Category Archives: Rechtsprechung

Ungültige DSGVO-Einwilligung – Wechsel auf andere Rechtsgrundlage möglich? Aussagen des EuGH, öst. BVwG und der öst. Aufsichtsbehörde

Posted on by

Ist es möglich, eine Verarbeitung, die ursprünglich auf eine Einwilligung gestützt war, auf einer anderen Rechtsgrundlage durchzuführen, wenn die Einwilligung wegfällt bzw. unwirksam ist?

Ansicht des EuGH

In seinem Urteil vom 4. Juli 2023 (C-252/21) hatte sich der EuGH unter anderem auch mit der Situation befasst, dass eine Einwilligung entweder nicht oder nicht wirksam eingeholt wurde. Die Frage war dann, ob die Datenverarbeitung eventuell dennoch auf Grundlage von Art. 6 Abs. 1 DSGVO gerechtfertigt sein kann.

Hierzu der EuGH (Rz. 92):

Liegt keine solche Einwilligung vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt, ist eine solche Verarbeitung gleichwohl gerechtfertigt, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt.“

Das Gericht adressiert klar zwei Situationen:

  • Eine Einwilligung wurde gar nicht eingeholt (also auch nicht versucht) („liegt keine solche Einwilligung vor“)
  • Eine Einwilligung wurde eingeholt, diese war aber unwirksam, da nicht alle Anforderungen der DSGVO eingehalten wurden („wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt“)

Für beide Fälle geht der EuGH davon aus, dass die bestreffende Verarbeitung gleichwohl gerechtfertigt sein kann, wenn ein anderer Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt ist.

Diese Ansicht des EuGH ist für mich eine wichtige Feststellung. Der „switch“ von einer Rechtsgrundlage zur anderen ist danach möglich. Als Verantwortlicher muss man also nicht von Anfang an und für ewig allein eine Rechtsgrundlage für die Verarbeitung nutzen. Aber: natürlich müssen die Anforderungen der jeweiligen Alternative des Art. 6 Abs. 1 DSGVO erfüllt sein.

Ansicht der österreichischen Datenschutzbehörde

Im neuesten Newsletter der österreichischen Datenschutzbehörde (DSB) bin ich auf eine genau entgegengesetzte Meinung der DSB aufmerksam geworden. Die DSB berichtet dort über eine Entscheidung des Bundesverwaltungsgerichts (BVwG, dazu gleich unten).

Ebenso ist es in derartigen Fällen nicht möglich, im Falle der Ungültigkeit einer Einwilligung zum Zwecke des Profiling nachträglich auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO zu wechseln, zumal sich die Unser Ö-Bonus Club GmbH diesbezüglich in sämtlichen vorgelegten Dokumenten und auch gegenüber den betroffenen Personen nur auf die Einwilligung gestützt hat.“

Die DSB verweist dazu dann auch auf das EuGH-Urteil. Diese Interpretation hat mich doch etwas verwundert, zumindest in der Pauschalität. Denn die Auslegung des EuGH (oben) geht meines Erachtens genau in eine andere Richtung.

Ich vermute, die DSB bezieht sich hier eher auf den konkreten Fall vor dem BVwG, in dem der Wechsel der Rechtsgrundlage am Ende nicht funktionierte. Aber nicht, weil dies grundsätzlich ausgeschlossen wäre, sondern auf Grund der nicht erfüllten Anforderungen des Art. 6 Abs. 1 f) DSGVO als Alternative. Aber: auch dort ging das Gericht davon aus, dass der Wechsel der Rechtsgrundlage möglich ist.

Ansicht des BVwG

In der Entscheidung des BVwG (GZ: W256 2227693-1/44E) brachte das betroffene Unternehmen vor, die gegenständliche Datenverarbeitung könne auch (hilfsweise) auf Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 4 DSGVO gestützt werden.

Dies sah die DSB anders. Das BVwG wiederum schloss sich der Ansicht der Aufsichtsbehörde nicht an und verwies hierzu auch auf das Urteil des EuGH.

Der Ansicht der belangten Behörde, eine ungültige Einwilligungserklärung bewirke in jedem Fall eine unrechtmäßige Datenverarbeitung und mache eine Überprüfung sonstiger Rechtsgrundlagen entbehrlich, kann – wie bereits im Erkenntnis vom 31. August 2021 näher erläutert wurde –  nicht gefolgt werden (siehe dazu zwischenzeitig auch EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537 Rz. 92).“

Eine ungültige Einwilligungserklärung führt nach Ansicht des BVwG damit gerade nicht zur unrechtmäßigen Verarbeitung, falls die Voraussetzungen einer anderen Rechtsgrundlage erfüllt sind. Im konkreten Fall prüft das BVwG dann den Tatbestand des Art. 6 Abs. 1 lit. f DSGVO. Das Problem hierbei war, dass nach Ansicht des Gerichts die vernünftigen Erwartungen der Betroffenen die Datenverarbeitung wohl nicht umfassten und die Betroffenen gerade nicht damit rechneten.

Das Unternehmen informierte Betroffene im Rahmen der Anmeldung, dass Daten u.a. zum Zweck der Durchführung von personalisierter Werbung verwendet werden. Jedoch stützte sich das Unternehmen in den Informationen (also AGB und Datenschutzhinweisen) ausschließlich auf Art. 6 Abs. 1 lit. a DSGVO und führte dazu u.a. in den AGB aus, dass eine solche Datenverarbeitung „nur sofern das Mitglied einwilligt“ durchgeführt werde. Das BVwG geht davon aus, dass damit aber den Betroffenen gegenüber zum Ausdruck gebracht werde, dass die betroffene Person die Durchführung einer solchen Datenverarbeitung selbst in der Hand habe. Dies führte am Ende zum Überwiegen der schutzwürdigen Interessen der Betroffenen.

Und beim Widerruf?

