Generalanwalt: Öffentlich abrufbare Daten stellen noch keine Übermittlung in ein Drittland dar

Posted on by

Was genau eine „Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation“ (Art. 45 Abs. 1 S. 1 DSGVO) darstellt, definiert die DSGVO nicht. Der EDSA hat ein, wie ich finde, sehr lesenswertes Papier (Leitlinien 05/2021 https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf PDF) zu dem Thema veröffentlicht, in dem er sich diesem Begriff definitorisch nähert und 3 Merkmale herausstellt, die für eine solche Übermittlung erfüllt sein müssen.

Interessant ist, dass der EDSA in seinem Papier eine der alltäglichsten Situationen nicht anspricht, die aber sogar unter der alten Datenschutzrichtlinie 95/46/EG schon einmal vor dem EuGH lag (in der Sache Lindqvist, C-101/01): findet eine Übermittlung in ein Drittland automatisch statt, wenn personenbezogene Daten öffentlich abrufbar im Internet, also auf einer Webseite, bereitgestellt werden?

Die Antwort auf diese Frage ist durchaus von praktischer Relevanz. Bsp: Daten zu Mitarbeitern auf Unternehmenswebseiten; Daten zu Personen auf Webseiten von News-Portalen etc.

EuGH zur alten Rechtslage

Der EuGH entschied mit Urteil vom 6.11.2003 (Rs C-101/01) noch zu Art. 25 der RL 95/46/EG, dass das Einstellen von personenbezogenen Daten auf einer Webseite, die weltweit abgerufen werden kann, keine „Übermittlung von Daten in ein Drittland“ darstellt (Rz. 70). U.a. begründete der EuGH dies damit, dass bei einer extensiven Auslegung der Übermittlung eine solche dann in jedes Land auf der Welt vorliegen würde. Und:

Damit würde die in Kapitel IV der Richtlinie 95/46 vorgesehene Sonderregelung notwendig zu einer allgemeinen Regelung für Vorgänge im Rahmen des Internets werden.

EDSA

Der EDSA äußert sich in seinen Leitlinien wie gesagt nicht konkret zu dieser Konstellation. Zwar deckt das Beispiel 1 in den Leitlinien eventuell einen Teilaspekt der Diskussion ab. Danach liegt keine Übermittlung nach Kap. V DSGVO vor, wenn ein Betroffener auf einer Webseite selbst Daten eingibt und an einen Verantwortlichen sendet, der außerhalb der EU sitzt.

Jedoch wird dort nicht die Frage beantwortet, was bei Webseiten gilt, auf denen schon personenbezogene Daten durch Verantwortliche eingestellt und öffentlich abrufbar sind. Zudem wird nicht die Konstellation angesprochen, dass der Verantwortliche für die Webseite in der EU sitzt und ob dieser dann Daten automatisch an alle Drittländer sendet.  

Generalanwalt

In seinen Schlussanträgen vom 20.1.2022 in den verbundene Rechtssachen C‑37/20 und C‑601/20 äußert sich der Generalanwalt Pitruzzella nun zumindest mittelbar zu dem Thema. Es ging dort um (teilweise) öffentlich abrufbar Daten auf online zugänglichen Registern.

Da es um den Spezialfall eines Registers ging, legt der Generalanwalt Art. 49 Abs. 1 lit. g) DSGVO aus. Es geht dort auch um die Frage, wann eine Übermittlung in ein Drittland vorliegt. Der Generalanwalt verweist darauf (Rz. 239), dass Art. 49 Abs. 1 lit. g) und Abs. 2 DSGVO speziell für jede Übertragung „aus“ einem öffentlichen Register gilt. Und dann kommt die interessante Feststellung bzw. Ansicht:

„Der Umstand, dass ein Register öffentlich ist, stellt an sich aber noch keine Übermittlung dar.“

Jetzt kann man natürlich argumentieren, dass der Generalanwalt hier allein Register und das Merkmal „aus“ interpretieren wollte. Dem lässt sich aber meines Erachtens entgegenhalten, dass der Generalanwalt ziemlich klar der Frage nachgeht, ob überhaupt eine Übermittlung nach Kap. V DSGVO vorliegt oder nicht. Zudem ist die Aussage des Generalanwalts auch abstrakt verwertbar, etwa für die Situation von Daten auf Webseiten. Darauf bezogen könnte man formulieren: der Umstand, dass eine Webseite öffentlich ist, stellt an sich noch keine Übermittlung der auf ihr vorhandenen Daten dar.

Dies lehnt er hier mit dem Argument ab, dass allein der Umstand, dass ein Register (und damit dort enthaltene Daten) öffentlich abrufbar sind, noch nicht ausreicht. Im Grunde dürfte eine solche Sichtweise mit der alten EuGH Rechtsprechung auf einer Linie liegen.

Spannend an dieser Interpretation ist, dass der Generalanwalt damit wohl auf noch keine „Form der Bereitstellung“ im Sinne von Art. 4 Nr. 2 DSGVO erkennt. Nach der Definition der „Verarbeitung“ liegt eine „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ vor. Der EDSA verweist etwa in seinen Leitlinien auch auf dieses Merkmal der „Bereitstellung“ von Daten.  

Fazit

Der Generalanwalt begründet seine Ansicht nicht weiter. Daher wird man, wie beschrieben, die Aussage auch anders verstehen können. Eventuell wird der EuGH in dem noch folgenden Urteil etwas dazu sagen, ob hier eine Übermittlung im Sinne von Kap. V DSGVO vorliegt.

