Datenschutzbehörde Niedersachsen: Hinweise zu Einwilligungen für Cookies und Consent Management Tools

Die Datenschutzbehörde Niedersachsen hat am 25.11.2020 „Hinweise zu datenschutzkonfomen Einwilligungen auf Webseiten und zu Anforderungen an Consent-Layer“ (PDF) auf ihrer Webseite veröffentlicht. Die Hinweise geben einen guten und praktischen Überblick, was aus Unternehmenssicht bei dem Einsatz von Cookies und auch der Auswahl eines Consent Management Tools zu beachten ist. Zum Teil sind die Empfehlungen tatsächlich eher wirtschaftsfreundlich, jedoch finden sich in den Hinweisen auch einige meiner Ansicht nach rechtlich diskutable Punkte.

Die Hinweise starten mit der Feststellung, dass „sowohl für die Verwendung von Cookies als auch generell für die Einbindung von Drittdienst-leistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste)“ eine datenschutzrechtliche Einwilligung der Seitennutzerinnen und -nutzer erforderlich sei. In dieser Pauschalität ist diese Aussage jedoch nicht richtig. Natürlich gibt es auch Cookies, für deren Einsatz gerade keine Einwilligung eingeholt werden muss. Beispiele hierfür finden sich etwa im Working Paper 194 der ehemaligen Art. 29 Datenschutzgruppe, welches sich allein mit den Ausnahmen vom Einwilligungserfordernis befasst.

„Werbeversprechen“ von Consent-Tools

Meines Erachtens zurecht weist die Behörde darauf hin, dass sich Unternehmen nicht blind auf Aussagen von Anbietern von Consent Management Tools verlassen dürfen. Also etwa, dass mit deren Einsatz per se DSGVO-konforme Einwilligungen eingeholt werden. Meiner Erfahrung nach können dieses Tools sehrwohl als Werkzeug dienen, um solche Einwilligung einzuholen. Jedoch bedarf es stets einer finalen Prüfung und ggfs. Anpassung durch den Verantwortlichen.

Anforderungen an datenschutzkonforme Einwilligungen

Nachfolgend geht die Behörde dann auf die einzelnen Voraussetzungen einer Einwilligung nach Art. 4 Nr. 11 DSGVO ein. Sie stellt hierzu folgende Prüfpunkte auf:

  • Zeitpunkt der Einwilligung,
  • Informiertheit der Einwilligung,
  • eindeutige bestätigende Handlung,
  • freiwillige Einwilligung,
  • keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging),
  • Widerruf der Einwilligung,
  • Einwilligungen für Datenverarbeitungen von Minderjährigen.

Wichtig ist etwa, dass Cookies (oder generell andere Tracker) erst aktiviert werden, wenn die Einwilligung aktiv erteilt wurde. Ansonsten stellt ein Consent Management Tool nur ein Placebo dar.

Interessant ist zudem die Ansicht zu dem Merkmal der „Informiertheit der Einwilligung“, also welche Informationen im Einwilligungstext zu erteilen sind. Die Behörde trennt hier strikt zwischen der Informiertheit der Einwilligung und den Informationspflichten nach Art. 13 DSGVO.

Welche Informationen konkret zu erteilen sind, ergibt sich – im Unterschied zu den in Art. 13 DS-GVO normierten Informationspflichten – nicht unmittelbar aus dem Gesetz“. Die Datenschutzbehörde verweist für die „Informiertheit“ auf die Anforderungen des EDSA in den Guidelines 05/2020. Danach müssen folgende Informationen erteilt werden:

  • Identität des Verantwortlichen,
  • Verarbeitungszwecke
  • die verarbeiteten Daten,
  • die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit. c) und
  • die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S. 1 lit. a).

