafrechtlichen Verantwortlichkeit und Verschulden der Beschwerdeführerin“.

Zunächst weist das Gericht auf die Grundlagen seiner nachfolgenden Bewertung hin. Insbesondere die Rechtsprechung des EuGH, wonach ein Verantwortlicher sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt.

Zur Haftung des Verantwortlichen setzt das BVwG vorab den generellen Pflichtenrahmen. Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich

auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind.“

Diese Haftung des Verantwortlichen bildet nach Ansicht des BVwG bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür, nach Art. 83 DSGVO eine Geldbuße zu verhängen.

Nach dem Urteil in der Rechtssache „Deutsche Wohnen“ hat man sich gefragt, was der EuGH konkret mit der Umschreibung „wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“ meint – welche Faktoren in der Praxis also für oder gegen ein Verschulden sprechen können. Hierzu gibt das BVwG einige praxisrelevante Hinweise:

A. Erkundigungspflicht des Verantwortlichen (bzw. der Geschäftsführung)

Das BVwG ist, mit der DSB, der Ansicht, dass das Unternehmen eine Erkundigungspflicht hinsichtlich der einschlägigen relevanten Bestimmungen der DSGVO (hier im Zusammenhang mit den verwendeten Einwilligungserklärungen), vor Verwendung eben dieser Einwilligung im Zuge des Markstarts des Programms traf. Nach Ansicht der DSB hätten die Geschäftsführer dann, bei bestehenden Zweifeln, diese durch weitere Erkundigungen beseitigen müssen, beispielsweise durch eine Auskunftsanfrage an die belangte Behörde oder mittels Rechtsgutachten von Sachverständigen, das sich mit dieser spezifischen Fragestellung beschäftige.

B. Erkennenmüssen allein aufgrund des Wortlauts der DSGVO-Norm

Nach Ansicht des BVwG hätten insbesondere die beiden Geschäftsführer sowie die Leiterin der Rechtsabteilung erkennen müssen, dass die gewählte Gestaltung der Einwilligung nicht im Einklang mit der DSGVO stand.

Hierbei sei nicht ausschlaggebend, ob sich das Unternehmen mit

  • dem Urteil des EuGH in der Rechtssache Planet49 (zur Frage der Anforderungen an die Einwilligung),
  • oder den Leitlinien 05/2020 der Art. 29 Datenschutzgruppe zur Einwilligung auseinandergesetzt habe.

Denn im vorliegenden Fall hätte bereits aufgrund des reinen Wortlautes der Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO von dem Unternehmen erkannt werden müssen, dass die von ihr gewählte optische Gestaltung aufgrund der dargestellten kumuliert irreführenden Faktoren nicht den Anordnungen einer in „informierter Weise und unmissverständlich abgegebenen Willensbekundung“ entspricht.

C. (Un)Kenntnis der internen Rechtsabteilung

Zudem geht das BVwG davon aus, dass insbesondere der mit der Beratung des Unternehmens betrauten Rechtsabteilung hätte auffallen müssen, dass die bei den Einwilligungserklärungen gewählte Vorgehensweise missverständlich und damit rechtswidrig war.

D. Rechtsprechung und Verwaltungspraxis

Als möglichen entlastenden (!) Faktor prüft das BVwG, ob zum Tatzeitpunkt eventuell entsprechende Rechtsprechung oder eine Praxis der Aufsichtsbehörden existierte, die gegen ein Verschulden sprechen könnte. Vorliegend, so das BVwG, lag aber

keine höchstgerichtliche Rechtsprechung oder entsprechende Verwaltungspraxis zu den zitierten Bestimmungen vor, aufgrund derer die Beschwerdeführerin entgegen der dargestellten, irreführenden Faktoren darauf vertrauen hätte können, dass die Gestaltung der DSGVO entspricht“.

Dies ist ein wichtiger Aspekt bei der Verteidigung gegen Bußgelder – eine entsprechende Verwaltungspraxis kann ein Verantwortlicher verwenden, um seine Rechtsansicht zu stützen und im Rahmen des Verschuldens

Im Grunde wird damit auch bestätigt, was aus meiner Sicht für datenverarbeitende Stellen ein großer Vorteil ist: die Pluralität des Aufsichtssystems in Deutschland. Mit 18 Datenschutzbehörden (inkl. BfDI, und die speziellen Aufsichtsbehörden noch nicht mitgezählt), finden sich sehr viele verschiedene Sichtweisen und rechtliche Interpretation der Behörden. Diese Sichtweisen und darauf beruhende Verwaltungspraxis (siehe oben) können und sollten Verantwortliche und Auftragsverarbeiter bei ihren eigenen Datenverarbeitungen und der rechtlichen Bewertung mit in den Blick nehmen.

E. Externe Rechtsgutachten

Auch würde das BVwG als entlastenden Faktor wohl das Vorliegen von externen Einschätzungen, wie etwa Rechtsgutachten, bewerten. Vorliegend habe das Unternehmen aber keine

Rechtsgutachten hinsichtlich der DSGVO Konformität der gegenständlichen Einwilligungserklärungen erstellen lassen“.

F. Nachfrage bei der Aufsichtsbehörde

Ja, auch dies könnte ein entlastender Faktor beim Verschulden sein. Andererseits muss man als anfragendes Unternehmen aber natürlich auch mit der Antwort leben, wenn sie „nicht gefällt“. Das BVwG stellt vorliegend fest, dass bei der belangten Behörde (DSB) als Spezialbehörde diesbezüglich keine Auskünfte eingeholt wurden.

G. Fehlende Dokumentation zur internen oder externen rechtlichen Bewertung

Negativ bewertet das BVwG den Umstand, dass das Unternehmen keine (aussagekräftigen) Unterlagen zu stattgefundener interner und externer Beratung der Beschwerdeführerin im Hinblick auf die (Gestaltung der) Einwilligungserklärungen vorgelegt hat. Hieraus hätte sich (durchaus auch positiv) ergeben können, dass die angeführten Faktoren aus rechtlicher Sicht ausführlich diskutiert bzw. problematisiert worden wären.

H. Anforderungen an das interne Kontrollsystem (Compliance)

Nach Ansicht des BVwG muss für die Wirksamkeit eines internen Kontrollsystems dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen. Zwar habe das Unternehmen hier gewisse Kontroll- und Beratungsmechanismen im Bereich des Datenschutzes eingeführt. Jedoch habe dieses System im konkreten Fall nicht funktioniert.

Fazit

Insgesamt geht das BVwG daher davon aus, „dass auf subjektiver Tatseite zumindest Verschulden in Form von Fahrlässigkeit der Beschwerdeführerin vorliegt“. Die Entscheidung gibt für die Praxis einen guten Leitfaden für verschiedenste Faktoren und (Gegen)Argumente, die im Rahmen des Verschuldens durch Verantwortliche und Auftragsverarbeiter bei der Bußgeldhaftung nach Art. 83 DSGVO in der Praxis berücksichtigt werden sollten.

VG Wiesbaden: Inkassounternehmen sind in der Regel keine Auftragsverarbeiter

Das Verwaltungsgericht (VG) Wiesbaden hat ich in seinem Beschluss vom 13.05.2024 (Az. 6 K 1306/22.WI; derzeit leider nur kostenpflichtig zugänglich, zB via BeckRS 2024, 11305) mit der Frage auseinandergesetzt, welche datenschutzrechtliche Rolle Inkassodienstleiter nach der DSGVO einnehmen, wenn sie personenbezogene Daten verarbeiten: Auftragsverarbeiter oder Verantwortliche?

Das VG verweist zunächst auf Ansichten in der Rechtsprechung und Literatur, wonach überwiegend die Auffassung vertreten werde, dass Inkassounternehmen eigene Verantwortliche seien, da sie regelmäßig die Zwecke und Mittel der Datenverarbeitung weitgehend selbst bestimmen und nur ausnahmsweise, beispielsweise bei der teilweisen weisungsgebundenen Übertragung des Forderungsmanagements auch Auftragsverarbeitungen i. S. d. Art. 28 DSGVO denkbar seien.