Europäischer Datenschutzbeauftragter: Internationaler Datentransfer auf Basis eines im Interesse der betroffenen Person geschlossenen Vertrags

Posted on by

In seinem neuesten Newsletter berichtet der EDPS über die Beratungsanfrage einer Bibliothek. Es ging dort unter anderem auch um die Frage, auf welcher Rechtsgrundlage die Daten von Abonnenten an Verlage in Drittländern außerhalb der EU übermittelt werden dürfen. Die Verlage hatten, für den Zugang zu ihren Werken, Verträge mit der Bibliothek abgeschlossen.

Bislang verlangte die Bibliothek für die Datenübermittlung an die Verlage in Drittländern eine Einwilligung der Betroffenen. Der EDPS vertrat jedoch eine andere Auffassung. Nach seiner Ansicht kann sich die Bibliothek, als Verantwortlicher, in diesem Fall auf die Ausnahmeregelung des Art. 50 Abs. 1 lit. c der Verordnung 2018/1725 berufen. Die Begründung des EDPS:

„…weil die Übermittlung von Abonnentendaten an Verlage außerhalb des EWR für den Zugang zu Veröffentlichungen mit Sitz außerhalb der EU/des EWR erforderlich ist.“

Zwar gilt die Verordnung 2018/1725 nur für die öffentliche Stellen der EU. Die entscheidende Vorschrift findet sich aber ebenso auch in der DSGVO, in Art. 49 Abs. 1 lit. c DSGVO: „die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich“.

Die Aufsichtsbehörde geht also davon aus, dass in diesem Fall die Datenübermittlung auf den Vertrag zwischen der Bibliothek und dem Verlag im Drittland gestützt werden darf. Dieser Fall ist eines der sehr seltenen Beispiele, wann eine Aufsichtsbehörde tatsächlich einmal diese Ausnahmevorschrift für anwendbar hält. Die Erwägungen der Behörde lassen sich sicher auch auf den Anwendungsbereich der DSGVO, also insbesondere privatwirtschaftliche Bibliotheken und Verlage übertragen.

Einhaltung des Grundsatzes der Rechenschaftspflicht nach der DSGVO – weitere Hinweise des Europäischen Datenschutzausschusses

Posted on by

In der Praxis führt der Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO häufig zu der Frage, wie Unternehmen die Anforderungen erfüllen können. Denn die rechtliche Anforderung ist sehr weit gefasst und vage: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Wie der Nachweis konkret erfolgen soll bzw. kann, wird nicht spezifiziert.

Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien zu „Dark Patterns“ (Leitlinien 3/2022, PDF) einige Präzisierungen zur Frage der Umsetzung dieser Verpflichtung vorgenommen (Rz. 11). Der EDSA stellt fest (inoffizielle Übersetzung):

  • Die Benutzeroberfläche und die User Journey können als Dokumentationsinstrument verwendet werden, um nachzuweisen, dass die Nutzer bei ihren Handlungen auf der Social-Media-Plattform die Datenschutzinformationen gelesen und berücksichtigt haben, dass sie ihre Einwilligung frei gegeben haben, dass sie ihre Rechte problemlos wahrgenommen haben, usw.
  • Qualitative und quantitative Nutzerforschungsmethoden wie A/B-Tests, Eye-Tracking oder Nutzerinterviews, ihre Ergebnisse und ihre Analyse können ebenfalls zum Nachweis der Einhaltung der Vorschriften verwendet werden.
  • Wenn die Nutzer beispielsweise ein Kästchen ankreuzen oder eine von mehreren Datenschutzoptionen anklicken müssen, können Screenshots der Schnittstellen dazu dienen, den Weg der Nutzer durch die Datenschutzinformationen zu zeigen und zu erklären, wie die Nutzer eine informierte Entscheidung treffen.

Die Hinweise des EDSA zeigen, dass man bei der Erfüllung der Rechenschaftspflicht durchaus kreativ sein kann und auch Prozesse bzw. Dokumentation relevant ist, die ohnehin, etwa im Rahmen der Produktentwicklung, genutzt werden. Spannend ist sicherlich, ob der EDSA mit diesen Hinweisen gleichzeitig auch ein Tracking als zulässig ansehen würde, welches das Verhalten der Nutzer in Bezug auf die Interaktion mit Datenschutzhinweisen oder z.B. Datenschutzeinstellungen erfasst und auswertet. In diesem Fall kann man sicher argumentieren, dass hierfür keine Einwilligung nach § 25 Abs. 1 TTDSG erforderlich ist, sondern eine Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG. Zur Erfüllung rechtlicher Pflichten aus der DSGVO.

Hamburger Datenschutzbehörde: Bußgeld bei mangelhaft durchgeführten Asset Deal

Posted on by

Die Hamburger Datenschutzbehörde hat jüngst ihren Tätigkeitsbericht für das Jahr 2021 veröffentlicht (PDF). Dort berichtet die Behörde (ab S. 70) auch über zwei Bußgelder gegen Unternehmen, weil Widersprüche von Kunden im Rahmen eines Asset Deals (fehlerhaft) nicht beachtet wurden.

Hintergrund der Ordnungswidrigkeitenverfahren war die Ausgliederung der Heizenergiesparte eines Energieversorgers und die anschließende Veräußerung der ausgegliederten Sparte. Hierbei sollten Kunden (mit ihren Verträgen) auf das kaufende Unternehmen übergehen. Die Kunden, die von dem Übergang betroffen waren, wurden über die Vertragsübergänge ihrer Strombelieferungsverträge informiert und ihnen wurde ein Widerspruchsrecht eingeräumt.

