|
|
Liebe Abonnentinnen und Abonnenten,
heute erhalten Sie den de lege data Newsletter 1/2023. Ich wünsche Ihnen einen guten Start in die Woche!
|
|
|
|
Aktuelle Beiträge im Blog
|
|
|
|
Virtuelles Hausverbot: DSGVO erlaubt dauerhafte Datenspeicherung
|
Generalanwalt am EuGH: Bußgeldhaftung des Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters
|
|
|
|
|
|
|
Geltendmachung des Auskunftsrechts für datenschutzfremde Zwecke – Einwand des Rechtsmissbrauchs noch möglich?
In seinen Schlussanträgen vom 20. April 2023 (Rechtssache C‑307/22) befasst sich Generalanwalt Emiliou mit der extrem praxisrelevanten Frage, ob eine betroffene Person gemäß Art. 15 DSGVO das Recht hat, von dem Verantwortlichen eine Kopie ihrer personenbezogenen Daten zu erhalten, wenn sie dies zu legitimen, aber datenschutzfremden Zwecken beantragt.
In dem Verfahren aus Deutschland vermutete ein Patient einen Behandlungsfehler und forderte daher von der behandelnden Ärztin, ihm unentgeltlich eine Kopie aller ihn betreffenden Krankenunterlagen auszuhändigen.
Datenschutzfremde Zwecke dürfen verfolgt werden Der Generalanwalt kommt zu dem Schluss, dass Betroffenen das Auskunftsrecht unabhängig von ihrer Absicht zusteht, die betreffenden Daten für datenschutzrechtliche Belange zu verwenden (Rn. 17). Das vorlegende Gericht habe das Ziel des Betroffenen, der eine Auskunft beantragt hat, um zu prüfen, ob er ein Verfahren wegen eines ärztlichen Behandlungsfehlers anstrengen will, zutreffend als „legitim“ bezeichnet (Rn. 29).
Aber die Ausübung des Rechts muss „legitim“ sein Ein Zweck sei dann „legitim“, wenn er nicht rechtsmissbräuchlich ist. Wäre er rechtsmissbräuchlich, würde dies den Betroffenen daran hindern, die ihm durch das Unionsrecht verliehenen Rechte geltend zu machen. Insoweit nimmt der Generalanwalt auf die Ausführungen des vorlegenden Gerichts Bezug und bestätigt dessen Auffassung, dass das Ziel, zu prüfen, ob ein Verfahren wegen eines ärztlichen Behandlungsfehlers angestrengt werden soll, keinen Rechtsmissbrauch darstellt (Fn. 20).
„Legitim“ verweist auf die EuGH-Rechtsprechung zum Rechtsmissbrauch Tiefergehende Ausführungen zum Grundsatz des Rechtsmissbrauchs bleibt der Generalanwalt schuldig. Jedoch hat der Gerichtshof in ständiger Rechtsprechung ausgeführt, dass eine betrügerische und missbräuchliche Berufung auf das Unionsrecht nicht erlaubt ist (EuGH, C‑439/04 und C‑440/04, EU:C:2006:446, Rn. 54; C‑131/13, C‑163/13 und C‑164/13, EU:C:2014:2455, Rn. 43, sowie C‑227/21, EU:C:2022:687, Rn. 27). Dabei sei der Gebrauch des Begriffes „Rechtsmissbrauch“ insbesondere dann angemessen, wenn es um die Beziehungen zwischen Privatpersonen geht, etwa eine Partei bestehende Eigentumsrechte oder Rechte aus einem Vertrag auf unangemessene, böswillige oder schädigende Weise wahrnimmt (Generalanwalt am EuGH, C-251/16, ECLI:EU:C:2017:648, Rn. 24).
Voraussetzungen des Rechtsmissbrauchs Die Feststellung eines missbräuchlichen Verhaltens verlangt das Vorliegen eines objektiven und eines subjektiven Tatbestandsmerkmals. Zum einen muss sich aus der Gesamtwürdigung der objektiven Umstände ergeben, dass trotz formaler Einhaltung der gemeinschaftlichen Bedingungen das Ziel der Regelung nicht erreicht wird. Zum anderen setzt die Feststellung eines missbräuchlichen Verhaltens ein subjektives Element voraus, nämlich die Absicht, sich gerade durch die fraglichen Handlungen einen ungerechtfertigten Vorteil zu verschaffen (EuGH, 14. Dezember 2000, ECLI:EU:C:2000:695, Rn. 52 f.; Generalanwältin am EuGH, 20. Juli 2017, ECLI:EU:C:2017:582, Rn. 44).
