„Kunde stresst massiv“ – Zulässigkeit von Vermerken & Blacklists in Kundendatenbanken

In ihrem Datenschutzbericht 2023 berichtet die Datenschutzbehörde Österreich (DSB) über einen praxisrelevanten Fall für Unternehmen, die im Bereich B2C oder auch B2B Angaben zu (ungewünschten) Kunden speichern möchten – insbesondere auch zu dem Zweck, mit diesen Kunden in Zukunft keine Verträge mehr abzuschließen.

Sachverhalt

Ein Unternehmen aus Österreich, welches im Bereich EDV-Handel und entsprechende Dienstleistungen tätig ist, verkaufte an einen Kunden aus Spanien mehrere Produkte. Da die Rechnungen innergemeinschaftlich – also ohne österreichische Mehrwertsteuer – ausgestellt wurden, musste die Käuferin bei der Abholung unterschreiben, dass das Produkt außer Landes gebracht werde und eine entsprechende Vollmacht vorlegen bzw. sich als Geschäftsführer ausweisen. Die Käuferin bzw. dessen Geschäftsführer lehnten dies jedoch ab. Zudem wurde die Ware dann reklamiert.

Die Verantwortliche speicherte in der Folge unter anderem folgende Angaben über die Käuferin in ihrer internen Kundendatenbank:

  • (Kurz-) Bezeichnung, die interne Nummer und die Adresse
  • Folgenden als „Sonderinformationen“ bezeichneten Text:

Kunde stresst massiv am Telefon und droht mit Anwalt. Kunde lässt keine Ausweiskopie zu. Wir werden keine Innergemeinschaftlichen Rechnungen mehr ausstellen.

Update: Habe dem Kunden Info gegeben, dass ein Kaufvertrag beidseitig bestehen muss, und wir das nicht wollen!

Die Käuferin beschwerte sich bei der DSB und sah in der Speicherung der Daten einen Verstoß gegen die DSGVO.

Entscheidung der Aufsichtsbehörde

Die DSB sah in der Speicherung der personenbezogenen Daten keinen Verstoß gegen die DSGVO.

Zunächst stellte die DSB fest, dass die Verantwortliche in ihrer Datenbank den Vermerk erfasst, aus dem hervorgeht, dass aufgrund des Verhaltens der Käuferin künftig keine Verträge mehr mit ihr abgeschlossen werden.

Als Ausdruck des allgemeinen Gedankens der Privatautonomie gelte im Schuldrecht das Prinzip der Vertragsfreiheit, also auch der Entscheidungsfreiheit, ob und mit wem ein Vertrag geschlossen wird.

Der interne Vermerk stelle zunächst keine Verarbeitung von unrichtigen Daten dar.

Sofern dieser lediglich in der Dokumentation von Meinungen bzw. Beurteilungen liegt, sind die Daten aus datenschutzrechtlicher Sicht richtig, wenn diese Meinung oder Beurteilung korrekt wiedergegeben wird“.

Zudem geht die DSB von der Rechtmäßigkeit der Verarbeitung nach Art.  6 Abs. 1 DSGVO aus.

Im Lichte der Privatautonomie stelle es nach Auffassung der Datenschutzbehörde ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit f DSGVO der Verantwortlichen dar, in ihrem internen Warenwirtschaftssystem festzuhalten, dass sie mit bestimmten (juristischen) Personen, mit denen es bei früheren Geschäftskontakten zu Konflikten gekommen ist, von zukünftigen Vertragsabschlüssen absehen will.

Generalanwalt am EuGH: Wichtige Ausführungen zur Erforderlichkeit für Art. 6 (1) b DSGVO und der Information über „berechtigte Interessen“ für Art. 6 (1) f DSGVO

Am 11. Juli 2024 wurden die Schlussanträge des Generalanwalts Szpunar in der Rechtssache C-394/23veröffentlicht. 

In dem anhängigen Rechtsstreit zwischen einem Verband auf einer Seite und der französischen Datenschutzaufsichtsbehörde CNIL sowie Transportunternehmen SNCF Connect auf der anderen Seite geht es um die Frage der Verarbeitung der Anrededaten von Kunden des SNCF Connect, das über seine Website und Apps Zugtickets, Abos und Ermäßigungskarten vertreibt. Nach Angaben des Unternehmens werden die Daten in der geschäftlichen Kommunikation mit den Kunden verwendet und seien hierfür auch erforderlich. Es handelt sich hierbei um Pflichtfelder im Bestellformular – die Kunden müssen also bei der Bestellung ihre Anrede als „Herr“ oder „Frau“ angeben. 

Position des Verbands und bisheriges Verfahren 

Der Verband beschwerte sich gegen SNCF Connect bei der Aufsichtsbehörde. Zur Begründung machte er geltend, die Erhebung der Anrededaten sei mangels Rechtsgrundlage nicht mit dem in Art. 5 Abs. 1 lit. a DSGVO verankerten Grundsatz der Rechtmäßigkeit vereinbar. Zudem verstoße eine solche Erhebung gegen den Grundsatz der Datenminimierung und den Grundsatz der Richtigkeit, die in Art. 5 Abs. 1 lit. c bzw. d DSGVO festgelegt seien, sowie gegen die Transparenz- und Informationspflichten gem. Art. 13 DSGVO. Der Verband argumentierte insoweit, dass SNCF Connect die Anrededaten nicht erheben dürfe oder zumindest seinen Kunden alternative Möglichkeiten anbieten müsse, wie z. B. die Option „neutral“ oder „sonstige“. Die Datenschutzbehörde stellte keinen Verstoß gegen die DSGVO fest und der Verband reichte gegen diese Entscheidung eine Klage ein, im Rahmen welcher die Fragen dem EuGH vorgelegt wurden.

Ist die Angabe der Anrede erforderlich?

Die Erforderlichkeit wurde von dem Generalanwalt unter zwei Gesichtspunkten untersucht:

  1. Ist die Anrede der Kunden für die Erfüllung des Vertrags erforderlich? (Art. 6 Abs. 1 b) DSGVO)
  2. Ist die Angabe der Anrede zur Wahrung berechtigter Interessen im Hinblick auf die allgemeine Verkehrssitte in der personalisierten geschäftlichen Kommunikation erforderlich? (Art. 6 Abs. 1 f) DSGVO)

Vertragserfüllung

In seinen Ausführungen stellt der Generalanwalt fest, dass der Hauptgegenstand des Vertrags vorliegend die Bereitstellung eines Fahrscheins ist. Es war daher zu prüfen, ob erstens die Anrededaten des Kunden verarbeitet werden, um einen Zweck zu erreichen, der notwendiger Bestandteil der Beförderungsdienstleistung ist, und ob zweitens diese Verarbeitung hierfür objektiv unerlässlich ist.

Nach Ansicht des Generalanwalts sei die Kommunikation mit dem Kunden als notwendiger Bestandteil des Beförderungsvertrags anzusehen. Denn die Bereitstellung des Fahrscheins setze die Kontaktaufnahme mit dem Kunden voraus, um diesem den Fahrschein zu übermitteln. Diese Notwendigkeit bestehe auch während der Beförderung fort, um den Kunden z.B. über die möglichen Störungen bei der Reise zu informieren. 

Das Argument von SNCF, dass dieser Zweck in Übereinstimmung mit der Verkehrssitte in der geschäftlichen Kommunikation auch die Angabe der Anrede erfordert, wurde von dem Generalanwalt aber zurückgewiesen. Auch ohne geschlechtsspezifischer Anrede könne die Kommunikation durchgeführt werden. Dies werde unter anderem dadurch indiziert, dass die Anrede nicht bei jeder Kommunikation verwendet wird. So werden teilweise neutrale Formulierungen wie „Danke, gute Reise“ oder „Guten Tag“ benutzt.

Darüber hinaus sei die Verarbeitung der Anrededaten für die Erreichung des geltend gemachten Zwecks nicht unerlässlich und alternativlos. Sie gehe über das hinaus, was notwendig ist, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Denn die ordnungsgemäße Erfüllung des Beförderungsvertrags könne nicht von der Verwendung der Anrede in der Kommunikation abhängen, selbst wenn der für die Verarbeitung Verantwortliche mit seinen Kunden in personalisierter Weise kommunizieren möchte. 

Interessenabwägung

Im Zusammenhang mit der Prüfung der berechtigten Interessen verweist der Generalanwalt auf das Urteil „Meta Platforms“ (C-252/21), wo der EuGH entschieden hat, dass die Verarbeitung nur dann erforderlich sei, wenn der Verantwortliche den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat. 

Hier vertritt der Generalanwalt daher eine strenge Ansicht (Rz. 56):

Mit anderen Worten: Die aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO resultierende Sanktion ist die Rechtswidrigkeit der Verarbeitung der betreffenden personenbezogenen Daten.

Aus der Nichteinhaltung der Informationspflicht nach Art. 13 Abs. 1 lit. d DSGVO resultiere also nach Ansicht des EuGH die Rechtswidrigkeit der Verarbeitung der personenbezogenen Daten. Da SNCF in der Datenschutzerklärung keine Angaben zu den konkreten Interessen hinsichtlich der Verarbeitung von Anrededaten gemacht hat, führe dies dazu, dass die Verarbeitung auf diese Rechtsgrundlage nicht gestützt werden könne.

Und nach Ansicht des Generalanwalts reichen auch nicht floskelhafte Verweise auf berechtigte Interessen aus (Rz. 58):

Zum einen wird durch den bloßen Verweis auf ein berechtigtes Interesse ohne Angabe, worin genau dieses berechtigte Interesse besteht, die Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO nicht erfüllt, die den Verantwortlichen verpflichtet, das verfolgte berechtigte Interesse mitzuteilen.

In der weiteren Prüfung befasst sich der Generalanwalt mit den einzelnen Anforderungen des Art. 6 Abs. 1 f) DSGVO und stellt fest, dass obwohl die Kommunikation mit dem Kunden grds. als berechtigtes Interesse des Unternehmens anzusehen sei, die Verarbeitung von Anrededaten im konkreten Fall über das hinausgehe, was zur Erreichung des Zwecks der Kommunikation mit dem Kunden notwendig sei. Die Kommunikation könne – wie oben dargelegt – auch ohne Verwendung der Anrede erfolgen.

Auch die vernünftigen Erwartungen der Person reichen nach seiner Ansicht nicht für die Feststellung aus, dass das berechtigte Interesse des Verantwortlichen die Interessen der betroffenen Person überwiegt. Ein solcher Aspekt sei zwar im Rahmen der Abwägung erheblich, könne jedoch nicht automatisch dazu führen, dass das berechtigte Interesse des Verantwortlichen überwiegt.