Rechtsgrundlage: Interessenabwägung

Relevant ist zunächst, dass die Aufsichtsbehörde hier nicht etwa das wohl durchgeführte Widerspruchs-Modell an sich kritisiert. Nach Ansicht der DSK in ihrem Beschluss aus dem Jahr 2019 zum Thema „Asset Deal“ (PDF), bedarf es beim Übergang von Daten in laufenden Vertragsbeziehungen einer „datenschutzrechtlichen Zustimmung“, die aber in der zivilrechtlichen Genehmigung als Minus enthalten sei. Gleichzeitig werden die Fallgruppen im Beschluss der DSK aber alle unter dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO (also der Interessenabwägung) diskutiert. In der Vergangenheit wurde daher diskutiert, was die DSK hiermit konkret meint. Ob nun eine Einwilligung erforderlich ist oder eine Interessenabwägung ebenfalls möglich erscheint. Die Informationen der Hamburger Behörde scheinen deutlich zu machen, dass es keiner datenschutzrechtlichen Einwilligung bedarf, sondern dass die Übermittlung von Daten der Kunden auf der Grundlage von einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erfolgen kann.

Fehler: Datenübermittlung trotz Widerspruch

In dem Verfahren aus Hamburg, sollten im Falle eines erklärten Widerspruchs keine personenbezogenen Daten der Kunden an das neue Unternehmen übermittelt werden. Natürlich schlug dann die Realität zu. Trotz ordnungsgemäß erklärtem Widerspruch von Kunden kam es in einem gewissen Ausmaß dennoch zur Migration von Strombelieferungsverträgen auf den Erwerber der Heizenergiesparte.

„Dadurch waren Kundendaten auch in den Fällen an das neue Unternehmen übermittelt, in denen die Betroffenen ordnungsgemäß einen entsprechenden Widerspruch erklärt hatten“.

Hintergrund dessen waren nach Angabe der Aufsichtsbehörde Fehler bei der Verarbeitung der Widersprüche durch den eingesetzten Auftragsverarbeiter des veräußernden Unternehmens.

Die Aufsichtsbehörde benennt nicht konkret den DSGVO-Verstoß. Jedoch kann man vermuten, dass wohl von einer unzulässigen Übermittlung der Daten ausgegangen wurde, also ein Verstoß gegen Art. 6 Abs. 1 DSGVO oder eine Nichtbeachtung des Widerspruchs, also ein Verstoß gegen Art. 21 Abs. 1 DSGVO vorlag.  

Die Aufsichtsbehörde verhängt nach den Angaben im Tätigkeitsbericht zwei Bußgelder in Höhe von je 12.500 EUR. Im Bericht heißt es: „Aufgrund der Vielzahl der Verstöße war es angezeigt, Bußgeldverfahren gegen die Unternehmen einzuleiten“. Ich vermute, dass die Behörde hier also sowohl ein Bußgeld gegen den Verkäufer als auch gegen das erwerbende Unternehmen verhängt hat.

Fazit

Asset Deals sind in der Praxis bei der Übernahme von Kunden(verträgen) immer auch mit datenschutzrechtlichen Fragen verbunden. Der Fall aus Hamburg zeigt gut, dass der Datenschutz hier nicht unüberwindbare Hürden aufstellt. Dennoch ist bei der Umsetzung besonders darauf zu achten, dass personenbezogene Daten nicht aus Versehen oder fehlerhaft übermittelt werden. Daher sind auch Konstellationen, in denen zB zunächst einmal alle Kundendaten an ein erwerbendes Unternehmen übermittelt werden und man dann die widersprechenden Kunden aussortiert, kritisch zu sehen.

VG Düsseldorf: Kein DSGVO-Auskunftsanspruch in Bezug auf Mitarbeitergesprächsprotokolle von Kollegen

Posted on by

Das Verwaltungsgericht (VG) Düsseldorf hat mit Urteil vom 7.3.2022 (Az 26 K 406/19) zu der Frage entschieden, ob im Rahmen eines Auskunftsanspruchs nach Art. 15 DSGVO auch das Protokoll eines Mitarbeitergesprächs herauszugeben ist, in dem sich eine Arbeitskollegin kritisch über die Klägerin äußerte und ihr unter anderem vorwarf, Drohungen gegenüber Mitarbeitern auszusprechen.

Sachverhalt

Die Klägerin war als Fallmanagerin (Arbeitsvermittlerin) dem Beklagten zu 2 zugewiesen. Dort fand ein Personalgespräch statt, in dem ihr unangemessenes Verhalten gegenüber einer Mitarbeiterin vorgehalten wurde. Diese Mitarbeiterin habe in ihrem Mitarbeitergespräch im April 2017 geäußert, sie – die Klägerin – sei eine polarisierende und spaltende Kraft und agiere gegen die Teamleitung. Sie – die Klägerin – habe zum Nachteil der anderen Mitarbeiterin auch eine Drohung ausgesprochen.

Die Klägerin bewarb sich danach bei der Beklagten zu 1. Im Zuge des Bewerbungsverfahrens forderte die Beklagte zu 1. beim Beklagten zu 2. eine anlassbezogene dienstliche Beurteilung an. In dieser wurde u.a. festgehalten, dass es vereinzelt mit wenigen Mitarbeitern im Team zu immer wiederkehrenden Meinungsverschiedenheiten gekommen sei. Die dienstliche Beurteilung wurde gegenüber der Klägerin nicht eröffnet. Die ausgeschriebene Stelle wurde anderweitig vergeben.

Zuletzt beantragte die Klägerin noch, den Beklagten zu 2. zu verurteilen, ihr das Protokoll des Mitarbeitergesprächs der Kollegin aus April 2017 herauszugeben.

Entscheidung

Das VG wies die Klage als unbegründet ab.

