VG Wiesbaden: Inkassounternehmen sind in der Regel keine Auftragsverarbeiter

Das Verwaltungsgericht (VG) Wiesbaden hat ich in seinem Beschluss vom 13.05.2024 (Az. 6 K 1306/22.WI; derzeit leider nur kostenpflichtig zugänglich, zB via BeckRS 2024, 11305) mit der Frage auseinandergesetzt, welche datenschutzrechtliche Rolle Inkassodienstleiter nach der DSGVO einnehmen, wenn sie personenbezogene Daten verarbeiten: Auftragsverarbeiter oder Verantwortliche?

Das VG verweist zunächst auf Ansichten in der Rechtsprechung und Literatur, wonach überwiegend die Auffassung vertreten werde, dass Inkassounternehmen eigene Verantwortliche seien, da sie regelmäßig die Zwecke und Mittel der Datenverarbeitung weitgehend selbst bestimmen und nur ausnahmsweise, beispielsweise bei der teilweisen weisungsgebundenen Übertragung des Forderungsmanagements auch Auftragsverarbeitungen i. S. d. Art. 28 DSGVO denkbar seien.

Als Argumente gegen eine Einordnung als Auftragsverarbeiter führt das VG dann folgende Aspekte an:

  • Auch bei der (teilweise) weisungsgebundenen Überragung des Forderungsmanagements ist diese durch eine weitgehend selbstständige Aufgabenwahrnehmung des Inkassounternehmens geprägt, die deren Einordnung als Verantwortliche nahelegen.
  • Aus der sog. teilweisen weisungsabhängigen „Einziehungsermächtigung“, bei der der Auftraggeber rechtlicher Eigentümer der Forderung bleibt, folgt nach Ansicht des VG auch keine andere Bewertung. Denn das Rechtsdienstleistungsgesetz (RDG) unterscheide nicht zwischen der Einziehung fremder oder zum Zwecke der Einziehung auf fremde Rechnung abgetretener Forderungen. Die rechtliche Inhaberschaft einer Forderung bleibe auf die Zulässigkeit der Rechtsdienstleistung ohne Einfluss, wie auch die Ausführung der Inkassotätigkeit vom Status der Forderung nicht abhängt.
  • Gegen eine Einordnung als Auftragsverarbeiter spreche auch der nur graduelle Unterschied zu Rechtsanwälten im erforderlichen Knowhow und Professionalisierungsgrad.
  • Zudem die häufig völlige Freiheit bei der Wahl der Mittel zur Umsetzung, die sehr weitgehende Freiheit bei der Bestimmung des Zwecks bzw. die erheblichen Eigeninteressen an dieser Dienstleistung.
  • Bei einem externem Inkassomanagement stehe der Einordnung einer Auftragsverarbeitung auch regelmäßig entgegen, dass eine vollständige Bestimmung über die Mittel der Verarbeitung durch die Verantwortlichen nicht mehr gewährleistet sein dürfte.
  • Zudem verweist das Gericht auf die Entscheidung des VG Mainz aus 2020, wonach eine Auftragsverarbeitung bei der Übermittlung von Daten im Rahmen einer Forderungsabtretung eines Tierarztes an ein Inkassobüro mangels Weisungsgebundenheit aus scheide (Az. 1 K 467/19.MZ).
  • Gegen eine Einordnung als Verantwortlicher spreche auch nicht, dass die Unabhängigkeit des Inkassodienstleisters nicht gesetzlich verpflichtend vorgegeben sei.  Das Inkassounternehmen bestimme faktisch die Zwecke und Mittel der Datenverarbeitung derart autonom, dass es datenschutzrechtlich als der für die Datenverarbeitung personenbezogener Daten Verantwortliche erscheine.

Im Ergebnis geht des VG daher davon aus: „In aller Regel ist daher auch das Inkassounternehmen im Mandatsverhältnis für die Verarbeitung personenbezogener Daten Verantwortlicher und nicht Auftragsverarbeiter“.

Verwaltungsgericht Stuttgart: DSGVO-Auskunft über gelöschte Daten oder Löschprotokolle?

Mit Urteil vom 30.11.2023 (Az. 11 K 3946/21) hat sich das Verwaltungsgericht (VG) Stuttgart sehr umfassend mit dem Auskunftsanspruch aus Art. 15 DSGVO befasst. Eventuell berichte zu weiteren Aspekten des Urteils noch nachfolgend im Blog. Heute möchte ich nur einen kleinen Aspekt beleuchten.

In dem Verfahren verlangte der Kläger von einer Körperschaft des öffentlichen Rechts Auskunft nach Art. 15 DSGVO. Hierbei ging es u.a. um die Frage, ob der Verantwortliche auch Auskunft über gelöschte personenbezogene Daten erteilen muss.

Das VG vertritt hierzu die einzig richtige Ansicht:

Was nicht mehr existiert, kann nicht beauskunftet werden.“

Zwar stelle nach Art. 4 Nr. 2 DSGVO auch das Löschen von Daten eine „Verarbeitung“ personenbezogener Daten dar. Vollständig gelöschte Daten können allerdings denklogisch nicht Anknüpfungspunkt des Auskunftsanspruchs aus Art 15 Abs. 1 2. Hs. i.V.m. Abs. 3 DSGVO sein.

Interessant und auch konsequent ist aber die Auffassung des VG hinsichtlich der Auskunft zu vorhandenen Löschprotokollen.

Das Gericht verweist darauf, dass, wenn ein Löschungsvorgang jedenfalls seinem Umfang nach noch dokumentiert und gespeichert ist, dies ein (einzelnes) personenbezogenes Datum über den Betroffen darstelle.

