Category Archives: Rechtsprechung

Europäischer Datenschutzausschuss veröffentlicht Bericht zur Prüfung von Datentransfers in Drittländer

Posted on by

Die europäischen Datenschutzbehörden haben einen Bericht (PDF) über die Ergebnisse der Arbeit der Task Force veröffentlicht, die eingerichtet wurde, um 101 Beschwerden zu prüfen, die von der Nichtregierungsorganisation NOYB im Anschluss an das Schrems-II-Urteil des EuGH in verschiedenen Mitgliedstaaten eingereicht wurden.

Wichtig für die Praxis: der Bericht legt die gemeinsamen Standpunkte der Mitglieder der Task Force dar und enthält Informationen über die Ergebnisse der betroffenen Fälle.

Nachfolgend habe ich einige relevante Aspekte zusammengefasst (auch wenn die Positionen nicht völlig neu sind):

  • Wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, auch wenn es keine Probleme mit den Anforderungen von Kapitel V der DSGVO gibt.
  • Abschluss des EU-Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO mit rückwirkender Kraft ist nicht zulässig.
  • Die Verschlüsselung durch den Datenimporteur ist keine geeignete Maßnahme, wenn der Datenimporteur als Anbieter des Tools gesetzlich verpflichtet ist, die kryptografischen Schlüssel ggü. Behörden in dem Drittland zur Verfügung zu stellen.
  • Anonymisierungsfunktionen sind keine geeignete Maßnahme, wenn die Anonymisierung erfolgt, nachdem die Daten in das Drittland übermittelt wurden.
  • In Fällen, in denen ein Auftragsverarbeiter als Datenexporteur im Auftrag des für die Verarbeitung Verantwortlichen (des Website-Betreibers) handelt, ist der für die Verarbeitung Verantwortliche ebenfalls für den Datentransfer verantwortlich und könnte gemäß Kapitel V der DSGVO haftbar gemacht werden.
  • Wenn der für die Verarbeitung Verantwortliche nicht in der Lage ist, ausreichende Angaben zu machen, um nachzuweisen, wie Übermittlungen stattfinden, könnte dies zu einem Verstoß gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO (Rechenschaftspflicht) führen.  
  • Die Entscheidung eines Website-Betreibers, ein bestimmtes Tool für bestimmte Zwecke zu verwenden (z. B. zur Analyse des Verhaltens der Website-Besucher), wird als Bestimmung der „Zwecke und Mittel“ gemäß Art. 4 Abs. 7 DSGVO angesehen (womit der Website-Betreiber zum (Mit)Verantwortlichen wird).

EDSA: Zustimmung zu Datenschutzhinweisen als Verstoß gegen Grundsatz von „Treu und Glauben“ (Art. 5 Abs. 1 a) DSGVO)

Posted on by

Dass es keine gute Idee ist, sich eine Einwilligung oder Zustimmung zu den gesamten Datenschutzhinweisen / Datenschutzhinweisen erteilen zu lassen, ist insbesondere unter dem Blickwinkel der Anwendbarkeit des AGB-Rechts bekannt.

Rechtsprechung zur Anwendbarkeit des AGB-Rechts
So hat etwa jüngst der OGH aus Österreich (Urteil vom 23.11.2022 – 7 Ob 112/22d) sogar entschieden, dass Datenschutzhinweise auch dann der Klauselkontrolle des AGB-Rechts unterfallen, wenn der Betroffene „dem Datenschutzhinweis zwar nicht „zustimmen““ musste, jedoch in einem Versicherungsantrag bestätigen musste, „den Datenschutzhinweis „zur Kenntnis“ genommen zu haben“. Aus Sicht des OGH macht es keinen relevanten Unterschied zu der noch klareren Situation, in der den Datenschutzhinweisen an sich zugestimmt werden muss, „weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren kann“.

Verstoß gegen Art. 5 Abs. 1 a) DSGVO?
Sich eine Zustimmung in eine Datenschutzerklärung, die eigentlich nur der Informationserteilung nach Art. 13 DSGVO dient, einzuholen, ist nach Ansicht des EDSA aber auch noch aus einem anderen Grund unzulässig und kann gegen die DSGVO selbst verstoßen.

In seiner bindenden Entscheidung 5/2022 (Art. 65 DSGVO) vom 5.12.2022 (es ging um ein Verfahren der irischen Behörde gegen die WhatsApp Ireland Limited, befasst sich der EDSA mit der Frage, ob die Einholung einer zwingenden Zustimmung zu den Datenschutzhinweisen einen Verstoß gegen den Grundsatz der Verarbeitung nach Treu und Glauben nach Art. 5 Abs. 1 a) DSGVO darstellt.

Zum Grundsatz der Fairness / Treu und Glauben
Nach Art. 5 Abs. 1 a) DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) (im Englischen: „lawfulness, fairness and transparency“).

In seiner Entscheidung erläutert der EDSA (ab Rz 142) zunächst, wie er die Norm und speziell den Grundsatz von „Treu und Glauben“ bzw. „Fairness“ versteht. Die Grundsätze der Fairness, der Rechtmäßigkeit und der Transparenz, seien zwar drei unterschiedliche, aber dennoch untrennbar miteinander verbundene und voneinander abhängige Grundsätze, die jeder Verantwortliche bei der Verarbeitung personenbezogener Daten beachten muss.

Der Grundsatz der Fairness (Treu und Glauben) habe auch eine eigenständige Bedeutung, was dazu führt, dass etwa die Einhaltung des Grundsatzes der Transparenz nicht automatisch ausschließt, dass auch die Einhaltung des Grundsatzes der Fairness anders bewertet werden muss. Der Grundsatz der Verarbeitung nach Treu und Glauben umfasse unter anderem die „Anerkennung der berechtigten Erwartungen der betroffenen Personen, die Berücksichtigung möglicher nachteiliger Folgen, die die Verarbeitung für sie haben kann“ und auch „die Berücksichtigung des Verhältnisses und der möglichen Auswirkungen eines Ungleichgewichts“ zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen.

Der Grundsatz diene vor allem auch dazu, dass ein faires Gleichgewicht zwischen den geschäftlichen Interessen der Verantwortlichen einerseits und den Rechten und Erwartungen der betroffenen Personen nach der DSGVO andererseits hergestellt werden muss.

Falsche Darstellung der Rechtsgrundlage der Datenverarbeitung
Eine spezifische Ausformung des Grundsatzes „Treu und Glauben“ betrifft nach Ansicht des EDSA die Ermittlung der geeigneten Rechtsgrundlage durch den Verantwortlichen und insbesondere auch die Information bzw. Darstellung der Rechtsgrundlage gegenüber Betroffenen.

Der EDSA ist der Ansicht, dass eine Bewertung der Einhaltung des Grundsatzes von Treu und Glauben „auch eine Bewertung der Folgen erfordert, die die Wahl und Darstellung der Rechtsgrundlage“ für die Betroffenen mit sich bringt.

Im konkreten Fall stellt der EDSA in seiner Entscheidung fest, dass der Beschwerdeführer gezwungen war, den Nutzungsbedingungen und der Datenschutzrichtlinie zuzustimmen. Dies beeinträchtige aber eindeutig die angemessenen Erwartungen der Nutzer, da sie nicht wissen, „ob sie durch Anklicken der Schaltfläche „Akzeptieren“ ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben“. Im konkreten Fall war die Einwilligung nach Art. 6 Abs. 1 a) DSGVO auch nicht die einzige Rechtsgrundlage der Datenverarbeitung. Nach Auffassung des EDSA konnten Betroffene, durch die entsprechende Gestaltung und Einholung der Zustimmung zu den Datenschutzhinweisen, jedoch nicht sicher sein, ob dies eine Einwilligung in alle Datenverarbeitungen darstellt oder nicht.