Zunächst geht das VG davon aus, dass § 86 LBG NRW (Auskunftsrecht) vorliegend nicht auf das Protokoll des Mitarbeitergesprächs der Arbeitskollegin anwendbar ist. Diese Norm sei im vorliegenden Fall nicht einschlägig, soweit das von der Klägerin begehrte Dokument nicht Teil der eigenen Personalakte ist. Denn das streitbefangene Mitarbeiterprotokoll beziehe sich auf die dienstrechtlichen Beziehungen zwischen der Kollegin und dem Beklagten zu 2.

Der Beklagte zu 2. habe zudem entsprechend der bis 24. Mai 2018 geltenden Rechtslage Auskunft erteilt. Dort enthalten war auch das die Klägerin betreffende Protokoll über ihr eigenes Mitarbeitergespräch, welches die wesentlichen Angaben über die Vorwürfe aus dem Gespräch der Kollegin enthielt.

Art. 15 DSGVO trete, als allgemeine Norm, die ein Auskunftsrecht bei der Verarbeitung personenbezogener Daten vorsieht, gegenüber der Spezialregelung im LBG NRW bereits aus systematischen Gründen zurück (§ 5 Abs. 6 DSG NRW).

Jedoch nutzt das VG dennoch die Gelegenheit, sich zu der Ausnahmeregelung des Art. 15 Abs. 4 DSGVO in dem konkreten Fall zu äußern.

Art. 15 Abs. 4 DSGVO schränke das Recht auf Erhalt einer Kopie ein, wenn Rechte und Freiheiten anderer Personen beeinträchtigt werden. Das sei hier der Fall, da eine Kopie des Protokolls über das Mitarbeitergespräch vom April 2017 an die Klägerin herausgegeben werden würde.

Über ihre eigenen personenbezogenen Daten würde der Klägerin (als Betroffene) dann Einblick auch in solche personenbezogenen Daten ermöglicht werden, die ihre Kollegin oder weitere Personen betreffen.

Im Rahmen einer Abwägung aller Interessen ist ein solcher Eingriff nicht zu rechtfertigen, weil die Klägerin – wie bereits dargestellt – in anderer geeigneter Weise über die sie betreffenden personenbezogenen Daten informiert worden ist“.

Fazit

Die Ausführungen des VG sind recht kurz. Dennoch scheint das VG durchblicken zu lassen, dass Art. 15 DSGVO seiner Ansicht nach zum einen nicht dazu dient, personenbezogene Daten über andere Personen (hier der Arbeitskollegin und ihren Aussagen) zu erhalten. Zum anderen sieht das VG im konkreten Fall wohl auch die Rechte und Freiheiten der anderen Betroffenen beeinträchtigt, wenn deren Daten, in der Form von Gesprächsprotokollen, im Original herausgegeben würden. Das VG äußert sich nicht zu der Möglichkeit, ob eine geschwärzte Version des Protokolls zur Verfügung gestellt werden könnte.

Bayerischer Verwaltungsgerichtshof: Datenschutz in der Lieferkette – Verantwortlicher muss DSGVO-Konformität von eingekauften Produkten sicherstellen

Posted on by

Der Bayerische Verwaltungsgerichtshof hat eine, wie ich finde, abstrakt relevante Ansicht zu den datenschutzrechtlichen Anforderungen an Produkte, über die personenbezogene Daten verarbeitet werden, geäußert (Beschluss v. 07.03.2022 – 4 CS 21.2254). Der VGH geht davon aus, dass eine datenverarbeitende Stelle als datenschutzrechtlich Verantwortlicher verpflichtet ist, sich bei Geräteherstellern zu vergewissern, dass die Produkte die DSGVO einhalten.  

Sachverhalt

In dem Verfahren ging es um die Frage, ob Eigentümer eines Hauses den Austausch analoger Wasserzähler durch elektronische Wasserzähler mit Funkmodul durch die öffentliche Wasserversorgungseinrichtung dulden müssen. Die Hauseigentümer wehrten sich hiergegen, u.a. mit Verweis auf das Datenschutzrecht. Ihrer Ansicht nach verfüge das einzusetzende Gerät über keine Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik und sei daher nicht sicher. Zudem sei die Erhebung von Wassertemperatur und Außentemperatur sowie das permanente Aufzeichnen zahlreicher weiterer Alarmcodes zum ordnungsgemäßen Betrieb der Wasserversorgung nicht erforderlich.

Entscheidung

Der VGH wies die Beschwerde der Eigentümer (gegen eine Entscheidung der Vorinstanz) zurück.

Der VGH geht zunächst davon aus, dass die in einem elektronischen (Funk-)Wasserzähler erfassten Verbrauchsmengen, wenn und soweit sich daraus Rückschlüsse auf das individuelle Verbrauchsverhalten einzelner Personen ziehen lassen, personenbezogene Daten der Bewohner oder sonstigen Nutzer des betreffenden Anwesens darstellen.

Es reiche nach Art. 4 Nr. 1 DSGVO aus, dass eine bestimmte natürliche Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie etwa einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einem besonderen identitätsprägenden Merkmal identifiziert werden kann. Dies sei bei dem Betrieb eines Wasserzählers zumindest dann der Fall, wenn die aufgezeichneten Verbrauchsdaten eine Wohnung oder eine sonstige Gebäudeeinheit betreffen, die von einer einzelnen Person genutzt wird. Aber auch bei gemeinsamer Nutzung durch mehrere Personen lasse sich, wenn der Wasserverbrauch durch einen elektronischen Zähler kontinuierlich aufgezeichnet wird, unter Umständen mit nur geringem Zusatzwissen Rückschlüsse auf die Verbrauchsgewohnheiten Einzelner ziehen,

Die damit einhergehende Datenverarbeitung qualifiziert der VGH als zulässig. Diese ist nach Art. 6 Abs. 1 lit. e DSGVO nur rechtmäßig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist. Die dafür nach Art. 6 Abs. 3 lit. b DSGVO notwendige Rechtsgrundlage habe der Bayerische Gesetzgeber mit der in Art. 24 Abs. 4 Satz 1 GO enthaltenen Sonderregelung zum Einsatz und Betrieb derartiger Wasserzähler geschaffen.