Erfreulicherweise gibt die Behörde auch Beispiele für Verarbeitungszwecke, die ihrer Ansicht nach nicht ausreichend sind. Etwa: „Webanalyse und Werbemaßnahmen durchzuführen“ und „Marketing, Analytics und Personalisierung“ zu ermöglichen. Und auch bei der Einbindung von Drittdiensten (was in der Praxis zumeist der Fall ist), ist die Behörde recht streng. Es genüge nicht eine Information, dass Daten an „Partner“ weitergegeben werden. Jedoch verlangt die Behörde nicht, dass die einzelnen Dritten direkt auf dem ersten Layer oder der ersten Ebene zu sehen sind. Sie müssen nur ausdrücklich benannt sein. Man könnte als annehmen, dass eine Information über einzelne Dritte auch auf der zweiten Ebene im Consent Management Tool zulässig ist.

Strenger ist die Auffassung hinsichtlich des Hinweises auf das Widerrufsrecht (Art. 7 Abs. 3 S. 3 DSGVO). Dort verlangt die Behörde explizit, dass dieser Hinweis „bereits auf der ersten Ebene des Consent-Fensters erforderlich“ sei. Dass man dies auch anders beurteilen kann, zeigt ein jüngst veröffentlichtes Urteil des LG Rostock (Az. 3 O 762/19). Das Gericht entschied dort: „Soweit der Kläger einwendet, die Information habe im Cookie-Banner selbst erfolgen müssen, so dass ein Verstoß gegen Art. 13 Abs. 2 lit. c DSGVO vorliege, teilt die Kammer diese Ansicht nicht“.

Spannend finde ich zudem noch die Ansicht der Behörde zur „Freiwilligkeit“. Zwar vertritt sie die Ansicht, dass sog. Cookie Walls unzulässig seien. „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen“. Die Datenschutzbehörde aus Niedersachsen bezieht sich hierbei auf einen beispielhaften Screenshot, in dem Nutzern ein Abo für 3 EUR im Monat angeboten wird, welches ohne ein Tracking auskommt. Die Behörde gestattet also das Modell der Alternative zwischen „Kostenlos, dafür Tracking“ und „Kostenpflichtig, dafür ohne Tracking“. Ob die in dem Beispiel genannten 3 EUR pro Monat als Maximalwert anzusetzen sind, würde ich jedoch eher ablehnen.

Neue Rechtslage: Berliner Datenschutzbehörde erhält Zuständigkeit für Bußgelder nach dem TMG

Im Juni diesen Jahres hatte ich im Blog darauf hingewiesen, dass in einigen Bundesländern die Zuständigkeit für die Verhängung von Bußgeldern wegen Verstößen gegen die datenschutzrechtlichen Vorgaben des TMG (insbesondere §§ 13, 14, 15 TMG) gar nicht bei den Datenschutzbehörden liegt. In Berlin waren etwa die jeweiligen Bezirksämter zuständig.

Änderung der Rechtslage

Nun hat der Landesgesetzgeber in Berlin genau diese Situation adressiert und auch geändert. Ab sofort, genauer gesagt ab heute, ist für die Verhängung von Bußgeldern nach § 16 Abs. 2 Nr. 2 bis 5 TMG nicht mehr das jeweilige Bezirksamt, sondern die Landesbeauftragte für Datenschutz zuständig.

Die Anpassung erfolgt im Rahmen der „Verordnung zur Änderung der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten und der Verordnung über die Zuständigkeit für einzelne Bezirksaufgaben“, die gestern im Berliner Gesetzes- und Verordnungsblatt veröffentlicht wurde (PDF).

Es erfolgt eine Änderung in § 1 der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten (ZustVO-OWiG). Die veränderte Verordnung tritt heute in Kraft (vgl. Art. 3 Verordnung zur Änderung der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten und der Verordnung über die Zuständigkeit für einzelne Bezirksaufgaben).

Der neue § 1 Nr. 16 ZustVO-OWiG lautet wie folgt:

Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten sind für die Fälle, in denen die zuständige Verwaltungsbehörde nicht durch Gesetz bestimmt ist, die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit für Ordnungswidrigkeiten nach § 16 Absatz 2 Nummer 2 bis 5 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 11 des Gesetzes vom 11. Juli 2019 (BGBl. I S. 1066) geändert worden ist, in der jeweils geltenden Fassung.