Das VG erläutert diese Ansicht auch an einem Beispiel: eine Dokumentation eines Löschungsvorgangs wie „Löschungsvorgang am XX.XX.XXXX: alle vom Kläger eingereichten Belege aus dem Kalenderjahr XXXX und davor“ sei dann vom Auskunftsrecht umfasst, wenn sich diese Information noch auf den Betroffenen beziehen lasse. Aus meiner Sicht ist die Auffassung des VG richtig. Denn eine Information „Daten 1,2,3 von Carlo Piltz wurden am XX.XX.XXXX gelöscht“ oder auch die Angabe „Von der Person erhaltene Dokumente aus 2020 wurden gelöscht„, bezieht sich auf eine natürliche Person, wenn intern nachvollzogen werden kann, wer diese Person ist.

Leider geht das VG hier nicht darauf ein, ob die Ausnahmevorschrift des § 34 Abs. 1 Nr. 2 b BDSG greifen würde. Danach besteht das Auskunftsrecht nach Art. 15 DSGVO nicht, wenn Daten ausschließlich Zwecken der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Werden Löschprotokolle zum Nachweis aufbewahrt, dass Daten tatsächlich gelöscht wurden, stellt dies auch meiner Sicht eine Maßnahme zu „Zwecken der Datenschutzkontrolle“ dar – ob also der Löschverpflichtung nachgekommen würde. Natürlich müsste der Verantwortliche, um sich auf die Ausnahme berufen zu können, dann aber auch die übrigen Voraussetzungen des § 34 Abs. 1 Nr. 2 b BDSG erfüllen.

Bayerischer Verwaltungsgerichtshof: Kein Löschanspruch für alle Daten aus Personalakte – auch nicht nach Ende des Beamtenverhältnisses

Der Bayerische Verwaltungsgerichtshof (VGH) hat Beschluss vom 29.06.2023 (Az. 6 ZB 23.530) einige interessante Aussagen zu den Datenschutzgrundätzen der Datenminimierung, Speicherbegrenzung und Richtigkeit nach Art. 5 Abs. 1 DSGVO getroffen. 

Sachverhalt

In dem Verfahren vor dem VGH verfolgte der Kläger seine Klage gerichtet auf Löschung von Dokumenten aus seiner Personalakte weiter, die vor dem Verwaltungsgericht erfolglos geblieben ist. Er begehrte u.a. die Löschung von Unterlagen überwiegend zu Vorgängen aus den Jahren 2004 bis 2006 sowie 2010 bis 2014, die im Rahmen der Beurteilung der Verwendungsfähigkeit des Klägers im Polizeidienst und seiner allgemeinen Dienstfähigkeit entstanden sind, sowie Unterlagen zur Verlängerung der Probezeit.

Der Kläger meint, sämtliche Einträge in der Personalakte, die vor dem 16. Juni 2006 datieren, seien zu löschen, weil das damalige Beamtenverhältnis zu diesem Zeitpunkt endete und nicht mehr in sachlichem Zusammenhang zu dem nunmehrigen Beamtenverhältnis stehe. 

Entscheidung des VGH

Nach Ansicht des VGH besteht kein Löschanspruch aus der DSGVO. 

Datenminimierung

Zum Grundsatz nach Art. 5 Abs. 1 lit. c) DSGVO stellt der VGH fest, dass die während des Bestehens eines Beamtenverhältnisses in der Personalakte gesammelten Daten grundsätzlich auch dann angemessen, erheblich und auf das notwendige Maß beschränkt bleiben, 

„wenn der betroffene Beamte aus dem Beamtenverhältnis ausscheidet.“ 

Das Gericht also davon aus, dass Daten aus der Personalakte nicht zwingend sofort zu löschen sind, nur weil ein Anstellungsverhältnis (hier: Beamtenverhältnis) endet. Die Unterlagen über krankheitsbedingte Dienstunfähigkeiten dienten hier nicht nur der Feststellung von aktuellen Fehlzeiten, sondern bleiben auch gegebenenfalls für mögliche Reaktivierungs- oder auch Wiedereinstellungsprüfungen von Bedeutung. Gerade diesbezüglich könne es aber es auf den jeweiligen historischen Kontext ankommen. 

Zudem stellt der VGH fest: 

„Eine Löschung könnte vielmehr umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen.“

Datenrichtigkeit

Der Grundsatz nach Art. 5 Abs. 1 lit. d) DSGVO, wonach personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein müssen, könne den Löschungsanspruch ebenfalls begründen. 

Denn, so der VGH, die Daten sind durch das Ausscheiden des Klägers aus dem Dienst ja nicht etwa unrichtig geworden.

„sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.“

Bedeutet: keine Löschung oder Änderungen der faktisch richtigen Vergangenheit durch die DSGVO. Daher bestehe auch kein Berichtigungsanspruch aus Art. 16 DSGVO. Der VGH begründet seine Ansicht damit, dass nur wenn die Personalakten auf dem Stand gehalten werden, der zum jeweiligen Zeitpunkt richtig war, ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentiert werden könne. 

Speicherbegrenzung

Zuletzt folgert der VGH aus seinen Ausführungen, dass damit auch der Grundsatz nach Art. 5 Abs. 1 lit. e) DSGVO der weiteren Speicherung der bis zum Ausscheiden des Klägers aus dem Beamtenverhältnis im Jahr 2006 in seiner Personalakte gesammelten Daten nicht entgegenstehe.

Verwaltungsgericht Berlin: Anforderungen an die Identifizierung bei Auskunftsanfragen – Mitwirkungsobliegenheit des Betroffenen

Im Rahmen eines Verfahrens zur Bewilligung von Prozesskostenhilfe hat sich das Verwaltungsgericht (VG) Berlin mit der Frage befasst, wann Verantwortliche einen Antrag auf Auskunft nach Art. 15 DSGVO wegen begründeter Zweifel an der Identität der anfragenden Person ablehnen und mehr Informationen anfordern können (Beschl. v. 24.4.2023, Az. VG 1 K 227/22).