Art. 17 Abs. 1 lit. b DSGVO sieht gleichlaufend mit dieser Auslegung des EuGH und BVwG vor, dass eine Datenverarbeitung, die auf Grundlage einer nun widerrufenen Einwilligung erfolgt, dennoch fortgeführt werden kann – wenn die Anforderungen der jeweiligen Rechtsgrundlage beachtet werden.

Danach sind personenbezogene Daten zu löschen, wenn die betroffene Person ihre Einwilligung widerruft und es „an einer anderweitigen Rechtsgrundlage für die Verarbeitung“ fehlt.

Österreichisches Bundesverwaltungsgericht: Anforderungen an die Vollmacht zur Ausübung von Betroffenenrechten

Posted on by

In seiner Entscheidung vom 5.10.2023 (Gz W292 2258172-1) hatte sich das österreichische Bundesverwaltungsgericht (BVwG) mit der Frage zu befassen, wie eine Vollmacht zur Ausübung von Betroffenenrechten konkret ausgestaltet sein muss und wann ein Verantwortlicher eine solche Anfrage zurückweisen darf.


Sachverhalt
Der Betroffene wandte sich gegen einen Bescheid der österreichischen Datenschutzbehörde, die seine Beschwerde gegen eine datenverarbeitende Stelle wegen Verletzung in den Rechten auf Auskunft und Löschung als unbegründet abwies.


Nach Ansicht der Aufsichtsbehörde erfüllte die damals gegenüber dem Verantwortlichen (einer öffentlichen Stelle) von einem Vertreter vorgelegte Vollmacht zur Ausübung der Rechte auf Auskunft und Löschung nicht die (besonderen) Anforderungen an eine Vollmacht, zumal eine pauschale Formulierung der Vollmacht keineswegs erkennen ließ, dass diese tatsächlich auch konkret ein datenschutzrechtliches Auskunfts- beziehungsweise Löschbegehren oder die Geltendmachung datenschutzrechtlich höchstpersönlicher Rechte im Generellen mitumfasse.


In der damals vorgelegten „Vollmacht / Auftragserteilung“ war festgehalten, dass der Vertreter ermächtigt werde, den Betroffenen gegenüber Behörden zu vertreten, in seinem Namen Erklärungen, Bekenntnisse, Anträge, Berufungen und Beschwerden zu übermitteln, Bescheidbegründungen zu verlangen, Akteneinsicht zu nehmen, Rechtsmittelverzichte zu erklären und in seinem Namen verbindlich zu unterschreiben.


Dieser Inhalt reichte dem Verantwortlichen und auch der Datenschutzbehörde nicht aus, um Betroffenenrechte für eine andere Person geltend machen zu können. Zudem sei ein datenschutzrechtliches Auskunftsersuchen nicht mit einer Akteneinsicht gleichzusetzen.


Konkret ging es hier um Betroffenenrechte nach der RL 2016/680, welche in Österreich im Datenschutzgesetz (DSG) umgesetzt sind, die jedoch inhaltlich den Betroffenenrechten der DSGVO zum Großteil entsprechen. Daher sind die Ausführungen des BVwG aus meiner Sicht durchaus auch für die Anwendung der DSGVO von Interesse, zumal das BVwG auch auf Vorschriften der DSGVO (wie etwa Art. 15 DSGVO) verweist.


Entscheidung
Das BVwG teilt die Einschätzung der Datenschutzbehörde, dass die damals gegenüber dem Verantwortlichen verwendete Vollmacht nicht ausreichend war.


Träger des Auskunftsrechts Art. 15 Abs. 1 DSGVO ist ausschließlich die betroffene Person, deren personenbezogene Daten verarbeitet werden. Nur diese ist grundsätzlich berechtigt, aufgrund ihres Auskunftsbegehrens eine entsprechende Auskunft zu erhalten.


Zwar geht das BVwG davon aus, dass ein solcher Antrag auch von einem Vertreter gestellt werden kann. Jedoch sei zu beachten, dass es sich beim Recht auf Auskunft und Recht auf Löschung um höchstpersönliche Betroffenenrechte, nämlich um subjektive, verfassungsrechtlich gewährleistete Rechte, handelt.


Das BVwG verweist in seiner Begründung auch auf ältere Rechtsprechung zum Charakter der Betroffenenrechte als höchstpersönliche Rechte. Dort wurde etwa festgestellt, dass das Recht auf Auskunft im Falle einer gewillkürten Vertretung vom Betroffenen selbst dem Vertreter übertragen werden muss, dies auch nicht durch Dritte erfolgen kann sowie an den Nachweis des Vorliegens der Bevollmächtigung ein besonders strenger Maßstab anzulegen ist, weil das Auskunftsrecht ein höchstpersönliches Recht darstellt.


Hieraus leitet das BVwG folgende Anforderungen an eine Vollmacht zur Geltendmachung von Betroffenenrechten ab:


Daraus folgt nach Ansicht des erkennenden Senates auch für den Anwendungsbereich der Betroffenenrechte, dass an den Inhalt einer allenfalls zum Zweck der Geltendmachung von datenschutzrechtlichen Betroffenenrechten erteilten Vollmacht besondere Ansprüche zu stellen sind, wobei aus dem Gesamtzusammenhang erkennbar sein muss, dass die Stellung eines Auskunftsbegehrens auch von einer allgemein formulierten Vertretungsvollmacht tatsächlich und konkret mitumfasst sein soll.“
Vorliegend geht das BVwG davon aus, dass die damals verwendete Vollmacht nur pauschale Formulierung enthielt. Daraus war in keiner Weise erkennbar, dass diese tatsächlich auch konkret ein datenschutzrechtliches Auskunfts- beziehungsweise Löschbegehren bzw. die Geltendmachung höchstpersönlicher Datenschutzrechte mitumfasse“.