Auswirkung

Eine direkte Auswirkung dieser Anpassung ist, dass nun die Berliner Datenschutzbehörde für die Verhängung von Bußgeldern in den benannten Fällen des § 16 Abs. 2 TMG zuständig ist. Dies sollten Unternehmen in Berlin beachten, wenn sie etwa im Rahmen einer internen Risikoprüfung des Trackings auf Webseiten oder Apps über Rechtsfolgen nachdenken.

Hinweise

Weiterhin bisher nicht angepasst wurde aber § 16 Abs. 2 TMG selbst; konkret Nr. 5. Als Bußgeldtatbestand wurde dort „nur“ eine Verletzung von § 15 Abs. 3 S. 3 TMG aufgeführt, nicht jedoch ein Verstoß gegen die übrigen Sätze des § 15 Abs. 3 TMG, in denen es um die Erstellung von Profilen und den Einsatz von Cookies geht. Zudem gilt auch weiterhin die Obergrenze für Bußgelder von 50.000 EUR nach § 16 Abs. 3 TMG. Dies aber natürlich nur, soweit man sich nicht im Anwendungsbereich der DSGVO befindet.

Man wird nun abwarten müssen, ob die Berliner Aufsichtsbehörde von ihrer neu geschaffenen Zuständigkeit Gebrauch macht.

EuGH-Urteil zur Einwilligung: Voraussetzungen der Wirksamkeit und Anforderungen an den Nachweis

Mit Urteil vom 11.11.2020 (Rechtssache C?61/19) hat der EuGH einige relevante Aussagen rund um die Wirksamkeitsanforderungen und Nachweispflichten von Verantwortlichen bei der Einholung von Einwilligungen nach der DSGVO getroffen. Zum Teil wurde das Urteil mit der Information kommentiert, dass der EuGH nur wieder einmal festgestellt habe, dass vorangekreuzte Kästchen nicht als Einwilligung taugen. Meines Erachtens enthält das Urteil jedoch durchaus mehr datenschutzrechtlichen Sprengstoff und damit Praxisauswirkungen.

Sachverhalt

Dem Urteil lag ein Verwaltungsverfahren zwischen Orange Romania und der rumänischen Datenschutzbehörde zugrunde.  Diese stellte fest, dass Orange Romania im Zeitraum vom 1. März 2018 bis zum 26. März 2018 mit natürlichen Personen Verträge über Mobiltelekommunikationsdienste in Papierform geschlossen habe, wobei diesen Verträgen Kopien der Ausweisdokumente dieser Personen angeheftet worden seien. Orange Romania habe nicht nachgewiesen, dass ihre Kunden, deren Verträgen Kopien ihrer Ausweisdokumente angeheftet gewesen seien, eine gültige Einwilligung zur Sammlung und Aufbewahrung von Kopien dieser Dokumente erteilt hätten.

Wichtig zur Einordnung des Urteils, ist die Darstellung des damaligen Verkaufsverfahrens. Es gibt zum einen Verträge, in denen das Kästchen, das die Klausel in Bezug auf die Aufbewahrung der Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthielten, betroffen habe, angekreuzt worden sei, und zum anderen Verträge, bei denen ein solches Kreuz fehle. Orange Romania habe den Abschluss von Abonnementverträgen mit Kunden, die es abgelehnt hätten, in die Einbehaltung einer Kopie ihrer Ausweisdokumente einzuwilligen, nicht abgelehnt.

Interne Verfahren von Orange Romania zum Verkauf haben vorgesehen, dass diese Weigerung der Kunden in einem speziellen Vordruck zu dokumentieren sei, der von diesen Kunden vor Vertragsabschluss zu unterzeichnen sei.