Als Argumente gegen eine Einordnung als Auftragsverarbeiter führt das VG dann folgende Aspekte an:

  • Auch bei der (teilweise) weisungsgebundenen Überragung des Forderungsmanagements ist diese durch eine weitgehend selbstständige Aufgabenwahrnehmung des Inkassounternehmens geprägt, die deren Einordnung als Verantwortliche nahelegen.
  • Aus der sog. teilweisen weisungsabhängigen „Einziehungsermächtigung“, bei der der Auftraggeber rechtlicher Eigentümer der Forderung bleibt, folgt nach Ansicht des VG auch keine andere Bewertung. Denn das Rechtsdienstleistungsgesetz (RDG) unterscheide nicht zwischen der Einziehung fremder oder zum Zwecke der Einziehung auf fremde Rechnung abgetretener Forderungen. Die rechtliche Inhaberschaft einer Forderung bleibe auf die Zulässigkeit der Rechtsdienstleistung ohne Einfluss, wie auch die Ausführung der Inkassotätigkeit vom Status der Forderung nicht abhängt.
  • Gegen eine Einordnung als Auftragsverarbeiter spreche auch der nur graduelle Unterschied zu Rechtsanwälten im erforderlichen Knowhow und Professionalisierungsgrad.
  • Zudem die häufig völlige Freiheit bei der Wahl der Mittel zur Umsetzung, die sehr weitgehende Freiheit bei der Bestimmung des Zwecks bzw. die erheblichen Eigeninteressen an dieser Dienstleistung.
  • Bei einem externem Inkassomanagement stehe der Einordnung einer Auftragsverarbeitung auch regelmäßig entgegen, dass eine vollständige Bestimmung über die Mittel der Verarbeitung durch die Verantwortlichen nicht mehr gewährleistet sein dürfte.
  • Zudem verweist das Gericht auf die Entscheidung des VG Mainz aus 2020, wonach eine Auftragsverarbeitung bei der Übermittlung von Daten im Rahmen einer Forderungsabtretung eines Tierarztes an ein Inkassobüro mangels Weisungsgebundenheit aus scheide (Az. 1 K 467/19.MZ).
  • Gegen eine Einordnung als Verantwortlicher spreche auch nicht, dass die Unabhängigkeit des Inkassodienstleisters nicht gesetzlich verpflichtend vorgegeben sei.  Das Inkassounternehmen bestimme faktisch die Zwecke und Mittel der Datenverarbeitung derart autonom, dass es datenschutzrechtlich als der für die Datenverarbeitung personenbezogener Daten Verantwortliche erscheine.

Im Ergebnis geht des VG daher davon aus: „In aller Regel ist daher auch das Inkassounternehmen im Mandatsverhältnis für die Verarbeitung personenbezogener Daten Verantwortlicher und nicht Auftragsverarbeiter“.

Bayerische Datenschutzbehörden: keine eigene Verantwortlichkeit des Mitarbeiters beim Missbrauch von beruflichen Daten für private Zwecke (Exzess)?

Der BayLfD hat jüngst eine aus meiner Sicht wirklich gelungene und hilfreiche Orientierungshilfe zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO veröffentlicht. In der Orientierungshilfe befasst sich die Behörde auch mit der Frage der Verantwortlichkeit in Situationen des sog. Mitarbeiterexzesses – Fälle, „bei denen Beschäftigte von Verantwortlichen Daten, auf die sie nur für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden“.

Die „bayerische Auffassung“ – Arbeitgeber / Dienstherr bleibt Verantwortlicher

In diesem Zug war ich durchaus überrascht, von der sog. „bayerischen Auffassung“ zu lesen (ab S. 42 ff.). Diese Ansicht wird vom BayLfD wie folgt zusammengefasst:

Die beiden bayerischen Aufsichtsbehörden – der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht – vertreten übereinstimmend die Auffassung, dass ein Beschäftigter nicht zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO wird, wenn er Daten, die ihm für dienstliche Zwecke zur Verfügung stehen, mittels dienstlicher Abfragesysteme für private Zwecke abruft“.

Nach Auffassung des BayLfD und wohl auch des BayLDA stellt diese zweckwidrige Verwendung von Daten aus dem beruflichen Kontext noch keine Handlung dar, die den Beschäftigten zu einem eigenen datenschutzrechtlichen Verantwortlichen machen würde.

Die Konsequenzen dieser Auffassung sind praxisrelevant:

  • „Die öffentliche Stelle bleibt damit im Fall des bloß zweckwidrigen Datenabrufs Einzelverantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, auch für den Datenschutzverstoß durch ihren Beschäftigten“
  • „Der rechtswidrige Abruf dienstlich zugänglicher Daten zu rein privaten Zwecken stellt einen Datenschutzverstoß dar, aufgrund dessen gegen den Verantwortlichen gemäß Art. 83 DSGVO grundsätzlich eine Geldbuße verhängt werden kann“

Gründe für die Ansicht des BayLfD und BayLDA

Der BayLfD begründet seine Auffassung unter anderem damit, dass Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO nur ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ausschlaggebend sei dabei die Entscheidung über die grundsätzlichen Zwecke und Mittel der Abfragesysteme.

Über diese entscheidet ein Beschäftigter jedoch auch dann nicht, wenn er dienstliche Daten für private Zwecke missbraucht“.

Er verwende vielmehr lediglich die ihm zur Verfügung gestellten Abfragesysteme und diese für außerdienstliche, private Zwecke. Der BayLfD verweist in den Fußnoten auch auf die Ansicht des BayLDA in drei Tätigkeitsberichten.

So geht das BayLDA im Tätigkeitsbericht 2020 (ab S. 78 f.) unter anderem davon aus, dass ein Mitarbeitender beim bloßen Datenabruf aus Datenbanken des Unternehmens, bei dem er beschäftigt ist bzw. der bloßen Einsichtnahme in personenbezogene Daten in entsprechende Unterlagen zu privaten Zwecken, nicht zum eigenständigen Verantwortlichen wird, da die beiden dort genannten Kriterien – Zweck- und Mittelbestimmung – nach dem Wortlaut („und“) kumulativ vorliegen müssen. Der Mitarbeitende bestimme nicht über den Mitteleinsatz.

Als zweites Argument verweist der BayLfD auf die vorhandene Vorgabe in Art. 28 Abs. 10 DSGVO für Auftragsverarbeiter. Für den Fall, dass ein Auftragsverarbeiter in rechtswidriger Weise seine Befugnisse überschreitet, wird er insoweit eigener Verantwortlicher. Eine solche Regelung fehle aber in Art. 29 DSGVO in Bezug auf Beschäftigte.

Etwas anderes soll nur dann gelten, wenn der Beschäftigte die abgerufenen Daten mittels arbeitgeberfremder Ressourcen weiterverarbeitet. Also etwa über seinen privaten Laptop oder sein Smartphone. Ab diesem Zeitpunkt greife Art. 4 Nr. 7 DSGVO für den Beschäftigten.

Andere Ansichten

Nun gesteht der BayLfD in seiner Orientierungshilfe aber auch ein, dass diese bayerische Ansicht nicht der einzige derzeit vorgeschlagene Weg ist und von einigen anderen Aufsichtsbehörden nicht geteilt wird. So sehen etwa die Landesdatenschutzbeauftragten in Baden-Württemberg und Nordrhein-Westfalen den Beschäftigten, der dienstliche Daten für private Zwecke verwendet, als Verantwortlichen an.

Zudem verweist der BayLfD auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts (Erkenntnis vom 21. Dezember 2021, W258 2238615-1/16E) und auch die andere Auffassung des Europäischen Datenschutzausschusses (Leitlinien 07/2020), der allein an die Zwecke der Verarbeitung knüpft und hieraus bereits die eigene Verantwortlichkeit des Mitarbeiters ableitet.