Weitere Fragen

Grundsatz der Datenminimierung

Nach dem Grundsatz der Datenminimierung sei nach Ansicht des Generalanwalts zu prüfen, ob der Zweck der Verarbeitung nicht in zumutbarer Weise mit anderen Mitteln erreicht werden kann. Die Prüfung umfasse dabei nicht nur quantitative Aspekte, sondern auch die inhaltlichen.

Der Grundsatz der Datenminimierung gelte auch dann, wenn die Person in die Verarbeitung eingewilligt hat. Denn nur so kann ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogener Daten gewährleistet werden. 

Widerspruchsrecht

Die letzte relevante Frage betrifft das Widerspruchsrecht der betroffenen Person nach Art. 21 Abs. 1 DSGVO und seine Bedeutung i.R.d. Beurteilung der Erforderlichkeit gem. Art. 6 Abs. 1 f) DSGVO.

Es ergebe sich schon aus dem Wortlaut des Art. 21 Abs. 1 DSGVO, dass das Bestehen eines Widerspruchsrechts für die Beurteilung der Erforderlichkeit einer Verarbeitung nach Art. 6 Abs. 1 Buchst. f DSGVO in keiner Weise relevant sei, da die Geltendmachung des Rechts aus Art. 21 Abs. 1 DSGVO voraussetze, dass die Voraussetzungen der Rechtsgrundlage bereits erfüllt seien.

Praktische Auswirkungen

Zwar bleibt noch die finale Entscheidung des EuGH abzuwarten. Es ist aber sehr wahrscheinlich, dass der Gerichtshof den Ausführungen des Generalanwalts weitgehend folgen wird.

Für die Praxis ist im Hinblick auf die Datenverarbeitung zur Vertragserfüllung festzuhalten, dass die Korrespondenz mit dem Kunden als Bestandteil des Vertrages anzusehen ist. Das ist insbesondre für E-Commerce-Unternehmen relevant, die ihre Kunden über diverse Updates zum Bestellstatus informieren wollen (z.B. Versandbestätigung, Änderung des Lieferdatums usw.). Dabei ist aber zu beachten, dass die erhobenen Daten auch tatsächlich für die Kommunikation (oder sonstige vertragliche Zwecke) benutzt werden. Sollten bei manchen Kunden diese Daten verwendet werden, bei anderen aber nicht, dürfte dies gerade gegen eine generelle Erforderlichkeit im Rahmen der Vertragsdurchführung sprechen. Es reicht nicht, wenn die Verwendung des Datums inkonsistent bzw. nur gelegentlich erfolgt. Anders ausgedrückt: ganz oder gar nicht.

Für die Verarbeitung von Daten auf Grundlage berechtigter Interessen gilt, dass die mangelhafte Erfüllung der spezifischen Informationspflichten zu den berechtigten Interessen dazu führen kann, dass diese Interessen (über die nicht informiert wurde) nicht als Verarbeitungsgrundlage genutzt werden dürfen. Eine falsche bzw. inhaltlich mangelhafte Information kann hier im Ergebnis zur Rechtswidrigkeit der Verarbeitung führen – selbst wenn berechtigte Interessen vorliegen, über die nur eben nicht informiert wurde.

Unternehmen müssen darauf achten, konkrete Interessen für Verarbeitungsvorgänge bei der Erhebung der Daten zu benennen. Allein die vernünftigen Erwartungen der betroffenen Person führen nicht dazu, dass die Interessenabwägung zugunsten des Verantwortlichen ausfällt, obwohl sie bei der Interessenabwägung zu berücksichtigen sind.

Bußgeldhaftung nach der DSGVO: welche Faktoren sprechen für und gegen ein Verschulden? Bundesverwaltungsgericht Österreich zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“

Das Bundesverwaltungsgericht Österreich (BVwG) hat kürzlich eine wichtige Entscheidung gefällt, die sich mit den Faktoren für und auch gegen ein Verschulden im Rahmen von Art. 83 DSGVO befasst. Interessant ist dabei insbesondere, dass die Vorgaben des EuGH aus dem Deutsche Wohnen-Verfahren nun durch ein mitgliedstaatliches Gericht konkretisiert werden.

Hintergrund

Das Unternehmen betreibt ein Kundenbindungsprogramm, im Rahmen dessen auch Einwilligungen für die Verarbeitung zu werblichen Zwecken eingeholt wurden. Die österreichische Aufsichtsbehörde (DSB) leitete ein Prüfverfahren und aufgrund der Ermittlungsergebnisse auch ein Verwaltungsstrafverfahren ein, welches mit einem Bußgeldbescheid endete. Gegen diesen legte das Unternehmen Beschwerde ein.

Nach Ansicht der DSB habe das Ersuchen um Einwilligung der betroffenen Personen, die sich für das Kundenbindungsprogramm registriert hätten, nicht den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO entsprochen. Das Unternehmen habe daher personenbezogene Daten unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt habe werden können.

Im vorliegenden Verfahren ging um Fragen der Bußgeldhaftung des Unternehmens, also Art. 83 DSGVO. Konkret möchte ich mich hier mit dem Merkmal des Verschuldens (also der subjektiven Tatseite) befassen.

Merkmal des Verschuldens

Wie bekannt, hatte der EuGH in dem Deutsche Wohnen-Verfahren (C-807/21) im Dezember 2023 geurteilt, dass gegen einen Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Ein Verschulden liegt nach Rechtsprechung des EuGH wiederum dann vor, wenn das Unternehmen hätte erkennen können, dass sein Verhalten datenschutzwidrig war.

Die DSB sah ein Verschulden als gegeben an: die Geschäftsführer des Unternehmens hätten im konkreten Fall zunächst aufgrund objektiver Sorgfaltswidrigkeit die Entwürfe zu den gegenständlichen Ersuchen um Einwilligung genehmigt, obwohl diese dem Wortlaut der DSGVO bzw. den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO widersprechen würden. Zudem, so die DSB, hätten sie kein wirksames internes Kontrollsystem im Rahmen des Betriebs des Unternehmens implementiert, um die laufende Rechtsentwicklung in Bezug auf die gegenständlichen Einwilligungsersuchen zu überwachen.

Die beiden Kernvorwürfe waren also:

  • (Er)Kennenmüssen der Unzulässigkeit der Einwilligung, allein aufgrund der DSGVO-Anforderungen
  • Kein ausreichendes internes Compliance-System, das auch die aktuelle Rechtsprechung und Behördenansichten zu Anforderungen an die Einwilligung nach der DSGVO überwacht

Entscheidung des BVwG zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte

Das BVwG befasst sich mit der Frage des Verschuldens im Abschnitt „3.3.4.1. Zur strafrechtlichen Verantwortlichkeit und Verschulden der Beschwerdeführerin“.

Zunächst weist das Gericht auf die Grundlagen seiner nachfolgenden Bewertung hin. Insbesondere die Rechtsprechung des EuGH, wonach ein Verantwortlicher sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt.

Zur Haftung des Verantwortlichen setzt das BVwG vorab den generellen Pflichtenrahmen. Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich

auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind.“

Diese Haftung des Verantwortlichen bildet nach Ansicht des BVwG bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür, nach Art. 83 DSGVO eine Geldbuße zu verhängen.

Nach dem Urteil in der Rechtssache „Deutsche Wohnen“ hat man sich gefragt, was der EuGH konkret mit der Umschreibung „wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“ meint – welche Faktoren in der Praxis also für oder gegen ein Verschulden sprechen können. Hierzu gibt das BVwG einige praxisrelevante Hinweise:

A. Erkundigungspflicht des Verantwortlichen (bzw. der Geschäftsführung)

Das BVwG ist, mit der DSB, der Ansicht, dass das Unternehmen eine Erkundigungspflicht hinsichtlich der einschlägigen relevanten Bestimmungen der DSGVO (hier im Zusammenhang mit den verwendeten Einwilligungserklärungen), vor Verwendung eben dieser Einwilligung im Zuge des Markstarts des Programms traf. Nach Ansicht der DSB hätten die Geschäftsführer dann, bei bestehenden Zweifeln, diese durch weitere Erkundigungen beseitigen müssen, beispielsweise durch eine Auskunftsanfrage an die belangte Behörde oder mittels Rechtsgutachten von Sachverständigen, das sich mit dieser spezifischen Fragestellung beschäftige.

B. Erkennenmüssen allein aufgrund des Wortlauts der DSGVO-Norm

Nach Ansicht des BVwG hätten insbesondere die beiden Geschäftsführer sowie die Leiterin der Rechtsabteilung erkennen müssen, dass die gewählte Gestaltung der Einwilligung nicht im Einklang mit der DSGVO stand.

Hierbei sei nicht ausschlaggebend, ob sich das Unternehmen mit

  • dem Urteil des EuGH in der Rechtssache Planet49 (zur Frage der Anforderungen an die Einwilligung),
  • oder den Leitlinien 05/2020 der Art. 29 Datenschutzgruppe zur Einwilligung auseinandergesetzt habe.

Denn im vorliegenden Fall hätte bereits aufgrund des reinen Wortlautes der Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO von dem Unternehmen erkannt werden müssen, dass die von ihr gewählte optische Gestaltung aufgrund der dargestellten kumuliert irreführenden Faktoren nicht den Anordnungen einer in „informierter Weise und unmissverständlich abgegebenen Willensbekundung“ entspricht.

C. (Un)Kenntnis der internen Rechtsabteilung

Zudem geht das BVwG davon aus, dass insbesondere der mit der Beratung des Unternehmens betrauten Rechtsabteilung hätte auffallen müssen, dass die bei den Einwilligungserklärungen gewählte Vorgehensweise missverständlich und damit rechtswidrig war.

D. Rechtsprechung und Verwaltungspraxis

Als möglichen entlastenden (!) Faktor prüft das BVwG, ob zum Tatzeitpunkt eventuell entsprechende Rechtsprechung oder eine Praxis der Aufsichtsbehörden existierte, die gegen ein Verschulden sprechen könnte. Vorliegend, so das BVwG, lag aber

keine höchstgerichtliche Rechtsprechung oder entsprechende Verwaltungspraxis zu den zitierten Bestimmungen vor, aufgrund derer die Beschwerdeführerin entgegen der dargestellten, irreführenden Faktoren darauf vertrauen hätte können, dass die Gestaltung der DSGVO entspricht“.