Aus diesem Grund geht der EDSA davon aus, dass der Verantwortliche in dieser Situation die Rechtsgrundlage der Verarbeitung falsch darstellt und die Betroffenen über die möglichen Zusammenhänge zwischen den angestrebten Zwecken, der anwendbaren Rechtsgrundlage und den entsprechenden Verarbeitungstätigkeiten „im Unklaren“ gelassen werden.

Die Verarbeitung könne daher nicht als ethisch und wahrheitsgemäß angesehen werden kann, „da sie im Hinblick auf die Art der verarbeiteten Daten, die verwendete Rechtsgrundlage und die Zwecke der Verarbeitung verwirrend ist“.

Der EDSA geht daher von einem Verstoß gegen den Grundsatz von „Treu und Glauben“ (Fairness) gemäß Art. 5 Abs. 1 a DSGVO aus.

Fazit
Die Einschätzung des EDSA sollte in der Praxis als zusätzlicher Aspekt Beachtung finden, wenn es um die Ausgestaltung der Einbindung von Datenschutzhinweisen gegenüber Betroffenen geht.

EuGH zum Löschanspruch: Betroffener Person obliegt der Nachweis, dass Informationen unrichtig sind

Posted on by

In seiner Entscheidung C-460/20 (vom 8.12.2022) befasst sich der Gerichtshof der Europäischen Union (EuGH) mit der Beweislast in Fällen, in denen eine betroffene Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt.

Die Entscheidung des Gerichtshofs

Von hoher Relevanz für die Praxis sind die Argumente des EuGH zur Beweislast in Fällen von Art. 17 DSGVO. Konkret ging es hier um die Frage, wer im Rahmen der Ausnahmevorschrift des Art. 17 Abs. 3 lit. a DSGVO die Beweislast dafür trägt nachzuweisen, dass auf einer Webseite aufgelistete Inhalte unrichtige Behauptungen enthalten.

Beantragt eine betroffene Person die Löschung bestimmter Daten mit der Begründung, diese seien unrichtig, so obliegt nach dem EuGH „dieser Person der Nachweis, dass die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist“ (Rz. 68).

Dem EuGH zufolge darf jedoch keine übermäßige Belastung auferlegt werden, die geeignet wäre, die praktische Wirkung des Rechts auf Löschung zu beeinträchtigen. Daher muss die Person den Nachweis der Unrichtigkeit erbringen, kann aber nicht verpflichtet werden, eine gerichtliche Entscheidung gegen den Betreiber der betreffenden Website vorzulegen.

Was die andere Seite betrifft, so kann von dem für die Verarbeitung Verantwortlichen nicht verlangt werden, dass er den Sachverhalt ermittelt und eine kontradiktorische Debatte mit dem Anbieter der Inhalte führt. Der EuGH geht davon aus, dass der Verantwortliche nicht verpflichtet ist, „bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken, um festzustellen, ob dieser Antrag stichhaltig ist“ (Rz. 70).

Eine ähnliche Argumentation für Art. 16 DSGVO?

In einer Entscheidung aus März 2022 (BVerwG 6 C 7.20) hatte sich das Bundesverwaltungsgericht (BVerwG) ebenfalls mit einem ähnlichen Fall zu befassen, allerdings verlangte die betroffene Person eine Datenberichtigung nach Art. 16 DSGVO. Das BVerwG hat darauf hingewiesen, dass der Maßstab für die Qualifizierung eines Datums als „richtig“ oder „unrichtig“ im Sinne des Art. 16 S. 1 DSGVO zunächst die objektive Wirklichkeit ist.

Was die Beweislast betrifft, so verwies das Gericht auf Art. 5 Abs. 2 DSGVO. Nach Auffassung des BVerwG enthält die DSGVO enthält in Art. 5 Abs. 2 DSGVO eine spezifische Bestimmung, wer die Beweislast für die Richtigkeit des nach dem Begehren der betroffenen Person neu einzutragenden Datums trägt. Die Vorschrift regelt auch die Beweislast, soweit die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.

Konkret bezogen auf einen Berichtigungsanspruch, bei dem die Richtigkeit eines Datums umstritten ist, ist damit auch die Frage verbunden, ob der für die Verarbeitung Verantwortliche mit der Verarbeitung des „alten“ oder aber des „neuen“ Datums seiner Pflicht zur Einhaltung des Grundsatzes der Datenrichtigkeit gerecht wird.

Das BVerwG führt aus, dass „die Nichterweislichkeit der Richtigkeit des Datums, dessen Verarbeitung der jeweilige Anspruchsteller mit dem Berichtigungsanspruch nach Art. 16 Satz 1 DSGVO begehrt, zu Lasten des Anspruchstellers geht“. Der Verantwortlichen muss im Zweifel in Zukunft nachweisen, dass ein durch ihn verarbeitetes Datum richtig ist. Wenn ihm aber dieser Nachweis obliegt, so das BVerwG, kann von ihm nicht verlangt werden, „ein vom Antragsteller angegebenes Datum, dessen Richtigkeit sich nicht feststellen lässt, einzutragen und weiter zu verarbeiten“.

Fazit

Beide Entscheidungen enthalten relevante Klarstellungen hinsichtlich der Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit Anfragen von betroffenen Personen konfrontiert sind, die die Berichtigung oder Löschung von Daten beantragen, ohne etwa einen Beweis für die Unrichtigkeit der vorhandenen Daten vorzulegen, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen müssen, an den Gründen dieser Entscheidungen orientieren.

AG München: Zeitlicher Ablauf von Newsletter-Einwilligungen – 4 Jahre Inaktivität nach Vertragsende führen zur Unwirksamkeit

Posted on by

Das AG München entschied in einem Urteil vom 14.02.2023 (Az. 161 C 12736/22), dass der Versand von E-Mail-Werbung wegen fehlender Einwilligung unzulässig sei, da diese Einwilligung infolge Zeitablaufs unwirksam wurde.

Sachverhalt

Der Kläger war bis zum Jahr 2017 Mitglied in einem Golfclub und im Rahmen dieser Mitgliedschaft wohl auch Inhaber eines Accounts bei der Beklagten. Zu diesem Zeitpunkt lag eine ausdrückliche Einwilligung in die Zusendung von Newslettern unstreitig vor. Gleichzeitig geht das AG davon aus, dass das Abonnement wohl an eine Mitgliedschaft in dem Golfclub gekoppelt war.

Nach Ende der Mitgliedschaft im Golfclub sendete die Beklagte dem Kläger keine Newsletter mehr zu, bis der Kläger zum Ende des Jahres 2021, nach Ende der Kooperation der Beklagten mit dem Deutschen Golf Verband, doch wieder einen Newsletter erhielt. Innerhalb der vergangen vier Jahre nutzte der Kläger weder seinen Account bei der Beklagten, noch erhielt er E-Mails.

Entscheidung des Gerichts

Das AG geht davon aus, dass die ursprünglich erteilte Einwilligung „angesichts der Umstände des Einzelfalls infolge Zeitablaufs nicht mehr wirksam“ war.

Das Gericht stellt dar, dass die Frage, ob und ab wann eine ursprünglich erteilte Einwilligung nicht mehr wirksam ist, in der Rechtsprechung und Literatur umstritten und bisher nicht abschließend geklärt sei. Hierzu zitiert das AG auch verschiedenste Ansichten in Rechtsprechung und Literatur.

Das AG bezieht sich in seinen Gründen vor allem auf das BGH-Urteil vom 01.02.2018 (Az. III ZR 196/17). Dort entschied der BGH, dass § 7 UWG eine zeitliche Begrenzung einer einmal erteilten Einwilligung nicht vorsieht. Daher erlischt eine Einwilligung grundsätzlich nicht durch Zeitablauf. In dem konkreten Fall hatte sich der BGH aber mit der Konstellation zu befassen, dass die streitgegenständliche Einwilligung ohnehin nur auf maximal 2 Jahre nach Vertragsbeendigung begrenzt war. Während dieses überschaubaren Zeitraums, so der BGH, könne bei einem Verbraucher, der seine Einwilligung im Rahmen des Vertragsschlusses erteilt, von seinem fortbestehenden Interesse in Erhalt der E-Mails ausgegangen werden.