Der BayLfD geht in Fn. 140 davon aus, dass die Entscheidung des österreichischen Bundesverwaltungsgerichts – soweit ersichtlich – die erste Entscheidung eines Gerichts im deutschsprachigen Raum zu dieser Frage sei. Ergänzen lässt sich insoweit noch eine ältere Entscheidung des Verwaltungsgerichts (VG) Mainz (Urteil vom 17.12.2020 – 1 K 778/19.MZ), das ebenfalls nicht die Ansichten von BayLfD und BayLDA vertritt.

Nach dem VG ist von einem den Zurechnungszusammenhang unterbrechenden „Exzess“ jedenfalls dann auszugehen, wenn Beschäftigte Daten unbefugt für eigene Zwecke verarbeiten – wie z.B. bei der Einsichtnahme in behördliche Datenbanken für private Zwecke oder Entwendung von Kundendaten. Das VG lässt also, entgegen der bayerischen Auflassung, die eigene Zweckbestimmung durch den Mitarbeiter durchaus für eine eigene Verantwortlichkeit ausreichen. Der jeweilige Beschäftigte schwinge sich dann insoweit selbst zum Verantwortlichen auf, indem er anfängt, selbst darüber zu entscheiden, wie und warum mit Daten umgegangen wird.

Einschätzung

Ich war von der Ansicht beim ersten Lesen der Orientierungshilfe tatsächlich überrascht, da ich bisher auch immer die eigenständige Zweckänderung durch den Mitarbeiter als ausreichend für die Einstufung als Verantwortlicher gesehen habe.

Die Argumentation der Behörden, dass der Mitarbeiter deshalb nicht verantwortlich ist, da er ja nicht über die Mittel der Verarbeitung entscheide, ist aus meiner Sicht zudem diskutabel. Denn wenn der Mitarbeiter etwa eine CRM-Software verwendet, um dort für private Zwecke nach Kundendaten zu suchen, bestimmt er meines Erachtens natürlich auch in diesem Moment über den Einsatz des Mittels „CRM-Software“ – eben allein für seine privaten Zwecke. Zudem könnte man hierfür ergänzend die Ansicht des Generalanwalts in der Rs. C-579/21 anführen (hierzu mein Blogbeitrag), in der er davon ausgeht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann, da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Fazit

Überspitzt formuliert kann man konstatieren: solange Mitarbeiter in Bayern (im privaten oder öffentlichen Bereich) allein über Systeme ihres Arbeitgebers missbräuchlich mit Daten umgehen, droht ihnen von Seiten der Datenschutzaufsicht kein Ungemach. Der Arbeitgeber müsste befürchten, wegen eines Verstoßes gegen Art. 32 DSGVO geprüft oder ggfs. sanktioniert zu werden.

Kurioses (und falsches) Urteil des Arbeitsgerichts Mainz – 5.000 EUR für verspätete Auskunft an einen Bewerber

Klagen auf Zahlung von Schadenersatz nach Art. 82 DSGVO sind vor allem im arbeitsgerichtlichen Bereich im Vergleich zu anderen Gerichtsbarkeiten eher erfolgreich (zumindest in den unteren Instanzen). Wenn aber die Gerichte die zum Teil gefestigte Rechtsprechung des EuGH nicht beachten, ist dies mehr als ärgerlich. Ein solcher Fall ereignete sich am Arbeitsgericht (ArbG) Mainz (Urteil vom 08.04.2024 – 8 Ca 1474/23. Derzeit nur bei BeckOnline abrufbar).

Sachverhalt

Die Parteien streiten über Auskunfts- und Entschädigungsansprüche auf der Grundlage von Art. 15 DSGVO. Der Kläger bewarb sich auf eine Stelle bei der Beklagten und forderte, nachdem er eine Absage erhalten hatte, dass man ihm eine „umfassende Auskunft sowie eine vollständige Datenkopie auf Grundlage von Art. 15 DSGVO“ erteilen soll.

Die Beklagte antwortete hierauf nur mit einer Mail und fügte die Datenschutzhinweise bei. Weitere Anfragen sollten an die dort genannte E-Mail-Adresse gerichtet werden. Danach erhob der Bewerber Klage – irgendwie auch nicht überraschend, denn die Übersendung der Datenschutzhinweise stellt natürlich keine Auskunft dar.

Der Kläger forderte unter anderem, an ihn eine Geldentschädigung, die einen Betrag in Höhe von 5.000,00 Euro aber nicht unterschreiten sollte, zu zahlen.

Entscheidung

Nach Ansicht des ArbG hat der Kläger einen Anspruch auf den begehrten Schadensersatz aus Art. 82 Abs. 1 DSGVO. Und zwar tatsächlich in Höhe der 5.000 EUR.

Richtig geht das ArbG noch davon aus, dass das Auskunftsrecht des Betroffenen nicht erfüllt wurde.

Die Nennung einer E-Mail-Adresse, über welche man die fraglichen Auskünfte erhalten könne, ersetzt nicht die Erteilung derselben“.

Bei der Begründung des Schadenersatzes ist die Begründung dann meines Erachtens aber nicht mehr haltbar bzw. angreifbar.

Kritik 1

Das ArbG begründet, dass nach Art. 82 Abs. 1 DSGVO „ein Verstoß gegen die Verordnung einen Schadensersatzanspruch im Falle eines materiellen oder immateriellen Schadens, wobei die maßgebende Rechtsprechung des Europäischen Gerichtshofes den Schadensbegriff derart weit auslegt, dass er auch im vorliegenden Falle zu bejahen ist.“

Das Gericht lässt hier meines Erachtens unbeachtet, dass der EuGH gerade nicht allein von einem verstoß gegen die DSGVO direkt auf das Vorliegen eines Schadens schließt.

  • C-300/21, Rz. 33: „Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet.“
  • C-456/22, Rz. 21: „Der bloße Verstoß gegen die Bestimmungen dieser Verordnung reicht nämlich nicht aus, um einen Schadenersatzanspruch zu begründen.“

Kritik 2

Das Gericht begründet nicht bzw. fehlerhaft (siehe Kritik 3), wie es zu einem Schaden in Höhe von 5.000 EUR gelangt und vor allem nicht, ob und wie der Kläger diesen Schaden nachgewiesen hat

Der dem Kläger entstandene „Schaden“ ist zwar schwindend gering, gleichwohl hält die Kammer die begehrten 5.000,00 € für einen angemessenen Betrag“. Auch dies entspricht nicht der Rechtsprechung des EuGH und die (fehlende) Begründung des ArbG verstößt gegen diese Rechtsprechung.  

  • C-300/21, Rz. 32: „Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt,…“
  • C-687/21, Rz. 60: „Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen,…“

Kritik 3

Nach Ansicht des ArbG sind 5.000 EUR Schadenersatz hier gerechtfertigt, „weil Verfahren der vorliegenden Art auch eine präventive Funktion haben sollen“.

Zudem komme es „weniger darauf an, wie sehr der Kläger „gelitten“ hat, als vielmehr darauf, bei welchem Betrag ein entsprechender Leidensdruck bei der Beklagten entsteht“. Das Gericht stellt sich auch hier konträr zur Rechtsprechung des EuGH und nimmt eine Straffunktion des Schadenersatzes nach Art. 82 DSGVO an.