Zudem lehnt der VGH einen Verstoß gegen Vorschriften der DSGVO bzgl. der Sicherheit der Datenverarbeitung (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO) durch den Einsatz der Wasserzähler ab.

Relevant und meines Erachtens zu einem gewissen Grad auch allgemein zu beachten, ist die Ansicht des VGH zu den Anforderungen des Einsatzes von Geräten, über die personenbezogene Daten verarbeitet werden sollen.

Zum einen geht der VGH davon aus, dass der Einsatz der Wasserzähler nicht bereits deshalb datenschutzwidrig sei, weil die Geräte keine Zertifizierung des BSI besäßen.

Der Einsatz elektronischer Verbrauchserfassungsgeräte ist ihnen nicht deshalb verwehrt, weil diese keiner Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik bedürfen“.

Diese Ansicht ist meines Erachtens begrüßenswert und richtig. So ist etwa Art. 32 DSGVO bewusst offen formuliert, um verschiedenste Faktoren bei der Prüfung der Sicherheit der Datenverarbeitung berücksichtigen zu können. Eine Zertifizierung, etwas durch das BSI, kann natürlich positiv berücksichtigt werden. Jedoch entscheidet ein solches Zertifikat nicht zwingend allein über die DSGVO-Konformität eines Produkts.

Danach führt der VGH aus:

Die Wasserversorger sind unabhängig davon für die Einhaltung der allgemeinen Sicherheitsanforderungen nach Art. 5 Abs. 1 Buchst. f, Art. 32 DSGVO verantwortlich. Sie müssen sich daher vor dem Einsatz elektronischer (Funk-) Wasserzähler bei dem Gerätehersteller vergewissern, dass die gespeicherten und übermittelten Daten durch geeignete technisch-organisatorische Maßnahmen ausreichend vor dem Zugriff unberechtigter Dritter geschützt sind (LT-Drs. 17/19804 S. 2).

Das Gericht leitet hier aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO wohl die Pflicht des Verantwortlichen ab, in seiner Liefer- bzw. Einkaufskette zu prüfen, ob die eingekauften Produkte, über die später personenbezogene Daten verarbeitet werden, den Anforderungen der DSGVO genügen. Der VGH ist zwar nicht absolut klar hinsichtlich des Umfangs und der Tiefe der erforderlichen Prüfung. Er spricht aber zumindest davon, dass sich der Verantwortliche als Ausfluss seiner Pflichten aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO davon „vergewissern“ muss, dass die Geräte die datenschutzrechtlichen Vorgaben einhalten.

Fazit

Der VGH spricht in seinem Beschluss eine praxisrelevante Schutzlücke der DSGVO an. Diese verpflichtet nur Verantwortliche und Auftragsverarbeiter. Gerätehersteller und Produzenten, die selbst keine Daten verarbeiten, sondern „nur“ das Werkzeug hierfür bereitstellen, unterfallen nicht der DSGVO, im Sinne einer „Vorfeldpflicht“. Daher hängt es derzeit vor allem an den Abnehmern der Produkte, den Verantwortlichen, die DSGVO-Konformität in die Lieferkette (nach vorne) zu tragen. Etwa durch vertragliche Verpflichtungen und Zusicherungen der Hersteller. ErwG 78 DSGVO umschreibt dieses Problem wie folgt: „… sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

Landgericht Stuttgart: zur Zulässigkeit von Briefwerbung und eine Blacklist für Werbewidersprüche nach der DSGVO

Posted on by

Das LG Stuttgart hat mit Urteil vom 25.02.2022 (Az. 17 O 807/21; derzeit nur bei BeckOnline abrufbar, BeckRS 2022, 4821) einige praxisrelevante Fragen rund um die Brief-/Postwerbung behandelt. Unter anderem ging es um die Zulässigkeit von Postwerbung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO und die Frage, ob eine Speicherung von personenbezogenen Daten auf einer Blacklist, zur Umsetzung von Werbewidersprüchen, möglich ist.

Sachverhalt

Der Kläger macht gegen die Beklagte Ansprüche wegen behaupteter Verletzung seiner Rechte aus der DSGVO geltend. Der Kläger erhielt an seiner Wohnanschrift postalische Werbung für Produkte einer Versicherung. Dies Werbung wurde nicht von der Versicherung direkt, sondern von der Beklagten als Dienstleisterin für Werbetreibende versendet. Der Kläger machte gegenüber der Beklagten von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch und forderte die Beklagte auf, ihm Auskunft zur Verwendung seiner Daten zu erteilen sowie die bei der Beklagten vorhandenen personenbezogenen Daten des Klägers zu löschen.

In der Folge erhob der Kläger außergerichtlich Schadensersatzansprüche wegen Verletzung seiner Rechte aus der DSGVO (Art. 82 DSGVO). Der Kläger ist der Ansicht, dass die Beklagte gegen das Recht auf Löschung seiner Daten nach Art. 17 DSGVO verstoßen habe, nachdem sie diese nicht vollständig gelöscht (Sperrung) habe. Zudem ist der Kläger der Auffassung, dass persönlich adressierte Briefsendungen als Form der Direktwerbung hier nicht zulässig waren. Denn Direktwerbung setze nach Art. 6 Abs. 1 lit. f) DSGVO eine bereits bestehende Kundenbeziehung voraus, weil sie nur dann im berechtigten Interesse des Verantwortlichen liege.