Es ist Sache der nationalen Gerichte, das Vorliegen dieser beiden Elemente festzustellen (EuGH, 14. Dezember 2000, ECLI:EU:C:2000:695, Rn. 54). Nationale Gerichte können missbräuchlich handelnden Betroffenen die Berufung auf die geltend gemachte Bestimmung des Gemeinschaftsrechts verwehren, müssen dabei jedoch die mit der dieser Bestimmung verfolgten Zwecke beachten (EuGH, 2. Mai 1996, C-206/94, Paletta, Slg. 1996, I-2357, Rn. 25; EuGH, 23. März 2000, C-373/97, ECLI:EU:C:2000:150, Rn. 34).
Das heißt, zur Überprüfung, ob ein durch Gemeinschaftsvorschriften begründetes Recht missbräuchlich ausgeübt wird, ist es zulässig, nationale Vorschriften anzuwenden, wenn diese Anwendung die volle Wirksamkeit und die einheitliche Anwendung des Gemeinschaftsrechts in den Mitgliedstaaten nicht beeinträchtigt (EuGH, 12. März 1996, C-441/93, ECLI:EU:C:1996:92, Rn. 68). Im vorgelegten Fall ergibt sich das durch Gemeinschaftsrecht begründete Recht aus Art. 15 DSGVO, dessen Wirksamkeit insofern nicht durch die Anwendung nationaler Vorschriften beeinträchtigt werden darf.
Auf diesen Mechanismus verweist auch der BGH (Urteil des IV. Zivilsenats vom 16.7.2014 - IV ZR 73/13 – bestätigt durch BVerfG, Beschluss vom 02. Februar 2015 - 2 BvR 2437/14), der zu den Maßstäben einer Berücksichtigung von § 242 BGB ebenfalls ausführte, dass die Anwendung einer nationalen Vorschrift nicht die Wirksamkeit und die einheitliche Anwendung des Gemeinschaftsrechts in den Mitgliedstaaten beeinträchtigen darf.
Anwendung von § 242 BGB bei Ausübung des Auskunftsrechts Relevant für die Praxis wird sein, was es nun konkret bedeutet, wenn § 242 BGB angewendet werden darf, gleichzeitig aber die Wirksamkeit des Gemeinschaftsrechts – hier in Form des Art. 15 DSGVO – beachtet werden muss.
Hatten noch das LG Wuppertal (Urteil vom 29.7.2021 – 4 O 409/20) und das OLG Hamm (Beschluss vom 15.11.2021 – 20 U 269/21) datenschutzfremde Ziele von Auskunftsbegehren bereits als rechtsmissbräuchlich eingestuft und Auskunftsansprüche gem. Art. 15 DSGVO mit Verweis auf § 242 BGB abgelehnt, so wäre dies nach Auffassung des Generalanwalts heute wohl anders zu entscheiden. Dieser hat in seinen Schlussanträgen deutlich gemacht, dass der Verantwortliche verpflichtet ist, der betroffenen Person eine Auskunft über ihre personenbezogenen Daten zur Verfügung zu stellen, und zwar auch dann, wenn die betroffene Person die Daten nicht für die in ErwG 63 DSGVO genannten Zwecke, sondern für einen anderen, datenschutzfremden Zweck beantragt.
So wird § 242 BGB im Kontext der DSGVO zwar auch Anwendung finden. Unter Berücksichtigung des Gemeinschaftsrechts wird ein Bejahen des Rechtsmissbrauchs durch Verweis allein auf datenschutzfremde Zwecke jedoch wohl nicht mehr möglich sein, wenn der EuGH den Schlussanträgen des Generalanwalts folgt.
Schlussanträge: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=31.12.2222&Aktenzeichen=C-307/22
|
|
|
|
|
Datenschutzbehörde Sachsen: Datenverarbeitung im Rahmen der Rückgabe von Produkten – es darf auch mehr sein
In ihrem aktuellen Tätigkeitsbericht für 2022 berichtet die Datenschutzbehörde Sachsen über eine interessante Fallkonstellation, bei der wohl viele eigentlich gedacht hätten, dass eine Aufsichtsbehörde eine strengere Ansicht vertreten würde.
Konkret ging es um Beschwerden von Kunden des stationären Handels. Diese beschwerten sich darüber, dass bei der Rückgabe gekaufter Waren (also auch der Rückabwicklung von Kaufverträgen) die Händler den Namen und die Adressdaten der Käufer notieren wollen, weil anderenfalls der Verkauf nicht rückabgewickelt werden könne. Es ging um die Rückgabe mangelhafter Schuhe und von noch im Original verpacktem Spielzeug, wobei die Rückabwicklung aufgrund der Kulanz des Verkäufers erfolgte.