Dies ist ein wichtiger Aspekt bei der Verteidigung gegen Bußgelder – eine entsprechende Verwaltungspraxis kann ein Verantwortlicher verwenden, um seine Rechtsansicht zu stützen und im Rahmen des Verschuldens

Im Grunde wird damit auch bestätigt, was aus meiner Sicht für datenverarbeitende Stellen ein großer Vorteil ist: die Pluralität des Aufsichtssystems in Deutschland. Mit 18 Datenschutzbehörden (inkl. BfDI, und die speziellen Aufsichtsbehörden noch nicht mitgezählt), finden sich sehr viele verschiedene Sichtweisen und rechtliche Interpretation der Behörden. Diese Sichtweisen und darauf beruhende Verwaltungspraxis (siehe oben) können und sollten Verantwortliche und Auftragsverarbeiter bei ihren eigenen Datenverarbeitungen und der rechtlichen Bewertung mit in den Blick nehmen.

E. Externe Rechtsgutachten

Auch würde das BVwG als entlastenden Faktor wohl das Vorliegen von externen Einschätzungen, wie etwa Rechtsgutachten, bewerten. Vorliegend habe das Unternehmen aber keine

Rechtsgutachten hinsichtlich der DSGVO Konformität der gegenständlichen Einwilligungserklärungen erstellen lassen“.

F. Nachfrage bei der Aufsichtsbehörde

Ja, auch dies könnte ein entlastender Faktor beim Verschulden sein. Andererseits muss man als anfragendes Unternehmen aber natürlich auch mit der Antwort leben, wenn sie „nicht gefällt“. Das BVwG stellt vorliegend fest, dass bei der belangten Behörde (DSB) als Spezialbehörde diesbezüglich keine Auskünfte eingeholt wurden.

G. Fehlende Dokumentation zur internen oder externen rechtlichen Bewertung

Negativ bewertet das BVwG den Umstand, dass das Unternehmen keine (aussagekräftigen) Unterlagen zu stattgefundener interner und externer Beratung der Beschwerdeführerin im Hinblick auf die (Gestaltung der) Einwilligungserklärungen vorgelegt hat. Hieraus hätte sich (durchaus auch positiv) ergeben können, dass die angeführten Faktoren aus rechtlicher Sicht ausführlich diskutiert bzw. problematisiert worden wären.

H. Anforderungen an das interne Kontrollsystem (Compliance)

Nach Ansicht des BVwG muss für die Wirksamkeit eines internen Kontrollsystems dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen. Zwar habe das Unternehmen hier gewisse Kontroll- und Beratungsmechanismen im Bereich des Datenschutzes eingeführt. Jedoch habe dieses System im konkreten Fall nicht funktioniert.

Fazit

Insgesamt geht das BVwG daher davon aus, „dass auf subjektiver Tatseite zumindest Verschulden in Form von Fahrlässigkeit der Beschwerdeführerin vorliegt“. Die Entscheidung gibt für die Praxis einen guten Leitfaden für verschiedenste Faktoren und (Gegen)Argumente, die im Rahmen des Verschuldens durch Verantwortliche und Auftragsverarbeiter bei der Bußgeldhaftung nach Art. 83 DSGVO in der Praxis berücksichtigt werden sollten.

Bundesregierung plant „Entbürokratisierung“ des Datenschutzes – Erhöhung der Benennungsschwelle für DSB, Konzentration von Behördenzuständigkeiten und verbindliche Beschlüsse der DSK

Der Bundeskanzler, der Vizekanzler und der Bundesminister der Finanzen haben sich am 5. Juli 2024 auf eine „umfassende Wachstumsinitiative“ geeinigt. Der Text des Dokuments ist hier abrufbar (PDF). Laut der Einleitung hat sich die Bundesregierung auf ein umfassendes Maßnahmenpaket verständigt, das der deutschen Wirtschaft umgehend Impulse für mehr wirtschaftliche Dynamik geben wird.

Zum Zeitplan (immerhin ist bald Sommerpause im Parlament und im September 2025 stehen Bundestagswahlen an) wird dort beschrieben, dass die Bundesregierung die in diesem Paket enthaltenen Maßnahmen „nun schnell umsetzen“ werde. Soweit es neuer Gesetze oder weiterer gesetzlicher Anpassungen bedarf, werden die entsprechenden Regelungsvorschläge gemeinsam mit dem Haushaltsgesetz oder später im zweiten Halbjahr 2024 im Kabinett beschlossen. Klingt aus meiner Sicht sehr optimistisch.

Nachfolgend möchte ich schlaglichtartig einen Blick auf die Vorschläge und mögliche Konsequenzen im Bereich Datenschutzrecht werden.

Die Sicht der Bundesregierung auf den Datenschutz

Zunächst fällt auf, unter welchen Schlagworten die Parteien SPD, Die Grünen und die FDP den Datenschutzschutz verorten. Vorschläge im Bereich des Datenschutzrechts finden sich im Abschnitt „II. Unternehmerische Dynamik stärken: Unnötige Bürokratie abbauen“. Ein wenig mag man sich hierbei schon die Augen reiben. Parteien wie die SPD, die insbesondere für die Interessen der Arbeitnehmer (und damit den Mitarbeiterdatenschutz) eintritt oder Die Grünen, deren Mitglied und früheres Mitglied des Europäischen Parlaments, Jan Philipp Albrecht, die DSGVO überhaupt erst möglich gemacht hat, verstehen den Datenschutz als „unnötige Bürokratie“. Die FDP vertritt ohnehin die Position, dass der bürokratische Aufwand überprüft werden muss.

Ziel der Bundesregierung ist: die Anwendung datenschutzrechtlicher Anforderungen reduzieren. Das klingt zunächst politisch natürlich super – wer soll da widersprechen? Wenn wir uns gleich einige Vorschläge aus der Initiative anschauen, können Sie ja einmal für sich prüfen, welche Anforderungen dadurch auch tatsächlich reduziert werden.

Die Bundesregierung strebt in Abstimmung mit den Ländern folgende Maßnahmen an:

1. Zuständigkeitskonzentration bei einer Aufsichtsbehörde

Für bestimmte Branchen/Sektoren wird mit den Ländern vereinbart, die Zuständigkeit bei der Aufsichtsbehörde eines Landes zu konzentrieren, damit es bundesweit für die Unternehmen eine Aufsicht und damit u.a. eine einheitliche Ansprechstelle mit besonderer Expertise für komplexe Fragestellungen gibt.“

Die Bundesregierung hat hier wahrscheinlich die Schaffung von ausschließlich zuständigen Aufsichtsbehörden für bestimmten Themenbereiche im Sinne. Bsp: alle Fragen des Online-Handels werden bei der Behörde in Hamburg gebündelt. Alle anderen Aufsichtsbehörden der Länder wären dann z.B. für Fragen des Datenschutzes bei Kunden- & Gastkonten, der Löschung von Kundendaten etc. nicht mehr zuständig.

Zunächst wird es hier aus meiner Sicht einer Herausforderung sein, die „Branchen/Sektoren“ für die Praxis und Aufsicht sauber zu trennen. Zum obigen Beispiel: gehört zum Online-Shopping auch das Tracking in der App / auf der Webseite? Gehören dazu auch Verarbeitungen von bloßen Webseitenbesuchern von Online-Shops, die aber noch nicht kaufen? Gehören hierzu auch Verträge mit Dienstleistern, die etwa eine Chatfunktion im Shop bereitstellen?

Zweitens wird eine solche Konzentration aus meiner Sicht für die betroffenen Unternehmen nicht immer „positiv ausgehen“. Bsp: Online-Shops werden in Zukunft allein aus Hamburg beaufsichtigt. Unternehmen mit Zentralen in Bayern, Baden-Württemberg oder etwa NRW erhalten für alltägliche Fragen zu ihrem Angebot damit neue Ansprechpartner und vor allem verschwindet damit für die Mehrheit der Unternehmen natürlich auch der lokale Bezug der Aufsichtsbehörden. Man mag es kaum glauben, aber ja, man kann (und viele Unternehmen tun dies sehr erfolgreich) mit seiner zuständigen Aufsicht proaktiv in den Austausch gehen – man kann sich vor Ort treffen, Trends besprechen und die Umsetzung des Datenschutzes proaktiv begleiten. Ob diese Arbeitsweise auch noch stattfindet, wenn allein eine (aus Sicht des Unternehmens unbekannte und weit entfernte) Behörde zuständig ist?

Nun mag man einwenden: heutzutage kein Problem. Dann macht man das alles per Videokonferenz. Das Bsp. Online-Shop ist natürlich nur eines von vielen Themen – bzw. knüpft die Regieurng ja eher an Branchen/Sektoren.

Ich gebe Ihnen ein anderes (sehr provokatives) Bsp: für Fragen des Datenschutzes im Automobilbereich (automatisiertes Fahren, Datenverarbeitung im Bereich Infotainment) ist in Zukunft Thüringen zuständig. Hersteller wie VW, BMW und Mercedes (aber auch 1st Tier Zulieferer) müssen dann in allen Fragen des Datenschutzes mit dieser einen Behörde sprechen – und ggfs. auch Kämpfe führen. Und das ist dann eben nicht mehr die Behörde vor Ort.

Meine Erfahrung mit Mandanten ist, dass Unternehmen mit der „eigenen“ Behöre oft sehr gut und vertrauensvoll zusammenarbeiten. Und gerade diese, langjährige Zusammenarbeit, spart am Ende Aufwand im Datenschutzrecht, den man hätte, wenn man einfach mal „drauf los entwickelt“ und sich nicht abstimmt.

2. Verbindliche Beschlüsse der DSK

Stärkere bundesweite Vereinheitlichung der Anwendung des Datenschutzrechts durch verbindliche Beschlüsse der Datenschutzkonferenz; damit Rechtsunsicherheiten und bürokratischer Aufwand für Unternehmen reduziert werden und die Unternehmen sich innerhalb von Deutschland auf eine möglichst einheitliche Anwendung durch die verschiedenen Aufsichtsbehörden der Länder verlassen können.“

Zunächst eine, aus meiner Sicht, gute Nachricht – die Regierung möchte die föderale Struktur der Behörden zumindest im Grundsatz weiter fortführen. In welcher inhaltlichen Form, wird sich zeigen, siehe Ziffer 1.

Die Beschlüsse der DSK sollen, wohl für die Aufsichtsbehörden selbst, bindend werden. Also eine Orientierung an Art. 65 DSGVO zur Streitbeilegung im EDSA. Eine solche Initiative ist aus meiner Sicht durchaus sinnvoll. Vor allem mit Blick auf die Rechts(un)sicherheit bei der Anwendung des Datenschutzrechts. Spannend wird natürlich dann, in welcher Form Rechtsschutzmöglichkeiten der Aufsichtsbehörden selbst (Klagen gegen den Beschluss) und betroffener Unternehmen ausgestaltet werden, wenn Unternehmen inhaltlich nicht mit der Meinung der DSK übereinstimmen.