Das AG musste nun aber zu einem etwas anderen Sachverhalt entscheiden: 4 Jahre waren nach Ende der Mitgliedschaft vergangen und zudem in dieser Zeit gar keine Newsletter versendet worden. Das AG stützt sich in seiner Begründung vor allem auf die vom BGH angeführten „fortbestehenden Interessen“ des Einwilligenden.

Selbst wenn man davon ausgeht, dass eine Einwilligung grundsätzlich zeitlich unbegrenzt gilt, so ist hier nach den Umständen des Einzelfalls nicht mehr von einem Fortbestehen der Einwilligung des Klägers auszugehen.“

Relevante Faktoren sind für das AG der lange Zeitraum von 4 Jahren, ohne Erhalt von Newslettern und fehlende Nutzung des Mitgliedskontos.

Aus diesen Gründen „durfte die Beklagte nicht davon ausgehen, die Einwilligung des Klägers bestehe fort. Sie hätte sich vielmehr zunächst erkundigen müssen, ob dies noch der Fall war“.

Fazit

2 Jahre nach Vertragsende ok, 4 Jahre zu lang? Das könnte man nun evtl. als Leitlinie mitnehmen, wenn es um die Frage der zeitlichen Wirksamkeit von Einwilligungen geht. Jedoch sollte man beachten, dass die Entscheidungen des BGH und hier des AG auf Sachverhaltsebene nicht deckungsgleich und daher auch nicht einfach aufeinander übertragbar sind. Insbesondere ist im Fall des AG nicht klar, wie die Einwilligung konkret ausgestaltet war (ob also, wie beim BGH, in dem Einwilligungstext selbst auf den Zeitraum der Verwendung für den Newsletter hingewiesen wurde).

Generalanwalt am EuGH: Mitarbeiter sind keine „Empfänger“ – zum Umfang des Auskunftsanspruchs

Posted on by

Am 15. Dezember 2022 hat Generalanwalt (GA) Sanchez-Bordona seine Schlussanträge in dem Verfahren C-579/21 vorgelegt. Es geht um einige interessante Fragen hinsichtlich des Umfangs des Auskunftsrechts nach Art. 15 DSGVO. Daneben wird auch kurz auf die Rolle von Mitarbeitern nach der DSGVO bei einem Verantwortlichen eingegangen.

Sachverhalt

In dem Verfahren geht es um einen Betroffenen, der davon Kenntnis erlangte, dass seine personenbezogenen Daten als Kunde des Verantwortlichen abgefragt worden waren. Während dieser Zeit war der Betroffene nicht nur Kunde, sondern auch beim Verantwortlichen beschäftigt.

Der Betroffene forderte den Verantwortlichen auf, ihn über die Identität derjenigen bei ihm Beschäftigten, die im genannten Zeitraum Zugang zu seinen Daten hatten, sowie über den Zweck der Datenverarbeitung zu informieren. Diesen Anspruch begründete er mit Art. 15 DSGVO und damit, dass er mittlerweile von dem Verantwortlichen gekündigt worden war und u. a. die Gründe für seine Kündigung klären wollte.

Der Verantwortliche weigerte sich Auskunft über die Namen der bei Beschäftigten zu erteilen, die personenbezogene Daten des Betroffenen verarbeitet hatten. Nach seiner Ansicht gilt das Recht aus Art. 15 DSGVO nicht für interne Verzeichnisse oder Tagesprotokolle, aus denen hervorgeht, welche Beschäftigten zu welchem Zeitpunkt Zugang zu dem die Kundendaten enthaltenden Datenverarbeitungssystem hatten.

Unterschied zwischen „personenbezogenen Daten“ und „Informationen“

Zunächst befasst sich der GA generell mit der Struktur und dem Inhalt des Art. 15 DSGVO. Er weist darauf hin, dass die Bestimmung zwischen „personenbezogenen Daten“ zum einen und „Informationen“ im Sinne von Abs. 1 Buchst. a bis h zum anderen klar unterscheide. Hieraus folgert er, dass „Informationen“ keine personenbezogenen Daten sind.

Die Informationen, die der betroffenen Person nach Art. 15 Abs. 1 Buchst. a bis h DSGVO zur Verfügung zu stellen sind, dürfen daher nicht mit den personenbezogenen Daten der betroffenen Person im Sinne von Art. 4 Abs. 1 DSGVO verwechselt werden.“

Der Zweck der Erteilung der Informationen liegt in dem Hinweis auf bestimmte Rechte der betroffenen Person oder insbesondere auf Aspekte, die mit der durchgeführten Verarbeitung zusammenhängen, wie z. B. auf ihren Zweck (d. h. den Grund der Verarbeitung) und ihren Gegenstand (die Kategorien der verarbeiteten Daten).

Aus diesem Grund, so der GA, hat der Betroffene im vorliegenden Fall auch keinen Anspruch auf seine personenbezogenen Daten über das Merkmal der „Informationen“, auch wenn nach den Informationen nach Art. 15 Abs. 1 lit. c DSGVO Empfänger zu benennen sind und hierunter eventuell (siehe dazu sogleich) Angaben dazu fallen, welche Mitarbeiter auf Daten des Betroffenen zugegriffen haben.

Der Betroffene hat einen Anspruch auf die „Informationen“ nach Abs. 1, aber nicht, weil diese Informationen an sich „personenbezogene Daten“ darstellten, sondern aufgrund der ausdrücklichen Vorgabe in Art. 15 Abs. 1 DSGVO.

Mitarbeiter als „Empfänger“ im Sinne der DSGVO?

Sodann widmet sich der GA der Frage, ob Mitarbeiter des Verantwortlichen, die mit personenbezogenen Daten umgehen, als „Empfänger“ nach Art. 15 Abs. 1 lit. c DSGVO zu benennen sind.

Das vorlegende Gericht möchte wissen, ob der Betroffene, selbst wenn es sich nicht um seine personenbezogenen Daten handelt, im Licht von Art. 15 Abs. 1 lit. a und c DSGVO berechtigt ist, Auskunft über die beim Verantwortlichen Beschäftigten, die seine personenbezogenen Daten verarbeitet haben, zu erlangen.

Dem Betroffenen geht es hier gerade um die Identität der Beschäftigten, die seine Kundendaten abgefragt haben, sowie um den Zeitpunkt der Verarbeitung und den Verarbeitungszweck.

Der GA betrachtet zunächst die Definition des „Empfängers“ nach Art. 4 Nr. 9 DSGVO. Dies ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Eine extensive Auslegung, wonach auch Mitarbeiter hierunter fallen, lehnt der GA ausdrücklich ab.

Er vertritt die Ansicht,

dass der Begriff des Empfängers nicht die bei einer juristischen Person Beschäftigten einschließt, die unter Nutzung des Datenverarbeitungssystems der juristischen Person und im Auftrag ihrer leitenden Organe die personenbezogenen Daten eines Kunden abfragen.“

Wenn die Beschäftigten unter der unmittelbaren Verantwortung des Verantwortlichen tätig werden, so werden sie schon aufgrund dessen nicht zum „Empfänger“ der Daten. Diese Hinweis des GA ist wichtig, da er danach auch die Situation betrachtet, in der Beschäftigte gerade nicht innerhalb ihrer Weisungen agieren.

Offenlegung gegenüber Behörde

Seinen Standpunkt begründet der GA unter anderem auch mit dem Zweck des Art. 15 DSGVO. Dieser liegt vor allem darin, die Rechtmäßigkeit des Umgangs mit den Daten zu prüfen. Hierfür ist aber, soweit Beschäftigte innerhalb ihrer festgelegten Aufgaben agieren, nicht erforderlich, diese Beschäftigten zu benennen. Denn sie sind in diesem Fall nicht die Verantwortlichen, sondern ihr Arbeitgeber.