In einer solchen Situation darf der Verantwortliche Zweifel an der Zulässigkeit der Vertretung haben und den Antrag auf Auskunft und Löschung zurückweisen. Das BVwG begründet dies vor allem auch mit dem erhöhten Maßstab an den Inhalt der Vollmacht, da es sich hier um höchstpersönliche Rechte handelt.
Im Zeitpunkt der Antragstellung war


kein Nachweis einer Vollmacht, die konkret die Geltendmachung des Rechts auf Auskunft und auf Löschung umfasste, vorhanden“.


Der Verweis auf die „Akteneinsicht“ in der Vollmacht, reicht dem BVwG ebenfalls nicht aus. Dieses Recht ist nicht mit dem Recht auf ein datenschutzrechtliches Auskunftsersuchen gleichzusetzen.


Fazit
Betroffenenrechte (hier im Bereich der RL 2016/680, meines Erachtens aber ebenso übertragbar auf jene der DSGVO) dürfen per Vollmacht durch Vertreter ausgeübt werden. Das BVwG gibt in seiner Entscheidung einige relevante Hinweise, was bei der textlichen Gestaltung derartiger Vollmachten zu beachten ist. Insbesondere scheint das BVwG eine explizite Bezugnahme auf Betroffenenrechte im Datenschutzrecht zu verlangen. Für Verantwortliche bietet die Entscheidung Argumente für eine Zurückweisung von Betroffenenanfragen (oder zumindest das Anfordern einer ausreichenden Vollmacht), wenn diese durch Vertreter gestellt werden und unklar ist, ob eine ausreichende Vollmacht besteht.

Update – Bundesverwaltungsgericht Österreich: Gesellschaftsrechtliche Verschmelzung von Unternehmen stellt keine Datenübermittlung dar – Rechtsnachfolger übernimmt Recht zur Datenverwendung

Posted on by

In der Praxis stellen sich gerade in gesellschaftsrechtlichen Transaktionen oft auch datenschutzrechtliche Fragen. Wie können Mitarbeiter- und Kundendaten auf ein erwerbendes Unternehmen übergehen? Darf ein Unternehmen als Rechtsnachfolger eines eingebrachten Unternehmens die vorhandenen Daten einfach weiter verwenden?

Das Bundesverwaltungsgericht in Österreich (BVwG) hat sich jüngst in einer Entscheidung (Bescheid v. 22.8.2023 – W137 2251172-1) mit dem Vorgang einer gesellschaftsrechtlichen Verschmelzung (in Deutschland etwa im UmwG geregelt) aus datenschutzrechtlicher Sicht befasst und einige praxisrelevante Aussagen getroffen.

Sachverhalt

In dem Verfahren beschwerte sich eine betroffene Person darüber, nicht DSGVO-konform von einer Gesellschaft informiert worden zu sein. Das verantwortliche Unternehmen (GmbH) betreibt eine App. Die Programmierung der App erfolgte zunächst durch ein anderes Unternehmen im Auftrag und nach den Vorgaben dieses anderen Unternehmens. Dieses andere Unternehmen wurde nach einiger Zeit in die GmbH durch Verschmelzung eingebracht.

Nach Ansicht der Betroffenen habe das verantwortliche Unternehmen (Betreiber der App) insbesondere fälschlich informiert, dass personenbezogene Daten selbst erhoben wurden, obwohl es diese Daten in der Vergangenheit von dem in die GmbH eingebrachten Unternehmen übernommen habe.

Entscheidung

Das BVwG musste also die Frage klären, ob der Betreiber der App richtig nach Art. 13 und 14 DSGVO informiert hat, wenn hinsichtlich der relevanten Daten angegeben wurde, dass diese selbst erhoben wurden, obwohl die Daten in der Vergangenheit rein faktisch von dem eingebrachten Unternehmen erhoben wurden. Eventuell lag auch eine Übermittlung von Daten zwischen den Unternehmen vor.

  • Das BVwG stellt zunächst fest, dass es sich hier um den Fall einer Gesamtrechtsnachfolge handelt (vgl. § 20 Abs. 1 Nr. 1 UmwG in Deutschland).
  • Aus datenschutzrechtlicher Sicht ist diese Art der Unternehmensnachfolge bzw. -übernahme unproblematisch, denn es findet keine Weitergabe personenbezogener Daten an Dritte statt.
  • Das eigentliche Unternehmen bleibt rechtlich unverändert und damit auch die Rechtgrundlage für die bestehenden Verarbeitungsvorgänge.
  • Es liegt demnach kein datenschutzrechtlich relevanter Vorgang vor.“
  • Der Rechtsnachfolger übernimmt auch das Recht zur Datenverwendung in jenem Umfang, wie es bereits dem Rechtsvorgänger zustand; es liegt somit keine Datenübermittlung an Dritte vor.
  • Die Erhebung der personenbezogenen Daten erfolgte aus rechtlicher Perspektive direkt bei dem verantwortlichen Unternehmen (Betreiber der App).

Fazit

Das BVwG stellt zwei praxisrelevante Aspekte fest. Erstens, es liegt keine Datenübermittlung zwischen den beiden Unternehmen vor. Dies liegt an dem Konstrukt der Gesamtrechtsnachfolge. Zweitens, kann sich der Rechtsnachfolger auf das Recht zur Datenverwendung in jenem Umfang berufen, wie dies für das eingebrachte Unternehmen der Fall war. Nach Ansicht des BVwG gehen quasi die Rechtsgrundlagen und Zwecke der Datenverarbeitung auf den Rechtsnachfolger über.  