Einige Leser/innen wissen, dass ich ein großer Verfechter der föderalen Struktur in Deutschland und auch der manchmal unterschiedlichen Auslegungen des Datenschutzrechts bin. In der Praxis kommt es aus meiner Sicht einfach darauf an, was man aus den verschiedenen Ansichten von Datenschutzbehörden macht. Denn dies kann für Unternehmen durchaus auch positive Effekte (Stichwort: Bußgeldrisiko bei unterschiedlichen Meinungen der Aufsichtsbehörden?) haben. Als kleines lokales Unternehmen hat man andererseits immer die Möglichkeit, die Sichtweise seiner Aufsichtsbehörde zu folgen, um „Ruhe“ zu habe.

3. Weniger Datenschutzbeauftragte = besserer Datenschutz?

Aus meiner Sicht ein Evergreen der letzten Jahre. Die Regierung möchte § 38 BDSG zwar nicht mehr in Gänze streichen, nun aber (wieder einmal) die Benennungsschwelle erhöhen.

Erhöhung der Schwelle, ab der Unternehmen einen Datenschutzbeauftragten bestellen müssen von derzeit 20 Mitarbeitenden auf 50 Mitarbeitende.“

Die Regierung betreibt hier aus meiner Sicht reinen Populismus. Denn: nur, weil ein kleines Unternehmen evtl. keinen DSB mehr benennen muss, bedeutet dies ja nicht, dass es sich nicht mehr an das Datenschutzrecht halten muss. Viele betroffenen Unternehmen denken aber so. Leider. Kein DSB, dann auch keine DSGVO.

Das ist ein absoluter Trugschluss, den die Regierung aber auch mit keinem Wort aufklärt. Weniger Bürokratie? Auf dem Papier entfällt ggfs. eine Pflicht. Jene zur Benennung des DSB. Aber dennoch müssen diese kleinen Unternehmen ja immer noch voll die DSGVO einhalten. Und wir können nun gemeinsam überlegen, wie gut dies in der Praxis funktioniert, wenn es in diesen Unternehmen keine zuständige Person mehr für Fragen des Datenschutzes geben soll. Wer kümmert sich dann (wenn überhaupt noch)? Am Ende könnte gerade diese Maßnahme sogar zu noch mehr Frust bei betroffenen Unternehmen führen, wenn gegen sie z.B. eine Beschwerde eingereicht wird und sie dann merken, dass die DSGVO dennoch voll anwendbar ist.

Achso, und noch ein kleiner Nachtrag: dass nach § 38 Abs. 1 S. 2 BDSG eigentlich ohnehin viele Unternehmen, auch mit weniger als 20 oder dann 50 Mitarbeitenden, einen DSB benötigen, wird natürlich auch nicht beachtet. Denn danach muss jedes Unternehmen, unabhängig von der Mitarbeiterzahl, einen DSB benennen, wenn die Voraussetzungen zur Durchführung einer DSFA nach Art. 35 DSGVO vorliegen. Und wenn man nun die Blacklists der DSK, der Aufsichtsbehörden und auch die Kriterienkataloge des EDSA betrachtet, ist man schneller in einer DSFA-Pflicht, als man „Piep“ sagen kann.

4. Europäische Ebene

Eher als Absichtserklärung zu verstehen, sind die geplanten Maßnahmen auf europäischer Ebene.

Auf europäischer Ebene wird sich die Bundesregierung dafür einsetzen, dass a. die Anwendung und Durchsetzung der DSGVO auf europäischer Ebene mit dem Ziel der Vereinfachung harmonisiert und die Zusammenarbeit der Aufsichtsbehörden der Mitgliedstaaten (insbesondere im Europäischen Datenschutzausschuss) verbessert wird“.

Welche konkreten Maßnahmen die Regierung hier auf Ebene des EDSA im Blick, wird nicht klar. Aktuell geht die Tendenz auf europäischer Ebene aber aus meiner Sicht eher nicht Richtung „Vereinfachung“ der Zusammenarbeit der Behörden, sondern in die andere Richtung. Denn bald wird eine neue Verordnung zur Durchsetzung der DSGVO das Licht der Welt erbblicken, die Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679. Aus meiner Sicht hat diese bislang in Deutschland noch wenige Platz in der Diskussion gefunden, obwohl sie einige extrem relevante Regelungen enthält. Hier ein Blogbetrag dazu von mir.

Neue Schlussanträge: Abkehr von der strengen Ansicht des EuGH zu „Gesundheitsdaten“ nach Art. 9 DSGVO?

Am 25.4.2024 hat Generalanwalt am EuGH Szpunar seine Schlussanträge in dem Verfahren Rs. C-21/23 vorgelegt. In dem Verfahren geht es um zwei spannende Fragen:

  • Sind im Rahmen einer Bestellung bei einer Online-Apotheke angegebene Daten stets „Gesundheitsdaten“ im Sinne des Art. 9 Abs. 1 DSGVO?
  • Können Wettbewerber nach dem deutschen UWG gegen Mitbewerber wegen Datenschutzverstößen vorgehen?

Nachfolgend möchte ich mich allein auf die erste Frage fokussieren. Wie weit ist der Begriff „Gesundheitsdaten“ nach der DSGVO zu verstehen?

Das vorlegende Gericht möchte wissen, ob die Daten der Kunden eines Apothekers, die bei der Bestellung von apothekenpflichtigen, nicht aber verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, „Gesundheitsdaten“ im Sinne von Art. 9 Abs. 1 DSGVO sind.

Rückschau – strenge Ansicht des EuGH

„Moment“, mag man sich fragen. Hat der EuGH nicht bereits seine Position zu diesem Thema deutlich gemacht?

Eigentlich schon, dachten wir. Zumindest hat der EuGH in seinem Urteil vom 4.7.2023 in der Rs. C-252/21 (Meta Platforms u.a.) eine sehr strenge Ansicht vertreten und die Voraussetzungen für die Annahme, dass Gesundheitsdaten vorliegen, extrem niedrig angesetzt.

Nach Ansicht des EuGH gilt das in Art. 9 Abs. 1 DSGVO vorgesehene grundsätzliche Verbot der Verarbeitung nämlich

unabhängig davon, ob die durch die fragliche Verarbeitung offengelegte Information richtig ist oder nicht und ob der Verantwortliche mit dem Ziel handelt, Informationen zu erhalten, die unter eine der in dieser Bestimmung genannten besonderen Kategorien fallen“. (Rz. 69)

Für den EuGH spielte es bei der Einordnung von Informationen als „Gesundheitsdaten“ mithin keine Rolle, ob die Daten 1) sachlich richtig sind, also etwa wirklich auf physische oder z.B. psychische Zustände hinweisen, die tatsächlich existieren und 2) für welchen Zweck diese Daten verwendet werden. Der Kontext der Verarbeitung spielte aus Sicht des EuGH für die Einordnung nach Art. 9 Abs. 1 DSGVO keine Rolle.

Art. 9 Abs. 1 DSGVO ziele darauf ab,

solche Datenverarbeitungen unabhängig von ihrem erklärten Zweck zu verbieten“. (Rz. 70)

Die Gegenansicht – wir können nicht alle Informationen zu „Gesundheitsdaten“ werden lassen

Generalanwalt Szpunar hat in seinen neuen Schlussanträgen nun Argumente vorgebracht, die aus meiner Sicht gegen diese Auslegung des EuGH sprechen und den Anwendungsbereich von „Gesundheitsdaten“ einschränken würden.

Hierbei stellt der Generalanwalt die Formel auf, dass es eines Mindestmaßes an Gewissheit der Schlussfolgerungen aus Informationen bedürfe, die über den Gesundheitszustand einer betroffenen Person gezogen werden können (ab Rz. 44). Interessanterweise verwendet er dazu auch die beiden Kriterien des Inhalts bzw. der Richtigkeit der Daten (Merkmal 1) sowie des Zwecks / Kontextes der Verarbeitung (Merkmal 2) – also jene Faktoren, die auch schon der EuGH erwähnte.

Die Kernaussage des Generalanwalts für die Prüfung, ob „Gesundheitsdaten“ vorliegen, ist: sowohl der Inhalt der in Rede stehenden Daten (Merkmal 1) als auch sämtliche Umstände ihrer Verarbeitung (Merkmal 2) müssen geprüft werden, um festzustellen, ob aus ihnen mit einem gewissen Grad an Sicherheit (neues Merkmal 3) Informationen über den Gesundheitszustand der betroffenen Person abgeleitet werden können (Rz. 49).

Der Generalanwalt ergänzt die beiden bekannten Merkmale 1 und 2 um ein drittes Merkmal: es muss ein gewisser Grad an Sicherheit bestehen, dass Informationen sich tatsächlich auf den Gesundheitszustand einer Person beziehen. Eventuell mag man dieses dritte Merkmal auch dem von mir benannten Merkmal 1, der Richtigkeit der Daten, zuordnen.

Merkmale 1 und 3 – Richtigkeit der Informationen und gewisser Gerad an Sicherheit

Aus dem Wortlaut von Art. 4 Nr. 15 DSGVO und ErwG 35 DSGVO leitet der Generalanwalt ab, dass das entscheidende Merkmal für die Feststellung, dass bestimmte personenbezogene Daten Gesundheitsdaten sind, der Umstand ist,

dass aus den betreffenden Daten Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können.“ (Rz. 37)

„Gesundheitsdaten“ können daher zwar auch Informationen sein, die allein Rückschlüsse auf den Gesundheitszustand der betroffenen Person zulassen. Dieser Rückschluss muss nach Ansicht des Generalanwalt aber mit Indizien untermauert und darf nicht rein hypothetisch sein.

So stellen etwa Daten, die von einer App erhoben werden, die die von der betroffenen Person zurückgelegten Schritte zählt, keine „Gesundheitsdaten“ dar, wenn die Anwendung diese Daten nicht mit anderen Daten dieser Person verknüpfen kann und die erhobenen Daten nicht in einem medizinischen Kontext verarbeitet werden (Rz. 41).

Es können überhaupt nur solche Informationen als „Gesundheitsdaten“ angesehen werden,

die geeignet sind, Rückschlüsse auf den Gesundheitszustand der betroffenen Person zuzulassen“. (Rz. 42)

Der EuGH hatte in seinem Urteil betont, dass die Richtigkeit der Daten keine Relevanz habe. Dies sieht der Generalanwalt offensichtlich anders. Die Daten müssen faktisch geeignet sein, einen Rückschluss auf die Gesundheit zuzulassen.