Sachverhalt

Ein Betroffener war mit einem ablehnenden Bescheid der Berliner Datenschutzbehörde gegen ihn nicht zufrieden und klagte dagegen. Die Behörde hatte keine Verstöße gegen die DSGVO durch eine Auskunftei erkannt. Inhaltlich ging es vorab um die Beschwerde des Betroffenen gegen eine nicht gewährte Auskunft nach Art. 15 DSGVO durch eine Auskunftei. Diese hatte die Auskunft wegen begründeter Zweifel verweigert und zur Identifizierung mehr Daten angefordert (Art. 12 Abs. 6 DSGVO), jedoch nicht erhalten.

Entscheidung

Das VG lehnte den Antrag auf Bewilligung von Prozesskostenhilfe ab. Es sah für den Betroffenen in dem Vorgehen gegen die Entscheidung der Datenschutzbehörde keine Erfolgsaussichten. Dies deshalb, weil das Verhalten der Auskunftei in Bezug auf die Verweigerung der Auskunft und Anforderung weiterer Daten zur Identifizierung zulässig war.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag nach Art. 15 DSGVO stellt.

Das VG äußert sich dazu, wann man seiner Ansicht nach von „Zweifeln“ ausgehen darf.

Zweifel an der Identität setzen voraus, dass die vorhandenen Daten auf eine bestimmte Identität hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die als Betroffener identifizierte Person ist.“

Wichtig: pauschale Zurückweisungen sind nach Ansicht des VG nicht möglich. Der Verantwortliche hat seine Zweifel vielmehr einzelfallbezogen darzulegen.

Für Verantwortliche in der Praxis relevant ist die Feststellung des VG dazu, wie sich der Betroffene in einer solchen Situation zu verhalten hat.

Gleichzeitig besteht für den Betroffenen eine Mitwirkungsobliegenheit, denn ohne dessen Mitwirkung wird es dem Verantwortlichen nicht möglich sein, die dargelegten Identitätszweifel zu entkräften.“

Im konkreten Fall prüfte das VG dann, ob die Auskunftei hier von Zweifeln ausgehen und wegen dieser Unsicherheit die Auskunft zunächst verweigern durfte. Hierbei werden durch das Gericht einige sicher auch für andere Verantwortliche relevante Kriterien herausgearbeitet.

Zu berücksichtigen sind:

  • Die Sensibilität der abgefragten Informationen. Denn Wirtschaftsauskunfteien speichern im Einzelfall ein erhebliches Maß zahlreicher personenbezogener Informationen, insbesondere solcher, die einen Schluss auf die Bonität einer Person zulassen.
  • Zweifelsfreie Identifikation des Antragstellers nicht möglich, weil es namentliche und/oder weitere Überschneidungen zu weiteren Datensätzen gab.

Zuletzt stellte sich noch die Frage, ob das Unternehmen zur Identifikation das Geburtsdatum und gegebenenfalls frühere Anschriften abfragen durfte. Das VG geht davon aus, dass die Anforderung dieser Merkmale zulässig war.

„Das Geburtsdatum einer Person ist zur Identifizierung geeignet, da es eine häufig für Dritte weniger ersichtliche persönliche Information darstellt“.

Zudem stand die Abfrage des Geburtsdatums zu dem Zweck der Identifizierung des Antragstellers auch nicht außer Verhältnis, insbesondere mit Blick auf die erhöhte Sensibilität der bei Wirtschaftsauskunfteien gespeicherten Daten.

Der Antragsteller hat jedoch – unter Verstoß auf die ihm obliegende Mitwirkungspflicht – nicht auf die damit berechtigte Anfrage … reagiert“.

Verwaltungsgericht: Keine Ermächtigung für Datenschutzbehörde zur zwangsweisen (Ab-)Berufung eines Datenschutzbeauftragten?

Das Verwaltungsgericht Köln hat im Verfahren des einstweiligen Rechtsschutzes eine interessante Entscheidung getroffen (Az. 13 L 1707/21). Geklagt (und parallel im Wege des einstweiligen Rechtsschutzes die aufschiebende Wirkung betragt) hat eine Behörde gegen einen Bescheid des Bundesdatenschutzbeauftragten (BfDI). In diesem sollte die Behörde dazu verpflichtet werden, entweder einen Datenschutzbeauftragten (DSB) zu benennen oder den aktuellen abzuberufen; das wird aus der Begründung leicht nicht ganz klar.

Interessant ist die Begründung des Verwaltungsgerichts zu der Frage, ob denn die Datenschutzbehörde überhaupt eine Ermächtigungsgrundlage nach der DSGVO besitzt, um Verantwortliche oder Auftragsverarbeiter anzuweisen, einen DSB zu benennen oder einen bereits benannten abzuberufen (z.B. wegen mangelnder Qualifikation oder Interessenkonflikten).

Das Verwaltungsgericht führt zu dieser Frage aus:

Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des Art. 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind“.

In der Tat verlangt Abs. 2 lit. d) für die Anweisung durch den BfDI, dass „Verarbeitungsvorgänge“ vorliegen, die nach Ansicht der Aufsichtsbehörde auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen sind.

Die Tätigkeit des DSB und auch seine (Ab-)Berufung stellt jedoch nach Ansicht des Verwaltungsgerichts keinen solchen tatbestandlichen Verarbeitungsvorgang dar.