Der GA weist zudem darauf hin, dass von dem Anspruch nach Art. 15 DSGVO die Situation zu unterscheiden ist,

dass gegenüber den Aufsichtsbehörden die Beschäftigten namhaft zu machen sind und der Zeitpunkt anzugeben ist, zu dem einer von ihnen auf die personenbezogenen Daten des Kunden zugegriffen hat (d. h. auf den Inhalt dieser Angaben in den Verzeichnissen oder Dateisystemen, auf die ich nachstehend eingehen werde), damit diese Behörden die Rechtmäßigkeit der Handlungen überprüfen können.“

Über die Prüfmöglichkeit der Aufsichtsbehörden ist der Betroffene also abgesichert und nach Ansicht des GA bedarf es daher keiner Benennung von Mitarbeitern schon im Rahmen des Art. 15 DSGVO.

Sollte der Betroffene, basierend auf den Angaben nach einem Auskunftsbegehren nach Art. 15 DSGVO, noch Zweifel an der Rechtmäßigkeit der Datenverarbeitung haben, kann er (wie u.a. auch die Kommission in der mündlichen Verhandlung hervorgehoben hat), an den Datenschutzbeauftragten wenden (Art. 38 Abs. 4 DSGVO) oder bei der Aufsichtsbehörde eine Beschwerde einreichen (Art. 15 Abs. 1 Buchst. f und Art. 77 DSGVO).

Der Betroffene ist

jedoch nicht berechtigt, unmittelbar Auskunft über die personenbezogenen Daten (die Identität) eines Beschäftigten zu erhalten, der dem Verantwortlichen oder Auftragsverarbeiter unterstellt ist und grundsätzlich in Übereinstimmung mit dessen Anweisungen handelt.“

Für diese Ansicht spricht zudem Art. 29 DSGVO, der sich auf „jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat“, bezieht. Diese Personen dürfen die Daten nur auf Anweisung ihres Arbeitgebers verarbeiten, der der eigentliche Verantwortliche (oder Auftragsverarbeiter) ist.

Ausnahme: Mitarbeiterexzess

Wie oben angemerkt, macht der GA aber auch eine Ausnahme von dem Grundsatz, dass Mitarbeiter nicht als Empfänger zu benennen sind. Es könne vorkommen, dass sich ein Beschäftigter nicht an die vom Verantwortlichen festgelegten Verfahren hält und auf eigene Initiative unrechtmäßig die Daten von Kunden oder anderen Beschäftigten abfragt.

In einem solchen Fall handelt der unredlich handelnde Beschäftigte jedoch nicht im Auftrag und im Namen des Verantwortlichen.“

Dies sind also jene Fälle, in denen Mitarbeiter eigenmächtig und außerhalb ihrer vertraglich festgelegten Tätigkeiten auf Daten zugreifen oder mit diesen umgehen. Oft werden diese Situationen auch als sog. Mitarbeiterexzess bezeichnet.

Der GA ist der Ansicht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann,

da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Hiermit bestätigt der GA zudem, dass Mitarbeiter zu eigenen Verantwortlichen nach der DSGVO werden können, wenn sie sich über ihre arbeitsvertraglich festgelegten Aufgaben hinwegsetzen. Mit allen möglichen Konsequenzen, wie etwa die Erfüllung der DSGVO-Pflichten, dem Risiko eines Bußgeldes gegen sie selbst nach Art. 83 DSGVO oder Schadenersatzansprüche von Betroffenen nach Art. 82 DSGVO.

Fazit

Sollte der EuGH den Argumenten des GA folgen, wird damit höchstgerichtlich bestätigt, dass Mitarbeiter innerhalb eines Verantwortlicheren nicht als „Empfänger“ nach der DSGVO gelten und daher etwa nicht im Rahmen einer Auskunft nach Art. 15 DSGVO zu nennen sind.

Generalanwalt am EuGH: Kopie-Begriff nach Art. 15 Abs. 3 DSGVO bezieht sich nicht per se auf Dokumente – wann sind Daten „verständlich“?

Posted on by

Heute hat Generalanwalt (GA) Pitruzella seine Schlussanträge in der Rechtssache C‑487/21 veröffentlicht. Die Ausführungen des GA sind sehr praxisrelevant, da es um den Inhalt und Umfang des Anspruchs auf eine Kopie personenbezogener Daten nach Art. 15 Abs. 3 DSGVO geht.

Vielleicht direkt vorab: der GA vertritt eine eher einschränkende Auslegung des Kopie-Begriffs (allein auf die personenbezogenen Daten), eröffnet jedoch die Möglichkeit einer Herausgabe von (Teilen von) Dokumenten, in denen die personenbezogenen Daten enthalten sind.

Zudem bleibt der GA eher vage bei der entscheidenden Frage: was sind, gerade in Bezug auf Daten in Dokumenten, eigentlich die „personenbezogenen Daten“? Denn der GA ist deutlich: es ist eine Kopie der „personenbezogenen Daten“ herauszugeben. Wenn man nun ein 20 seitiges PDF-Dokument als Ganzes als personenbezogenes Datum ansehen würde, weil auf S. 3 und S. 16 der Name einer Person steht, müsste man das ganze Dokument als „personenbezogenes Datum“ herausgeben. Dieser Streit dürfte in der Praxis vorerst weiter bestehen.

Begutachtete Vorlagefragen

Im Hauptteil der Schlussanträge befasst sich der GA mit der Frage nach der genauen Bedeutung des Begriffs „Kopie“ in Art. 15 Abs. 3 DSGVO. Zudem soll geklärt werden, welche Tragweite das der betroffenen Person durch diese Bestimmung verliehene Recht hat. Insbesondere, ob diese Bestimmung das Recht auf Erhalt einer Kopie auch der Dokumente – oder von Auszügen aus Datenbanken –, in denen die personenbezogenen Daten verarbeitet werden, verleiht oder ob sie sich darauf beschränkt, das bloße Recht auf Erhalt einer originalgetreuen Reproduktion der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu gewähren.

Begründung des GA

Der GA nimmt eine aus meiner Sicht sehr schöne rechtliche Analyse des Art. 15 Abs. 3 DSGVO anhand von Wortlaut, Kontext und den Zielen, die mit der DSGVO verfolgt werden, vor.

Analyse des Wortlauts

Der GA betrachtet drei verschiedene Begriffe: den Begriff „Kopie“, den Begriff „personenbezogene Daten“ und den Begriff „Gegenstand der Verarbeitung“.

Die DSGVO sieht keine spezifische Definition des Begriffs „Kopie“ vor. Aus rein terminologischer Sicht bezeichne der Ausdruck „Kopie“ im gewöhnlichen Sprachgebrauch die originalgetreue Reproduktion oder Abschrift. Klar ist, dass die Kopie, die der für die Verarbeitung Verantwortliche der betroffenen Person zur Verfügung stellen muss, die Kopie der „personenbezogenen Daten“ ist, die Gegenstand der Verarbeitung sind.

Für den Begriff „personenbezogene Daten“ verweist der GA auf die Rechtsprechung des EuGH und dortige Beispiele. Die Tragweite des Begriffs „personenbezogene Daten“, ist sehr weit. Mit der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung dieses Begriffs komme das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen. Es genügt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist.

Nach Ansicht des GA bedeutet dies, dass dieser Begriff und damit das Recht auf Auskunft über diese Daten und auf Erhalt einer Kopie dieser Daten nicht ausschließlich auf Daten beschränkt ist, die von einem Verantwortlichen erhoben, aufbewahrt und verarbeitet werden, sondern auch die weiteren Daten zu umfassen hat, die von diesem Verantwortlichen nach der Verarbeitung möglicherweise erzeugt werden, wenn auch sie Gegenstand der Verarbeitung sind.