Die Schlussfolgerungen, die aus den Daten gezogen werden können, dürfen nicht lediglich potenziell sein. Im Sinne von: „Die Information zum Gesundheitszustand könnte sich auf die betroffene Person beziehen oder auch nicht. Das ist nicht klar.“

Die Informationen, die aus den Daten in Bezug auf den Gesundheitszustand der betroffenen Person hervorgehen, dürfen

keine bloßen Vermutungen sein, sondern müssen ein Mindestmaß an Gewissheit bieten“. (Rz. 46)

Basierend auf diesen Ansichten, ein Beispiel: eine Person betrifft eine Apotheke und wird dabei per Video aufgezeichnet. Art. 9 Abs. 1 DSGVO anwendbar? Ohne weitere Informationen dazu, dass diese Person tatsächlich krank ist (Indizien), würde der Generalanwalt hier wohl ein Vorliegen von Gesundheitsdaten ablehnen. Denn auch gesunde Personen können eine Apotheke betreten, um z.B. Pflaster oder Bonbons zu kaufen.

Im vorliegenden Verfahren (Bestelldaten bei einer Online-Apotheke) sieht der Generalanwalt diese erforderlichen Indizien gerade als nicht gegeben bzw. als zu „schwach“ an. Er lehnt daher das Vorliegen von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO ab (Rz. 43).

Merkmal 2 – Zweck und Kontext

Zudem vertritt der Generalanwalt, ebenfalls anders als der EuGH, die Ansicht, dass es sehr wohl von den Umständen des jeweiligen Falls abhängt, ob Daten als Gesundheitsdaten eingestuft werden können. Insbesondere müssten der Kontext, in dem die Daten gesammelt werden, und die Art und Weise, wie sie verarbeitet werden, beachtet werden (Rz. 47). Hier vertritt der Generalanwalt also sehr klar eine andere Ansicht als der EuGH, der ja den Zweck der Verarbeitung völlig ausklammern wollte.

Zusätzlich schlägt der Generalanwalt vor, etwa die Identität des Verantwortlichen in diesem Zusammenhang zu beachten. Wenn die Daten nämlich von einer Stelle im Gesundheitsbereich verarbeitet werden, kann ein Indiz dafür sein, dass es sich bei diesen Daten tatsächlich um „Gesundheitsdaten“ handelt (Rz. 48).

Insgesamt verlangt der Generalanwalt also, dass es Indizien und ein Mindestmaß an Gewissheit geben müsse, dass Daten sich faktisch wirklich auf den Gesundheitszustand einer Person beziehen. Diese Indizien können sich auf dem Inhalt der Daten, den Umständen der Verarbeitung und den Zwecken ergeben.

Im konkreten Fall lehnt der Generalanwalt das Vorliegen von „Gesundheitsdaten“ nach Art. 9 DSGVO ab, weil aus den betreffenden Daten

nur hypothetische oder ungenaue Rückschlüsse auf den Gesundheitszustand der Person, die die Online-Bestellung vornimmt, gezogen werden können, was zu überprüfen Sache des vorlegenden Gerichts ist“. (Rz. 54)

Ein Argument: die nicht verschreibungspflichtigen Arzneimittel werden häufig vorsorglich gekauft, um sie im Bedarfsfall zur Verfügung zu haben. Beispielsweise lasse eine Bestellung von Paracetamol keinen Rückschluss auf den genauen Zustand einer Person zu, weil dieser Wirkstoff zur Behandlung einer Vielzahl von Schmerzen und Fieberzuständen indiziert ist und häufig zu den Medikamenten gehört, die Menschen auch ohne besonderen Bedarf zu Hause haben (Rz. 51).

Ausblick

Nun müssen wir abwarten, wie der EuGH mit diesen Gegenargumenten umgeht. Aus praktischer Sicht wäre es wünschenswert, wenn der Anwendungsberiech von Art. 9 Abs. 1 DSGVO nicht zu weit ausgedehnt wird und ansonsten viele Alltagssituationen erfassen würde. Diese Gefahr sieht auch der Generalanwalt: „Sofern nicht ein sehr großer Teil der Datenverarbeitung im Online-Handel der Regelung in Art. 9 Abs. 2 DSGVO unterworfen werden soll, scheint es mir daher notwendig, die Auslegung des Begriffs „Gesundheitsdaten“ in dem Sinne weiter zu verfeinern, dass die Schlussfolgerungen, die aus den Daten einer Bestellung gezogen werden können, nicht lediglich potenziell sein dürfen.“ (Rz. 46).

Neuer Referentenentwurf: Recht (Pflicht) auf Verschlüsselung bei Telemedien? Unklare Vorschläge und Risiko der Europarechtswidrigkeit

Das Bundesministeriums für Digitales und Verkehr (BMDV) hat mit Stand 07.02.24 einen Referentenentwurf für ein erstes Gesetz zur Änderung des Telekommunikation- Telemedien-Datenschutz-Gesetzes (TTDSG) erarbeitet (netzpolitik.org hat den Entwurf veröffentlicht). Ziel der vorgeschlagenen Regelungen (zumindest laut der Begründung): sog. nummernunabhängige interpersonelle Telekommunikationsdienste (also etwa E-Mail- Dienste, Messengerdienste und Chat-Dienste) sollen dazu verpflichtet werden, als Standard eine Ende-zu-Ende-Verschlüsselung anzubieten. Also eine Pflicht zur Verschlüsselung.

Für die breitere Praxis relevant, weil Telemedien (also insbesondere Online-Angebote) erfasst sind: „das Gleiche“ soll für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten gelten. Das betrifft aber (anders als man meinen mag) nicht nur die „Großen“ wie AWS, Azure oder Apple.

Nachfolgend möchte ich kritisch auf einige Aspekte des Entwurfs konkret bezogen auf Cloud-Dienste eingehen.

Geplante Vorgabe, § 19 Abs. 6 TTDSG
Es soll ein neuer § 19 Abs. 6 TTDSG eingefügt werden:

(6) „Anbieter von Telemedien, deren Dienstleistung darin besteht, vom Nutzer von Te- lemedien bereitgestellte Informationen für diesen auf einem Datenspeicher zum Abruf bereitzuhalten, informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, die gewährleistet, dass die Informationen nur vom bereitstellenden Nutzer gelesen werden können.“

Adressiert werden hier gerade nicht nur die (kleinere) Gruppe von nummernunabhängige interpersonelle Telekommunikationsdiensten, sondern allgemein Anbieter von Telemedien (etwa Webseiten und Apps), die aber zusätzlich noch als Leistung das Speichern von Informationen anbieten müssen. Diese Fallgruppe kann aber ziemlich umfassend sein, wenn man etwa Angebote (B2B und auch B2C) in den Blick nimmt, die für ihre Nutzer z.B. Rechnungen und Belege zum Abruf bereithalten, das Hochladen von Fotos und Videos ermöglichen oder Kundenkonten und dort enthaltene Angaben speichern etc.

Pflicht zur Verschlüsselung?
Unklar ist aber bereits, ob für diese Anbieter

  • eine Pflicht zur Verschlüsselung,
  • eine Pflicht zum Vorhalten der Möglichkeit der Verschlüsselung oder
  • nur eine Pflicht zur Information über eine mögliche Verschlüsselung
    geschaffen werden soll.

§ 19 Abs. 6 TTDSG spricht eher für eine reine Informationspflicht. „informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, …“ Dies würde dann aber auch kein „Recht auf Verschlüsseung“ für Betroffene schaffen.

So wird auch in der Begründung zu § 19 Abs. 6 TTDSG (S. 12 des Entwurfs) ausgeführt: „In § 19 Absatz 6 wird eine Informationspflicht hinsichtlich der Möglichkeiten einer sicheren und durchgehenden Verschlüsselung der bereitgestellten Informationen bei der Nutzung von Cloud-Speichern eingeführt“.

Ganz anders lautet dagegen die Begründung in Teil A des Entwurfs (S. 7): „Das Recht auf Verschlüsselung wird hier für solche Clouddienste geregelt, die als Speicherdienste fungieren, die von den meisten Unternehmen, aber auch von Bürgerinnen und Bürgern zunehmend genutzt werden…“ und „Anbieter von Clouddiensten sollten zur Gewährleistung des Datenschutzes und der Cybersicherheit im Rahmen ihrer technischen und organisatorischen Vorkehrungen gewährleisten, dass die Nutzer solcher Dienste die gespeicherten Informationen mit einer sicheren und durchgängigen Verschlüsselung schützen können“.

Hier wird vorgegeben, dass Anbieter zumindest die Verschlüsselung „gewährleisten“ müssen.

Danach wird aber wieder einschränkend erläutert: „Das Recht auf Verschlüsselung ist hier eine Informationspflicht des Anbieters, da die Verschlüsslung in den Händen des jeweiligen Nutzers liegt.“

Mir ist daher aktuell nicht klar, welche konkreten Pflichten für die betroffenen Anbieter von Telemedien mit dem Entwurf vorgesehen werden sollen.

Welche Art der Verschlüsselung?
Doch die Unklarheiten des Vorschlags gehen weiter.

§ 19 Abs. 6 TTDSG spricht von einer „durchgehenden und sicheren Verschlüsselung“. Das ist etwas anderes, als die in dem vorgeschlagenen § 2 Abs. 2 Nr. 7 TTDSG eingefügte Legaldefinition der „sicheren Ende-zu-Ende-Verschlüsselung“.

Hätte der Entwurfsverfasser auch in § 19 Abs. 6 TTDSG eine Ende-zu-Ende-Verschlüsselung gemeint, hätte man dies dort erwähnen können (bzw. müssen). Denn an anderer Stelle des Entwurfs wird der Begriff ja sogar gesetzlich definiert. Da in Abs. 6 aber gerade diese Art der Verschlüsselung nicht erwähnt wird, muss es sich um eine andere Form der Verschlüsslung handeln. Eventuell „nur“ eine Transportverschlüsselung? Der Entwurf lässt potentielle Adressaten hierüber im Unklaren.

Widersprüchlich ist leider auch erneut die Begründung des Entwurfs. Auf S. 1 heißt es: „sollen nummernunabhängige interpersonelle Telekommunikationsdienste dazu verpflichtet werden, ihre Telekommunikationsdienste als Standard mit einer Ende-zu-Ende-Verschlüs- selung anzubieten. Das Gleiche gilt für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten,…

Hier wird also auf eine Ende-zu-Ende-Verschlüsselung abgestellt – die im vorgeschlagenen Normtext aber gerade fehlt.