Update vom 11.10.2023

Mich hat heute der Kollege Dr. Christian Wirthensohn aus Österreich kontaktiert, der in dem Verfahren die Beschwerdeführerin vertreten hat. Er hat darauf hingewiesen, dass faktisch keine Verschmelzung zugrunde lag, sondern ein (Einzel-)Unternehmen in eine nachträglich gegründete GmbH eingebracht wurde. Eine solche Einbringung stelle nach österreichischem Recht sowohl nach der Rechtsprechung des österreichischen VwGH als auch nach Ansicht in der gesellschaftsrechtlichen aber auch in der datenschutzrechtlichen Literatur einen Fall einer Einzelrechtsnachfolge dar. Das BVwG hat dies nach Ansicht des Kollegen verkannt und es ist u.a. deswegen Revision an den VwGH erhoben worden.

Was bedeutet das für die Interpretation der Begründung? Das BVwG scheint zu etwas entschieden zu haben, was faktisch nicht vorlag. Die datenschutzrechtliche Begründung des BVwG bezieht sich auf eine Gesamtrechtsnachfolge. Für diesen Fall geht das BVwG von den oben genannten Folgen aus. Interessant wird sein, ob der VwGH, wenn eine Einzelrechtsnachfolge vorliegt, hier einen datenschutzrechtlichen Unterschied erkennt. Wenn also ein Erwerb von einzelnen Vermögensgegenständen vorlag, z.B. durch Übereignung.

Landesarbeitsgericht: Frist zur Beantwortung von Auskunftsersuchen beträgt einen Monat – auch wenn der Betroffene (oder sein Anwalt) eine kürzere Frist setzen

Posted on by

In der Praxis werden Auskunftsansprüche nach Art. 15 DSGVO oft mit einer Fristsetzung durch Betroffene verbunden. So wird etwa gefordert, die Auskunft innerhalb von ein oder zwei Wochen zur Verfügung zu stellen.

Das Landesarbeitsgericht (LAG) Baden-Württemberg (Urteil vom 28.7.2023, 9 Sa 73/21) hatte sich in einer Entscheidung mit der Frage zu befassen, ob Betroffene einen Anspruch auf Erfüllung des Auskunftsrechts innerhalb der von ihnen (oder ihrem Rechtsanwalt) gesetzten Frist haben. Auch wenn diese von den gesetzlichen Vorgaben abweicht.

Sachverhalt

Der Kläger des Verfahrens stand bei der Beklagten in einem Ausbildungsverhältnis. Ihm wurde eine Abmahnung erteilt. Mit E-Mail vom 25.03.2020 wandte sich der Prozessbevollmächtigte des Klägers an die Beklagten und verlangte u.a. bis zum 03.04.2020 Auskunft über die personenbezogenen Daten des Klägers gem. Art. 15 DSGVO sowie Übermittlung der Personalakte des Klägers.

Entscheidung

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Das LAG musste prüfen, wie sich die kurze Fristsetzung (9 Tage) zu der gesetzlichen Vorgabe des Art. 12 Abs. 3 DSGVO verhält.

Das Gericht geht davon aus, dass die Setzung einer kürzeren Frist, als jener in Art. 12 Abs. 3 DSGVO, irrelevant ist.

Nach Ansicht des LAG sind die Fristen für die Auskunftserteilung gesetzlich geregelt.

„Setzt der Auskunftsberechtigte eine zu kurze Frist, kann das nichts daran ändern, dass die Frist nach Art. 12 Abs. 3 DSGVO gilt.“

Verantwortliche haben also grundsätzlich die gesetzlich vorgesehene Zeit, um die Auskunft zu erteilen. Natürlich darf in der Praxis aber nicht unbeachtet bleiben, dass due Auskunft grundsätzlich „unverzüglich“ zu erteilen ist. Die Auskunft kann also auch vor Ablauf der Monatsfrist erteilt werden, wenn dies möglich ist.

Das Gericht führt weiter aus:

„Vor Ablauf dieser Frist braucht der Verantwortliche, hier die Beklagten zu eins und zu zwei die Ansprüche nicht erfüllen.“

Verantwortliche müssen nach Ansicht des LAG also auf eine zu kurze Fristsetzung nicht reagieren, sondern sind an die gesetzlichen Vorgaben gebunden.

Zudem geht das LAG aber auch davon aus, dass eine zu kurz gesetzte Frist den Auskunftsanspruch nicht gegenstandlos macht. Dieser ist weiterhin zu erfüllen – nur eben innerhalb der gesetzlichen Frist.

Folgt man den Erwägungen des LAG, sollten sich Verantwortliche in der Praxis also bei Fristsetzungen durch Betroffene oder ihre Vertreter nicht unter Druck setzen. Es gelten die gesetzlichen Vorgaben. So hatte etwa in der Vergangenheit auch das BayLDA in seinem Tätigkeitsbericht 2019 (S. 26) festgestellt:

„„Unverzüglich“ bedeutet nicht, dass eine Reaktion auf die Anfrage sofort zu erfolgen hat, sondern dass die Anfrage „ohne schuldhaftes Zögern“ zu bearbeiten ist.“

Sollte etwa innerhalb der Monatsfrist eine Beschwerde bei der Aufsichtsbehörde eingereicht werden, geht das BayLDA davon aus, dass es nicht tätig werden kann – da die Monatsfrist noch nicht abgelaufen ist.

Bayerischer Verwaltungsgerichtshof: Kein Löschanspruch für alle Daten aus Personalakte – auch nicht nach Ende des Beamtenverhältnisses

Posted on by

Der Bayerische Verwaltungsgerichtshof (VGH) hat Beschluss vom 29.06.2023 (Az. 6 ZB 23.530) einige interessante Aussagen zu den Datenschutzgrundätzen der Datenminimierung, Speicherbegrenzung und Richtigkeit nach Art. 5 Abs. 1 DSGVO getroffen. 