Wenn also nach der Verarbeitung einer Reihe personenbezogener Daten neue, aus dieser Verarbeitung resultierende Informationen über eine identifizierte oder identifizierbare Person erzeugt werden, die als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO eingestuft werden können,

müsste das in Art. 15 Abs. 1 bzw. Abs. 3 Satz 1 DSGVO vorgesehene Recht auf Auskunft zu den personenbezogenen Daten und auf Erhalt einer Kopie daher meines Erachtens auch diese erzeugten Daten umfassen, wenn diese Daten selbst Gegenstand der Verarbeitung sind.“

Was drittens den Begriff „Gegenstand der Verarbeitung“ betrifft, verweist der GA auf die Definition der „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Aus der weiten Bedeutung des Begriffs ergebe sich, dass Art. 15 Abs. 3 S. 1 DSGVO der betroffenen Person das Recht verleiht, eine Kopie ihrer personenbezogenen Daten zu erhalten, die Gegenstand eines Vorgangs sind, der als „Verarbeitung“ eingestuft werden kann.

Aber, und hier kommt zum ersten Mal die engere Auffassung zum Ausdruck: „verleiht diese Bestimmung als solche jedoch kein Recht, andere als die in Art. 15 Abs. 1 DSGVO genannten spezifischen Informationen über die Verarbeitung der personenbezogenen Daten selbst zu erhalten“.

Als Ergebnis der Wortlautauslegung stellt der GA fest, dass die „Kopie der personenbezogenen Daten“ eine getreue Wiedergabe dieser Daten sein muss. Dies bedeutet, dass je nach Art der verarbeiteten Daten und der Art der Verarbeitung eine Kopie dieser Daten verschiedene Formate wie Papierform, Audio- oder Videoaufzeichnungen, elektronisches Format oder andere Formate aufweisen kann.

Wichtig ist, dass die Kopie dieser Daten wortgetreu ist und es der betroffenen Person ermöglicht, volle Kenntnis von allen Daten zu erlangen, die Gegenstand der Verarbeitung sind. Eine etwaige Zusammenstellung der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, muss diese Daten originalgetreu und verständlich wiedergeben und im Übrigen den Inhalt der zu übermittelnden Daten nicht beeinflussen.“

Umfasst sind alle personenbezogenen Daten und damit nicht nur der erhobenen Daten, sondern auch vom Verantwortlichen erzeugte personenbezogenen Daten, die Gegenstand der Verarbeitung sind.

Aber: Art. 15 Abs. 3 DSGVO bezieht sich ausschließlich auf Kopien der personenbezogenen Daten.

Daher, so der GA, „kann sie zum einen kein Recht auf Zugang zu Informationen begründen, die nicht als solche eingestuft werden können, und verleiht zum anderen nicht – zwangsläufig – ein Recht auf Erhalt von Kopien von Dokumenten oder anderen Trägern, die personenbezogene Daten enthalten“.

Diese Feststellung ist meines Erachtens relevant:

  • die Kopie kann sich nur auf personenbezogene Daten beziehen (Hinweis: hier kann man weiter streiten, wann diese vorliegen)
  • der GA scheint davon auszugehen, dass ein Dokument nicht als solches direkt zum personenbezogenen Datum wird, nur weil in dem Dokument ein solches Datum enthalten ist. Ansonsten würde der zweite Halbsatz der Begründung oben keinen Sinn machen („die personenbezogene Daten enthalten“).

Systematische und teleologische Analyse

Sodann geht der GA in die systematische und teleologische Analyse über.

Abs. 1 des Art. 15 DSGVO sehe vor, dass die betroffene Person das Recht hat, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob seine personenbezogenen Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in den Buchst. a bis h angeführten Informationen.

Diese Bestimmung konkretisiere somit das Recht auf Auskunft über personenbezogene Daten und damit zusammenhängende Informationen, indem sie den genauen Gegenstand und den Anwendungsbereich des Auskunftsrechts festlegt.

Art. 15 Abs. 3 DSGVO, so der GA, regele die Modalitäten der Ausübung dieses Rechts,

indem er u. a. die Form festlegt, in der der für die Verarbeitung Verantwortliche die personenbezogenen Daten der betroffenen Person zur Verfügung zu stellen hat, nämlich in Form einer Kopie und damit einer getreuen Wiedergabe der Daten.“

Für den GA ist klar, dass Abs. 3 kein eigenständiger Anspruch des Betroffenen ist. Art. 15 Abs. 3 DSGVO definiere nicht den Gegenstand und den Anwendungsbereich des durch Abs. 1 konkretisierten Rechts auf Auskunft. Daher könne Abs. 3 diesen Anspruch auch nicht ändern oder erweitern.

Art. 15 Abs. 3 DSGVO könne daher

kein eigenständiges Recht der betroffenen Person darauf begründen“, „Informationen zu erhalten, die über die in Abs. 1 der Bestimmung genannten hinausgehen“.

Der GA fasst dann in Rz. 52 seine vorläufigen Ergebnisse zusammen:

  • dass Art. 15 Abs. 3 S.1 DSGVO keinen eigenständigen Anspruch auf Erhalt von Kopien von Dokumenten oder anderen Trägern, die personenbezogene Daten enthalten, verleiht.
  • dass diese Bestimmung der betroffenen Person kein Recht verleiht, andere als die in Art. 15 Abs. 1 DSGVO genannten Informationen über die Verarbeitung personenbezogener Daten, wie z. B. Informationen zu den für die Verarbeitung personenbezogener Daten verwendeten Kriterien, Modellen, internen (berechnungs- oder sonstigen) Regeln oder Verfahren, zu erhalten.

Danach öffnet der GA in der weiteren Begründung jedoch doch die Tür einen Spalt weit dafür, über Abs. 3 eventuell Dokumente oder Teile von Dokumenten, in denen Daten enthalten sind, zu erhalten. Er stützt sich hierbei jedoch nicht allein auf Art. 15 Abs. 3 DSGVO, sondern auf die Vorgaben zu den Betroffenenrechten in Art. 12 DSGVO.

Art. 15 Abs. 3 S. 1 DSGVO ist im Licht der anderen Bestimmungen der DSGVO auszulegen. Hier ist u. a. Art. 12 Abs. 1 DSGVO relevant. Danach muss der Verantwortliche geeignete Maßnahmen treffen, um der betroffenen Person alle u. a. in Art. 15 DSGVO genannten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, und dass die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch erfolgt, es sei denn, die betroffene Person verlangt, dass diese mündlich erteilt werden.

Das Ziel: die betroffene Person soll in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen.

Und aus dem Erfordernis der Verständlichkeit der in Art. 15 Abs. 1 lit.. a bis h DSGVO angeführten Daten und Informationen folgert der GA,

dass nicht ausgeschlossen ist, dass es in bestimmten Fällen, um der betroffenen Person die gänzliche Verständlichkeit der an sie übermittelten Informationen zu gewährleisten, erforderlich ist, dieser Passagen von Dokumenten oder vollständige Dokumente oder Auszüge aus Datenbanken zu übermitteln.“

Das bedeutet: im Einzelfall muss der Verantwortliche eventuell dennoch Dokumente oder Teile von Dokumenten herausgeben, damit Betroffene die an sie übermittelten personenbezogenen Daten und deren Verwendung verstehen.

Es geht dem GA hier ersichtlich um den Kontext der Datenverarbeitung und wohl nicht um eine Festlegung, ob die Dokumente an sich personenbezogene Daten sind (dann müsste man sie ja ohnehin herausgeben).

Die Begründung und vorgeschlagene Vorgehensweise des GA, dürfte in der Praxis natürlich erneut zu Diskussionen und Unsicherheiten führen. Der GA verweist darauf, dass die Analyse der Notwendigkeit, Dokumente oder Auszüge zur Verfügung zu stellen, um die Verständlichkeit der übermittelten Informationen zu gewährleisten,

zwangsläufig von Fall zu Fall anhand der Art der Daten, die Gegenstand des Antrags sind, und des Antrags selbst vorgenommen werden“.