Urteil

Das LG wies die Klage ab. Der Kläger habe gegen die Beklagte wegen der Zusendung der streitgegenständlichen Werbeschreibens keinen Schadensersatzanspruch aus Art. 82 DSGVO, denn es liege kein Verstoß gegen die DSGVO vor. Insbesondere war die Zusendung der Werbeschreiben und die dem zugrunde liegende Verarbeitung seiner Adressdaten rechtmäßig im Sinne von Art. 6 Abs. 1 f) DSGVO.

Rechtsgrundlage, Art. 6 Abs. 1 lit. f) DSGVO

Das Gericht geht davon aus, dass die Beklagte als datenschutzrechtlich Verantwortliche ihre Interessen und die ihres Kunden (eines Dritten) an der Werbemaßnahmen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO anführen kann. Die Verarbeitung der Kontaktdaten war zur Erreichung dieses Interesses auch erforderlich.

Die Beklagte habe

dargelegt, dass Werbebriefe wie der vorliegende ein notwendiges Mittel sind, um einerseits Bestandskunden zu pflegen, andererseits aber auch – wie hier – Neukunden zu gewinnen“.

Zudem überwiegen die Interessen des Klägers nicht die berechtigten Interessen der Beklagten bzw. die Interessen der (Werbe-) Kundin. Das LG stellt hier deutlich heraus, dass die Interessen des Betroffenen überwiegen müssen.

Bei gleichwertigen Interessen („non liquet“) darf eine Verarbeitung also stattfinden

Zudem sehe die DSGVO das Interesse der Wirtschaft an Direktwerbung als schutzwürdig an. Das LG verweist auf ErwG 47. Zwar sei damit noch nicht gesagt, dass jeder Fall der Direktwerbung gerechtfertigt ist. Allerdings lasse sich dem Erwägungsgrund entnehmen, dass die Beklagte und ihre Werbekunden hieran ein berechtigtes Interesse haben, dem gegenüber widerstreitende Interessen des Klägers überwiegen müssen.

Das LG konkretisiert in diesem Zusammenhang, was unter „Direktwerbung“ zu verstehen sei. Unter Direktwerbung im Sinne des Erwägungsgrundes sei

jede unmittelbare Ansprache der betroffenen Person etwa durch Zusendung von Briefen oder Prospekten, durch Telefonanrufe, E-Mails oder Übermittlung von SMS zu verstehen, unabhängig davon, ob zwischen Werbendem und Betroffenem zuvor ein Kundenverhältnis bestanden hat.“

Zudem lehnt das LG die Ansicht des Klägers ab. Der Wortlaut der Vorschrift setze kein bereits bestehendes Kundenverhältnis der Parteien voraus. „Direktwerbung“ betrifft also vor allem auch die Neukundenwerbung.

Zulässigkeit der Datenverarbeitung für Werbewiderspruch

Praxisrelevant ist auch die Ansicht des LG zu der Zulässigkeit der Datenverarbeitung zur Umsetzung eines Werbewiderspruchs. Der Kläger ging hier davon aus, dass die Beklagte zum Umsetzung seines Widerspruchs keine Daten verarbeiten durfte. Auch dieser Ansicht schließt sich das LG nicht an und liefert die passende Rechtsgrundlage.

Soweit die Beklagte die Daten des Klägers noch zum Zwecke der Berücksichtigung des Widerspruchs des Klägers vorhält, ist dies nach Art. 6 Abs. 1 lit. c) DS-GVO gerechtfertigt.

Fazit

Die Entscheidung des LG ist unter mehreren Gesichtspunkten praxisrelevant. Zum einen stärkt sie die grundsätzliche Zulässigkeit von Briefwerbung unter der DSGVO, die 1) ohne Einwilligung und 2) ohne das Erfordernis einer Kundenbeziehung zulässig ist. Zum andern bestätigt das Gericht die vormalige Rechtsprechung des BGH (unter altem BDSG) zur Zulässigkeit der Datenverarbeitung für die Umsetzung eines Werbewiderspruchs. Auf dieser Grundlage dürfte also etwa eine Blacklist geführt werden.

Interessenkonflikt des internen Datenschutzbeauftragten: Belgische Datenschutzbehörde verhängt 75.000 EUR Bußgeld

Posted on by

NOYB berichtet in seinem GDPRhub über eine praxisrelevante Entscheidung (Englisch) der belgischen Datenschutzbehörde vom 16.12.2021.

Die belgische Datenschutzbehörde verhängte danach gegen eine Bank eine Geldbuße, weil ihr Datenschutzbeauftragter gleichzeitig Leiter von drei Abteilungen mit Entscheidungsbefugnissen über die Verarbeitung personenbezogener Daten war. Nach Ansicht der Aufsichtsbehörde führte dies zu einem Interessenkonflikt, der gegen Art. 38 Abs. 6 DSGVO verstieß.

Danach kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen. Jedoch muss der Verantwortliche oder der Auftragsverarbeiter sicherstellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

In dem vorliegenden Fall war der interne Datenschutzbeauftragte gleichzeitig Leiter

  • des operativen Risikomanagements der Bank,
  • der Abteilung für Informationsrisikomanagement und
  • der Sonderermittlungsstelle.

Nach Auffassung der belgischen Datenschutzbehörde handelte es sich bei diesen Tätigkeiten nicht nur um eine rein beratende und überwachende Funktion. Ein Interessenkonflikt wird von Behörden oft angenommen, wenn der Datenschutzbeauftragte über die Verarbeitung personenbezogener Daten entscheiden kann.