Die Verkäufer haben die betroffenen Kunden während der Verfahren zum Abschluss Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet, bevor sie mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten hätten. Das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten sei allein auf der Grundlage der von den Betroffenen bei Vertragsschluss erklärten Zustimmung angekreuzt worden. Dieser Umstand ist wichtig: das Kästchen war nicht etwa per se vorangekreuzt. Es wurde aber, nach mündlicher Rückfrage beim Kunden, durch den Verkäufer (quasi für den Kunden) angekreuzt. Im Anschluss haben dann die Kunden den ganzen Vertrag, inklusive des dann natürlich schon angekreuzten Kästchens und der betreffenden Klausel zur Einwilligung unterzeichnet.

Der EuGH hatte hierauf basierend zwei Fragen zu beantworten:

  • ob unter diesen Umständen davon ausgegangen werden kann, dass die betreffenden Kunden in die Sammlung ihrer Ausweisdokumente und der Anheftung von Kopien davon an ihre Verträge gültig eingewilligt haben.
  • ob mit der Unterzeichnung eines Vertrags, in dem es eine Klausel über die Aufbewahrung von Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthalten, gibt, das Vorliegen einer solchen Einwilligung nachgewiesen werden kann.

Entscheidung des EuGH

Wirksamkeit der Einwilligung

Zunächst stellte sich die Frage, ob die Einwilligung zur Verarbeitung der Daten in den Ausweiskopien in der hier durchgeführten Form wirksam erteilt wurde. Der EuGH prüft die Wirksamkeit sowohl anhand der alten EU Datenschutz-Richtlinie, als auch der DSGVO.

Der EuGH verweist zunächst auf ErwG 32 und auch sein Urteil in Planet 49 (C-673/17). Danach wird ausdrücklich ausgeschlossen, dass bei „Stillschweigen, bereits angekreuzte[n] Kästchen oder Untätigkeit“ eine Einwilligung vorliegt. In einem solchen Fall ist es nämlich praktisch unmöglich, objektiv zu bestimmen, ob der Nutzer einer Website tatsächlich seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten gegeben hat, indem er die voreingestellte Markierung eines Kästchens nicht aufgehoben hat, und ob diese Einwilligung überhaupt in informierter Weise erteilt wurde. Die erforderliche Willensbekundung muss zudem „für den konkreten Fall“ erfolgen, was so zu verstehen sei, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.

Da hier die Einwilligung innerhalb des Vertragstextes enthalten war, referenziert der EuGH zudem auf Art. 7 Abs. 2 S. 1 DSGVO wonach, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, das Ersuchen um Zustimmung in einer solchen Form erfolgen muss, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Allgemein relevant ist auch die Anforderung des EuGH an das Merkmal „in informierter Weise“ (Art. 4 Nr. 11 DSGVO). Zur Ausfüllung dieser Anforderung verweist das Gericht auf die Informationspflichten nach Art. 13 DSGVO. Der für die Verarbeitung Verantwortliche muss der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lassen. Mindestinhalt der Informiertheit der Einwilligung sind danach:

  • die Art der zu verarbeitenden Daten,
  • die Identität des für die Verarbeitung Verantwortlichen,
  • die Dauer und die Modalitäten dieser Verarbeitung
  • die Zwecke, die damit verfolgt werden,

Diese Informationen müssen den Betroffenen bekannt sein. Die Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen.

Ganz entscheidend ist auch noch der Hinweis auf die erforderliche Freiwilligkeit. Nach dem EuGH muss eine echte Wahlfreiheit bestehen. Vertragsbestimmungen dürfen die Betroffenen nicht über die Möglichkeit irreführen, einen Vertrag abschließen zu können, auch wenn sich die Person weigert, in die Verarbeitung ihrer Daten einzuwilligen. Sind solche Hinweise zur Freiwilligkeit nicht vorhanden, kann die Einwilligung dieser Person in die Verarbeitung ihrer personenbezogenen Daten weder als freiwillig erteilt noch im Übrigen als in Kenntnis der Sachlage oder in informierter Weise erteilt angesehen werden.

Im konkreten Fall sah der EuGH diese Anforderungen nicht als erfüllt an.