Aus Sicht der Aufsichtsbehörde stellt diese Datenerhebung von zusätzlichen Daten der Käufer keinen Datenschutzverstoß dar. Verkäufer können bei der Rückabwicklung eines Kaufvertrages personenbezogene Daten wie Name und Adresse der Käuferin bzw. des Käufers verlangen und diese auch speichern.
Dies gelte auch für Fälle, in denen der Käufer die Ware bar gekauft hatte und der Verkäufer ursprünglich über keine weiteren Informationen zum Käufer verfügte. Zudem sei in anderen Fällen nicht ausgeschlossen, dass der Verkäufer nach einer Prüfung des von dem Käufer behaupteten Mangels diesen zurückweist und auf Vertragserfüllung besteht. Daraus könne sich auch ein Rechtsstreit entwickeln und daher, so die Behörde, habe der Verkäufer ein berechtigtes Interesse gemäß Art 6 Abs. 1 lit. f) DSGVO, die persönlichen Daten des Vertragspartners wie Name und Anschrift zu speichern, um seine Ansprüche gegebenenfalls durchsetzen zu können oder auch schon vorher bei Rücksprachen zur Klärung der Angelegenheit zu kommunizieren.
Tätigkeitsbericht 2022: https://www.datenschutz.sachsen.de/taetigkeitsbericht-datenschutz-2022-vorgelegt-6144.html
|
|
|
|
|
Datenschutzbehörde Hessen: Handreichung zur Verarbeitung personenbezogener Daten von Beschäftigten nach dem EuGH-Urteil zu § 23 HDSIG
Die Datenschutzbehörde aus Hessen (HBDI) hat mit Stand vom 25.4.2023 ein Dokument unter dem Titel „Handreichung zur Verarbeitung personenbezogener Daten von Beschäftigten im Lichte des EuGH-Urteils vom 30. März 2023 Rs. C-34/21“ veröffentlicht (PDF).
Die Aufsichtsbehörde betrachtet in der Handreichung unter anderem die Folgen des EuGH-Urteils vom 30.3.2023 für die Norme des § 26 BDSG, der ja bekanntlich nicht direkt Gegenstand des Verfahrens war, jedoch dem vom Urteil betroffenen § 23 HDSIG sehr ähnlich ist.
Nach Auffassung des HBDI legen die vom EuGH aufgestellten Wertungskriterien den Schluss nahe, dass neben § 23 Abs. 1 Satz 1 HDSIG auch die übrigen Erlaubnistatbestände des § 23 HDSIG unter Umständen nicht den Anforderungen des Art. 88 DSGVO genügen, da auch insoweit der Maßstab des Art. 88 Abs. 2 DSGVO keine ausreichende Berücksichtigung gefunden hat.
„Es ist daher davon auszugehen, dass auch die anderen Erlaubnistatbestände des § 23 HDSIG zukünftig in vielen Fällen unangewendet bleiben müssen.“
Dies ist die erste relevante Feststellung. Nicht nur der Erlaubnistatbestand zur Durchführung und Abwicklung des Arbeitsverhältnisses ist erfasst, sondern alle Erlaubnistatbestände des § 23 HDSIG. Der HBDI stellt klar, dass Entscheidung des EuGH auch die beschäftigtendatenschutzrechtliche Regelung des BDSG beeinflusst, da § 26 BDSG und § 23 HDSIG weitgehend wortgleich formuliert sind.
Daher empfiehlt der HBDI, dass Verantwortliche in Anbetracht der Entscheidung des EuGH überlegen sollten, welche Rechtsgrundlagen anstelle von § 23 HDSIG bzw. § 26 BDSG für die Verarbeitung von Beschäftigtendaten gegebenenfalls zur Anwendung gelangen könnten. Dies ist der zweite für die Praxis relevante Aspekt. Verantwortliche sollten die bei der Verarbeitung von Beschäftigtendaten intern prüfen und ggfs. entsprechende Dokumente (z.B. das Verzeichnis nach Art. 30 DSGVO oder Datenschutzhinweise nach Art. 12/13 DSGVO) anpassen.
Der HBDI geht davon aus, dass „in jedem Fall ein Rückgriff auf die allgemeinen Rechtsgrundlagen des Art. 6 Abs. 1 UAbs. 1 DS-GVO notwendig“ ist.