Das Verwaltungsgericht dazu: „Dass die (Ab-)Berufung eines behördlichen Datenschutzbeauftragten hierunter fallen könnte, ist nicht ersichtlich.“

Und es gibt in Art. 58 Abs. 2 DSGVO auch keine andere Ermächtigung, die speziell die Benennung des DSB adressieren würde. Man könnte nun spitzfindig überlegen, dass etwa die Benennung eines DSB schon eine Verarbeitung darstellt und diese Verarbeitung nur zulässig sein kann, wenn etwa der DSB auch qualifiziert und geeignet ist. Es würde dann um die personenbezogenen Daten dieses DSB gehen, etwa um zu dokumentieren, dass Herr / Frau XYZ zum DSB benannt wurde. Die Verarbeitung könnte dann die Aufsichtsbehörde eventuell angreifen oder eine solche Verarbeitung in Einklang mit der DSGVO verlangen. Jedoch dürfte dies ggfs. nicht ausreichen, da in Bezug auf die Daten des DSB wohl nur die Frage zu beantworten ist, ob diese Verarbeitung (Verwendung des Namens des DSB) zulässig war? Im Zweifel wird die Verarbeitung zulässig gewesen sein, um eine gesetzliche Pflicht (Art. 37 DSGVO) zu erfüllen. Eventuell mag man aber auch (ein wenig von hinten durch die Brust) den Schluss ziehen, dass wenn die Benennung (oder fehlende Benennung) nicht zulässig im Sinne des Art. 37 DSGVO war, dann dürfte auch die Verarbeitung der Daten des DSB unzulässig sein.

Mal sehen, wie die Sache im Hauptverfahren ausgeht.

Update vom 13.12.2021: der Bescheid erging nicht durch die LDI, sondern den BfDI.

Urteil: DSGVO-Rechenschaftspflicht entbindet Aufsichtsbehörde nicht von eigener Prüfung und Sachverhaltsermittlung

Eine Neuerung der DSGVO ist die bekannte Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO, obwohl man auch ehrlich zugeben muss, dass niemand so genau weiß, wie diese in der Praxis konkret umzusetzen ist. Möglich ist sicher eine umfassende Dokumentation und die Einführung eines Datenschutz-Managements. Die Vorschrift selbst lässt aber großen Spielraum für andere Spielarten des Nachweises.

Zuweilen wird auch darüber diskutiert, ob denn mit der Rechenschaftspflicht eine Art Beweislastumkehr für Verantwortliche einhergeht. Dass diese also nachweisen müssten, dass keine Verletzung der DSGVO vorliegt. Insbesondere aus Behördensicht wäre eine solche Auslegung des Art. 5 Abs. 2 DSGVO natürlich immens vorteilhaft, da die Aufsichtsbehörde „nur“ die Nachweise anfordern müsste, aus denen die DSGVO-Compliance hervorgehen müsste.

In einem Urteil aus Dezember 2020 hat sich das Verwaltungsgericht Mainz (Urt. v. 17.12.2020, 1 K 778/19.MZ) zumindest kurz mit dieser Frage beschäftigt und eine für datenverarbeitende Unternehmen eher positive Position eingenommen. Das Urteil wurde in der Datenschutz-Community v.a. wegen des materiellen Kerns des Rechtsstreits, nämlich zur Frage einer Verschlüsselungspflicht bei E-Mails, diskutiert. Ich möchte hier aber auf den, meines Erachtens wirklich sehr relevanten Aspekt des Umfangs der Rechenschaftspflicht und eine daneben weiter existierende Ermittlungspflicht der Datenschutzbehörden eingehen.  

In dem Verfahren erteilte die Datenschutzbehörde Rheinland-Pfalz dem Kläger eine Verwarnung, weil dieser personenbezogene Daten ohne ein dem Risiko angemessenes Schutzniveau verarbeitet habe. Zur Begründung führte die Behörde aus, dass ein Verstoß gegen Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO vorliege. Der Versand per unverschlüsselter E-Mail biete keine ausreichende Sicherheit für Nachrichten, die sensible Informationen enthielten.

Hiergegen klagte der betroffene Rechtsanwalt und das Gericht hob den Bescheid der Datenschutzbehörde auf.

Das VG stellt fest, dass nicht davon auszugehen gewesen sei, dass es sich jedenfalls um derart schutzbedürftige Datenverarbeitungsvorgänge handelte, bei denen für die tatsächlich erfolgte Art der Versendung im Einzelfall kein angemessenes Schutzniveau gewährleistet war.

Und nun eine erste interessante Aussage: „Allein die pauschale subjektive Einschätzung des Beklagten im Bescheid vom 14. August 2019, dass es sich um „sensible“ Informationen handle, kann hier nicht den seinerseits angenommenen erhöhten Schutzbedarf rechtfertigen“.

Bedeutet: nur weil die Behörde davon ausgeht, dass es sich um besonders schützenswerte Daten handelt, muss dies objektiv betrachtet nicht wirklich so sein. Dies bezog sich hier konkret auf die Sensibilität von Daten (und das erforderliche Schutzniveau), kann aber meines Erachtens auch für andere Tatbestandsmerkmal in der DSGVO angewendet werden.

Das VG sieht durchaus, dass es die Rechenschaftspflicht gibt. So ist der Kläger gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung der Voraussetzungen des Art. 32 Abs. 1 DSGVO nachweispflichtig. Und dann kommt die zweite wichtige Aussage:

allerdings entbindet dies die beklagte Aufsichtsbehörde nicht davon, ihre Auffassung – auf Grundlage der (nachgewiesenen) Angaben des Verantwortlichen und sonstiger Ermittlungen – nachvollziehbar darzulegen, warum im Einzelfall das angemessene Schutzniveau durch die entsprechenden Maßnahmen nicht gewahrt war. Es hätte zudem für den Beklagten im Rahmen der Amtsermittlung naheliegen müssen, das entsprechende Schreiben des Klägers schon im Verwaltungsverfahren anzufordern“.