Hier die Ansicht des EDSA (damals noch Art. 29 Gruppe) aus dem WP 243 (S. 19):


dass der DSB innerhalb einer Einrichtung keine Position innehaben kann, welche es mit sich bringt, dass er die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Aufgrund der jeder Einrichtung eigenen strukturellen Unterschiede ist diese Frage fallweise zu betrachten.“

Da der Datenschutzbeauftragte hier die endgültige Verantwortung für die genannten Abteilungen trug, war die Datenschutzbehörde der Ansicht, dass ein Interessenkonflikt vorlag, der gegen die DSGVO.

Auf dieser Grundlage verhängte die Datenschutzbehörde eine Geldbuße in Höhe von 75.000 Euro gegen die Bank.

Recht auf Berichtigung bei Angabe falscher Daten im Rahmen der Registrierung? – Hessische Aufsichtsbehörde: ja und nein

Posted on by

Auf der Webseite des EDSA wurde die Zusammenfassung (PDF) einer neuen Entscheidung der Hessischen Datenschutzbehörden vom 19.11.2021 im Wege des One Stop Shop Mechanismus veröffentlicht.

Sachverhalt

Der Fall betrifft eine Registrierung bei einem Dienst, in deren Zuge der Betroffene ein falsches Geburtsdatum eingab. Der Dienst durfte nach den Nutzungsbedingungen nur von Volljährigen genutzt werden. Daher gab der minderjährige Betroffene ein falsches Geburtsdatum an. Zudem wählte er noch ein Pseudonym als Account Namen.

Der Betroffene macht nun, nachdem er volljährig war, sein Recht nach Art 16 GDPR auf Berichtigung der, von ihm selbst, falsch angegeben Daten geltend. Das Unternehmen verweigerte die Berichtigung beider Daten.

Entscheidung

Die Aufsichtsbehörde lehnte die Beschwerde in Bezug auf die Berichtigung des Account Namens, also des Pseudonyms, ab.

„Ein von der betroffenen Person frei gewähltes Pseudonym kann nicht unrichtig im Sinne von Artikel 16 Absatz 1 DSGVO sein, auch wenn es Namen oder andere Daten von Dritten enthalten kann.“

Jedoch geht die Behörde davon aus, dass das Geburtsdatum zu berichtigen sei. Auch wenn dies von dem betroffenen falsch angegeben wurde und selbst auch dann, wenn dies einen Verstoß gegen die Nutzungsbedingungen der Plattform darstellt.

„Das Recht auf Berichtigung besteht unabhängig von möglichen zivilrechtlichen Folgen im Vertragsverhältnis zwischen dem Beschwerdeführer und dem Anbieter. Dementsprechend müssen die Prozesse im Kundensupport angepasst werden, damit eine Berichtigung in zukünftigen, vergleichbaren Fällen nicht pauschal abgelehnt wird.“

Fazit

Die Entscheidung dürfte für Unternehmen relevant sein, die Nutzerkonten anbieten und hierzu bestimmte Vorgaben an Nutzer machen, etwa zu einer Altersgrenze. Hinsichtlich der absichtlichen Angabe des falschen Geburtsdatums erscheint mir die Ansicht der Behörde durchaus diskutabel. Denn mit der Begründung wäre es Betroffenen möglich, bewusst und missbräuchlich falsche Daten in Systeme bei Unternehmen zu geben, nur um dann im Nachgang Verstöße gegen die DSGVO geltend zu machen. Eventuell kann man in solchen Fällen aber den Einwand des Missbrauchs nach Art. 12 Abs. 5 GDPR erheben.

Der „Zugriff“ auf Endeinrichtungen nach § 25 TTDSG – ein historischer Blick auf den Schutzzweck der Norm

Posted on by

Mit der Neureglung des § 25 Abs. 1 TTDSG wird aktuell oft darüber diskutiert, wann eine tatbestandliche „Speicherung von Informationen“ oder ein „Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ vorliegt. Die Antwort auf diese Frage kann in der Praxis darüber entscheiden, ob ein bestimmter (technischer) Vorgang in den Anwendungsbereich des § 25 Abs. 1 TTDSG und damit dem Einwilligungsvorbehalt unterliegt.

Für das Verständnis dieser Begrifflichkeiten ist meines Erachtens elementar, den Sinn der europäischen Grundlage, Art. 5 Abs. 3 ePrivacy Richtlinie, und die dahinter liegende Intention des Gesetzgebers zu beleuchten. Nachfolgend möchte ich daher einen Überblick über die Entstehung der Vorschrift und die Begründungen des Gesetzgebers hierzu geben.

Ursprung – das Parlament

Im ursprünglichen Entwurf für die ePrivacy Richtlinie der EU Kommission war Abs. 3 des Artikel 5 noch gar nicht enthalten. In dem zweiten Bericht des LIBE-Ausschusses vom 24.10.2001 wurde mit Änderungsantrag 26 ein neuer Art. 5 Abs. 2a vorgeschlagen. Dieser lautete:

Die Mitgliedstaaten verbieten die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die auf dem Endgerät eines Teilnehmers oder Nutzers gespeichert sind, ohne die vorherige ausdrückliche Einwilligung des betreffenden Teilnehmers oder Nutzers. Dies gilt nicht für eine technische Speicherung oder den Zugang zum alleinigen Zweck der Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.“

Für das Verständnis der Norm und vor allem ihres Schutzgedankens, ist die Begründung für diesen Vorschlag relevant. Danach sind Endgeräte der Nutzer elektronischer Kommunikationsnetze und etwaige dort gespeicherte Informationen Teil der Privatsphäre des Nutzers und schutzwürdig.