Sachverhalt

In dem Verfahren vor dem VGH verfolgte der Kläger seine Klage gerichtet auf Löschung von Dokumenten aus seiner Personalakte weiter, die vor dem Verwaltungsgericht erfolglos geblieben ist. Er begehrte u.a. die Löschung von Unterlagen überwiegend zu Vorgängen aus den Jahren 2004 bis 2006 sowie 2010 bis 2014, die im Rahmen der Beurteilung der Verwendungsfähigkeit des Klägers im Polizeidienst und seiner allgemeinen Dienstfähigkeit entstanden sind, sowie Unterlagen zur Verlängerung der Probezeit.

Der Kläger meint, sämtliche Einträge in der Personalakte, die vor dem 16. Juni 2006 datieren, seien zu löschen, weil das damalige Beamtenverhältnis zu diesem Zeitpunkt endete und nicht mehr in sachlichem Zusammenhang zu dem nunmehrigen Beamtenverhältnis stehe. 

Entscheidung des VGH

Nach Ansicht des VGH besteht kein Löschanspruch aus der DSGVO. 

Datenminimierung

Zum Grundsatz nach Art. 5 Abs. 1 lit. c) DSGVO stellt der VGH fest, dass die während des Bestehens eines Beamtenverhältnisses in der Personalakte gesammelten Daten grundsätzlich auch dann angemessen, erheblich und auf das notwendige Maß beschränkt bleiben, 

„wenn der betroffene Beamte aus dem Beamtenverhältnis ausscheidet.“ 

Das Gericht also davon aus, dass Daten aus der Personalakte nicht zwingend sofort zu löschen sind, nur weil ein Anstellungsverhältnis (hier: Beamtenverhältnis) endet. Die Unterlagen über krankheitsbedingte Dienstunfähigkeiten dienten hier nicht nur der Feststellung von aktuellen Fehlzeiten, sondern bleiben auch gegebenenfalls für mögliche Reaktivierungs- oder auch Wiedereinstellungsprüfungen von Bedeutung. Gerade diesbezüglich könne es aber es auf den jeweiligen historischen Kontext ankommen. 

Zudem stellt der VGH fest: 

„Eine Löschung könnte vielmehr umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen.“

Datenrichtigkeit

Der Grundsatz nach Art. 5 Abs. 1 lit. d) DSGVO, wonach personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein müssen, könne den Löschungsanspruch ebenfalls begründen. 

Denn, so der VGH, die Daten sind durch das Ausscheiden des Klägers aus dem Dienst ja nicht etwa unrichtig geworden.

„sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.“

Bedeutet: keine Löschung oder Änderungen der faktisch richtigen Vergangenheit durch die DSGVO. Daher bestehe auch kein Berichtigungsanspruch aus Art. 16 DSGVO. Der VGH begründet seine Ansicht damit, dass nur wenn die Personalakten auf dem Stand gehalten werden, der zum jeweiligen Zeitpunkt richtig war, ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentiert werden könne. 

Speicherbegrenzung

Zuletzt folgert der VGH aus seinen Ausführungen, dass damit auch der Grundsatz nach Art. 5 Abs. 1 lit. e) DSGVO der weiteren Speicherung der bis zum Ausscheiden des Klägers aus dem Beamtenverhältnis im Jahr 2006 in seiner Personalakte gesammelten Daten nicht entgegenstehe.

Verwaltungsgericht Berlin: Anforderungen an die Identifizierung bei Auskunftsanfragen – Mitwirkungsobliegenheit des Betroffenen

Posted on by

Im Rahmen eines Verfahrens zur Bewilligung von Prozesskostenhilfe hat sich das Verwaltungsgericht (VG) Berlin mit der Frage befasst, wann Verantwortliche einen Antrag auf Auskunft nach Art. 15 DSGVO wegen begründeter Zweifel an der Identität der anfragenden Person ablehnen und mehr Informationen anfordern können (Beschl. v. 24.4.2023, Az. VG 1 K 227/22).

Sachverhalt

Ein Betroffener war mit einem ablehnenden Bescheid der Berliner Datenschutzbehörde gegen ihn nicht zufrieden und klagte dagegen. Die Behörde hatte keine Verstöße gegen die DSGVO durch eine Auskunftei erkannt. Inhaltlich ging es vorab um die Beschwerde des Betroffenen gegen eine nicht gewährte Auskunft nach Art. 15 DSGVO durch eine Auskunftei. Diese hatte die Auskunft wegen begründeter Zweifel verweigert und zur Identifizierung mehr Daten angefordert (Art. 12 Abs. 6 DSGVO), jedoch nicht erhalten.

Entscheidung

Das VG lehnte den Antrag auf Bewilligung von Prozesskostenhilfe ab. Es sah für den Betroffenen in dem Vorgehen gegen die Entscheidung der Datenschutzbehörde keine Erfolgsaussichten. Dies deshalb, weil das Verhalten der Auskunftei in Bezug auf die Verweigerung der Auskunft und Anforderung weiterer Daten zur Identifizierung zulässig war.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag nach Art. 15 DSGVO stellt.

Das VG äußert sich dazu, wann man seiner Ansicht nach von „Zweifeln“ ausgehen darf.

Zweifel an der Identität setzen voraus, dass die vorhandenen Daten auf eine bestimmte Identität hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die als Betroffener identifizierte Person ist.“

Wichtig: pauschale Zurückweisungen sind nach Ansicht des VG nicht möglich. Der Verantwortliche hat seine Zweifel vielmehr einzelfallbezogen darzulegen.

Für Verantwortliche in der Praxis relevant ist die Feststellung des VG dazu, wie sich der Betroffene in einer solchen Situation zu verhalten hat.

Gleichzeitig besteht für den Betroffenen eine Mitwirkungsobliegenheit, denn ohne dessen Mitwirkung wird es dem Verantwortlichen nicht möglich sein, die dargelegten Identitätszweifel zu entkräften.“

Im konkreten Fall prüfte das VG dann, ob die Auskunftei hier von Zweifeln ausgehen und wegen dieser Unsicherheit die Auskunft zunächst verweigern durfte. Hierbei werden durch das Gericht einige sicher auch für andere Verantwortliche relevante Kriterien herausgearbeitet.