Zwar, so der GA, kann es in bestimmten Fällen für ein umfassendes Verständnis der in Rede stehenden personenbezogenen Daten erforderlich sein, den Kontext zu kennen, in dem diese Daten verarbeitet werden.

Diese Erwägung ist jedoch nicht geeignet, der betroffenen Person auf der Grundlage der in Rede stehenden Bestimmung ein allgemeines Recht auf Zugang zu Kopien von Dokumenten oder Auszügen aus Datenbanken zu verleihen“.

Systematisch führt der GA auch noch an, dass eine Auslegung von Art. 15 Abs. 3 S. 1 DSGVO dahin, dass diese Bestimmung kein allgemeines Recht auf Zugang zu Kopien von Dokumenten oder Auszügen aus Datenbanken gewährt, sofern dies nicht erforderlich ist, um die Verständlichkeit der übermittelten Daten und Informationen zu gewährleisten, auch dadurch bestätigt wird, dass das Recht auf Zugang zu Dokumenten, insbesondere zu Verwaltungsdokumenten, ausdrücklich durch andere Unionsrechtsakte oder nationale Rechtsakte geregelt wird, die andere Ziele haben als diejenigen, die den Schutz personenbezogener Daten sicherstellen.

Fazit

Als Ergebnis fasst der GA daher unter anderem zusammen:
diese Bestimmung der betroffenen Person kein allgemeines Recht verleiht auf teilweise oder vollständige Kopie des Dokuments, das die personenbezogenen Daten der betroffenen Person enthält, oder, wenn die personenbezogenen Daten in einer Datenbank verarbeitet werden, auf einen Auszug aus dieser Datenbank“.

Zum einen wird man nun sehen und warten müssen, ob und inwieweit sich der EuGH den Argumenten anschließt. Sollte die Begründung des GA so übernommen werden, dürften sich in der Praxis dennoch weiter Fragen stellen.

Insbesondere, wann ein Dokument oder zB eine Datenbank als Ganzes als personenbezogene Datum anzusehen ist. Ob es also eine Art „Infektion“ des Datums auf das ganze Dokument gibt.

Zum anderen wird in der Praxis die Frage aufkommen, wann den herauszugebende Daten eventuell nicht „verständlich“ sind und damit die Anforderungen nach Art. 12 Abs. 1 DSGVO noch nicht erfüllt sind.

Wer ist hier nachweispflichtig? Muss der Verantwortliche erahnen, dass Betroffene die Daten nicht verstehen? Sollte dies der Fall sein, bedeutet dies natürlich eine Unsicherheit für den Verantwortlichen und im schlimmsten Fall die Umkehrung der Ausnahme (Herausgabe ganzer Dokumente) zur Regel. Denn will der Verantwortliche auf Nummer sicher gehen, müsste er stets das ganze Dokument herausgeben.

Oder muss der Betroffene nachweisen, dass die Daten nicht „verständlich“ sind? Die mangelnde Fähigkeit des Verständnisses der Daten ist schließlich eine Eigenschaft, die allein in seiner Sphäre als Anspruchsteller liegt.

LAG Hessen: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO ist nicht vermögensrechtlicher Natur – Kopieanspruch nach Abs. 3 aber schon

Posted on by

Das LAG Hessen hatte sich in einer Entscheidung (Beschl. v. 11.11.2022, Az. 12 Ta 417/22) zum Gebührenstreitwert eines arbeitsgerichtlichen Verfahrens auch mit der Frage zu befassen, ob der Auskunftsanspruch nach Art. 15 DSGVO vermögensrechtlicher Natur ist – ob er also (auch) wirtschaftlichen Zwecken dient. 

Die Entscheidung des LAG ist unter zwei Aspekten für die Praxis relevant: zum einen für eine mögliche Heranziehung der Begründung im Zuge von klar unbegründeten (bzw. missbräuchlichen) Ansprüchen, wenn diese wegen wirtschaftlicher Motive geltend gemacht werden. Zum anderen für gerichtliche Auseinandersetzungen zu Art. 15 DSGVO und die Frage, welcher Streitwert für solche Ansprüche anzusetzen ist.

Zwei Ansprüche oder einer?

Das LAG trennt Art. 15 DSGVO (meines Erachtens diskutabel) in zwei verschiedene Ansprüche auf. 

Der Antrag auf Auskunft nach Art. 15 Abs. 1 DSGVO sei nicht vermögensrechtlicher Natur. Also wenn man so will, der „normale“ Auskunftsanspruch. Dieser Anspruch diene keinen wirtschaftlichen Interessen des Betroffenen. Das LAG hält (im Grundsatz) einen Gegenstandswert von 500 EUR für angemessen. Jedoch verdoppelt das LAG hier diesen Wert auf 1.000 EUR, da der Auskunftsanspruch auch Informationen über den Gesundheitszustand des Mitarbeiters betreffen könnte, die für den Streit relevant seien. 

Der weitere Antrag auf Erhalt einer Kopie der personenbezogenen Daten, Art. 15 Abs. 3 DSGVO, sei dann aber nach Ansicht des LAG doch als vermögensrechtliche Streitigkeit zu bewerten. Denn die „Zurverfügungstellung der Daten“ sei nicht anders zu bewerten, als ein Herausgabeverlangen bezüglich Arbeitspapieren. 

Andere Ansicht vertretbar

Meines Erachtens ist die Ansicht des LAG zumindest diskutabel und eine andere Auffassung gut vertretbar. Zum einen lässt sich bereits fragen, warum Abs. 1 und Abs. 3 des Art. 15 DSGVO zwei getrennt voneinander existierende Ansprüche sein sollen. Abs. 3 erfasst keine weiteren oder andere Daten und Informationen als jene des Abs. 1. Denn Abs. 3 bezieht sich auch „nur“ auf die personenbezogenen Daten (wie in Abs. 1 bereits genannt). Daher geht etwa auch der EDSA in seinen Leitlinien 01/2022 davon aus, dass Betroffene kein Recht auf Erhalt von Dokumentenkopien haben, in denen personenbezogene Daten enthalten sind (“This, however, does not mean that the data subject always has the right to obtain a copy of the documents containing the personal data, but an unaltered copy of the personal data being processed in these documents”). Zudem würde ich der Ansicht des LAG, dass Abs. 3 ein Anspruch auf Herausgabe von Arbeitspapieren darstellt, nicht folgen. Abs. 3 ist meines Erachtens kein Anspruch auf Dokumenten- oder Kopienherausgabe von Unterlagen, sondern eine besondere Form des Auskunftsanspruchs. Hierfür kann man etwa anführen, dass in der DSGVO an anderer Stelle durchaus auf Dokumente oder Unterlagen an sich abgestellt wird (etwa in Art. 70 Abs. 1 s) „alle erforderlichen Unterlagen, darunter den Schriftwechsel…“ oder ErwG 63 „Daten in ihren Patientenakten“ (man beachte hier auch das „in“)), aber nicht in Art. 15 Abs. 3 DSGVO. Auch der EDSA geht in seinen Leitlinien davon aus, dass Abs. 3 kein zusätzliches, eigenes Recht darstellt („The obligation to provide a copy is not to be understood as an additional right of the data subject, but as modality of providing access to the data“).

Zum anderen kann man sicherlich auch eine andere Auffassung zu der Frage vertreten, ob Abs. 3 vermögensrechtlicher Natur ist. Hiergegen spricht meines Erachtens allein schon ErwG 63 DSGVO, der vorgibt, dass der Zweck des Recht ist, „um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können“.

EuGH: Art. 5 Abs. 2 & Art. 24 DSGVO erlegen Verantwortlichen auch (neue) Compliance-Pflichten auf

Posted on by

In seinem kürzlich ergangen Urteil vom 27.10.2022 (C-129/21) befasst sich der EuGH u.a. mit der Frage, welche konkreten Pflichten aus den sehr allgemein gehaltenen Vorgaben nach Art. 5 Abs. 2 und Art. 24 DSGVO erwachsen können.