  • C-667/21, Rz. 85: „Insoweit ist zu betonen, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – keine Straf‑, sondern eine Ausgleichsfunktion hat.“
  • C-687/21, Rz. 48: „Der Gerichtshof hat hinzugefügt, dass sich, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch keine abschreckende oder gar Straffunktion erfüllt, sondern eine Ausgleichsfunktion hat,…“
  • C-687/21, Rz. 50: „… da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.“

Das ArbG gesteht hier also 5.000 EUR Schadenersatz für eine verspätete und ungenügende Auskunft zu, ohne die Tatbestandsvoraussetzung von Art. 82 DSGVO entsprechend den Vorgaben des EuGH zu beachten. Wenn man dann auch noch im Blick hat, dass der EuGH selbst in einem jüngeren Urteil „nur“ 2.000 EUR Schadenersatz auf Grundlage von Art. 50 der sog. Europol-Verordnung (VO 2016/794) zugesprochen hatte (hierzu der Beitrag von Philipp Quiel), obwohl es dort um sensibelste Daten aus dem Intimbereich ging, scheint das vorliegende Urteil noch diskutabler.

Neue Schlussanträge: Abkehr von der strengen Ansicht des EuGH zu „Gesundheitsdaten“ nach Art. 9 DSGVO?

Am 25.4.2024 hat Generalanwalt am EuGH Szpunar seine Schlussanträge in dem Verfahren Rs. C-21/23 vorgelegt. In dem Verfahren geht es um zwei spannende Fragen:

  • Sind im Rahmen einer Bestellung bei einer Online-Apotheke angegebene Daten stets „Gesundheitsdaten“ im Sinne des Art. 9 Abs. 1 DSGVO?
  • Können Wettbewerber nach dem deutschen UWG gegen Mitbewerber wegen Datenschutzverstößen vorgehen?

Nachfolgend möchte ich mich allein auf die erste Frage fokussieren. Wie weit ist der Begriff „Gesundheitsdaten“ nach der DSGVO zu verstehen?

Das vorlegende Gericht möchte wissen, ob die Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, nicht aber verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, „Gesundheitsdaten“ im Sinne von Art. 9 Abs. 1 DSGVO sind.

Rückschau – strenge Ansicht des EuGH

„Moment“, mag man sich fragen. Hat der EuGH nicht bereits seine Position zu diesem Thema deutlich gemacht?

Eigentlich schon, dachten wir. Zumindest hat der EuGH in seinem Urteil vom 4.7.2023 in der Rs. C-252/21 (Meta Platforms u.a.) eine sehr strenge Ansicht vertreten und die Voraussetzungen für die Annahme, dass Gesundheitsdaten vorliegen, extrem niedrig angesetzt.

Nach Ansicht des EuGH gilt das in Art. 9 Abs. 1 DSGVO vorgesehene grundsätzliche Verbot der Verarbeitung nämlich

unabhängig davon, ob die durch die fragliche Verarbeitung offengelegte Information richtig ist oder nicht und ob der Verantwortliche mit dem Ziel handelt, Informationen zu erhalten, die unter eine der in dieser Bestimmung genannten besonderen Kategorien fallen“. (Rz. 69)

Für den EuGH spielte es bei der Einordnung von Informationen als „Gesundheitsdaten“ mithin keine Rolle, ob die Daten 1) sachlich richtig sind, also etwa wirklich auf physische oder z.B. psychische Zustände hinweisen, die tatsächlich existieren und 2) für welchen Zweck diese Daten verwendet werden. Der Kontext der Verarbeitung spielte aus Sicht des EuGH für die Einordnung nach Art. 9 Abs. 1 DSGVO keine Rolle.

Art. 9 Abs. 1 DSGVO ziele darauf ab,

solche Datenverarbeitungen unabhängig von ihrem erklärten Zweck zu verbieten“. (Rz. 70)

Die Gegenansicht – wir können nicht alle Informationen zu „Gesundheitsdaten“ werden lassen

Generalanwalt Szpunar hat in seinen neuen Schlussanträgen nun Argumente vorgebracht, die aus meiner Sicht gegen diese Auslegung des EuGH sprechen und den Anwendungsbereich von „Gesundheitsdaten“ einschränken würden.

Hierbei stellt der Generalanwalt die Formel auf, dass es eines Mindestmaßes an Gewissheit der Schlussfolgerungen aus Informationen bedürfe, die über den Gesundheitszustand einer betroffenen Person gezogen werden können (ab Rz. 44). Interessanterweise verwendet er dazu auch die beiden Kriterien des Inhalts bzw. der Richtigkeit der Daten (Merkmal 1) sowie des Zwecks / Kontextes der Verarbeitung (Merkmal 2) – also jene Faktoren, die auch schon der EuGH erwähnte.

Die Kernaussage des Generalanwalts für die Prüfung, ob „Gesundheitsdaten“ vorliegen, ist: sowohl der Inhalt der in Rede stehenden Daten (Merkmal 1) als auch sämtliche Umstände ihrer Verarbeitung (Merkmal 2) müssen geprüft werden, um festzustellen, ob aus ihnen mit einem gewissen Grad an Sicherheit (neues Merkmal 3) Informationen über den Gesundheitszustand der betroffenen Person abgeleitet werden können (Rz. 49).

Der Generalanwalt ergänzt die beiden bekannten Merkmale 1 und 2 um ein drittes Merkmal: es muss ein gewisser Grad an Sicherheit bestehen, dass Informationen sich tatsächlich auf den Gesundheitszustand einer Person beziehen. Eventuell mag man dieses dritte Merkmal auch dem von mir benannten Merkmal 1, der Richtigkeit der Daten, zuordnen.

Merkmale 1 und 3 – Richtigkeit der Informationen und gewisser Gerad an Sicherheit

Aus dem Wortlaut von Art. 4 Nr. 15 DSGVO und ErwG 35 DSGVO leitet der Generalanwalt ab, dass das entscheidende Merkmal für die Feststellung, dass bestimmte personenbezogene Daten Gesundheitsdaten sind, der Umstand ist,

dass aus den betreffenden Daten Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können.“ (Rz. 37)

„Gesundheitsdaten“ können daher zwar auch Informationen sein, die allein Rückschlüsse auf den Gesundheitszustand der betroffenen Person zulassen. Dieser Rückschluss muss nach Ansicht des Generalanwalt aber mit Indizien untermauert und darf nicht rein hypothetisch sein.

So stellen etwa Daten, die von einer App erhoben werden, die die von der betroffenen Person zurückgelegten Schritte zählt, keine „Gesundheitsdaten“ dar, wenn die Anwendung diese Daten nicht mit anderen Daten dieser Person verknüpfen kann und die erhobenen Daten nicht in einem medizinischen Kontext verarbeitet werden (Rz. 41).

Es können überhaupt nur solche Informationen als „Gesundheitsdaten“ angesehen werden,

die geeignet sind, Rückschlüsse auf den Gesundheitszustand der betroffenen Person zuzulassen“. (Rz. 42)

Der EuGH hatte in seinem Urteil betont, dass die Richtigkeit der Daten keine Relevanz habe. Dies sieht der Generalanwalt offensichtlich anders. Die Daten müssen faktisch geeignet sein, einen Rückschluss auf die Gesundheit zuzulassen.

Die Schlussfolgerungen, die aus den Daten gezogen werden können, dürfen nicht lediglich potenziell sein. Im Sinne von: „Die Information zum Gesundheitszustand könnte sich auf die betroffene Person beziehen oder auch nicht. Das ist nicht klar.“

Die Informationen, die aus den Daten in Bezug auf den Gesundheitszustand der betroffenen Person hervorgehen, dürfen

keine bloßen Vermutungen sein, sondern müssen ein Mindestmaß an Gewissheit bieten“. (Rz. 46)

Basierend auf diesen Ansichten, ein Beispiel: eine Person betrifft eine Apotheke und wird dabei per Video aufgezeichnet. Art. 9 Abs. 1 DSGVO anwendbar? Ohne weitere Informationen dazu, dass diese Person tatsächlich krank ist (Indizien), würde der Generalanwalt hier wohl ein Vorliegen von Gesundheitsdaten ablehnen. Denn auch gesunde Personen können eine Apotheke betreten, um z.B. Pflaster oder Bonbons zu kaufen.

Im vorliegenden Verfahren (Bestelldaten bei einer Online-Apotheke) sieht der Generalanwalt diese erforderlichen Indizien gerade als nicht gegeben bzw. als zu „schwach“ an. Er lehnt daher das Vorliegen von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO ab (Rz. 43).