Das Gericht stellt zum einen fest, dass allein die Rechenschaftspflicht nicht dazu führt, dass die Behörde auf eigene Ermittlungen verzichten darf, um ihre rechtliche Position nachvollziehbar begründen zu können. Dies bedeutet, dass mithin Nachweise aus der Rechenschaftspflicht natürlich verwendet werden können. Dennoch aber auch eigene Ermittlungen bzw. Gründe für die Behördenansicht darzulegen sind.

Und zum anderen verweist das Gericht auf den verwaltungsrechtlichen Amtsermittlungsgrundsatz, der ebenfalls unabhängig von der Rechenschaftspflicht besteht.

Insgesamt also aus Sicht der datenverarbeitenden Unternehmen eine interessante Entscheidung, die im Grunde zeigt, dass Behördenansichten erst einmal auch „nur“ Ansichten sind, die aber auch nachvollziehbar begründet werden müssen. Für verwaltungsrechtliche Auseinandersetzungen ist dies einer von mehreren wichtigen Aspekten, auf die Unternehmen bei einer Verteidigung achten sollten.

Verwaltungsgericht Berlin: wann bestehen „begründete Zweifel“ an der Identität des Betroffenen im Rahmen einer Auskunft?

Das Verwaltungsgericht Berlin (VG) hatte mit Urteil vom 31.8.2020 (1 K 90.19) in einem Fall zu entscheiden, in dem es um die Frage ging, wann ein datenschutzrechtlich Verantwortlicher (hier: das Amtsgericht Tiergarten) „begründete Zweifel“ an der Identität eines Betroffenen gegen einen Auskunftsanspruch vorbringen kann.

Sachverhalt

Der Kläger begehrte schriftliche Auskunft über die beim Amtsgericht Tiergarten zu seiner Person gespeicherten persönlichen Daten. Diesen Auskunftsantrag lehnte der Präsident des Amtsgerichts Tiergarten mit Bescheid vom 17. Januar 2019 ab, weil der Kläger seine Identität nicht in der erforderlichen Form nachgewiesen habe. Der Präsident des Amtsgerichts Tiergarten verlangte hierzu die Vorlage einer Kopie des Personalausweises des Klägers. Der Widerspruch des Klägers hatte keinen Erfolg und er klagte schließlich gegen die Ablehnung.

Entscheidung

Das VG gab der Klage statt. Nach Ansicht des Gerichts konnte sich das Amtsgericht hier nicht auf die Ausnahmeregelung in § 59 Abs. 4 BDSG berufen. Dort ist geregelt, dass der Verantwortliche, wenn er begründete Zweifel an der Identität einer betroffenen Person hat, er von ihr zusätzliche Informationen anfordern kann, die zur Bestätigung ihrer Identität erforderlich sind. Die Vorschrift geht auf Art. 12 der Richtlinie 2016/680 zurück, die für Datenverarbeitungen im Bereich Polizei und Justiz.

Eine ähnliche Regelung findet sich praktisch wortgleich auch in Art. 12 Abs. 5 DSGVO. Aus diesem Grund ist die Begründung des VG in seiner Entscheidung meines Erachtens auch für Unternehmen im Anwendungsberiech der DSGVO interessant.

Strittig war hier also allein die Frage, ob der Kläger sich in der vom Beklagten verlangten qualifizierten Form legitimieren muss, um die beantragte schriftliche Auskunft erhalten zu können. Dies sieht das VG nicht so.

Zunächst interpretiert das VG den Begriff der „begründeten Zweifel“. Es geht davon aus, dass der auskunftspflichtige Verantwortliche ohne besonderen keinen Identitätsnachweis von einem Antragsteller verlangen darf.

Fraglich war dann, ob ein solcher besonderer Anlass oder besondere Umstände vorlagen. Auch dies lehnt das Gericht ab. Der Kläger als Betroffener begehrte Auskunft (wohl) auf postalischem Weg. Die Anschrift des Klägers war dem Amtsgericht aber schon seit längerem bekannt. Das Amtsgericht Tiergarten hatte dem Kläger schon in der Vergangenheit verschiedene Entscheidungen unter seiner gegenwärtigen Adresse übersandt.

Zudem, und dies ist auch ein interessanter Punkt in der Begründung, fehlt nach Ansicht des VG jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte.

Das VG argumentiert also wie folgt: wenn die postalische Adresse schon bisher genutzt wurde, um mit dem Betroffenen zu kommunizieren und keine Anhaltspunkte für unzulässiges Handeln Dritter erkennbar sind, kann man nicht von „begründeten Zweifeln“ ausgehen.

Zuletzt führt das VG aus, dass das Amtsgericht als Verantwortlicher durch eine förmliche Zustellung seines Auskunftsschreibens dessen Fehlleitung unterbinden kann. Auch dieser Hinweis ist für den Anwendungsbereich der DSGVO relevant und meines Erachtens auch in der Praxis dringend anzuraten. Der Versand von Auskunftsschreiben sollte nachweisbar erfolgen (allein um auch die Fristen einzuhalten). Also etwa per Einschreiben.

Fazit

Die Begründung des VG ist meines Erachtens schlüssig. Auch wenn man für den postalischen Auskunftsweg hypothetische Unsicherheitsfaktoren berücksichtigen kann (Bsp: jemand fängt den Brief ab), darf dies nicht per se dazu führen, dass eine Auskunft verweigert wird. Ist aus vergangener Korrespondenz klar, dass der Betroffene unter dieser Adresse kommuniziert, müssten besondere Anhaltspunkte hinzutreten, um „begründete Zweifel“ an der Identität annehmen zu können.