Im konkreten Fall (und ich denke, man muss die Besonderheiten des Falles bei der Begründung durchaus berücksichtigen) geht der EuGH sogar soweit, aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, der Pflicht nach Art. 24 DSGVO und unter Auslegung der Art. 12 Abs. 2 und Art. 17 DSGVO, eine eigenständige Informationspflicht für Verantwortliche zu kreieren, die in dieser Form eigentlich nicht ausdrücklich in der DSGVO vorgesehen ist.

Konkret ging es um die Frage, ob Art. 5 Abs. 2 und Art. 24 DSGVO dahin auszulegen sind, dass eine Datenschutzbehörde verlangen kann, dass ein Anbieter von Teilnehmerverzeichnissen als Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreift, um weitere Verantwortliche, nämlich den Telefondienstanbieter, der ihm die personenbezogenen Daten seines Teilnehmers übermittelt hat, sowie die anderen Anbieter von Teilnehmerverzeichnissen, denen er selbst solche Daten geliefert hat, über den Widerruf der Einwilligung dieses Teilnehmers zu informieren.

Die Auffassung des EuGH zu Art. 5 Abs. 2 und Art. 24 DSGVO:

erlegen Art. 5 Abs. 2 und Art. 24 DSGVO den für die Verarbeitung personenbezogener Daten Verantwortlichen eine allgemeine Rechenschaftspflicht sowie Compliance-Pflichten auf“.

Und:

Insbesondere verpflichten diese Bestimmungen die Verantwortlichen, zur Wahrung des Rechts auf Datenschutz geeignete Maßnahmen zu ergreifen, um etwaigen Verstößen gegen die Vorschriften der DSGVO vorzubeugen„.

Für die Praxis von Relevanz dürfte hier der Hinweis auf „vorzubeugen“ sein. Konkret muss der Verantwortliche also ein Compliance-System schaffen, um Verstöße gegen die DSGVO vorab zu verhindern. Diese Aussage mag aus der allgemeinen „Compliance-Sicht“ wenig überraschen, geht es doch dort gerade darum, Rechtsverletzungen zu verhindern. Für den Bereich der DSGVO ist die Aussage aber relevant, da insbesondere Art. 24 DSGVO sehr allgemein gehalten und z. B. ein Verstoß gegen diese Norm nicht bußgeldbewährt ist.

Der EuGH verweist hier auch auf die Begründung des Generalanwalts. Dieser ging ganz explizit davon aus, dass eine solche hier in Rede stehende Informationspflicht zumindest nicht aus Art. 17 oder 19 DSGVO direkt ableitbar ist.

Es trifft zu, dass Art. 17 Abs. 2 und Art. 19 DSGVO spezifische Informationspflichten festlegen, die „Verantwortliche“ (im Hinblick auf Daten, die öffentlich gemacht worden sind und deren Löschung beantragt worden ist) bzw. „Empfänger“ betreffen. Diese Bestimmungen erfassen jedoch nicht den in Rede stehenden Sachverhalt,…

Dennoch, so der EuGH, ergebe sich aus den allgemeinen Verpflichtungen nach Art. 5 Abs. 2 und Art. 24 DSGVO in Verbindung mit Art. 19 DSGVO, dass ein Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den an ihn gerichteten Widerruf der Einwilligung der betroffenen Person zu informieren.

Dies ergebe sich auch aus einer entsprechenden Auslegung des in Art. 12 Abs. 2 DSGVO vorgesehenen Erfordernisses, wonach der Verantwortliche verpflichtet ist, der betroffenen Person die Ausübung der Rechte zu erleichtern, die ihr u. a. durch Art. 17 DSGVO gewährt werden.

EuGH zu den Nachweispflichten bei der Löschung von Daten

Posted on by

In einem kürzlich ergangenen Urteil (Urt. v. 20.10.2022, C-77/21) befasste sich der EuGH mit der praxisrelevanten (wenn durchaus auch ungeliebten) Frage, welche Anforderungen bei der Löschung von Daten und insbesondere dem Nachweis der Erfüllung der Löschpflicht zu beachten sind.

Ausgangsverfahren

Ein ungarisches Unternehmen richtete nach einer technischen Störung, die den Betrieb eines Servers beeinträchtigte, unter der Bezeichnung „test“ eine Testdatenbank ein. In diese kopierte das Unternehmen personenbezogene Daten von ungefähr einem Drittel der Kunden, die in einer anderen Datenbank gespeichert waren, die mit einer Website verlinkt werden konnte und die aktualisierten Daten der Newsletter-Abonnenten für Zwecke der Direktwerbung sowie die Zugangsdaten der Systemadministratoren zur Schnittstelle der Website enthielt. Die ungarische Datenschutzbehörde entschied, dass das Unternehmen gegen Art. 5 Abs. 1 lit. b und e DSGVO verstoßen habe, da es die Testdatenbank nach der Durchführung der notwendigen Tests und Fehlerbeseitigungen nicht sofort gelöscht habe. Hierdurch seien in der Testdatenbank eine große Menge Kundendaten fast 18 Monate ohne irgendeinen Zweck und in einer Weise gespeichert worden seien, die die Identifizierung der betroffenen Personen ermöglicht habe.

Entscheidung des EuGH

In seinem Urteil befasst sich der EuGH ab Rz. 46 ff. mit dem Grundsatz der Speicherbegrenzung und damit auch der Frage der Lösch- und einer erforderlichen Nachweispflicht.

Zunächst stellt der EuGH (wie schon öfter in der Vergangenheit) klar, dass die Grundsätze des Art. 5 Abs. 1 DSGVO kumulativ einzuhalten sind. „Daher muss die Speicherung personenbezogener Daten nicht nur dem Grundsatz der „Zweckbindung“, sondern auch dem Grundsatz der „Speicherbegrenzung“ genügen“.

Bezogen auf den konkreten Fall bewertet der EuGH danach die Frage, ob Art. 5 Abs. 1 lit. e DSGVO dahin auszulegen ist, dass der in dieser Vorschrift vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist.

Nachweis über Erforderlichkeit der Speicherung

Nach Ansicht des EuGH muss der Verantwortliche in der Lage sein, gemäß dem Grundsatz der Rechenschaftspflicht, „nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist“.

Praktisch dürfte dies für ein Löschkonzept bedeuten, dass für personenbezogene Daten die jeweilige festgelegte Aufbewahrungsdauer genau geprüft und gut begründbar sein muss. Im Grunde sieht der EuGH hier zwei Ziele der Nachweispflicht:

  • Dass die personenbezogenen Daten rein faktisch nur für den Zeitraum der Erforderlichkeit verarbeitet werden und danach nicht mehr (personenbeziehbar) vorhanden sind.
  • Dass die Erforderlichkeit der Verarbeitung zur Erreichung der definierten Zwecke dargelegt werden kann.

Der erste Aspekt ist aus meiner Sicht eher ein technisches bzw. organisatorisches Thema. Der zweite Aspekt betrifft eher die juristische Begründung der Verarbeitung.

Ein Datum kann mehreren Zwecken dienen – aber irgendwann ist Schluss

Der EuGH stellt im Hinblick auf die Erforderlichkeit zudem klar, dass es nicht zwingend nur einen Verarbeitungszweck geben muss, für den ein Datum verwendet wird. Vielmehr kann ein Datum im Laufe der Zeit mehreren Zwecken dienen. Jedoch ist die Verarbeitung eines Datums dann nicht mehr zulässig, wenn das Datum für die Erreichung der Zwecke nicht mehr erforderlich ist. In diesem Fall muss das Datum gelöscht werden, wenn diese Zwecke erreicht sind. Für den konkreten Fall geht der EuGH daher davon aus, dass der Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, „in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist“. Für die Praxis der Datenlöschung, etwa in Form eines Löschkonzepts, kommt dem Merkmal der „Erforderlichkeit“ und damit der Begründung, warum Daten noch verwendet werden müssen, entscheidende Bedeutung zu.