Merkmal 2 – Zweck und Kontext

Zudem vertritt der Generalanwalt, ebenfalls anders als der EuGH, die Ansicht, dass es sehr wohl von den Umständen des jeweiligen Falls abhängt, ob Daten als Gesundheitsdaten eingestuft werden können. Insbesondere müssten der Kontext, in dem die Daten gesammelt werden, und die Art und Weise, wie sie verarbeitet werden, beachtet werden (Rz. 47). Hier vertritt der Generalanwalt also sehr klar eine andere Ansicht als der EuGH, der ja den Zweck der Verarbeitung völlig ausklammern wollte.

Zusätzlich schlägt der Generalanwalt vor, etwa die Identität des Verantwortlichen in diesem Zusammenhang zu beachten. Wenn die Daten nämlich von einer Stelle im Gesundheitsbereich verarbeitet werden, kann ein Indiz dafür sein, dass es sich bei diesen Daten tatsächlich um „Gesundheitsdaten“ handelt (Rz. 48).

Insgesamt verlangt der Generalanwalt also, dass es Indizien und ein Mindestmaß an Gewissheit geben müsse, dass Daten sich faktisch wirklich auf den Gesundheitszustand einer Person beziehen. Diese Indizien können sich auf dem Inhalt der Daten, den Umständen der Verarbeitung und den Zwecken ergeben.

Im konkreten Fall lehnt der Generalanwalt das Vorliegen von „Gesundheitsdaten“ nach Art. 9 DSGVO ab, weil aus den betreffenden Daten

nur hypothetische oder ungenaue Rückschlüsse auf den Gesundheitszustand der Person, die die Online-Bestellung vornimmt, gezogen werden können, was zu überprüfen Sache des vorlegenden Gerichts ist“. (Rz. 54)

Ein Argument: die nicht verschreibungspflichtigen Arzneimittel werden häufig vorsorglich gekauft, um sie im Bedarfsfall zur Verfügung zu haben. Beispielsweise lasse eine Bestellung von Paracetamol keinen Rückschluss auf den genauen Zustand einer Person zu, weil dieser Wirkstoff zur Behandlung einer Vielzahl von Schmerzen und Fieberzuständen indiziert ist und häufig zu den Medikamenten gehört, die Menschen auch ohne besonderen Bedarf zu Hause haben (Rz. 51).

Ausblick

Nun müssen wir abwarten, wie der EuGH mit diesen Gegenargumenten umgeht. Aus praktischer Sicht wäre es wünschenswert, wenn der Anwendungsberiech von Art. 9 Abs. 1 DSGVO nicht zu weit ausgedehnt wird und ansonsten viele Alltagssituationen erfassen würde. Diese Gefahr sieht auch der Generalanwalt: „Sofern nicht ein sehr großer Teil der Datenverarbeitung im Online-Handel der Regelung in Art. 9 Abs. 2 DSGVO unterworfen werden soll, scheint es mir daher notwendig, die Auslegung des Begriffs „Gesundheitsdaten“ in dem Sinne weiter zu verfeinern, dass die Schlussfolgerungen, die aus den Daten einer Bestellung gezogen werden können, nicht lediglich potenziell sein dürfen.“ (Rz. 46).

Geschäftsmodell der personalisierten Werbung ist kein „Schaden“ im Sinne der DSGVO

Das Landgericht (LG) Magdeburg (Urt. v. 29.2.2024, Az. 10 O 530/23; derzeit leider noch nicht frei verfügbar; GRUR-RS 2024, 8057) hatte sich im Rahmen einer Klage auf Schadenersatz nach Art, 82 DSGVO u.a. mit der Frage zu befassen, ob die Betroffenheit eines Nutzers von personalisierter Onlinewerbung einen ersatzfähigen Schaden nach der DSGVO darstellt.

Sachverhalt
Der Kläger ist Nutzer u.a. von Facebook und Instagram. Dort hatte er sich mit seinen personenbezogenen Daten registriert. Nachdem Meta ab dem 3.11.2023 das sog. Einwilligungsmodell in Europa einführte, willigte der Kläger am 8.11.2023 ein, dass die Beklagte weiterhin Informationen des Klägers zu Werbezwecken verwenden darf.

Zuletzt beantragte der Kläger u.a., Auskunft über ihn betreffende personenbezogene Daten zu erteilen, die die Beklagte in Zusammenhang mit der individualisierten Werbung verarbeitet. Zudem verlangte er als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, dessen Höhe den Betrag von 1.500 EUR nicht unterschreiten sollte. Er begründet den Anspruch damit, dass er mit dem Geschäftsmodell der Beklagten personalisiert zu werben, nicht einverstanden sei.

Entscheidung
Einen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DSGVO lehnt das LG als unbegründet ab.

Der Vortrag des Klägers zum behaupteten Schaden wurde als unsubstantiiert angesehen.

Hierbei verweist das LG auf die Rechtsprechung des EuGH zur Frage, wer die Beweislast für das Vorliegen eines Schadens trägt.

Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt die Klagepartei.

Der Kläger müsse den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden im Sinne der DSGVO darstellen.

Zudem weist das LG die Begründung des Klägers für einen angeblichen Schaden, personalisierte Werbung zu verwenden, zurück.

Dies allein führt zu keinem Schaden.

Aus Sicht des LG ist ein derartiges Geschäftsmodell nicht ungewöhnlich. Die Plattformen der Beklagten würden Nutzern kostenlos bereitgestellt. Die Fähigkeit, Nutzern ihre derzeitigen Dienste kostenlos bereitzustellen, hänge aber von Werbeeinnahmen ab. Nach Ansicht des L ist dieses Geschäftsmodell aber üblich.

Das Gericht nennt hierfür etwa Beispiele von kostenfreien Zeitungen und frei empfangbare, private Fernsehsender, die ein ähnliches Geschäftsmodell verwenden: Sie versuchen, über Inhalte Leser oder Zuschauer zu gewinnen, denen dann auf Grundlage demografischer Merkmale/ Interessen der Zielgruppe relevante Werbung präsentiert wird. Hierzu das LG:

Schon dem gesunden Menschenverstand nach ist es offensichtlich, dass die Beklagte ihr Angebot nur deswegen kostenlos zur Verfügung stellen kann, weil sie Werbung verkauft. Dies ist weder ehrenrührig, noch verboten. Wenn die Klagepartei sich hierdurch unwohl fühlt, steht es ihr völlig frei die Angebote der Beklagten nicht zu nutzen oder für ein Angebot ohne Werbung zu bezahlen.

Bundesverwaltungsgericht Österreich wendet EDSA-Leitlinien zur Berechnung von Geldbußen an

Datenschutzbehörden verwenden zur Berechnung von Geldbußen bekanntlich die EDSA-Leitlinien 04/2022 vom 24.5.2023. Gleichzeitig wissen wir, dass Leitlinien des EDSA keine unmittelbare rechtliche Bindungswirkung für Verantwortliche, Auftragsverarbeiter oder auch nationale Gerichte haben. Der EDSA selbst stellte dazu bereits 2021 fest: „In dieser Hinsicht spiegeln die Leitlinien und Empfehlungen des EDPB, obwohl sie an sich nicht verbindlich sind, den gemeinsamen Standpunkt und das gemeinsame Verständnis wider, das die Behörden einheitlich anwenden wollen“. (Stellungnahme des EDSA).

Dennoch stellen die Leitlinien des EDSA in der Praxis, aber auch in gerichtlichen Verfahren, eine wichtige Ansicht dar, die auch von Generalanwälten am EuGH zur Auslegung der DSGVO verwendet werden (vgl. etwa Rz. 28 in der Rs. C-307/22, zu den Leitlinien 01/2022).