Fehlende Regelungskompetenz – Verstoß gegen die DSGVO
Neben diesen inhaltlichen Mängeln des Vorschlags, schwebt über der angedachten Regelung in § 19 Abs. 6 TTDSG aber meines Erachtens ohnehin das Damoklesschwert der Europarechtswidrigkeit (wie im Übrigen über dem ganzen § 19 TTDSG).

Nach der Begründung des Entwurfs und auch des Textes zu § 19 Abs. 6 TTDSG sollen „bereitgestellt Informationen“ verschlüsselt werden.

Personenbezogene Daten erfasst? DSGVO anwendbar
Aufgrund der weite dieses Begriffs, dürften hiervon natürlich auch personenbezogene Daten (z.B. Bilder, Videos, Rechnungen in Kundenkonten etc.) erfasst sein. Oder anders ausgedrückt: wenn der Vorschlag aus dem BMDV überhaupt nicht personenbezogene Daten beim „Recht auf Verschlüsselung“ umfassen würde, könnte man die Initiative im Bereich Cloud-Dienste wohl gleich wieder beerdigen, da es nur wenige Anwendungsbereiche gäbe.

Wenn aber § 19 Abs. 6 TTDSG auch personenbezogene Daten umfasst, wird sich hinsichtlich der Stoßrichtung des Vorschlags eine ganz entscheidende Frage stellen:

  • ist mit der Regelung eine Pflicht zur Verschlüsselung oder
  • mindestens eine Pflicht zum Vorhalten von Verschlüsselungsmöglichkeiten vorgesehen?

Kollision mit Vorgaben des Art. 32 DSGVO
Sollte eine dieser Fragen mit „ja“ beantwortet werden, kollidiert die Regelungen mit den unmittelbar geltenden Vorgaben der DSGVO, insbesondere Art. 32 DSGVO, der gerade keine Pflicht zur Verschlüsselung vorsieht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Art. 32 Abs. 1 a) DSGVO sieht beispielhaft die Verschlüsselung vor – aber nicht verpflichtend.

§ 19 Abs. 6 TTDSG würde also, wenn man hier eine Pflicht schaffen will, von den Vorgaben des Art. 32 DSGVO abweichen. Wohl im Sinne einer „strengeren“ Regelung.

Abweichung möglich? Keine Öffnungsklausel
Die DSGVO gilt als EU-Verordnung unmittelbar in Deutschland. Soweit ihr Anwendungsbereich betroffen ist, also personenbezogene Daten verarbeitet werden, soll die DSGVO nach Ansicht des EuGH (vgl. etwa C-319/20, Rz. 57) eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Verordnungen nach Art. 288 AEUV haben sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären (Rz. 58).

Von dieser Regel gibt es in der DSGVO aber Ausnahmen. Der EuGH hat hierzu geurteilt, dass einzelne Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit eröffnen, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen („Öffnungsklauseln“). Mitgliedstaaten dürfen nur unter den Voraussetzungen und innerhalb der Grenzen eben dieser Bestimmungen von den Vorgaben der DSGVO abweichen (Generalanwalt, C-319/20, Rz. 52).

Das Problem: für das Thema der zwingenden Verschlüsselung personenbezogener Daten bei Telemedien sieht die DSGVO gar keine Öffnungsklausel vor.

  • Art. 32 DSGVO enthält eine solche Ausnahme bzw. Öffnungsklausel für Mitgliedstaaten gerade nicht.
  • Die Einschränkungsmöglichkeiten des Art. 23 DSGVO sind auf Art. 32 DSGVO nicht anwendbar.
  • Öffnungsklauseln aus Kapitel IX dürften hier auch nicht einschlägig sein.

Fazit
Ich bin gespannt, wie sich der nun vorliegende Referentenentwurf inhaltlich entwickelt. Derzeit sehe ich aber sowohl konkret inhaltliche Probleme bzgl. der einzelnen Vorgaben, als auch abstrakt strukturelle Risiken hinsichtlich des Verhältnisses zur DSGVO.

Mitbestimmungsrecht des Betriebsrates beim Einsatz von ChatGPT & Co? Arbeitsgericht Hamburg sagt „nein“ – im konkreten Fall

Seit einiger Zeit erfahren Systeme mit künstlicher Intelligenz und vor allem das Tool ChatGPT reges Interesse. Viele Unternehmen möchten ihren Mitarbeitenden ermöglichen, diese Tools zu verwenden. In einem nun entschiedenen Fall hatte das Arbeitsgericht (ArbG) Hamburg die Frage zu beantworten, ob der Betriebsrat vor dem Einsatz von ChatGPT und ähnlichen Programmen zu beteiligen ist und eventuell auch ein Verbot des Einsatzes dieser Systeme erzwingen kann (Beschl. v. 16.01.2024 – 24 BVGa 1/24).

Sachverhalt
Im Rahmen des einstweiligen Rechtsschutzes begehrte der Konzernbetriebsrat von einem Unternehmen u.a., dass dieses seinen Mitarbeitern den Einsatz von ChatGPT und anderen Systemen der Künstlichen Intelligenz verbietet.

Das Unternehmen wollte für die Mitarbeitenden generative Künstliche Intelligenz als neues Werkzeug bei der Arbeit zur Unterstützung nutzbar machen. Es veröffentlichte dafür auf der Intranetplattform „Guidelines for Generative Al Utilization“, eine Generative KI-Richtlinie Version 1 und ein Handbuch „Generative al Manual ver.1.0.“, die den Arbeitnehmern Vorgaben machen, wenn diese bei der Arbeit IT-Tools mit künstlicher Intelligenz bei der Arbeit nutzen. Gleichzeitig veröffentlichte das Unternehmen im Intranet eine Erklärung an die Mitarbeiter, in der über die KI-Leitlinien informiert wird.

ChatGPT und auch andere KI-Systeme werden im konkreten Fall nicht auf den Computersystemen der Arbeitgeberin installiert. Die Nutzung der Tools erfolgt mittels Webbrowser und erfordert lediglich die Anlegung eines Accounts auf dem Server des jeweiligen Anbieters. Wollen die Mitarbeiter ChatGPT nutzen, müssen diese eigene, private Accounts anlegen.

Der Betriebsrat ging davon aus, dass sowohl ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG als auch nach § 87 Abs. 1 Nr. 6 und Nr. 7 BetrVG bestehe. Die Arbeitgeberin habe durch die Entsperrung von ChatGPT verbunden mit der Veröffentlichung von Richtlinien zur Nutzung generativer Künstlichen Intelligenz die Mitbestimmungs- und Mitwirkungsrechte des Betriebsrates grob verletzt.

Entscheidung
Das ArbG lehnte die Anträge des Betriebsrates zum Teil als unzulässig und auch als unbegründet ab.

Der Antrag, Guidelines, Handbuch und KI-Richtlinie vom Intranet zu entfernen, sei unbegründet.

§ 87 Abs. 1 Nr. 1 BetrVG (Verhalten der Arbeitnehmer im Betrieb)
Nach § 87 Abs. 1 Nr. 1 BetrVG hat der Betriebsrat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb mitzubestimmen.

Nach Ansicht des ArbG hat die Arbeitgeberin mit ihren Maßnahmen, die zur Gestattung der Nutzung von ChatGPT und vergleichbarer Konkurrenzprogramme durch die Mitarbeiter geführt haben, § 87 Abs. 1 Nr. 1 BetrVG aber nicht verletzt.

Mitbestimmungsfrei sind danach Maßnahmen, die das so genannte Arbeitsverhalten der Beschäftigten regeln. Darum handele es sich, wenn der Arbeitgeber kraft seines arbeitsvertraglichen Weisungsrechts näher bestimmt, welche Arbeiten auszuführen sind und in welcher Weise das geschehen soll.

Nach Ansicht des ArbG

„fallen die Vorgaben zur Nutzung von ChatGPT und vergleichbarer Tools unter das mitbestimmungsfreie Arbeitsverhalten“.

Ergänzend sollte man sicher anfügen: im konkreten Fall.

Das Gericht begründet seine Ansicht weiter, dass die Arbeitgeberin ihren Arbeitnehmern ein neues Arbeitsmittel unter bestimmten Bedingungen zur Verfügung stellt. Richtlinien, Handbuch usw. sind somit Anordnungen, welche die Art und Weise der Arbeitserbringung betreffen, weshalb kein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 1 BetrVG bestehe.

§ 87 Abs. 1 Nr. 6 BetrVG
Nach dieser Norm hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen.

Auch dieses Mitbestimmungsrecht habe die Arbeitgeberin hier nach Ansicht des ArbG nicht verletzt.

Zweck des Mitbestimmungsrechts ist es, Arbeitnehmer vor Beeinträchtigungen ihres Persönlichkeitsrechts durch den Einsatz technischer Überwachungseinrichtungen zu bewahren. Zwar sind technische Einrichtungen bereits dann zur Überwachung „bestimmt“, wenn sie objektiv geeignet sind, dass der Arbeitgeber Verhaltens- oder Leistungsinformationen über den Arbeitnehmer erheben und aufzuzeichnen kann.

Vorliegend stellte das ArbG u.a. darauf ab, dass ChatGPT und die vergleichbaren Konkurrenzprodukte nicht auf den Computersystemen der Arbeitgeberin installiert wurden. Will ein Arbeitnehmer diese Tools nutzen, muss er diese wie jede andere Homepage auch, mittels eines Browsers aufrufen. Zudem erhalte die Arbeitgeberin keine Meldung oder Information, wann welcher Arbeitnehmer wie lange und mit welchem Anliegen ChatGPT genutzt hat.

Zwar werde der Browser die Nutzung des Tools regelmäßig aufzeichnen.

„Dies stellt aber keine Besonderheit von ChatGPT dar, sondern ergibt sich aus den Funktionsmöglichkeiten des Browsers, der den Surfverlauf des Nutzers abspeichert“.

Der Browser selbst sei zwar somit eine technische Einrichtung, die geeignet ist, Leistungs- und Verhaltensinformationen der Arbeitnehmer aufzuzeichnen. Jedoch haben die Parteien hier zur Nutzung von Browsern eine Konzernbetriebsvereinbarung abgeschlossen, weshalb der Betriebsrat sein Mitbestimmungsrecht aus § 87 Abs. 1 S. 1 BetrVG bereits ausgeübt hat.

Zweitens begründet das ArbG seine Ansicht damit, dass der Anbieter des Tools, etwa von ChatGPT, die vorgenannten Daten wohl aufzeichnet.

