Webversion | abmelden
‌
de lege data Newsletter 3/2022
‌
‌

Liebe Abonnentinnen und Abonnenten,

heute erhalten Sie den de lege data Newsletter 3/2022. Ich wünsche Ihnen viel Freude beim Lesen und ein gutes und erfolgreiches Jahr 2023!

 ‌
‌
‌
 ‌
‌

Aktuelle Beiträge im Blog

 ‌
‌

DSGVO-Auskunftsanspruch gegenüber dem Auftragsverarbeiter? Dänische Datenschutzbehörde sagt „Nein, aber…“


Zum Beitrag

Generalanwalt am EuGH: Mitarbeiter sind keine „Empfänger“ – zum Umfang des Auskunftsanspruchs


Zum Beitrag
‌
‌

Generalanwalt am EuGH: Kopie-Begriff nach Art. 15 Abs. 3 DSGVO bezieht sich nicht per se auf Dokumente – wann sind Daten „verständlich“?

Zum Beitrag

Informationen über Drittlandsübermittlungen nach Art. 13 DSGVO – strenge Auffassung der irischen Aufsichtsbehörde


Zum Beitrag
‌
‌
‌
 ‌
‌

Praxisthemen

 ‌
‌

Erfasst der Begriff „Empfänger“ auch alle Unterauftragsverarbeiter (die dann zu benennen sind)?

Eigentlich eine banal anmutende Frage. Hierzu wird es doch sicher eine gefestigte Meinung geben, mag man meinen. Interessanterweise ist dem nicht so. Und die Antwort auf die Frage, ob auch alle Sub-Dienstleister in einer Verarbeitungskette etwa in den Datenschutzhinweisen (Art. 13 DSGVO) oder im Rahmen einer Auskunft (Art. 15 DSGVO) zu nennen sind, hat ja durchaus Praxisrelevanz. Daher habe ich mir die verschiedenen Ansichten zu der Antwort auf diese Frage einmal angeschaut.

Ausgangslage
Der „Empfänger“ wird in Art. 4 Nr. 9 DSGVO legal definiert. „Empfänger“ ist danach eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Hieraus ergibt sich jedoch nicht, ob nur das erste Kettenglied einer Verarbeitungskette (also etwa der Auftragsverarbeiter) erfasst wird oder auch alle folgenden Datenverarbeiter. Die Legaldefinition lässt nämlich offen, ob es auf eine faktische Offenlegung der Daten durch den Verantwortlichen ankommt. Oder ob diese Offenlegung nicht zwingend durch den Verantwortlichen, sondern auch seinen Auftragsverarbeiter gegenüber weiteren Dienstleistern erfolgen kann.

Auftragsverarbeiter als Empfänger
Nach h.M. sind Auftragsverarbeiter als Empfänger i.S.d. Art. 13 DSGVO anzusehen. So etwa:
- LfDI Baden-Württemberg, 35. TB 2019, S. 83
- DSK Kurzpapier Nr. 10, Informationspflichten bei Dritt- und Direkterhebung, S. 2
- BeckOK DatenschutzR/Schmidt-Wudy, 41. Ed. 1.8.2022, DS-GVO Art. 14 Rn. 51, beck online
- Kühling/Buchner/Bäcker, 3. Aufl. 2020, DS-GVO Art. 13 Rn. 28, beck online

In diesen Quellen wird aber nicht explizit auf Unterauftragsverarbeiter Bezug genommen.

Informationspflicht bezüglich Unterauftragsverarbeitern
Folgende Quellen gehen davon aus, dass auch eine Informationspflicht bezüglich Unterauftragsverarbeitern besteht:
- Taeger/Gabel/Mester, 4. Aufl. 2022, DS-GVO Art. 13 Rn. 14

- LfD Bayern, Orientierungshilfe Informationspflichten des Verantwortlichen (Stand 26. November 2018), Rn. 32, (zu den „Empfängern“ gehören unter anderem auch: Auftragsverarbeiter (gegebenenfalls auch weitere Auftragsverarbeiter im Sinn von Art. 28 Abs. 2 DSGVO))

Keine Informationspflicht bezüglich Unterauftragsverarbeitern
Teilweise wird vertreten, dass keine Informationspflicht bezüglich Unterauftragsverarbeitern besteht:
- BeckOK DatenschutzR/Schmidt-Wudy, 41. Ed. 1.8.2022, DS-GVO Art. 15 Rn. 60, (der Verantwortliche muss jedoch nur die Empfänger nennen, nicht auch deren Empfänger)

Sonstige Behördenansichten
Im Zusammenhang mit der Ausgestaltung von Informationspflichten können folgende Stellungnahmen von Behörden relevant sein:
- EDSA: “information on the recipients or categories of recipients should be as concrete as possible in respect of the principles of transparency and fairness” (EDPB Guidelines 01/2022 on data subject rights - Right of access, No. 115)