Für die Wirkung und auch rechtliche Bedeutung von Leitlinien relevant ist daher eine neuere Entscheidung des Bundesverwaltungsgerichts (BVwG) aus Österreich vom 26.3.2024 (Gz. W137 2241630-1).

In dem Verfahren ging es um eine Geldbuße der österreichischen Behörde auf Grundlage von Art. 83 DSGVO. Hiergegen wurde Beschwerde eingelegt. Das Bundesverwaltungsgericht setzte das Verfahren dann zunächst aus, bis der EuGH in der Rechtssache Deutsche Wohnen (C-807/21) entschieden hatte. Danach wurde das Verfahren inhaltlich fortgesetzt.

Das BVwG teilte den Parteien nach der Fortsetzung der Verhandlung mit, dass das Gericht bei der Frage der Bemessung der Geldbuße die Leitlinien 04/2022 zumindest mit heranziehen wird.

Dabei wurde den Verfahrensparteien bekannt gegeben, dass sich der Senat bei der allfälligen Strafbemessung an den Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO des Europäischen Datenschutzausschusses, Version 2.1; angenommen am 24. Mai 2023 (auch „Guidelines“ des EDPB) orientieren werde.“

Hiergegen scheint keine der Verfahrensparteien Einwände gehabt zu haben oder rechtliche Argumente gegen die Anwendung der Kriterien des EDSA vorgebracht zu haben.

Bei der konkreten Berechnung der Geldbuße hat das BVwG die Leitlinien des EDSA auch verwendet – wohl aber nicht allein die Leitlinien, da das Gericht davon spricht, dass es diese „ergänzend…herangezogen“ hat.

Das Bundesverwaltungsgericht hat ergänzend die Leitlinien 04/2022 des Europäischen Datenschutzausschusses  als Berechnungsgrundlage herangezogen, die bei – hier gegebenem geringem Schweregrad („low level of seriousness“) – und der oben festgehaltenen Umsatzgröße einen statischen Strafrahmen von bis zu EUR 500.000 annehmen, wobei der konkrete Umsatz im unteren Drittel der Bandbreite (100 Millionen bis 250 Millionen Euro) liegt“.

Was lässt sich aus dieser Entscheidung des BVwG ableiten?

Das Gericht scheint zum einen keinerlei rechtliche Bedenken hinsichtlich der Anwendung der Leitlinien zur Berechnung von Geldbußen zu haben. Zum anderen wird die dort vorgeschlagene Berechnungsmethode vom BVwG verwendet (was für das betroffene Unternehmen im Übrigen auch nicht immer „schlecht“ sein muss). Daher scheint das Gericht also auch die vorgeschlagene Berechnung des EDSA auf Basis des Art. 83 DSGVO als schlüssig anzusehen. Zumindest ergeben sich aus der Entscheidung des BVwG keine Hinweise darauf, dass das Gericht die Vorschläge des EDSA inhaltlich als unzulässig oder mit der DSGVO nicht vereinbar ansieht. Im Ergebnis wird man die Entscheidung des BVwG daher auch als eine Art „Bestätigung“ der vom EDSA vorgeschlagenen Berechnungsmethode ansehen können.

Verwaltungsgericht Stuttgart: DSGVO-Auskunft über gelöschte Daten oder Löschprotokolle?

Mit Urteil vom 30.11.2023 (Az. 11 K 3946/21) hat sich das Verwaltungsgericht (VG) Stuttgart sehr umfassend mit dem Auskunftsanspruch aus Art. 15 DSGVO befasst. Eventuell berichte zu weiteren Aspekten des Urteils noch nachfolgend im Blog. Heute möchte ich nur einen kleinen Aspekt beleuchten.

In dem Verfahren verlangte der Kläger von einer Körperschaft des öffentlichen Rechts Auskunft nach Art. 15 DSGVO. Hierbei ging es u.a. um die Frage, ob der Verantwortliche auch Auskunft über gelöschte personenbezogene Daten erteilen muss.

Das VG vertritt hierzu die einzig richtige Ansicht:

Was nicht mehr existiert, kann nicht beauskunftet werden.“

Zwar stelle nach Art. 4 Nr. 2 DSGVO auch das Löschen von Daten eine „Verarbeitung“ personenbezogener Daten dar. Vollständig gelöschte Daten können allerdings denklogisch nicht Anknüpfungspunkt des Auskunftsanspruchs aus Art 15 Abs. 1 2. Hs. i.V.m. Abs. 3 DSGVO sein.

Interessant und auch konsequent ist aber die Auffassung des VG hinsichtlich der Auskunft zu vorhandenen Löschprotokollen.

Das Gericht verweist darauf, dass, wenn ein Löschungsvorgang jedenfalls seinem Umfang nach noch dokumentiert und gespeichert ist, dies ein (einzelnes) personenbezogenes Datum über den Betroffen darstelle.

Das VG erläutert diese Ansicht auch an einem Beispiel: eine Dokumentation eines Löschungsvorgangs wie „Löschungsvorgang am XX.XX.XXXX: alle vom Kläger eingereichten Belege aus dem Kalenderjahr XXXX und davor“ sei dann vom Auskunftsrecht umfasst, wenn sich diese Information noch auf den Betroffenen beziehen lasse. Aus meiner Sicht ist die Auffassung des VG richtig. Denn eine Information „Daten 1,2,3 von Carlo Piltz wurden am XX.XX.XXXX gelöscht“ oder auch die Angabe „Von der Person erhaltene Dokumente aus 2020 wurden gelöscht„, bezieht sich auf eine natürliche Person, wenn intern nachvollzogen werden kann, wer diese Person ist.

Leider geht das VG hier nicht darauf ein, ob die Ausnahmevorschrift des § 34 Abs. 1 Nr. 2 b BDSG greifen würde. Danach besteht das Auskunftsrecht nach Art. 15 DSGVO nicht, wenn Daten ausschließlich Zwecken der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Werden Löschprotokolle zum Nachweis aufbewahrt, dass Daten tatsächlich gelöscht wurden, stellt dies auch meiner Sicht eine Maßnahme zu „Zwecken der Datenschutzkontrolle“ dar – ob also der Löschverpflichtung nachgekommen würde. Natürlich müsste der Verantwortliche, um sich auf die Ausnahme berufen zu können, dann aber auch die übrigen Voraussetzungen des § 34 Abs. 1 Nr. 2 b BDSG erfüllen.

Neuer Referentenentwurf: Recht (Pflicht) auf Verschlüsselung bei Telemedien? Unklare Vorschläge und Risiko der Europarechtswidrigkeit

Das Bundesministeriums für Digitales und Verkehr (BMDV) hat mit Stand 07.02.24 einen Referentenentwurf für ein erstes Gesetz zur Änderung des Telekommunikation- Telemedien-Datenschutz-Gesetzes (TTDSG) erarbeitet (netzpolitik.org hat den Entwurf veröffentlicht). Ziel der vorgeschlagenen Regelungen (zumindest laut der Begründung): sog. nummernunabhängige interpersonelle Telekommunikationsdienste (also etwa E-Mail- Dienste, Messengerdienste und Chat-Dienste) sollen dazu verpflichtet werden, als Standard eine Ende-zu-Ende-Verschlüsselung anzubieten. Also eine Pflicht zur Verschlüsselung.

Für die breitere Praxis relevant, weil Telemedien (also insbesondere Online-Angebote) erfasst sind: „das Gleiche“ soll für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten gelten. Das betrifft aber (anders als man meinen mag) nicht nur die „Großen“ wie AWS, Azure oder Apple.

Nachfolgend möchte ich kritisch auf einige Aspekte des Entwurfs konkret bezogen auf Cloud-Dienste eingehen.