Zu berücksichtigen sind:

  • Die Sensibilität der abgefragten Informationen. Denn Wirtschaftsauskunfteien speichern im Einzelfall ein erhebliches Maß zahlreicher personenbezogener Informationen, insbesondere solcher, die einen Schluss auf die Bonität einer Person zulassen.
  • Zweifelsfreie Identifikation des Antragstellers nicht möglich, weil es namentliche und/oder weitere Überschneidungen zu weiteren Datensätzen gab.

Zuletzt stellte sich noch die Frage, ob das Unternehmen zur Identifikation das Geburtsdatum und gegebenenfalls frühere Anschriften abfragen durfte. Das VG geht davon aus, dass die Anforderung dieser Merkmale zulässig war.

„Das Geburtsdatum einer Person ist zur Identifizierung geeignet, da es eine häufig für Dritte weniger ersichtliche persönliche Information darstellt“.

Zudem stand die Abfrage des Geburtsdatums zu dem Zweck der Identifizierung des Antragstellers auch nicht außer Verhältnis, insbesondere mit Blick auf die erhöhte Sensibilität der bei Wirtschaftsauskunfteien gespeicherten Daten.

Der Antragsteller hat jedoch – unter Verstoß auf die ihm obliegende Mitwirkungspflicht – nicht auf die damit berechtigte Anfrage … reagiert“.

Generalanwalt am EuGH: Bußgeldhaftung des Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters

Posted on by

Eine weitere wichtige DSGVO-Interpretation vom 4.5.2023 (dem Datenschutztag am EuGH), die bisher kaum beachtet wurde: in der Rechtssache C-683/21 hat Generalanwalt Emiliou seine Schlussanträge (bisher nur auf Englisch verfügbar) zu einigen relevanten Fragen zur Anwendung der DSGVO vorgelegt. Zu der Frage der Voraussetzungen einer gemeinsamen Verantwortlichkeit hatte ich hier im Blog bereits berichtet.

Zudem befasst sich der Generalanwalt aber unter anderem auch noch mit der Frage, ob gegen einen für die Verarbeitung Verantwortlichen in Anwendung von Art. 83 DSGVO eine Geldbuße verhängt werden kann, wenn die rechtswidrige Verarbeitung personenbezogener Daten nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde.

Also: die Haftung des Verantwortlichen für seinen Auftragsverarbeiter. Ein für die Praxis extrem relevantes Thema, wenn wir an die vielen Geschäfts- und Verarbeitungsprozesse denken, in denen Dienstleister als Auftragsverarbeiter eingesetzt werden.

Die kurze Antwort des Generalanwalts: „Meines Erachtens ist diese Frage zu bejahen.“

Zunächst stellt der Generalanwalt klar, dass ein für die Verarbeitung Verantwortlicher keine personenbezogenen Daten selbst verarbeiten muss, solange er das „Warum und Wie“ der betreffenden Verarbeitungsvorgänge bestimmt. Er kann sich hierfür eines Auftragsverarbeiters bedienen.

Die Definition des Auftragsverarbeiters in Art. 4 Nr. 8 DSGVO, dass „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ werden, bestätigt nach Ansicht des Generalanwalts, dass im Rahmen der Anwendung der DSGVO ein Verantwortlicher haftbar gemacht und nach Art. 83 DSGVO mit einer Geldbuße belegt werden kann,

wenn personenbezogene Daten unrechtmäßig verarbeitet werden und diese unrechtmäßige Verarbeitung nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde“. (Rz. 94)

Die Haftung des Verantwortlichen gilt jedoch nicht für jede Tätigkeit des Auftragsverarbeiters, sondern nur, soweit ein Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Dies ist der Fall, solange der Auftragsverarbeiter im Rahmen des ihm von dem für die Verarbeitung Verantwortlichen erteilten Auftrags handelt und die Daten gemäß den rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet“. (Rz. 95)

Wichtig: die Haftung für den Dienstleister greift also nur, solange dieser im Rahmen des Auftrages agiert.

 „Wenn der Auftragsverarbeiter jedoch über den Rahmen dieses Auftrags hinausgeht und die als Auftragsverarbeiter erhaltenen Daten für seine eigenen Zwecke verwendet …, kann gegen den für die Verarbeitung Verantwortlichen meines Erachtens keine Geldbuße“ für die unrechtmäßige Verarbeitung verhängt werden.

Ein Bußgeld kann daher auch dann gegen einen Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters verhängt werden, wenn personenbezogene Daten nur vom Auftragsverarbeiter rechtswidrig verarbeitet wurden und der Verantwortliche an der Verarbeitung nicht beteiligt ist.

Die Erkenntnisse des Generalanwalt werden viele eventuell nicht als „bahnbrechend“ ansehen. Meines Erachtens ist aber zum einen beachtenswert, dass das Haftungsrisiko des Auftraggebers für seine Dienstleister nun durch einen Generalanwalt am EuGH klar herausgestellt wurde. Zum anderen verdeutlichen die Schlussanträge für die Praxis noch einmal, dass man als Verantwortlicher genaues Augenmerk auf seine vertraglichen Beziehungen zu Auftragsverarbeitern legen sollte.