- Article 29 Working Party: “the actual (named) recipients of the personal data, or the categories of recipients, must be provided. In accordance with the principle of fairness, controllers must provide information on the recipients that is most meaningful for data subjects. In practice, this will generally be the named recipients, so that data subjects know exactly who has their personal data” (Article 29 Working Party Guidelines on transparency under Regulation 2016/679, p. 37)

Eigene Gedanken
Im Ergebnis sind derzeit wohl (noch) beide Ansätze vertretbar, wobei immer der Grundsatz der Transparenz und Fairness beachtet werden sollte. Die Datenschutzbehörden tendieren eher zu einer weitreichenden Informationspflicht (Namentliche Nennung der Empfänger).

Argumente für die Nennung von Unterauftragsverarbeitern:
- Aufgrund des Grundsatzes der Transparenz und Fairness soll die betroffene Person so genau wie möglich wissen, wer personenbezogene Daten empfängt/bei wem sich die Daten befinden. Dies kann am sinnvollsten mit der Nennung des Namens des Auftragsverarbeiter sowie der Unterauftragsverarbeiter erreicht werden.

- Unterauftragsverarbeiter sind ebenfalls Auftragsverarbeiter, welche als Empfänger gelten.

- Auch dem Unterauftragsverarbeiter werden Daten im Ergebnis offengelegt. Unklar ist hier aber Art. 4 Nr. 9 DSGVO, ob dies stets durch den Verantwortlichen geschehen muss.

Argumente gegen die Nennung von Unterauftragsverarbeitern:
- Bei Nennung aller Unterauftragsverarbeiter und ggf. wiederrum deren Unterauftragsverarbeitern droht eine Überfrachtung mit Informationen. Es könnten deshalb lediglich Kategorien von Empfängern/Unterauftragsverarbeitern angegeben werden, um die betroffene Person nicht zu überfordern.

- Gegenüber Unterauftragsverarbeitern kann der Betroffene seine Rechte gar nicht geltend machen; diese richten sich gegen den Verantwortlichen. Fraglich ist dann, was ihm die Kenntnis bringt, dass Daten bei einem Unterauftragsverarbeiter vorhanden sind, wenn er sie dort zB nicht berichtigen oder löschen kann.

- Legaldefinition des Art. 4 Nr. 9 DSGVO kann auch so ausgelegt werden, dass Empfänger nur jene Stelle ist, die faktisch Daten vom Verantwortlichen erhält.

‌
‌
‌
 ‌
‌

CNIL: Bußgeld u.a. wegen unterlassender Auskunft über Datenlieferanten (Data broker)

Auf GDPRHub wird über ein Bußgeld in Höhe von 300.000 EUR durch die CNIL gegen einen französischen Telekommunikationsanbieter vom 30.11.2022 berichtet (Originalentscheidung der CNIL). Unter anderem stellte die CNIL dort Verstöße gegen Art. 12 und 15 DSGVO fest.

Keine Auskunft nach Art. 15 DSGVO über Geschäftsgeheimnisse?
Betroffene beschwerten sich, dass der Verantwortliche im Rahmen der Auskunft nach Art, 15 Abs. 1 DSGVO keine Auskunft über die Herkunft der Daten, also seiner Datenlieferanten, gab. Nach Art. 15 Abs. 1 lit. g) DSGVO sind Informationen zu erteilen, „wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten“.

Der für die Verarbeitung Verantwortliche erklärte, dass er nicht verpflichtet sei, Informationen preiszugeben, die gemäß ErwG 63 DSGVO und Art. 15 Abs. 4 DSGVO als "Geschäftsgeheimnis" gelten (in diesem Fall die Identität des Datenlieferanten).

Die Datenschutzbehörde stellte fest, dass der für die Verarbeitung Verantwortliche gegen die Art. 12 und 15 DSGVO verstoßen hat. Nach Ansicht der CNIL ist das Argument, die Quelle der Daten wegen des Geschäftsgeheimnisses nicht offen zu legen, nicht stichhaltig. Die Datenschutzbehörde wies darauf hin, dass es sich bei den Anträgen der betroffenen Person um Auskunftsersuchen im Sinne von Art. 15 Abs. 1 (!) DSGVO handelt. Die Ausnahme für "Geschäftsgeheimnis" gelte jedoch nach Ansicht der CNIL nur über Art. 15 Abs. 4 DSGVO, wenn eine betroffene Person eine Kopie (Abs. 3) ihrer Daten beantrage, was hier nicht der Fall sei.

EDSA sieht es ebenso
Diese Ansicht vertritt auch der EDSA in seinen Leitlinien 01/2022 zum Auskunftsrecht nach Art. 15 DSVGO: „Art. 15(4) GDPR is not applicable to the additional information on the processing as stated in Article 15(1) lit. a.-h. GDPR“ (Rz. 167).