In der Handreichung gibt die Aufsichtsbehörde dann auch Beispiele für typische Datenverarbeitungen im Beschäftigungsverhältnis für die jeweils anwendbaren Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO.
Vertrag, Art. 6 Abs. 1 lit. b DSGVO Aus Sicht des HBDI muss im Beschäftigtenkontext unterschieden werden, in welchem Umfang die Verarbeitung zur Erfüllung des Arbeitsvertrags notwendig ist und welche Nebenabreden nicht den eigentlichen Vertragszweck betreffen. Entscheidend sei,
„ob eine Datenverarbeitung im Vertrag so deutlich angelegt war, dass der Verantwortliche sich, vermittelt über den Vertragsschluss, letztlich auf die Willensentschließung der betroffenen Person stützen kann. Die betroffene Person würde sich im Umkehrschluss somit treuwidrig verhalten, wenn sie die Verarbeitung der Daten verweigern würde.“
Daher seien grundsätzlich alle Verarbeitungsvorgänge als „erforderlich“ iSd Art. 6 Abs. 1 lit. b DSGVO anzusehen, mit denen die betroffene Person bei Vertragsverhältnissen der jeweiligen Art üblicherweise rechnen muss, da ohne sie eine Vertragsdurchführung nicht möglich ist, oder sie im konkreten Vertrag angelegt sind.
Rechtliche Verpflichtungen, Art. 6 Abs. 1 lit. c DSGVO Nach Art. 6 Abs. 1 lit. c DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.
Der HBDI nennt hier einige konkrete nationale Regelungen, aus denen sich eine solche Pflicht zur Verarbeitung von Beschäftigtendaten ergeben kann. Deispielsweise rechtliche Verpflichtungen aus dem Sozialversicherungsrecht im Rahmen der Auskunftspflicht des Arbeitgebers gegenüber der Sozialversicherung nach § 98 Sozialgesetzbuch (SGB) X, Zuverlässigkeitsüberprüfungen nach dem Geldwäschegesetz (GwG), für die der Arbeitgeber personenbezogene Daten nach § 11a GwG verarbeiten darf oderDurchführungen von Risikoanalysen nach § 5 Lieferkettensorgfaltspflichtengesetz (LkSG).
Handreichung (PDF): https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2023-05/handreichung_beschaeftigtendatenschutz_eugh-urteil.pdf
|
|
|
|
|
Oberlandesgericht Hamm: was ist „erforderlich“ im Sinne von Art. 6 Abs. 1 lit. b DSGVO?
Wenn es um die Frage geht, welche Datenverarbeitung für die Vertragsdurchführung als „erforderlich“ angesehen werden kann, ist vor allem die recht strenge Ansicht des EDSA bekannt. Relevant ist es daher immer, wenn auch Gericht sich zu diesem Thema positionieren, ggfs. auch abweichend zu der Ansicht des EDSA.
Sachverhalt Das OLG Hamm hat sich kürzlich (Urteil vom 26.04.2023, Az. 8 U 94/22) mit dem Merkmal der „Erforderlichkeit“ befasst. In dem entschiedenen Fall verlangte der Kläger von dem beklagten Verein die Übergabe einer Liste der Mitglieder (E-Mail-Adresse) des Vereins mit näher bezeichneten Angaben an sich selbst. Der Kläger ist eines von etwa 5.500 Mitgliedern des eingetragenen Vereins. Dieser verfolgt den Zweck, die Interessen seiner Mitglieder zu vertreten. Die Satzung des Vereins nimmt wiederholt auf die Möglichkeit einer Kommunikation des Beklagten mit seinen Mitgliedern per E-Mail Bezug. Eine ausdrückliche Verpflichtung der Mitglieder, eine E-Mail-Adresse mitzuteilen, sieht die Satzung aber nicht vor. Der beklagte Verein ist der Ansicht gewesen, dem Kläger stehe der geltend gemachte Anspruch jedenfalls in der beantragten Form nicht zu. Dem Interesse des Klägers stünden überwiegende gegenläufige Interessen des Beklagten und seiner Mitglieder gegenüber. Der Kläger habe keinen Anspruch auf Überlassung der E-Mail-Adressen. Er könne allenfalls die Überlassung der Daten an einen Treuhänder beanspruchen.
Entscheidung Die Übermittlung der Mitgliederliste ist nach Ansicht des OLG Hamm mit den begehrten Daten mit der DSGVO vereinbar. Die Übermittlung der Mitgliederlisten ist von dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. b) DSGVO gedeckt, da sie zur Erfüllung eines Vertrags, dessen Partei die betroffenen Personen sind, erforderlich ist.
