Datenschutzbeauftragter als Unternehmensvertreter im Verwaltungsverfahren?

Die Stellung und Aufgaben des Datenschutzbeauftragten (DSB) sind ja bekanntlich in Artt. 38, 39 DSGVO festgelegt. Hierbei fokussiert sich das Gesetz natürlich auf datenschutzspezifische Themen, wie etwa die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter zu beraten oder auch als Anlaufstelle für die Datenschutzbehörde zu agieren.

Eine Rolle als Vertreter des Verantwortlichen oder Auftragsverarbeiters nach außen, insbesondere prozessual, ist dem DSB in der DSGVO eigentlich nicht angedacht. Zumindest wird hierauf nicht eingegangen und eigentlich mag man sogar davon ausgehen, dass der DSB eine solche Vertretung gegenüber Aufsichtsbehörden wegen seiner unabhängigen Stellung (Art. 38 Abs. 3 DSGVO) nicht einnimmt.

In diesem Zusammenhang bin ich bei der Analyse der aktuellen Entscheidung des EDSA in dem Verfahren der irischen Aufsichtsbehörde gegen Twitter auf einen sehr interessanten und meines Erachtens hoch praxisrelevanten Aspekt gestoßen.  Die Entscheidung des EDSA ist hier abrufbar und auch ansonsten lesenswert, handelt es sich doch auch um die erste bindende Entscheidung des EDSA in einem Streitbeilegungsverfahren nach Art. 65 DSGVO.

In der Beschreibung des Sachverhalts wird dort auch auf die Frage eingegangen, ob denn Twitter im Rahmen des durch die irische Datenschutzbehörde durchgeführten Verwaltungsverfahrens und der darauf folgenden Einleitung des Verfahrens nach Art. 65 DSGVO beim EDSA zuvor ordentlich angehört und beteiligt wurde. Achtung, es geht hier nicht um die Involvierung des DSB von Twitter an sich, sondern des Unternehmens in dem Verwaltungsverfahren selbst. Das Sekretariat des EDSA fragte hierzu bei der irischen Behörde an:


On 4 September 2020, the Secretariat contacted the IE SA with additional questions in order to confirm whether TIC has been given the opportunity to exercise its‘ right to be heard regarding all the documents that were submitted to the Board for making its decision. On 8 September 2020, the IE SA confirmed that it was the case and provided the documents to prove it”.

Die “IE SA” ist die irische Behörde. „TIC“ ist die Abkürzung für Twitter.

Das EDSA Sekretariat verweist zuvor als Begründung auf Art. 41 Abs. 2 lit. a der Charta der Grundrechte der Europäischen Union. Danach hat jede Person das Recht, gehört zu werden, bevor ihr gegenüber eine für sie nachteilige individuelle Maßnahme getroffen wird. In der Rechtsprechung des EuGH wird stets die Bedeutung des Rechts auf Anhörung und seinen sehr weiten Geltungsumfang in der Unionsrechtsordnung bekräftigt. Das Recht auf Anhörung garantiert jeder Person die Möglichkeit, im Verwaltungsverfahren, bevor ihr gegenüber eine für ihre Interessen nachteilige Entscheidung erlassen wird, sachdienlich und wirksam ihren Standpunkt vorzutragen (EuGH, Urt. v. 22.11.2012 – C-277/11).

Die irische Datenschutzbehörde hat nach den obigen Ausführungen in der Entscheidung Dokumente an den EDSA geleitet, aus denen sich ergibt, dass das Unternehmen in dem Verwaltungsverfahren ordentlich angehört wurde. Hierzu verweist der Beschluss des EDSA in Fußnote 13 auf folgende Information:
Amongst the documents sent by IE SA, there were emails from the Global DPO acknowledging receipt of the relevant documents”.

Der DSB von Twitter hat in dem Verfahren relevante Dokumente von der Behörde erhalten und deren Erhalt auch per E-Mail bestätigt.

Das bedeutet, dass der EDSA anscheinend für eine Anhörung in einem Verwaltungsverfahren auch die Kommunikation mit bzw. Adressierung des DSB, quasi als Vertreter des Unternehmens im Verwaltungsverfahren, als ausreichend ansieht.

In Deutschland kennen wir dieses Recht aus § 28 VwVfG. Danach sind es „Verfahrensbeteiligte“ iSv § 13 Abs. 1 und Abs. 2 bzw. deren Vertreter oder Bevollmächtigte (§ 14 VwVfG), denen das Recht auf Anhörung zusteht. Den DSB an sich würde man bei uns wohl nicht als Verfahrensbeteiligten oder Bevollmächtigten ansehen. Zumindest nicht ohne entsprechende Bevollmächtigung und von Sonderkonstellationen einer Anscheins- oder Duldungsvollmacht abgesehen. Würde sich die Ansicht des EDSA (basierend auf der Auslegung europäischen Rechts) durchsetzen, würde dies in der Praxis für Unternehmen bedeuten, dass eine Kommunikation mit der Aufsichtsbehörde intern auf jeden Fall klar strukturiert erfolgen muss. Denn im schlimmsten Fall haben interne Abteilungen wie Legal oder Compliance keine Kenntnis von der Kommunikation mit der Behörde, diese würde aber von einer ordentlichen Anhördung des Unternehmens ausgehen. Klingt für mich insgesamt auch nach einer spannenden Frage zum Verhältnis zwischen DSGVO (bzw. der Charta) und nationalem Verfahrensrecht.