Geplante Vorgabe, § 19 Abs. 6 TTDSG
Es soll ein neuer § 19 Abs. 6 TTDSG eingefügt werden:

(6) „Anbieter von Telemedien, deren Dienstleistung darin besteht, vom Nutzer von Te- lemedien bereitgestellte Informationen für diesen auf einem Datenspeicher zum Abruf bereitzuhalten, informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, die gewährleistet, dass die Informationen nur vom bereitstellenden Nutzer gelesen werden können.“

Adressiert werden hier gerade nicht nur die (kleinere) Gruppe von nummernunabhängige interpersonelle Telekommunikationsdiensten, sondern allgemein Anbieter von Telemedien (etwa Webseiten und Apps), die aber zusätzlich noch als Leistung das Speichern von Informationen anbieten müssen. Diese Fallgruppe kann aber ziemlich umfassend sein, wenn man etwa Angebote (B2B und auch B2C) in den Blick nimmt, die für ihre Nutzer z.B. Rechnungen und Belege zum Abruf bereithalten, das Hochladen von Fotos und Videos ermöglichen oder Kundenkonten und dort enthaltene Angaben speichern etc.

Pflicht zur Verschlüsselung?
Unklar ist aber bereits, ob für diese Anbieter

  • eine Pflicht zur Verschlüsselung,
  • eine Pflicht zum Vorhalten der Möglichkeit der Verschlüsselung oder
  • nur eine Pflicht zur Information über eine mögliche Verschlüsselung
    geschaffen werden soll.

§ 19 Abs. 6 TTDSG spricht eher für eine reine Informationspflicht. „informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, …“ Dies würde dann aber auch kein „Recht auf Verschlüsseung“ für Betroffene schaffen.

So wird auch in der Begründung zu § 19 Abs. 6 TTDSG (S. 12 des Entwurfs) ausgeführt: „In § 19 Absatz 6 wird eine Informationspflicht hinsichtlich der Möglichkeiten einer sicheren und durchgehenden Verschlüsselung der bereitgestellten Informationen bei der Nutzung von Cloud-Speichern eingeführt“.

Ganz anders lautet dagegen die Begründung in Teil A des Entwurfs (S. 7): „Das Recht auf Verschlüsselung wird hier für solche Clouddienste geregelt, die als Speicherdienste fungieren, die von den meisten Unternehmen, aber auch von Bürgerinnen und Bürgern zunehmend genutzt werden…“ und „Anbieter von Clouddiensten sollten zur Gewährleistung des Datenschutzes und der Cybersicherheit im Rahmen ihrer technischen und organisatorischen Vorkehrungen gewährleisten, dass die Nutzer solcher Dienste die gespeicherten Informationen mit einer sicheren und durchgängigen Verschlüsselung schützen können“.

Hier wird vorgegeben, dass Anbieter zumindest die Verschlüsselung „gewährleisten“ müssen.

Danach wird aber wieder einschränkend erläutert: „Das Recht auf Verschlüsselung ist hier eine Informationspflicht des Anbieters, da die Verschlüsslung in den Händen des jeweiligen Nutzers liegt.“

Mir ist daher aktuell nicht klar, welche konkreten Pflichten für die betroffenen Anbieter von Telemedien mit dem Entwurf vorgesehen werden sollen.

Welche Art der Verschlüsselung?
Doch die Unklarheiten des Vorschlags gehen weiter.

§ 19 Abs. 6 TTDSG spricht von einer „durchgehenden und sicheren Verschlüsselung“. Das ist etwas anderes, als die in dem vorgeschlagenen § 2 Abs. 2 Nr. 7 TTDSG eingefügte Legaldefinition der „sicheren Ende-zu-Ende-Verschlüsselung“.

Hätte der Entwurfsverfasser auch in § 19 Abs. 6 TTDSG eine Ende-zu-Ende-Verschlüsselung gemeint, hätte man dies dort erwähnen können (bzw. müssen). Denn an anderer Stelle des Entwurfs wird der Begriff ja sogar gesetzlich definiert. Da in Abs. 6 aber gerade diese Art der Verschlüsselung nicht erwähnt wird, muss es sich um eine andere Form der Verschlüsslung handeln. Eventuell „nur“ eine Transportverschlüsselung? Der Entwurf lässt potentielle Adressaten hierüber im Unklaren.

Widersprüchlich ist leider auch erneut die Begründung des Entwurfs. Auf S. 1 heißt es: „sollen nummernunabhängige interpersonelle Telekommunikationsdienste dazu verpflichtet werden, ihre Telekommunikationsdienste als Standard mit einer Ende-zu-Ende-Verschlüs- selung anzubieten. Das Gleiche gilt für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten,…

Hier wird also auf eine Ende-zu-Ende-Verschlüsselung abgestellt – die im vorgeschlagenen Normtext aber gerade fehlt.

Fehlende Regelungskompetenz – Verstoß gegen die DSGVO
Neben diesen inhaltlichen Mängeln des Vorschlags, schwebt über der angedachten Regelung in § 19 Abs. 6 TTDSG aber meines Erachtens ohnehin das Damoklesschwert der Europarechtswidrigkeit (wie im Übrigen über dem ganzen § 19 TTDSG).

Nach der Begründung des Entwurfs und auch des Textes zu § 19 Abs. 6 TTDSG sollen „bereitgestellt Informationen“ verschlüsselt werden.

Personenbezogene Daten erfasst? DSGVO anwendbar
Aufgrund der weite dieses Begriffs, dürften hiervon natürlich auch personenbezogene Daten (z.B. Bilder, Videos, Rechnungen in Kundenkonten etc.) erfasst sein. Oder anders ausgedrückt: wenn der Vorschlag aus dem BMDV überhaupt nicht personenbezogene Daten beim „Recht auf Verschlüsselung“ umfassen würde, könnte man die Initiative im Bereich Cloud-Dienste wohl gleich wieder beerdigen, da es nur wenige Anwendungsbereiche gäbe.

Wenn aber § 19 Abs. 6 TTDSG auch personenbezogene Daten umfasst, wird sich hinsichtlich der Stoßrichtung des Vorschlags eine ganz entscheidende Frage stellen:

  • ist mit der Regelung eine Pflicht zur Verschlüsselung oder
  • mindestens eine Pflicht zum Vorhalten von Verschlüsselungsmöglichkeiten vorgesehen?

Kollision mit Vorgaben des Art. 32 DSGVO
Sollte eine dieser Fragen mit „ja“ beantwortet werden, kollidiert die Regelungen mit den unmittelbar geltenden Vorgaben der DSGVO, insbesondere Art. 32 DSGVO, der gerade keine Pflicht zur Verschlüsselung vorsieht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Art. 32 Abs. 1 a) DSGVO sieht beispielhaft die Verschlüsselung vor – aber nicht verpflichtend.

§ 19 Abs. 6 TTDSG würde also, wenn man hier eine Pflicht schaffen will, von den Vorgaben des Art. 32 DSGVO abweichen. Wohl im Sinne einer „strengeren“ Regelung.

Abweichung möglich? Keine Öffnungsklausel
Die DSGVO gilt als EU-Verordnung unmittelbar in Deutschland. Soweit ihr Anwendungsbereich betroffen ist, also personenbezogene Daten verarbeitet werden, soll die DSGVO nach Ansicht des EuGH (vgl. etwa C-319/20, Rz. 57) eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Verordnungen nach Art. 288 AEUV haben sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären (Rz. 58).

Von dieser Regel gibt es in der DSGVO aber Ausnahmen. Der EuGH hat hierzu geurteilt, dass einzelne Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit eröffnen, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen („Öffnungsklauseln“). Mitgliedstaaten dürfen nur unter den Voraussetzungen und innerhalb der Grenzen eben dieser Bestimmungen von den Vorgaben der DSGVO abweichen (Generalanwalt, C-319/20, Rz. 52).

Das Problem: für das Thema der zwingenden Verschlüsselung personenbezogener Daten bei Telemedien sieht die DSGVO gar keine Öffnungsklausel vor.