„Dies führt aber nicht zur Mitbestimmung, denn der dadurch entstehende Überwachungsdruck wird nicht vom Arbeitgeber ausgeübt.“

Denn die Arbeitgeberin könne auf die vom Hersteller gewonnenen Informationen nicht zugreifen.

Fazit
Wie oben angesprochen, ist diese Entscheidung konkret bezogen auf die Gegebenheiten des Einzelfalls erfolgt – was auch völlig richtig ist. Insbesondere hat das ArbG hier etwa auf die bestehende Betriebsvereinbarung zu Browsern verweisen können. In anderen Konstellationen mag die Entscheidung eines Gerichts daher aber auch anders ausfallen. Interessant für die Praxis sind die Erwägungen des ArbG aber in jedem Fall.

Österreichisches Bundesverwaltungsgericht: Recht auf Datenübertragbarkeit (Art. 20 DSGVO) gegen den (alten) Arbeitgeber? Ja, aber…

Art. 20 DSGVO ist in der Rechtsprechung bisher kaum relevant geworden. Daher ist eine jüngere Entscheidung des österreichischen Bundesverwaltungsgericht (BVwG) zum Recht auf Datenübertragbarkeit gegen eine ehemalige Arbeitgeberin besonders interessant (20.12.2023 – W211 2261679-1).

Sachverhalt

Die Klägerin war bei der Verantwortlichen, einem Transportunternehmen, beschäftigt und kündigte das Arbeitsverhältnis. Die Klägerin verfügte über eine berufliche Emailadresse. Über diese Emailadresse wickelte sowohl berufliche als auch private Emailkorrespondenz ab.

Nach der Kündigung forderte die Klägerin von ihrer ehemaligen Arbeitgeberin basierend auf Art. 20 DSGVO, ihre personenbezogenen Daten, insbesondere ihre Korrespondenz (privat und beruflich), die auf dem Emailaccount gespeichert sei, in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln.

Die Herausgabe der Daten wurde von der Arbeitgeberin in Bezug auf berufliche Emails verweigert, u.a. weil die Klägerin nun in einem Konkurrenzunternehmen arbeite. Hinsichtlich privater Emails sei diese Nutzung zwar gegen eine Dienstanweisung erfolgt – diese würden aber übermittelt und danach gelöscht.

Die Klägerin legte hierzu Beschwerde bei der österreichischen Datenschutzbehörde (DSB) ein. Die DSB wies die Beschwerde wegen Verletzung des Rechts auf Datenübertragbarkeit jedoch als unbegründet ab.

Nach Ansicht der DSB betreffe das Recht auf Datenübertragbarkeit jene Daten, die eine betroffene Person einem Verantwortlichen bereitgestellt habe. Dazu würden keine Daten zählen, die von anderen Nutzern eines Dienstes bereitgestellt worden seien. Deswegen würden empfangene Emails nicht unter den Anspruch aus Art. 20 DSGVO fallen. Darüber hinaus dürften bei Ausübung dieses Rechts die Rechte und Freiheiten anderer nicht beeinträchtigt werden. Die Übermittlung der beruflichen Emails würde die Arbeitgeberin schwer und unzulässig beeinträchtigen. Die Übermittlung privater Emails würde ebenfalls Rechte und Freiheiten Dritter beeinträchtigen, und zwar die Absender. Auch könnte der Inhalt der Emails sich auf Dritte beziehen.

Gegen diese Entscheidung der DSB wendet sich die Klägerin.

Entscheidung

Das BVwG verhielt sich nicht zu der Frage, welche Auswirkung die (vorgebrachte) Untersagung der privaten Nutzung der Emails hat. Nach Ansicht des BVwG ist die Frage, ob es eine Dienstanweisung gegen die private Nutzung des beruflichen Emailaccounts gab oder nicht,

für die datenschutzrechtliche Einschätzung im Endeffekt unerheblich“.

Das BVwG scheint hier also den Bereich des Datenschutzes streng von Fragen des (möglicherweise geltenden) Fernmeldegeheimnisses zu trenne.

Wichtig: Art. 20 DSGVO gilt auch im Arbeitsverhältnis

Implizit stellt das BVwG klar, dass das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO auch im (beendeten) Arbeitsverhältnis gilt. Denn es befasst sich nicht mit der Frage, ob Art. 20 DSGVO in der vorliegenden Konstellation überhaupt greift. Vielmehr prüft das BVwG das Vorliegen der Tatbestandsvoraussetzungen und Ausnahmen.

Was bedeutet „bereitgestellt“?

Nach Ansicht des BVwG sind unter „bereitgestellten“ Daten zunächst jene Daten zu verstehen, welche die betroffene Person aktiv und wissentlich der Verantwortlichen übermittelt hat (zB Daten, die bei der Kontoeröffnung angegeben werden, hochgeladene Bilder in sozialen Medien, Kontaktlisten des Webmail-Kontos).

Zudem verweist das BVwG auf die sehr weite Auslegung des Begriffs durch die Art.-29-Datenschutzgruppe. Danach umfasst das Recht auch jene Daten, die durch Nutzung des Dienstes der Verantwortlichen oder durch Beobachtung angefallen bzw. generiert worden sind.

Im Beschäftigungskontext könnten dies etwa Bewerbungsunterlagen, dienstliche E-Mails und elektronische Zeitaufzeichnungen sein. Damit war der Anwendungsberiech von Art. 20 DSGVO eröffnet. Diese Ansicht ist meines Erachtens richtig (vgl. etwa meinen Beitrag in RDV 2018, S. 3 “Datenübertragbarkeit im Beschäftigungsverhältnis – Arbeitgeberwechsel: Und die Daten kommen mit?“), auch wenn Art. 20 DSGVO wohl eigentlich nicht für diese Situationen gedacht war. Spannend wird es vielmehr bei den einzelnen Voraussetzungen und auch Ausnahmen des Art. 20 DSGVO.

BVwG: Betroffener muss „Bereitstellung“ darlegen

Eine erste Einschränkung bei der Ausübung des Rechts macht das BVwG bei dem Antrag auf Datenübertragung.

Die betroffene Person wird zur Geltendmachung ihres Begehrens darlegen müssen, dass die Daten, die sie übertragen lassen möchte, von ihr bereitgestellt wurden und sie betreffen, dass ihre Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und dass sie automatisch verarbeitet werden“.

Das BVwG verlangt hier also vom Betroffenen den Nachweis, dass es sich um „bereitgestellte“ Daten iSv Art. 20 DSGVO handelt. Das Gericht begründet seine Ansicht u.a. damit, dass es sich um ein antragsbedürftiges Recht handele.

Im vorliegenden Fall habe der Antrag kein ausreichend konkretisiertes Begehren auf Datenübertragbarkeit nach Art. 20 DSGVO für andere Daten als die Emails enthält. Abgesehen von der Korrespondenz über den Emailaccount werden weitere Daten, die übermittelt werden sollen, nicht ausreichend konkretisiert.

Übertragung beruflicher Mails?

Das BVwG stützt sich in seiner Entscheidung auf die Argumentation der DSB. Eine Übertragung der beruflichen Emails wird auf der Grundlage der Ausnahme nach Art. 20 Abs. 4 DSGVO abgelehnt.

Die Übermittlung der beruflichen Emails würde die Rechte der Arbeitgeberin, zB in Bezug auf Geschäftskontakte und Rechnungsdaten, insbesondere vor dem Hintergrund, dass die Klägerin nunmehr in einem Konkurrenzunternehmen tätig ist, schwer beeinträchtigen.

Wichtig: damit macht das BVwG auch klar, dass der Verantwortliche selbst im Rahmen des Art. 20 Abs. 4 DSGVO eine „andere Person“ ist.

Übertragung private Mails?

Hier begründet das BVwG die Ablehnung des Anspruchs aus Art. 20 DSGVO anders. Hinsichtlich der auf der personalisierten Emailadresse verfassten privaten Emails kann nicht davon ausgegangen werden, dass die Betroffene diese im Sinne der Bestimmung der Verantwortlichen „bereitgestellt“ hat.

Das BVwG verneint hier also bereits das Vorliegen eines Tatbestandsmerkmals.

Zwar würde rein technisch, durch die Nutzung des Emailaccounts eine quasi automatische Bereitstellung der Daten an die Verantwortliche erfolgen.

Aber: es handelt sich dabei um keine Daten, die die Verantwortliche in irgendeiner sonstigen Weise verarbeitet noch verarbeiten will, noch der Betroffenen diesbezüglich einen Dienst zu Verfügung stellt, noch im eigentlichen Sinne einen solchen Dienst – für private Emails – zur Verfügung stellen will.

Nach dem BVwG fehlt es am Merkmal „bereitgestellt“, weil der Verantwortliche keine Absicht hat, diese Daten zu erhalten oder für die Bereitstellung einen Dienst zur Verfügung zu stellen. „Bereitstellen“ verlangt also nach dem BVwG, dass der Verantwortliche bewusst und willentlich die Daten empfängt bzw. verarbeitet.

Das Ergebnis des BVwG: Ein Recht auf Datenübertragbarkeit der verfassten privaten Emails aus dem Emailaccount besteht demnach nicht.

Geplante EU-Verordnung zur besseren Durchsetzung der DSGVO – Weitergabe von Informationen aus behördlichen Datenschutzverfahren an andere nationale Aufsichtsbehörden (z. B. Wettbewerb, Finanzen) vorgeschlagen

Derzeit wird in Brüssel über den Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 (2023/0202(COD)) verhandelt. Im Europäischen Parlament ist der LIBE-Ausschuss federführend zuständig und dieser hat mit Datum vom 14. Dezember 2023 seine Änderungsvorschläge zu dem Berichtsentwurf vom 9. November 2023 vorgelegt.

Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO

Ich hatte hier im Blog schon vor einiger Zeit einen Beitrag zu einer möglichen geänderten Fristenberechnung bei der Meldung von Datenschutzverletzungen verfasst. Die vorgeschlagene Verordnung fliegt meines Erachtens immer noch sehr unter dem „Radar“ der betroffenen Kreise, hat dabei extrem viele (potentiell) relevante Änderungen zur Folge.

Kurz zur Einordnung: die Verordnung soll Verfahrensregeln im Fall von grenzüberschreitenden Verarbeitungen und darauf basierenden aufsichtsbehördlichen Verfahren etablieren. Die Regelungen der Verordnung würden nationalen Verfahrensvorgaben als Spezialvorschriften vorgehen.