 ‌
‌
‌
 ‌
‌

Ordentliche Auswahl des Auftragsverarbeiters erforderlich - Bußgeld der polnischen Behörde

Die polnische Datenschutzbehörde hat am 7.9.2022 ein Bußgeld wegen Verstoßes gegen Art. 28 Abs. 1 DSGVO gegen einen Verantwortlichen verhängt. Interessant an der Entscheidung ist, dass hier ein Bußgeld wegen Verstoßes gegen die Pflicht zur ordentlichen Auswahl und Prüfung des Auftragsverarbeiters verhängt wurde, welche bisher eher weniger im Fokus stand.

Die Aufsichtsbehörde wurde über eine Verletzung des Schutzes personenbezogener Daten bei dem Verantwortlichen informiert. Im Laufe des Verfahrens wurde festgestellt, dass der Verantwortliche ohne schriftlichen Vertrag einen Auftragsverarbeiter eingesetzt hat, an den er die Führung von Büchern, Aufzeichnungen und die Erstellung von Berichten (in den Bereichen Finanzen, Steuern und Sozialversicherung) oder die Aufbewahrung von Unterlagen ausgelagert hat.

Außerdem versäumte es der für die Verarbeitung Verantwortliche zu überprüfen, ob der Auftragsverarbeiter ausreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Maßnahmen bietet, um sicherzustellen, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO steht.

Die Aufsichtsbehörde betont, dass die Entscheidung, welchen Auftragsverarbeiter der Verantwortliche einsetzen soll, nicht ohne Grund oder nähere Prüfung getroffen werden kann. "Erst nachdem er die Fähigkeiten und Angemessenheit des ausgewählten Auftragsverarbeiters geprüft hat, kann der für die Verarbeitung Verantwortliche einen entsprechenden Vertrag abschließen".

Zusätzlich bemänglte die Aufsichtsbehörde, dass der Verantwortliche auch keine Nachweise und Dokumentation darüber vorlegen konnte, die die Überprüfung der Bedingungen für die Zusammenarbeit mit dem Auftragsverarbeiter bestätigten.

‌
‌
‌
 ‌
‌

Veranstaltungshinweise: Piltz Legal update in 2023

 ‌
‌

Für 2023 sind schon jetzt einige Piltz Legal update Seminare & Veranstaltungen geplant, zu denen wir Sie herzlich einladen:

Aktuelles zu Drittstaatentransfers: Praktische Umsetzung von SCC, TIA & Co.
Datum: 17. März 2023
Ort: Nürnberg (Leonardo Royal Hotel)
Sei es der Abschluss der neuen SCC, die Executive Order sowie der Entwurf des Angemessenheitsbeschlusses für die USA – für Drittstaatentransfers war 2022 ein turbulentes Jahr und 2023 ist noch mehr zu erwarten. Wir freuen uns, dass wir gemeinsam mit Herrn Alexander Filip, Geschäftsleiter und Leiter des Bereichs 3 (zuständig unter anderem für Fragen des Internationalen Datenverkehrs sowie Datenschutz bei Telemedien im BayLDA) darüber informieren und mit Ihnen diskutieren, was aus der Sicht der Aufsichtsbehörde bei Datentransfers besonders zu beachten ist. Zudem betrachten wir, welche typischen Risiken bei Drittstaatentransfers auftauchen und wie man sie meistert.
Programm und Anmeldung: https://www.piltz.legal/events/aktuelles-zu-drittstaatentransfers

Fränkischer Datenschutztag
Datum: 28. und 29. Juni 2023
Ort: Würzburg (Schloss Steinburg)
Piltz Legal wird 2023 erstmal den Fränkischen Datenschutztag veranstalten. Beim Fränkischen Datenschutztag erwarten Sie, über einen ganzen Tag verteilt, interessante Themen rund um aktuelle datenschutzrechtliche Entwicklungen, Ansichten und Empfehlungen der Aufsichtsbehörde sowie hilfreiche Praxiserfahrungen. Als Referenten erwarten Sie u.a. Herr Michael Will (Präsident BayLDA), Herr Daniel Gabel (Knauf Gruppe) und Dr. Stefan Hanloser (ProSiebenSat.1 Media SE). Weitere Informationen zum Programm werden in Kürze veröffentlicht.
Anmeldung: https://www.piltz.legal/events/fraenkischer-datenschutztag

(Early-Bird-Teilnahmegebühr vor dem 28.03.2023)

 ‌
‌
Sie erhalten diese E-Mail, weil Sie sich mit der Adresse für den Newsletter angemeldet haben. Wenn Sie keine weiteren E-Mails erhalten möchten, können Sie sich hier austragen abmelden.
‌