  • Art. 32 DSGVO enthält eine solche Ausnahme bzw. Öffnungsklausel für Mitgliedstaaten gerade nicht.
  • Die Einschränkungsmöglichkeiten des Art. 23 DSGVO sind auf Art. 32 DSGVO nicht anwendbar.
  • Öffnungsklauseln aus Kapitel IX dürften hier auch nicht einschlägig sein.

Fazit
Ich bin gespannt, wie sich der nun vorliegende Referentenentwurf inhaltlich entwickelt. Derzeit sehe ich aber sowohl konkret inhaltliche Probleme bzgl. der einzelnen Vorgaben, als auch abstrakt strukturelle Risiken hinsichtlich des Verhältnisses zur DSGVO.

Mitbestimmungsrecht des Betriebsrates beim Einsatz von ChatGPT & Co? Arbeitsgericht Hamburg sagt „nein“ – im konkreten Fall

Seit einiger Zeit erfahren Systeme mit künstlicher Intelligenz und vor allem das Tool ChatGPT reges Interesse. Viele Unternehmen möchten ihren Mitarbeitenden ermöglichen, diese Tools zu verwenden. In einem nun entschiedenen Fall hatte das Arbeitsgericht (ArbG) Hamburg die Frage zu beantworten, ob der Betriebsrat vor dem Einsatz von ChatGPT und ähnlichen Programmen zu beteiligen ist und eventuell auch ein Verbot des Einsatzes dieser Systeme erzwingen kann (Beschl. v. 16.01.2024 – 24 BVGa 1/24).

Sachverhalt
Im Rahmen des einstweiligen Rechtsschutzes begehrte der Konzernbetriebsrat von einem Unternehmen u.a., dass dieses seinen Mitarbeitern den Einsatz von ChatGPT und anderen Systemen der Künstlichen Intelligenz verbietet.

Das Unternehmen wollte für die Mitarbeitenden generative Künstliche Intelligenz als neues Werkzeug bei der Arbeit zur Unterstützung nutzbar machen. Es veröffentlichte dafür auf der Intranetplattform „Guidelines for Generative Al Utilization“, eine Generative KI-Richtlinie Version 1 und ein Handbuch „Generative al Manual ver.1.0.“, die den Arbeitnehmern Vorgaben machen, wenn diese bei der Arbeit IT-Tools mit künstlicher Intelligenz bei der Arbeit nutzen. Gleichzeitig veröffentlichte das Unternehmen im Intranet eine Erklärung an die Mitarbeiter, in der über die KI-Leitlinien informiert wird.

ChatGPT und auch andere KI-Systeme werden im konkreten Fall nicht auf den Computersystemen der Arbeitgeberin installiert. Die Nutzung der Tools erfolgt mittels Webbrowser und erfordert lediglich die Anlegung eines Accounts auf dem Server des jeweiligen Anbieters. Wollen die Mitarbeiter ChatGPT nutzen, müssen diese eigene, private Accounts anlegen.

Der Betriebsrat ging davon aus, dass sowohl ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG als auch nach § 87 Abs. 1 Nr. 6 und Nr. 7 BetrVG bestehe. Die Arbeitgeberin habe durch die Entsperrung von ChatGPT verbunden mit der Veröffentlichung von Richtlinien zur Nutzung generativer Künstlichen Intelligenz die Mitbestimmungs- und Mitwirkungsrechte des Betriebsrates grob verletzt.

Entscheidung
Das ArbG lehnte die Anträge des Betriebsrates zum Teil als unzulässig und auch als unbegründet ab.

Der Antrag, Guidelines, Handbuch und KI-Richtlinie vom Intranet zu entfernen, sei unbegründet.

§ 87 Abs. 1 Nr. 1 BetrVG (Verhalten der Arbeitnehmer im Betrieb)
Nach § 87 Abs. 1 Nr. 1 BetrVG hat der Betriebsrat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb mitzubestimmen.

Nach Ansicht des ArbG hat die Arbeitgeberin mit ihren Maßnahmen, die zur Gestattung der Nutzung von ChatGPT und vergleichbarer Konkurrenzprogramme durch die Mitarbeiter geführt haben, § 87 Abs. 1 Nr. 1 BetrVG aber nicht verletzt.

Mitbestimmungsfrei sind danach Maßnahmen, die das so genannte Arbeitsverhalten der Beschäftigten regeln. Darum handele es sich, wenn der Arbeitgeber kraft seines arbeitsvertraglichen Weisungsrechts näher bestimmt, welche Arbeiten auszuführen sind und in welcher Weise das geschehen soll.

Nach Ansicht des ArbG

„fallen die Vorgaben zur Nutzung von ChatGPT und vergleichbarer Tools unter das mitbestimmungsfreie Arbeitsverhalten“.

Ergänzend sollte man sicher anfügen: im konkreten Fall.

Das Gericht begründet seine Ansicht weiter, dass die Arbeitgeberin ihren Arbeitnehmern ein neues Arbeitsmittel unter bestimmten Bedingungen zur Verfügung stellt. Richtlinien, Handbuch usw. sind somit Anordnungen, welche die Art und Weise der Arbeitserbringung betreffen, weshalb kein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 1 BetrVG bestehe.

§ 87 Abs. 1 Nr. 6 BetrVG
Nach dieser Norm hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen.

Auch dieses Mitbestimmungsrecht habe die Arbeitgeberin hier nach Ansicht des ArbG nicht verletzt.

Zweck des Mitbestimmungsrechts ist es, Arbeitnehmer vor Beeinträchtigungen ihres Persönlichkeitsrechts durch den Einsatz technischer Überwachungseinrichtungen zu bewahren. Zwar sind technische Einrichtungen bereits dann zur Überwachung „bestimmt“, wenn sie objektiv geeignet sind, dass der Arbeitgeber Verhaltens- oder Leistungsinformationen über den Arbeitnehmer erheben und aufzuzeichnen kann.

Vorliegend stellte das ArbG u.a. darauf ab, dass ChatGPT und die vergleichbaren Konkurrenzprodukte nicht auf den Computersystemen der Arbeitgeberin installiert wurden. Will ein Arbeitnehmer diese Tools nutzen, muss er diese wie jede andere Homepage auch, mittels eines Browsers aufrufen. Zudem erhalte die Arbeitgeberin keine Meldung oder Information, wann welcher Arbeitnehmer wie lange und mit welchem Anliegen ChatGPT genutzt hat.

Zwar werde der Browser die Nutzung des Tools regelmäßig aufzeichnen.

„Dies stellt aber keine Besonderheit von ChatGPT dar, sondern ergibt sich aus den Funktionsmöglichkeiten des Browsers, der den Surfverlauf des Nutzers abspeichert“.

Der Browser selbst sei zwar somit eine technische Einrichtung, die geeignet ist, Leistungs- und Verhaltensinformationen der Arbeitnehmer aufzuzeichnen. Jedoch haben die Parteien hier zur Nutzung von Browsern eine Konzernbetriebsvereinbarung abgeschlossen, weshalb der Betriebsrat sein Mitbestimmungsrecht aus § 87 Abs. 1 S. 1 BetrVG bereits ausgeübt hat.

Zweitens begründet das ArbG seine Ansicht damit, dass der Anbieter des Tools, etwa von ChatGPT, die vorgenannten Daten wohl aufzeichnet.

„Dies führt aber nicht zur Mitbestimmung, denn der dadurch entstehende Überwachungsdruck wird nicht vom Arbeitgeber ausgeübt.“

Denn die Arbeitgeberin könne auf die vom Hersteller gewonnenen Informationen nicht zugreifen.

Fazit
Wie oben angesprochen, ist diese Entscheidung konkret bezogen auf die Gegebenheiten des Einzelfalls erfolgt – was auch völlig richtig ist. Insbesondere hat das ArbG hier etwa auf die bestehende Betriebsvereinbarung zu Browsern verweisen können. In anderen Konstellationen mag die Entscheidung eines Gerichts daher aber auch anders ausfallen. Interessant für die Praxis sind die Erwägungen des ArbG aber in jedem Fall.