Twitter’s Börsengang – Datenschutz als Investorenrisiko?

Aus dem vorläufigen Börsenprospekt von Twitter, der auf der Internetseite der amerikanischen Börsenaufsicht (SEC) abrufbar ist, lassen sich einige interessante Informationen zu dem Unternehmen selbst und seinem geplanten Börsengang entnehmen. Betrachtet man die dortigen Angaben allein aus dem Blickwinkel des Datenschutzrechts fällt auf, dass Bezugnahmen hierzu meist im Rahmen von möglichen Risiken erwähnt werden.

Grundsätzlich stellt Twitter klar, dass zu den Risiken, welche sich auf das Geschäft von Twitter und sein wirtschaftliches Wachstum auswirken können, vor allem auch Bedenken der Nutzer in Bezug auf den Datenschutz zählen:

A number of factors could potentially negatively affect user growth and engagement, including if: … there are user concerns related to privacy and communication, safety, security or other factors

Insbesondere negative öffentliche Berichterstattung über das Unternehmen, auch in Bezug auf den Datenschutz, könnten dem Ansehen von Twitter und dem Vertrauen in seine Produkte schaden:

Negative publicity about our company, including about … privacy and security practices … even if inaccurate, could adversely affect our reputation and the confidence in and the use of our products and services.

Auch die Einhaltung ausländischer Daten- und Verbraucherschutzgesetze und die Möglichkeit, gegen diese Gesetze zu verstoßen, sind ein Faktor, der zu einem Risiko für die zukünftige Entwicklung und das Wachstum des Unternehmens werden könnte.
Continue reading

„Ich vertraue Dir. Hier sind meine Daten.“

Es gibt viele Schlagworte zur Umschreibung des erklärten Ziels von Datenschützern, Verbraucherorganisationen oder auch nationalen und internationalen Gesetzgebern, welches bei dem zukünftigen Umgang mit persönlichen Informationen in unserer digitalen Welt als oberste, schützenswerte Maxime ausgegeben wird: Datenschutz, Privatsphäre, Privacy u. a.

In mehr oder minder starker Ausprägung soll es darum gehen, die Bürger und Nutzer von (digitalen) Angeboten vor einer völligen ungewollten oder unbewussten Offenlegung und Weitergabe ihrer Informationen zu schützen. Ein, meist gesetzlich determiniertes, Schutzschild (wie etwa die neue Datenschutz-Grundverordnung) oder hierauf basierende Verteidigungswerkzeuge (Recht auf Vergessenwerden, hohe Geldstrafen etc.) zwischen den schwachen und ahnungslosen Nutzern und den mächtigen und allwissenden Unternehmen. Überspitzt formuliert: David gegen Goliat auf dem Schlachtfeld der Daten und die Steinschleuder soll optimiert oder sogar von Dritten geschwungen werden.
Continue reading

Facebook Leitfaden für Politiker und Amtsträger – Datenschutz und Mythen

Facebook hat einen Leitfaden für Politiker und Amtsträger veröffentlicht, mit dem diesen Personen der Nutzen und die Vorteile des sozialen Netzwerkes näher gebracht werden soll.
Das Unternehmen, aber auch die beteiligten Politiker ernteten teilweise heftige öffentliche Kritik. Erst einmal ist diese Idee positiv aufzunehmen, da sich leider immer noch zu wenige Politiker mit den Möglichkeiten von sozialen Medien, wie z. B. Facebook, aber etwa auch Twitter, auseinandersetzen. Ein solcher Leitfaden könnte daher durchaus auch allgemein positive Wirkung entfalten und öffentliche Amtsträger animieren, den Web 2.0 Kontakt mit den Bürgern zu suchen. Unabhängig von einer rechtlichen Einschätzung, hat etwa kürzlich die Bundeskanzlerin Angela Merkel über ein Google Hangout gezeigt, dass Politik und soziale Medien heutzutage voneinander profitieren können.

Datenschutz und Mythen
In dem Leitfaden von Facebook spricht das Unternehmen (selbstverständlich) auch den Datenschutz an, auf den ich mich hier konzentrieren möchte. Nun darf man Facebook nicht verübeln, dass ein solcher Leitfaden sicher nicht besonders wirkungsvoll erscheint, wenn auf datenschutzrechtliche Gefahren und Probleme hingewiesen wird. Dennoch sollen hier einige Themen und (im Leitfaden so bezeichnete) gelöste „Mythen“ auf ihren Wahrheitsgehalt zumindest kritisch hinterfragt werden.
Continue reading