VG Schleswig: DSGVO erfordert keine öffentliche Stellenausschreibung für das Amt des Landesdatenschutzbeauftragten

Das VG Schleswig hat im Verfahren des einstweiligen Rechtschutzes entschieden (Beschl. v. 19.08.2020 – 12 B 36/20), dass die Wiederwahl der Landesbeauftragten in Schleswig-Holstein mit der DSGVO vereinbar war.

Sachverhalt

Der Antragsteller, ein Volljurist und seit 2016 bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen tätig, bewarb sich am 7.6.2020 für das Amt des Landesbeauftragten für Datenschutz. Zuvor (am 4.6.2020) beantragten die Fraktionen im Landtag die bisherige Landesbeauftragte wiederzuwählen.

Der Antragsteller begründete sein Vorbringen u.a. damit, dass die beabsichtigte Ernennung gegen Art. 53 DSGVO verstoße, da die Besetzung der Leitungsposition nicht „im Wege eines transparenten Verfahrens“ erfolge. Nach Art. 53 Abs. 1 DSGVO sehen die Mitgliedstaaten vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird.

Entscheidung

Direkt vorab: die Wiederwahl von Frau Hansen zur Landesbeauftragten halte ich im Ergebnis für gut, denn Frau Hansen ist eine sehr kompetente und geschätzte Landesbeauftragte.

Kritisieren möchte ich daher hier auch nicht diese spezielle Wiederwahl, sondern die Begründung und Ansicht des Verwaltungsgerichts zur Auslegung von Art. 53 DSGVO.

Das Verwaltungsgericht begründet seine Ablehnung des Antrags damit, dass das in § 5 Abs. 1 S. 1 ULDErrG SH geregelte Wahlverfahren nicht gegen das Transparenzgebot verstoße.

Einer öffentlichen Ausschreibung des Postens des Landesdatenschutzbeauftragten bedarf es – anders als bei der Ernennung des Europäischen Datenschutzbeauftragten (Art. 42 Abs. 1 der Verordnung (EG) Nr. 45/20019 – nicht“.

Das ist die gesamte Begründung des Gerichts zu seiner Ansicht. Mehr nicht. Das Gericht verweist, zur Untermauerung dieser Ansicht, noch auf zwei Literaturansichten (Boehm, in: Kühling/Buchner, DSGVO, BDSG, 2. Aufl., Art. 53 DSGVO Rn. 6; Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 53 Rn. 8).

Das Gericht lässt hierbei aber völlig die gegenteiligen Ansichten außer Betracht. Vgl. etwa:

–          Selmayr, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 53 Rn. 5.

–          Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 53 Rn. 4.

–          Tendenziell wohl auch Römer, in Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, 2. Aufl. 2020, Art. 53 Rn. 19.

Zudem ist meines Erachtens auch der Verweis auf die Ansicht von Prof. Boehm zum Beleg, dass eine Ausschreibung nicht erfolgen muss, nicht richtig. Prof. Boehm legt nur dar, dass diese Ausschreibung in Deutschland nicht vorgesehen ist, was aber nicht bedeutet, dass dies nach der DSGVO nicht erforderlich wäre. Im Gegenteil verlangt Prof. Boehm für das Verfahren, dass dieses für die Bürger überprüfbar und nachvollziehbar erfolgen muss.

Nach Ansicht des Verwaltungsgerichts war öffentlich bekannt, wen die Fraktionen des schleswig-holsteinischen Landtags für das Amt vorschlugen. Zudem geht das Gericht davon aus, dass es einer öffentlichen Debatte über mögliche Kandidaten nicht bedurfte.

Die Ansicht des Verwaltungsgerichts zur Anwendung von Art. 53 Abs. 1 DSGVO halte ich für mindestens diskutabel und im Ergebnis dem Datenschutzrecht wenig zuträglich. Denn ich möchte vermuten, dass eine öffentliche Kenntnis von Anträgen in Landesparlamenten nicht unbedingt so an die Öffentlichkeit gelangen, wie eine öffentliche Ausschreibung mit einer Bewerbungsfrist. Ich persönlich sehe keinen Grund, warum man eine öffentliche Ausschreibung und ein Bewerbungsverfahren nicht durchführen sollte. Je weniger die Öffentlichkeit an diesem Prozess beteiligt ist, desto eher kann bei externen Beobachtern der Eindruck entstehen, dass man sich vorab intern auf einen Kandidaten geeinigt hat, der für die Position „passt“.

Zudem eine Anmerkung zu dem Verweis auf die Verordnung (EG) 45/2001. Diese ist überhaupt nicht mehr anwendbar. Und zwar seit dem 11.12.2018 (!). Denn es gibt eine Nachfolgeverordnung (Verordnung (EU) 2018/1725), in der die Aufhebung der alten Verordnung in Art. 99 VO 2018/1725 angeordnet wird. Das Verwaltungsgericht stützt seine Ansicht mithin u.a. auf eine nicht mehr anwendbare Verordnung. Freilich muss beachtet werden, dass in Art. 53 Abs. 1 VO 2018/1725 eine entsprechende Regelung für eine öffentliche Ausschreibung für das Amts des Europäischen Datenschutzbeauftragten geschaffen wurde.

Meines Erachtens muss aber nicht aus dieser Regelung geschlossen werden, dass im Rahmen der DSGVO das geforderte „transparente Verfahren“ gerade keine Ausschreibung verlangt. Der Unterschied beider Verordnungen liegt u.a. darin, dass sich VO 2018/1725 nicht an verschiedene Staaten mit unterschiedlichen nationalen Regelungen im Bereich des Beamten- oder Verwaltungsrechts richtet. VO 2018/1725 bezieht sich allein auf die EU-Ebene und die Regelung zur Ausschreibung konnte (bzw. musste sogar) in der VO 2018/1725 erfolgen.