Weiter wird die Anpassung damit begründet, dass sogenannte cookies, spyware, web bugs, hidden identifiers (Software zum Ausspionieren im Internet) und ähnliche Systeme, die ohne ausdrückliches Wissen oder ausdrückliche Zustimmung des Nutzers in sein Endgerät eindringen, um Zugang zu Informationen zu bekommen, verborgene Informationen zu speichern oder die Aktivitäten des Nutzers zurückzuverfolgen, eine ernsthafte Verletzung der Privatsphäre darstellen können.

Daher, so die Begründung, sollte die Verwendung solcher Systeme deshalb verboten werden, es sei denn, der betreffende Benutzer hat ausdrücklich und in Kenntnis der Sachlage freiwillig seine Einwilligung gegeben.

Deutlich wird in dieser Begründung, dass der LIBE-Ausschuss die Privatsphäre der Nutzer vor „Software zum Ausspionieren“ schützen und eine Zurückverfolgung des Nutzers verhindern möchte. Gleichzeitig sieht Satz des Vorschlags aber bereits Ausnahmen von dem Einwilligungserfordernis vor.

Die Schutzrichtung des Vorschlags bezieht sich auf ein „Eindringen“ in das Endgerät. Man wollte hier also wohl die Privatsphäre nach außen schützen, jedoch nicht die Gegenrichtung, das Aussenden von Informationen von dem Endgerät selbst erfassen (vgl. „in sein Endgerät eindringen“).

Dieser Vorschlag wurde so auch durch das Parlament am 13.11.2001 angenommen.

Anpassungen im Rat

Am 30.11.2001 hat sich der Ausschuss der ständigen Vertreter (PDF) im Rat der Europäischen Union mit den Änderungsvorschlägen des Parlaments befasst. Dort wird zu dem neuen Art. 5 Abs. 2 a darüber informiert, dass nach Auffassung der Kommission diese Abänderung zwar neue und positiv zu bewertende Elemente, aber in ihrer Tragweite noch präzisiert werden müsste. Vor diesem Hintergrund hat der Ratsvorsitz zwei neue Erwägungsgründe 24 und 25 eingefügt, „um die unterschiedliche Behandlung einerseits von „Cookies – mit denen legitime Ziele verfolgt werden und die unter bestimmten Bedingungen verwendet werden dürfen – und andererseits von Spionageprogrammen – die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind – klarzustellen“. Zudem sollte der neue Abs. 2 a entsprechend angepasst werden.

Auch hier wird deutlich, dass die vorgeschlagene Regelung zum einen eine Balance ermöglichen sollte, gewissen Zugriffe bzw. das Speichern von Informationen (konkret werden Cookies genannt) ohne Einwilligung zuzulassen. Zum anderen grenzt der Rat diese, wenn man so will „guten“ Zugriffe von Spionageprogrammen ab, „die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind“. Vor allem die Heimlichkeit des Zugriffs scheint hier ein wichtiger Faktor aus Sicht des Rates zu sein.

Auch diese Begründung spricht für eine Auslegung, dass die Norm einen Schutz nach außen schaffen möchte, jedoch nicht dazu gedacht war, das Aussenden von Informationen aus Endgeräten, die ohne vorherigen Einfluss von außen erfolgen, zu untersagen.

Frankreich wird etwas konkreter

Noch konkreter wurde am 4.12.2001 die französische Delegation, die einen Vorschlag (PDF) für Anpassungen, sowohl der Erwägungsgründe als auch des Art. 5 selbst vorlegte. Die Vorschläge Frankreichs basieren auf den neuen Entwürfen des Ratsvorsitzes.

Zum einen fällt natürlich auf, dass der Rat (und ohne Änderung Frankreichs) das Einwilligungserfordernis des Parlaments in ein Widerspruchsrecht umwandelte. Schlussendlich wurde die Einwilligung mit der RL 2009/136/EG in Art. 5 Abs. 3 verankert.

Zum anderen zeigen auch die Vorschläge Frankreichs ziemlich deutlich, welche Schutzrichtung der damalige Art. 5 Abs. 3 bezweckte. So führte Frankreich in ErwG 25 den Satz ein: „Die Information über die Verwendung mehrerer derartiger Instrumente durch Installierung im Endgerät des Nutzers…“. Hieraus wird deutlich, dass das Endgerät nach außen hin („durch Installierung im Endgerät“) geschützt werden soll. Auch in dem Vorschlag des Ratsvorsitzes zu dem neuen ErwG 25 wird dies klar. So heißt es dort „der Betreiber einer Website, der solche Instrumente versendet oder Dritten erlaubt, diese über seine Website zu versenden“. Der neue Art. 5 Abs. 3 sollte mithin Schutz gegen das Versenden von Instrumenten von außen bieten. Es wird jedoch nie erwähnt, dass auch ein Aussenden aus dem Endgerät für die Norm von Relevanz wäre.

Fazit

Ich denke, es sprechen sowohl der Wortlaut der jetzt gültigen Norm als auch die Erwägungen ihrer Entstehung recht klar für ein Verständnis, dass Art. 5 Abs. 3 Zugriffe (zB „Eindringen“) von außen von der Einwilligung abhängig machen möchte, wenn nicht eine Ausnahme vorliegt. Existiert aber schon kein solcher tatbestandlicher Vorgang des Zugriffs oder Eindringens von außen in das Endgerät, sondern werden zB von diesem Daten und Informationen ausgesendet, dürfte der Anwendungsbereich von Art. 5 Abs. 3 ePrivacy Richtlinie und § 25 TTDSG nicht eröffnet sein.