Was ist also wichtig:

  • Haftung für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der rechtmäßigen Weisungen agiert
  • Daher ist sehr relevant, die das System der Weisungserteilung in der Praxis ausgestaltet ist (wer erteilt in welcher Form welche Weisungen?)
  • Zudem muss unbedingt klar definiert werden, was der Auftrag ist. Denn, je unbestimmter und damit umfassender der Auftrag an den Dienstleister ausgestaltet ist, desto höher ist mein Haftungsrisiko als Verantwortlicher

Generalanwalt: Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) kann auch bei Fehlen einer Vereinbarung oder einer gemeinsamen Entscheidung zwischen den Verantwortlichen vorliegen

Posted on by

In der Rechtssache C-683/21 (derzeit noch nicht auf Deutsch verfügbar) hatte sich Generalanwalt Emiliou (Schlussanträge vom 4. Mai 2023) u.a. mit der Frage zu befassen, wann eine gemeinsame Verantwortlichkeit nach Art. 4 Nr. 7 und Art. 26 DSGVO anzunehmen ist. Nach Ansicht des Generalanwalts hängt die gemeinsame Verantwortlichkeit von der Erfüllung von nur zwei objektiven Voraussetzungen ab (Rn. 41).

  • Erstens muss jeder gemeinsam für die Verarbeitung Verantwortliche die Kriterien erfüllen, die in der Definition des Begriffs „für die Verarbeitung Verantwortlicher“ in Art. 4 Nr. 7 DSGVO enthalten sind. Jede Partei muss also für sich als Verantwortlicher qualifiziert werden können.
  • Zweitens muss der Einfluss der für die Verarbeitung Verantwortlichen über die Verarbeitung gemeinsam ausgeübt werden. Die gemeinsame Beteiligung an der Verarbeitung kann in verschiedenen Formen erfolgen und muss nicht auf einer gemeinsamen Entscheidung der Beteiligten beruhen.

Dies ist ein wichtiger erster Punkt: Es ist keine gemeinsame Entscheidung der beteiligten Parteien erforderlich.

Der Generalanwalt stellt klar, dass der inhaltliche und funktionale Ansatz, der erforderlich ist, um festzustellen, ob eine Person oder Einrichtung als „für die Verarbeitung Verantwortlicher“ anzusehen ist, auch für die gemeinsame Verantwortlichkeit gilt. Es geht am Ende also um rein faktische Einflussmöglichkeiten auf die Verarbeitung.

Die logischen Konsequenzen sind, dass

  • das Fehlen einer Vereinbarung oder Absprache oder sogar einer gemeinsamen Entscheidung zwischen zwei oder mehreren für die Verarbeitung Verantwortlichen an sich die Feststellung nicht ausschließt, dass sie „gemeinsam für die Verarbeitung Verantwortliche“ sind (Randnummer 42)
  • allein die Tatsache, dass zwei Unternehmen ihre Handlungen nicht koordiniert oder anderweitig miteinander zusammengearbeitet zu haben scheinen, nicht bedeutet, dass sie nicht als „gemeinsam für die Verarbeitung Verantwortliche“ angesehen werden können (Randnummer 43).

Wichtiger zweiter Punkt: Vereinbarung oder Absprache nicht zwingend erforderlich.

Laut der Stellungnahme kommt es darauf an, „dass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre“. Die Anforderungen für die Annahme einer gemeinsamen Verantwortlichkeit sind daher äußerst niedrig und werden in der Praxis wahrscheinlich häufig erfüllt.

EuGH: Nicht jeder Verstoß gegen die DSGVO führt zu einer rechtswidrigen Verarbeitung

Posted on by

Gestern wurde in der Datenschutz-Community natürlich vor allem über die Urteile des EuGH in der Rechtssache C-487/21 und der Rechtssache C-300/21 diskutiert. Etwas untergegangen ist hierbei ein drittes Urteil des EuGH zum Datenschutzrecht (C-60/22). Die Praxisrelevanz dieses dritten Urteils ist meines Erachtens aber nicht zu unterschätzen. Der EuGH setzt sich mit der Frage auseinander, inwiefern Verstöße gegen Pflichten aus der DSGVO, die nicht direkt eine Verarbeitung personenbezogener Daten betreffen, zu einer Rechtswidrigkeit dieser Datenverarbeitung führen. Aus der Praxis kennen wir diese Diskussion etwa in Bezug auf fehlerhafte Datenschutzhinweise (Art. 12, 13 DSGVO) oder nicht abgeschlosse Verträge zur Auftragsvearbeitung (Art. 28 DSGVO).

Sachverhalt

Das VG Wiesbaden legte dem EuGH unter anderem die Frage vor, ob ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) oder eine fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) dazu führt, dass eine Datenverarbeitung „unrechtmäßig“ im Sinne von Art. 17 Abs. 1 lit. d DSGVO ist.

Entscheidung des EuGH

Der EuGH arbeitet in seinem Urteil sehr schön den Unterschied zwischen jenen Artikeln der DSGVO heraus, die die Rechtmäßigkeit der Datenverarbeitung betreffen und solchen Vorschriften, die gerade keinen Einfluss auf die Rechtmäßigkeit haben.

Voraussetzungen der Rechtmäßigkeit – Art. 6 Abs. 1 DSGVO

Der Startpunkt ist für den EuGH der Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO, wonach personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden [müssen]“. Die dort geforderte Rechtmäßigkeit wird aber nach Ansicht des EuGH nicht in jedem Artikel der DSGVO geregelt oder durch jede Pflicht berührt.

Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt.“ (Rz. 55)

Die Liste der in Art. 6 Abs. 1 DSGVO genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend. Die Einhaltung der in Art. 26 DSGVO und in Art. 30 DSGVO verankerten Pflichten zählen aber nach Ansicht des EuGH

nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung“. (Rz. 59)

Der EuGH folgert hieraus, dass sich aus dem Wortlaut von Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 Unterabs. 1 DSGVO ableiten lässt,

dass ein Verstoß des Verarbeiters gegen die in den Art. 26 und 30 dieser Verordnung vorgesehenen Pflichten keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung darstellt“. (Rz. 61)

Erweiterte Voraussetzungen aus Kap. II DSGVO

Der EuGH weitet die für die Rechtmäßigkeit der Datenverarbeitung relevanten Artikel dann aber doch etwas über Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 DSGVO hinaus aus.