Dass die Anforderungen an das transparente Verfahren wohl auch in Deutschland unterschiedlich interpretiert werden, zeigt beispielhaft die letzte öffentliche Stellenausschreibung für das Amt des Landesbeauftragten in Sachsen-Anhalt.

Die Auslegung und Anwendung von Art. 53 DSGVO ist aus meiner Sicht auf jeden Fall ein spannendes Thema, zu dem sicher noch diskutiert werden kann.

Verwaltungsgericht Schleswig: Interne Übertragung der Aufgabe zur Erstellung eines Verarbeitungsverzeichnisses ist zulässig

Das Verwaltungsgericht (VG) Schleswig hat am 31.3.2020 entschieden (Beschl. v. 31.03.202012 B 79/19), dass die Übertagung der von einer öffentlichen Stelle nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation zulässig ist.

(Ja, mir ist bekannt, dass es unter der DSGVO nicht mehr „Verarbeitungsverzeichnis“ heißt; wenn ich aber stattdessen „Verzeichnis der Verarbeitungstätigkeiten“ in die Überschrift aufnehme, wird diese zu lang)

Sachverhalt

In dem Verfahren im Rahmen des vorläufigen Rechtsschutzes (Antrag auf Erlass einer einstweiligen Anordnung) ging ein Justizamtmann gegen die dienstliche Weisung an ihn vor, an einem Arbeitskreis zur DSGVO, der bei der Generalstaatsanwaltschaft eingerichtet wurde, teilzunehmen und die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO zu übernehmen. Zuvor war der Antragsteller gegenüber dem Generalstaatsanwalt als „Datenschutzverantwortlicher“ benannt worden.

Der Antragsteller ging davon aus, dass diese Weisung rechtswidrig sei, weil eine Tätigkeit als „Datenschutzverantwortlicher“ mit seiner Tätigkeit als Personalratsmitglied und als ständiger Vertreter der Personalratsvorsitzenden nicht vereinbar sei. Zudem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein.

Entscheidung

Das VG lehnte den Antrag als unbegründet ab.

Zunächst stellte das VG zurecht ein paar datenschutzrechtliche Begrifflichkeiten klar.

Die anfängliche Formulierung der Antragsgegnerin, nach der dem Antragsteller die Position als „Datenschutzverantwortlicher“ (vollumfänglich) übertragen werden sollte, dürfte schon aufgrund der Unbestimmtheit nicht zulässig sein.

Sodann führt das VG zu den rechtlichen Möglichkeiten der Übertragung von Pflichten nach der DSGVO aus.

Außerdem dürfte eine vollständige Übertragung der Verantwortlichkeit i.S.d. DSGVO nicht möglich sein, wie der Personalrat mit seinem Schreiben vom 19. Dezember 2019 zutreffend ausführte.

Nach zutreffender Ansicht des VG ist „Datenschutzverantwortlicher“ (nicht gemeint war hier der Datenschutzbeauftragte) nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die Letztverantwortung muss damit bei Behörde selbst als juristischer Person bleiben und kann nicht etwa zur Gänze wie die Position des Datenschutzbeauftragten i.S.v. Art. 37 DSGVO einem Beamten übertragen werden.

Jedoch konkretisierte die Antragsgegnerin die dem Antragsteller übertragenen Aufgaben nachträglich dahingehend, dass mit den übertragenen Aufgaben

  • die Teilnahme an einem Arbeitskreis bei der Generalstaatsanwaltschaft und
  • die Erstellung und Führung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO gemeint seien.

Die Antragsgegnerin bezog sich hierbei anscheinend auch auf einen Beschluss der DSK, in dem die Empfehlung ausgesprochen wurde, „durch eine allgemeine Aufbauorganisation sicherzustellen, dass im Innenverhältnis die Anwendung des Datenschutzrechts in der Behörde organisiert und gewährleistet wird“.

Aus Sicht des VG bleibt daher die Antragsgegnerin (also die öffentliche Stelle) die eigentliche Verantwortliche, da sie die Verfügungsgewalt über die erhobenen Daten besitzt.

Die Übertagung der von der Antragsgegnerin nach der DSGVO zu erfüllenden konkreten Aufgaben im Rahmen der Behördenorganisation ist dagegen zulässig.

Gerade diese letzte Einschätzung des VG ist meines Erachtens auch für den privatwirtschaftlichen Bereich relevant. Es ist innerbetrieblich möglich (und rein faktisch oft anders gar nicht handhabbar), dass die Aufgabenerfüllung von der Führungsebene nach unten delegiert und bestimmten Personen übertragen wird. Wichtig zu beachten ist, dass nicht die gesetzliche Pflicht an sich übertragen werden kann, sondern nur die Aufgabe, bei der Erfüllung dieser Pflicht zu unterstützen.

Fazit

Die Entscheidung des VG ist meines Erachtens richtig und spiegelt auch die tatsächlichen Gegebenheiten in der Praxis wider, wenn man DSGVO-Anforderungen in größeren Einheiten umsetzen möchte. Dies erfordert eine arbeitsteilige Erledigung der verschiedenen Aufgaben. Intern kann eine solche Aufgabe dann im Rahmen des Weisungsrechts auch an Angestellte übertragen werden. Datenschutzrechtlich verpflichtet bleibt aber allein der Verantwortliche (oder Auftragsverarbeiter).

Verwaltungsgericht Mainz: Betroffene haben keinen Anspruch auf die Vornahme bestimmter aufsichtsbehördlicher Maßnahmen

Kann eine betroffene Person, wen sie sich bei einer Datenschutzbehörde beschwert hat, von dieser Datenschutzbehörde die Vornahme einer ganz bestimmten aufsichtsbehördlichen Maßnahme verlangen und dies auch einklagen? Um diese Frage ging u.a. in einem Fall, den das Verwaltungsgericht Main (VG) entschieden hat (Beschluss vom 29.08.2019 – 1 L 605/19.MZ).