Sehr schön finde ich die folgende einleitende Aussage des OLG:
„Datenschutzrecht ist Ermöglichungsrecht, kein Verhinderungsrecht. Es ist, wie Art. 6 Abs. 1 DSGVO ausweist, akzessorisch zum jeweiligen Sachrecht und steht dem, was das Sachrecht verlangt, nicht entgegen, sondern begrenzt es nur der Teleologie des jeweiligen sachrechtlichen Bereichs folgend auf das danach Erforderliche.“
Dies ist eine andere Sichtweise, als sie etwa der EDSA vertritt. Die Datenschutzbehörden schauen eher auf das Datenschutzrecht selbst, wenn es um die Frage geht, was „erforderlich“ ist. Die Durchführung von Regelungen zwischen Parteien aus AGB ist nach Auffassung des EDSA nicht per se „erforderlich“. Das OLG Hamm wählt meines Erachtens einen anderen Ansatzpunkt und fragt eher danach, was das Sachrecht (also etwa das Schuldrecht hinsichtlich eines Vertrages) gestattet.
Der Zweck des Erlaubnistatbestands von Art. 6 Abs. 1 lit. b) DSGVO sei es, die privatautonome Gestaltung der Beteiligten zu ermöglichen und nicht zu beschränken.
Interessant sind auch die Ausführungen zum Begriff „Vertrag“. Es komme nicht darauf an, ob das Rechtsverhältnis, zu dessen Erfüllung die Verarbeitung erforderlich ist, ein Vertrag i.S.d. BGB ist, sondern ob das datenschutzrechtliche Telos des Erlaubnistatbestands erfüllt ist.
„Maßgeblich ist m.a.W., ob das Rechtsverhältnis privatautonom begründet ist und die maßgebliche Verpflichtung daher als Ausdruck der Selbstbestimmung legitimiert ist“.
Zudem geht das OLG Hamm davon aus, dass das, was zur Erfüllung des Vertrags erforderlich ist, die Rechte und Pflichten des Vertrags bestimmen. Eine Unterscheidung zwischen Haupt- und Nebenpflichten sei dabei nicht vorzunehmen.
Bei der Bewertung als „erforderlich“ sei dabei kein objektiver Maßstab anzulegen,
„sondern der von den Parteien privatautonom gewählte Interessenausgleich zugrunde zu legen.“
Für den hiesigen Fall geht das OLG davon aus, dass die begründete Pflicht des Vereins, dem Mitglied eine Mitgliederliste mit Namen, Adressen und E-Mail-Adressen zu übermitteln, dabei bereits im Wege der Interessenabwägung als für die Zwecke der Ausübung der Mitgliedschaftsrechte „erforderlich“ begründet sei.
Urteil des OLG Hamm: https://rewis.io/urteile/urteil/tnx-26-04-2023-8-u-9422/
|
|
|
|
|
Veranstaltungshinweise: Piltz Legal update in 2023
|
|
|
|
Für 2023 sind schon jetzt einige Piltz Legal update Seminare & Veranstaltungen geplant, zu denen wir Sie herzlich einladen: Fränkischer Datenschutztag Datum: 28. und 29. Juni 2023 Ort: Würzburg (Schloss Steinburg) Piltz Legal wird 2023 erstmal den Fränkischen Datenschutztag veranstalten. Beim Fränkischen Datenschutztag erwarten Sie, über einen ganzen Tag verteilt, interessante Themen rund um aktuelle datenschutzrechtliche Entwicklungen, Ansichten und Empfehlungen der Aufsichtsbehörde sowie hilfreiche Praxiserfahrungen. Als Referenten erwarten Sie u.a. Michael Will (Präsident BayLDA), Daniel Gabel (Knauf Gruppe), Dr. Stefan Hanloser (ProSiebenSat.1 Media SE) und Henrike Teitge (Referentin im Bereich Sanktionen bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit).
Weitere Informationen zum Programm & Anmeldung: https://www.piltz.legal/events/fraenkischer-datenschutztag
Das HinSchG ist da – parallele Umsetzung von Hinweisgeberschutz und Datenschutz in der Praxis Datum: 14. Juni 2023 Ort: online Piltz Legal veranstaltet am 14.6.2023 das zweite Webinar rund um datenschutzrechtliche Anforderungen bei der Umsetzung der neuen Vorgaben zum Hinweisgeberschutzgesetz.
Anmeldung: https://www.piltz.legal/events/das-hinschg-ist-da
|
|
|
|