Er orientiert sich hierbei an dem Umfang von Kapitel II DSGVO. Die Art. 7 bis 11 DSGVO betreffen, genau wie die Art. 5 und 6 DSGVO, die Grundsätze die zum Ziel haben,

den Umfang der dem Verarbeiter nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegenden Pflichten näher zu bestimmen“ (Rz. 58).

Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn sie diese anderen Bestimmungen des Kapitels II einhält, die im Wesentlichen die Einwilligung, die Verarbeitung besonderer Kategorien sensibler personenbezogener Daten und die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten betreffen.

Dann ist aus Sicht des EuGH aber auch Schluss. Weitere Artikel und Pflichten der DSGVO betreffen nicht die Frage der Rechtmäßigkeit einer Datenverarbeitung. Aus der Struktur und aus der Systematik der DSGVO gehe eindeutig hervor, dass sie zum einen zwischen den „Grundsätzen“, die in ihrem Kapitel II geregelt werden,

und zum anderen den „allgemeinen Pflichten“ unterscheidet, die zu Abschnitt 1 des Kapitels IV der Verordnung gehören, das die Verantwortlichen betrifft; zu diesen Pflichten zählen die Pflichten nach den Art. 26 und 30 ebendieser Verordnung.“ (Rz. 62)

Zuletzt für der EuGH auch das Ziel der DSGVO als Argument an, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten, insbesondere des Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten. Das Fehlen einer Vereinbarung nach Art. 26 DSGVO oder eines Verzeichnisses im Sinne von Art. 30 DSGVO reicht aber

für sich genommen nicht aus, um nachzuweisen, dass ein Verstoß gegen das Grundrecht auf den Schutz personenbezogener Daten vorliegt“. (Rz. 65)

Auswirkung für die Praxis

Der EuGH befasst sich in seinem Urteil natürlich nur mit den ihm vorgelegten Fragen und hier den Art. 26 und 30 DSGVO. Meiner Ansicht nach ist die Begründung des EuGH hinsichtlich der Frage, welche Artikel der DSGVO für die Rechtmäßigkeit der Verarbeitung relevant sind, aber so eindeutig, dass das Urteil auch auf andere Konstellationen und andere Pflichten aus der DSGVO übertragbar ist.

In der Praxis dürften hier vor allem die Informationspflichten nach Art. 12-14 DSGVO eine Rolle spielen. Einige Datenschutzbehörden gehen ja davon aus, dass ein Verstoß gegen Art. 13 DSGVO zu einer Rechtswidrigkeit der Verarbeitung führt. Diese Argumentation ist mit dem Urteil des EuGH nun meines Erachtens nicht mehr haltbar. Deklinieren wir es mit den Argumenten des EuGH durch:

  • Art. 12-14 DSGVO sind nicht in Art. 6 Abs. 1 DSGVO enthalten
  • Art. 12-14 DSGVO sind nicht Teil des Kapitel II der DSGVO

Dasselbe dürfte meines Erachtens insbesondere auch für Art. 28 DSGVO, also fehlende Verträge zur Auftragsverarbeitung oder auch einen Verstoß gegen Art. 32-36 DSGVO gelten, wenn also zB keine saubere DSFA durchgeführt wurde. Aber: natürlich sind Verstöße gegen diese Artikel weiter bußgeldbewehrt und evtl. entstehen auch Schadenersatzansprüche für Betroffene.

Europäischer Datenschutzausschuss veröffentlicht Bericht zur Prüfung von Datentransfers in Drittländer

Posted on by

Die europäischen Datenschutzbehörden haben einen Bericht (PDF) über die Ergebnisse der Arbeit der Task Force veröffentlicht, die eingerichtet wurde, um 101 Beschwerden zu prüfen, die von der Nichtregierungsorganisation NOYB im Anschluss an das Schrems-II-Urteil des EuGH in verschiedenen Mitgliedstaaten eingereicht wurden.

Wichtig für die Praxis: der Bericht legt die gemeinsamen Standpunkte der Mitglieder der Task Force dar und enthält Informationen über die Ergebnisse der betroffenen Fälle.

Nachfolgend habe ich einige relevante Aspekte zusammengefasst (auch wenn die Positionen nicht völlig neu sind):

  • Wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, auch wenn es keine Probleme mit den Anforderungen von Kapitel V der DSGVO gibt.
  • Abschluss des EU-Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO mit rückwirkender Kraft ist nicht zulässig.
  • Die Verschlüsselung durch den Datenimporteur ist keine geeignete Maßnahme, wenn der Datenimporteur als Anbieter des Tools gesetzlich verpflichtet ist, die kryptografischen Schlüssel ggü. Behörden in dem Drittland zur Verfügung zu stellen.
  • Anonymisierungsfunktionen sind keine geeignete Maßnahme, wenn die Anonymisierung erfolgt, nachdem die Daten in das Drittland übermittelt wurden.
  • In Fällen, in denen ein Auftragsverarbeiter als Datenexporteur im Auftrag des für die Verarbeitung Verantwortlichen (des Website-Betreibers) handelt, ist der für die Verarbeitung Verantwortliche ebenfalls für den Datentransfer verantwortlich und könnte gemäß Kapitel V der DSGVO haftbar gemacht werden.
  • Wenn der für die Verarbeitung Verantwortliche nicht in der Lage ist, ausreichende Angaben zu machen, um nachzuweisen, wie Übermittlungen stattfinden, könnte dies zu einem Verstoß gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO (Rechenschaftspflicht) führen.  
  • Die Entscheidung eines Website-Betreibers, ein bestimmtes Tool für bestimmte Zwecke zu verwenden (z. B. zur Analyse des Verhaltens der Website-Besucher), wird als Bestimmung der „Zwecke und Mittel“ gemäß Art. 4 Abs. 7 DSGVO angesehen (womit der Website-Betreiber zum (Mit)Verantwortlichen wird).