Sensible Daten überall? – Versuch einer (irgendwie handhabbaren) Interpretation des EuGH-Urteils

Posted on by

Mit seinem gestrigen Urteil in der Rs. C-184/20 (Urt. v. 1.8.2022) hat er EuGH für einige Diskussionen und sicher auch hochgezogene Augenbrauen im #TeamDatenschutz gesorgt. Wobei man, wenn man ehrlich ist und die EuGH-Rechtsprechung zum Datenschutz verfolgt, nicht mehr allzu sehr überrascht von Entscheidungen sein sollte, in denen das Gericht den Anwendungsbereich der DSGVO weit auslegt und per se betroffenenfreundlich urteilt.

Was hat der EuGH entschieden?

Auf die Hintergründe des Urteils möchte ich hier nicht eingehen. Für diesen Blogbeitrag reicht es aus zu wissen, dass es in Litauen aus Gründen der Transparenz und Korruptionsbekämpfung eine gesetzliche Pflicht für gewisse Personen gibt, bestimmte Daten an eine Behörde zu geben und diese Behörde den Großteil dieser Daten dann auf ihrer Internetseite veröffentlicht. Zu den Daten gehören auch namensbezogenen Daten über den Ehegatten, Partner oder Lebensgefährten der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, sowie die Angabe des Gegenstands der Transaktionen mit einem Wert von mehr als 3 000 Euro.

Der EuGH geht am Ende ausdrücklich von einer „weiten Auslegung“ (Rz. 125) Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ (Art. 9 Abs. 1 DSGVO) aus.

Eine Verarbeitung von Daten, „die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“, stelle eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen dar (Rz. 128).

Der EuGH lässt es für die Anwendbarkeit des Art. 9 Abs. 1 DSGVO mithin genügen, dass aus Daten indirekt auf besondere Kategorien personenbezogener Daten geschlossen werden kann. Bsp: gibt ein Mann an, dass er mit einem Mann verheiratet ist, offenbart dies nach Ansicht des EuGH wohl seine sexuelle Orientierung. Art. 9 Abs. 1 DSGVO ist anwendbar, auch wenn die Daten dies selbst inhaltlich nicht (direkt) offenbaren.

Begründung des EuGH

Die Begründung für dieses Ergebnis, wenn man die generelle Linie des EuGH bei Datenschutz-Themen betrachtet, wenig überraschend. Im Kern nennt der EuGH zwei Argumente.

Erstens, eine kontextbezogene Analyse. Eine enge Auslegung des Begriffs der besonderen Kategorien personenbezogener Daten liefe insbesondere Art. 4 Nr. 15 der DSGVO zuwider, wonach „Gesundheitsdaten“ personenbezogene Daten sind, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand „hervorgehen“, und stünde auch im Widerspruch zu ErwG 35 DSGVO.

Zweitens, eine zweckbezogene Auslegung der Norm innerhalb der DSGVO. Für eine weite Auslegung spreche das Ziel der DSGVO, das darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten.

Mögliche Folgen des Urteils

Überträgt man die Begründung des EuGH in die Praxis, bedeutet dies im worst case, dass bei sehr vielen Verarbeitungen die zusätzlichen und strengen Ausnahmen aus Art. 9 Abs. 2 DSGVO beachtet werden müssen. Dort findet sich insbesondere kein Erlaubnistatbestand der Vertragserfüllung wie in Art. 6 Abs. 1 lit. b oder der Interessenabwägung wie in Art. 6 Abs. 1 lit. f DSGVO. Ergebnis: kauft jemand online Schmerztabletten, ergibt sich hieraus indirekt der Gesundheitszustand. Art. 9 DSGVO ist anwendbar und im Zweifel muss für die Zulässigkeit der Verarbeitung eine Einwilligung eingeholt werden – die Rechtsgrundlage der Vertragsdurchführung würde nicht ausreichen.  

Ansatz einer eigenen Interpretation

Das oben beispielhaft dargestellte Ergebnis erscheint schon für sich sehr extrem. Noch diskussionswürdiger wird es, wenn man bedenkt, dass die Person, die Schmerztabletten kauft, ja gar nicht gerade akut Schmerzen haben muss oder diese Tabletten für ein Familienmitglied einkauft. Dann wäre selbst der indirekte Bezug zum Gesundheitszustand eigentlich nicht gegeben, weil der Käufer aktuell eben nicht Schmerzen hat oder Daten der anderen Person gar nicht verarbeitet werden.

Ich kann mir, nach erster Sichtung der Begründung, in der Zukunft daher eventuell die folgende Anwendung und Interpretation von Art. 9 Abs. 1 DSGVO vorstellen. Einerseits, um dem Willen des EuGH (weite Auslegung) zu genügen. Andererseits, um nicht jeglichen (möglichen!) Bezug zu Art. 9-Daten ausreichen zu lassen.

1.

Der EuGH geht klar davon aus, dass es in dem entschiedenen Fall tatsächlich möglich war, „aus den namensbezogenen Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person bestimmte Informationen über das Sexualleben oder die sexuelle Orientierung dieser Person und ihres Ehegatten, Lebensgefährten oder Partners abzuleiten“ (Rz. 119).

Dies ist mE ein wichtiger Aspekt. Der EuGH begründet seine Ansicht also stets vor der Tatsache, dass die Ableitung auf wirklich existierende besondere Kategorien personenbezogener Daten zumindest möglich war.

2.

Der EuGH fußt seine Begründung zudem ausdrücklich auf der Annahme, dass Daten betroffen sind, „aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann“ (Rz. 120).

Dieser Schluss auf besondere Kategorien personenbezogener Daten muss (theoretisch) wirklich möglich sein. Art. 9 Abs. 1 DSGVO muss daher nach Ansicht des EuGH zwar weit ausgelegt werden. Jedoch wiederholt der EuGH mehrmals in seiner Begründung den Aspekt, dass es um Daten geht, „aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben“ (Rz. 123).

3.

Art. 9 Abs. 1 DSGVO ist daher meines Erachtens zumindest dann (auch im Einklang mit dem EuGH) nicht anwendbar, wenn die indirekte Offenbarung bzw. der indirekte Schluss auf besondere Kategorien personenbezogener Daten faktisch nicht möglich ist, weil es diese sensiblen Daten gar nicht gibt. Dann kann sich, im Duktus des EuGH, mittels Ableitung oder Abgleich diese indirekte Information rein faktisch nicht ergeben. Eine falsche Ableitung (Person kauft Schmerztabletten, ist faktisch nicht krank, der Verantwortliche geht aber davon aus) darf hier meines Erachtens keine Beachtung finden, da nach dem Grundsatz aus Art. 5 Abs. 1 lit. d (Richtigkeit) per se nur richtige Daten verarbeitet werden dürfen.

Das würde wohl nicht in jedem Fall in der Praxis helfen, Art. 9 Abs. 1 DSGVO auszuschließen. Jedoch dürfte man in einigen, extrem praxisrelevanten Fällen dennoch allein Art. 6 Abs. 1 DSGVO zur Anwendung bringen können.  

Bezogen auf mein Beispiel der Schmerztabletten oben: da die Person, die den Kauf tätigt, nicht selbst krank ist, liegen keine Art. 9-Daten vor. Die Ableitung aus dem Kauf darauf, dass die Person selbst Schmerzen hat (= Gesundheitszustand) wäre falsch bzw. würde ins Leere gehen.

Ich bin mir auch nicht sicher, ob diese Idee und meine Gedanken dazu die beste Lösung darstellen. Zumindest könnte man hierüber in gewissen Konstellationen zu einem (irgendwie noch handhabbaren) Ergebnis für die Praxis gelangen, nicht in jedem Fall eine zusätzliche Einwilligung nach Art. 9 Abs. 1 lit. a DSGVO einholen zu müssen.