Heute möchte ich auf einen aus meiner Sicht für betroffene Unternehmen und öffentliche Stellen beachtenswerten Vorschlag aus dem LIBE-Ausschuss hinweisen.

Weitergabe von Informationen aus aufsichtsbehördlichen Verfahren an andere nationale Stellen

Nach einem neu vorgeschlagenen Art. 7 Abs. 2a (Änderungsantrag 311 in dem Dokument vom 14. Dezember 2023) sollen die Aufsichtsbehörden anstreben, die im Rahmen der in dieser Verordnung festgelegten Verfahren erhaltenen Informationen an die für den Datenschutz und andere Bereiche zuständigen nationalen und Unionsaufsichtsbehörden, einschließlich der Wettbewerbs-, Finanzdienstleistungs-, Energie-, Telekommunikations- und Verbraucherschutzbehörden, weiterzuleiten, wenn die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden.

Hier noch das englische Original:

Supervisory authorities shall strive to communicate the information obtained in the context of the procedures set out in this Regulation to national and Union supervisory authorities competent in data protection and other areas, including competition, financial services, energy, telecommunications and consumer protection authorities, where the information is deemed relevant to the tasks and duties of those authorities.”

Der Vorschlag bedeutet im Grunde, dass Datenschutzbehörden dazu angehalten sind, Informationen aus einem Aufsichtsverfahren gegen einen Verantwortlichen oder Auftragsverarbeiter auch an andere nationale Stellen zu geben, die ebenfalls in ihrem jeweiligen Rechtsbereich für die Überwachung des Verantwortlichen oder Auftragsverarbeiters zuständig sind.

Interessant ist, dass der Vorschlag wohl keine Pflicht zur Weitergabe der Informationen vorsieht. Andererseits sollen die Aufsichtsbehörden zur Informationsweitergabe angehalten werden. Für die Frage, ob Informationen aus dem Verfahren weitergegeben werden sollen, kommt es nach dem Vorschlag wohl allein auf die Einschätzung der Datenschutzbehörde an. Die Weitergabe soll erfolgen, wenn „die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden“ – aus Sicht der Datenschutzbehörde.

An welche Aufsichtsbehörden in anderen Rechtsbereichen die Informationen weitergegeben werden sollen, wird nicht abschließend benannt („einschließlich“). Beispielhaft werden etwa Behörden aus dem Bereich Wettbewerb, Energie, Telekommunikation oder auch Verbraucherschutz.

In Deutschland könnte man also an die Weitergabe von „relevanten“ Informationen an die BaFin oder das Bundeskartellamt denken. Ziemlich klar ist der Zweck des Vorschlags, anderen Aufsichtsbehörden ebenfalls die Durchführung von entsprechenden Verfahren zu ermöglichen.

Jedoch soll die Weitergabe nach dem Vorschlag wohl tatsächlich nur an Behörden, also öffentliche Stellen, erfolgen.

Der Sinn und Zweck des Vorschlags ergibt sich recht klar aus der Begründung im Berichtsentwurf (Änderungsantrag 117, Dokument vom 9. November 2023; inoffizielle Übersetzung):

In der Erkenntnis, dass die Untersuchung von Verstößen im Bereich des Datenschutzes Beweise für Verstöße in anderen Bereichen liefern können. Dies ist eine Forderung vieler zivilgesellschaftlicher Organisationen

Keine Pflicht zur Vertraulichkeit?

Man wird die Frage stellen können, wie eine solche Vorgabe bzw. ein solches Recht mit der Vertraulichkeitsverpflichtung der Datenschutzbehörden einhergeht.

Nach Art. 54 Abs. 2 DSGVO sind ja die Mitglieder und die Bediensteten jeder Aufsichtsbehörde gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Eventuell mag man über Art. 57 Abs. 1 g) DSGVO hiervon noch eine Ausnahme machen – jedoch allein in Bezug auf andere Datenschutzbehörden.

Sollte aber die neue Verordnung für zusätzliche Verfahrensregeln anwendbar werden, dann gilt diese (als EU-Verordnung) neben der DSGVO und konkretisiert bzw. ändert als Spezialregelung sogar die allgemeinen Regelungen der DSGVO, wie auch Art. 54 Abs. 2 DSGVO.

Auch ein Verweis auf möglicherweise entgegenstehende nationale Verbote würde wohl nicht helfen. Denn auch hierbei ist zu beachten, dass die verschlagene Verordnung unmittelbar in jedem Mitgliedsstaat Anwendung finden würde. So führt etwa die EU-Kommission in der Begründung ihres Entwurfs aus: „Daher ist eine (in den Mitgliedstaaten unmittelbar geltende) Verordnung erforderlich, um die rechtliche Fragmentierung zu verringern und das Maß an Harmonisierung zu gewährleisten“.

Ich werde in Zukunft sicher noch ein paar Beiträge zu der Verordnung veröffentlichen. Wie gesagt, sind dort viele interessante und praxisrelevante Änderungsvorschläge enthalten.

Arbeitsgericht: Datenschutzverstöße des Betriebsrates können ein Grund für dessen Auflösung sein

Das Arbeitsgericht Elmshorn (ArbG) hat sich in seinem Beschluss vom 23.08.2023 (Az. 3 BV 31 e/23) unter anderem mit der Frage befasst, inwiefern Datenschutzverstöße eines Betriebsrates nach § 23 Abs. 1 BetrVG wegen grober Verletzung seiner gesetzlichen Pflichten zu dessen Auflösung führen können (die Beschwerde gegen den Beschluss ist beim Landesarbeitsgericht Schleswig-Holstein, Az. 5 TaBV 16/23 anhängig).

Sachverhalt

Über ein Viertel der Belegschaft sowie die Arbeitgeberin beantragten gem. § 23 Abs. 1 BetrVG die Auflösung des Betriebsrates. Es lägen grobe Verletzungen gesetzlicher Pflichten durch den Betriebsrat und einzelne Mitglieder vor. (Ich beschränke mich hier auf datenschutzrechtlich relevante Themen; daneben wurden auch noch andere Verstöße geltend gemacht)

Der Betriebsrat druckte jeweils einzeln pro Mitarbeiter per E-Mail verschickte Dienstpläne aus, sichtet, kontrolliert und bearbeitet diese. Sie werden jeweils in einem DIN A 4-Ordner für jeden einzelnen Mitarbeiter abgeheftet. Daneben werden alle Urlaubsanträge von allen Mitarbeitern durch die Arbeitgeberin per E-Mail an den Betriebsrat geschickt, welche dieser ebenfalls ausdruckt, sichtet und einsortiert. Zudem habe der Betriebsratsvorsitzende in einer Betriebsversammlung Gesundheitsdaten zweier Mitarbeiter veröffentlicht.

Die Antragsteller sind der Ansicht, der Betriebsrat verstoße mit einer umfassenden Speicherung von Personendaten im Rahmen der Dienstplannachkontrollen gegen den Datenschutz. Zudem stelle die Bekanntgabe von Gesundheitsdaten auf der Betriebsversammlung einen erheblichen Datenschutzverstoß dar.

Entscheidung

Das ArbG ging von mehreren Pflichtverletzungen aus und beschloss die Auflösung des Betriebsrates. 

Prüfungsmaßstab des Gerichts waren die Anforderungen des § 23 Abs. 1 BetrVG. Ein zur Auflösung des Betriebsrats führender grober Verstoß gegen gesetzliche Pflichten liegt dann vor, wenn die Pflichtverletzung objektiv erheblich und offensichtlich schwerwiegend ist. Dies kann nur unter Berücksichtigung aller Umstände des Einzelfalles, insbesondere den betrieblichen Gegebenheiten und des Anlasses der Pflichtverletzung beurteilt werden.

Unter anderem begründete das ArbG seine Entscheidung auch mit datenschutzrechtlichen Verstößen.

Mit der Mitteilung von Gesundheitsdaten von Arbeitnehmern wie auch der massenhaften Lagerung von Mitarbeiterdaten verstößt der Betriebsrat massiv gegen Geheimhaltungspflichten und die Verpflichtung zum Datenschutz.“

Nach Ansicht des ArbG ist der Betriebsrat zur Geheimhaltung von persönlichen Daten verpflichtet.

Zudem stelle die Verletzung von Datenschutzverpflichtungen zugleich eine Verletzung von Pflichten aus § 23 Abs. 1 BetrVG dar.

Mit der Mitteilung von Gesundheitsdaten von zwei Mitarbeitern auf einer Betriebsversammlung verletze der Betriebsrat das allgemeine Persönlichkeitsrecht dieser Mitarbeiter.

Der Betriebsrat verteidigte sich damit, dass auf der Betriebsversammlung keine Gesundheitsdaten bekannt gemacht worden seien. Denn die Erkrankungen seien bereits betriebsöffentlich bekannt gewesen und die Äußerungen seien zudem jedenfalls nicht protokolliert worden.

Diese Argumente ließ das ArbG nicht gelten. Auch wenn die Vorfälle bereits anderweitig im Betrieb „die Runde gemacht“ haben sollten bzw. sich als Arbeitsunfälle ereigneten, stehe dem Betriebsratsvorsitzende eine Äußerung über den Gesundheitszustand einzelner Arbeitnehmer in der Betriebsversammlung nicht zu.

Zudem bemängelte das ArbG, dass der Betriebsrat mit dem Ausdruck und der Ablage von allen Dienstplänen, Krankheitsmitteilungen und Urlaubsanträgen quasi eine doppelte Personalakte führe. Er lege Unterlagen doppelt an, deren Zweck der Speicherung mehr als zweifelhaft sei.

Auch der Betriebsrat ist grundsätzlich zur sog. Datensparsamkeit angehalten“.

Ein permanenter Lesezugriff örtlicher Betriebsräte auf die elektronischen Personalakten der Arbeitnehmer zu Kontrollzwecken im Rahmen einer Gesamtbetriebsvereinbarung zur Regelung eines elektronischen Ablagesystems für Personalakten wäre unwirksam, da hiermit unverhältnismäßig in das allgemeine Persönlichkeitsrecht der Arbeitnehmer eingegriffen wird.

Eine solche lege der Betriebsrat aber gerade an, wenn er für jeden Mitarbeiter einen Aktenordner führt, aus dem sich die Arbeits- und Abwesenheitszeiten inkl. Urlaub ergeben.

Der Betriebsrat könne gegebenenfalls bei der Arbeitgeberin Einsicht verlangen.

Es ist gerade nicht erforderlich, dass es zu einer Art doppelten Buchführung durch den Betriebsrat kommt. Dies verstößt gegen die erforderliche Sparsamkeit im Umgang mit personenbezogenen Daten.“