Sachverhalt

In dem Verfahren im Rahmen des einstweiligen Rechtsschutzes (§ 123 Abs. 1 VwGO) hat die Antragstellerin vorgetragen, sie führe einen Rechtsstreit mit ihrem früheren Anwalt, der sie gegen die B. GmbH vertreten habe. Der Anwalt sei später als Zeuge von der B. GmbH angeboten worden, was ihrer Ansicht nach dafür spreche, dass er einen Geheimnisverrat begangen habe. Um dies feststellen zu können, benötige sie nunmehr die Auskunft von der B. GmbH.

Hierzu hatte die Antragstellerin offensichtlich einen Auskunftsanspruch nach Art. 15 DSGVO gegenüber der B. GmbH geltend gemacht. Dieser scheint nicht erfüllt worden zu sein, worauf hin sich die Antragstellerin bei dem Landesbeauftragten für Datenschutz in Rheinland-Pfalz (LfDI) beschwerte. Der LfDI hat das Beschwerdeverfahren durch einen rechtsverbindlichen Beschluss, der auch mit einer Rechtsbehelfsbelehrung versehen war, abgeschlossen.

Die Antragstellerin begehrte nun vom LfDI, dass er das gegen die B. GmbH gerichtete Beschwerdeverfahren nach Art. 77 Abs. 1 DSGVO wieder aufnimmt und fortsetzt.

Entscheidung

Das VG lehnt die begehrte einstweilige Anordnung gegenüber dem LfDI ab. Die Antragstellerin habe einen Anordnungsgrund nicht glaubhaft gemacht. Es könne damit offenbleiben, ob ein Anordnungsanspruch bestehe.

Der Antrag der Antragstellerin ist quasi auf eine Fortsetzung des Beschwerdeverfahrens gerichtet. Nach Art. 77 Abs. 1 DSVGO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Da hier die Fortsetzung des Verfahrens Antragsziel ist, könnte die besondere Form der Untätigkeitsklage nach Art. 78 Abs. 2 DSGVO statthaft sein. Danach hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde in Kenntnis gesetzt hat.

Jedoch verweist das VG in seiner Begründung zurecht darauf, dass der LfDI als Aufsichtsbehörde hier das Verfahren bereits durch einen rechtsverbindlichen Beschluss abgeschlossen hat.

Gegen diesen Verwaltungsakt als Abschlussverfügung des LfDI kann die betroffene Person grundsätzlich nach Art. 78 Abs. 1 DSGVO vorgehen. Jedoch ist der Antrag hier gerade nicht nur auf die Aufhebung eines Verwaltungsakts bzw. die Anfechtung eines rechtsverbindlichen Beschlusses der Aufsichtsbehörde gerichtet, sondern zumindest auch auf ein Tätigwerden des LfDI.

Grundsätzlich relevant ist die Ansicht des VG, dass Art. 78 Abs. 1 DSGVO nicht nur auf Anfechtungsklagen gegen die rechtsverbindlichen Beschlüsse der Aufsichtsbehörde beschränkt ist, sondern darüber hinaus

auch Verpflichtungs- und Leistungsklagen zur Gewährung eines effektiven Rechtsschutzes für die betroffene Person

umfasst.

Danach geht das VG noch auf die Frage ein, was konkret die Antragstellerin überhaupt von dem LfDI verlangen könnte.

In diesem Zusammenhang verweist das VG auf die durchaus (auch schon gerichtlich) divers diskutierte Frage nach dem Umfang der – gerichtlich gegebenenfalls durchsetzbaren – Pflichten der Auskunftsbehörde.

Zum einen wird die Auffassung vertreten, dass von der Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO und Art. 57 Abs. 1 lit. f) DSGVO nur eine Bearbeitung der Beschwerde bzw. eine zeitnahe Unterrichtung über den Stand und das Ergebnis der Untersuchungen verlangt werden kann.

Andererseits gibt es aber auch die Rechtsmeinung, dass die Aufsichtsbehörde zu konkreten Maßnahmen verpflichtet werden kann.

Nach Ansicht des VG (nach der im Eilverfahren gebotenen summarischen Prüfung) spricht einiges dafür,

dass der Aufsichtsbehörde ein (weiter) Ermessensspielraum zusteht, ob und welche Maßnahmen sie ergreift, um einen etwaigen Verstoß gegen die DSGVO festzustellen oder einen Auskunftsanspruch des Beschwerdeführers durchzusetzen.

Danach kann eine betroffene Person nur Ermessensfehler rügen, jedoch nicht in Form eines Anspruchs direkt nur eine bestimmte aufsichtsbehördliche Maßnahme fordern. Vorliegend begehrt die Antragstellerin aber nicht den Erlass einer ermessensfehlerfreien Entscheidung und etwa einen Anspruch auf behördliches Einschreiten des Antragsgegners gegen die B. GmbH, sondern sie hat nur eine Fortsetzung des Beschwerdeverfahrens beantragt.

Offen lässt das VG im Rahmen der Prüfung des Anordnungsanspruchs, welche Pflichten die nach Art. 77 Abs. 1 DSGVO angerufene und mit einer Beschwerde befasste Aufsichtsbehörde hat, ob ein (weiter) Ermessensspielraum besteht oder ob sie zum Erlass bestimmter Maßnahmen verpflichtet ist bzw. verpflichtet werden kann. Denn das Gericht lehnt den Antrag bereits wegen Fehlens eines Anordnungsgrundes (keine hinreichende Glaubhaftmachung, dass ihr ein Abwarten einer Entscheidung in der Hauptsache nicht zumutbar ist) ab.