Zum einen wurde die (durch das Verkaufspersonal) angekreuzte Klausel in Bezug auf die Verarbeitung dieser Daten nicht in einer Form präsentiert, die sie klar von anderen Vertragsklauseln unterscheidet. Zum anderen hegt das Gericht Zweifel, ob die Einwilligung in informierter Weise erteilt wurde. Kritisch sieht der EuGH den Umstand, dass sich die in Rede stehende Vertragsklausel darauf beschränkt, „ohne irgendeinen anderen Hinweis die Identifikation als Zweck für die Aufbewahrung der Kopien der Personalausweise anzugeben“. Der EuGH sieht hier wohl nicht alle Anforderungen der Informiertheit als erfüllt an. Dies muss aber das vorlegende Gericht feststellen.

Zudem sieht der EuGH wohl auch die erforderliche Freiwilligkeit hier kritisch. Das vorlegende Gericht muss prüfen, „ob die im Ausgangsverfahren in Rede stehenden Vertragsbestimmungen die betroffene Person mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten und ob damit in Frage gestellt wird, dass die in dieser Unterschrift zum Ausdruck gebrachte Einwilligung in informierter Weise und in Kenntnis der Sachlage erfolgt ist“.

Was bedeutet dies für die Praxis? Die Anforderungen an eine wirksame Einwilligung bleiben hoch. Der EuGH dekliniert hier noch einmal sehr gut die wichtigsten Anforderungen an eine Einwilligung nach der DSGVO durch. Besonderes Augenmerk muss in der Praxis in jedem Fall auf eine transparente und klare Erteilung der Einwilligung, umfassende Informationen und die Sicherstellung der Freiwilligkeit und der Hinweis auf eben diese gelegt werden.

Nachweis der Einwilligung

Spannend sind sodann die Ausführungen des EuGH zu der Nachweispflicht des Verantwortlichen. Der EuGH verweist zunächst auf die Datenschutzgrundsätze. Der Verantwortliche hat nach Art. 5 Abs. 1 lit. a DSGVO u. a. die Rechtmäßigkeit der Verarbeitung dieser Daten zu gewährleisten. Zudem muss er, wie Art. 5 Abs. 2 DSGVO klarstellt, in der Lage sein, diese Rechtmäßigkeit nachzuweisen. Nach Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf einer Einwilligung beruht.

Vorliegend sind die Kunden nach Aussage von Orange Romania während der Verfahren zum Abschluss der Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet worden. Danach hätten die Mitarbeiter mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten und das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten angekreuzt.

Dies genügt dem EuGH offensichtlich nicht.

Da die betroffenen Kunden das Kästchen, das diese Klausel betrifft, anscheinend

nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden in die Sammlung und Aufbewahrung einer Kopie ihrer Personalausweise nachzuweisen“.

Nach Ansicht des EuGH reicht der Umstand, dass die Kunden die Verträge mit dem angekreuzten Kästchen unterzeichnet haben,

„für sich genommen nicht aus, um eine solche Einwilligung nachzuweisen, sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“.

Meines Erachtens bedeutet dies für die Praxis, dass etwa allein der interne Vermerk „Kunde hat zugestimmt“ durch einen Mitarbeiter im Rahmen von Kundengesprächen nicht als Nachweis einer erteilten Einwilligung ausreicht. Dies dürfte vor allem für Telefongespräche oder auch allgemein Verkaufsgespräche relevant sein, in denen der Mitarbeiter des Unternehmens während des Gesprächs parallel zB einen Vertrag ausfüllt. Man denke hier insbesondere auch an Call-Center. Im Grunde ist das Urteil für jegliche Situation relevant, in der die Einwilligung mündlich erteilt wird.

Der EuGH sieht diese Art der Nachweisführung jedoch nicht per se als ungeeignet an. Er ergänzt ausdrücklich „sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“. Das bedeutet, dass Unternehmen in der Praxis durchaus das Häkchen für den Kunden setzen dürfen, dies jedoch nur dann der Nachweispflicht genügt, wenn zusätzlich (prozessuale) Maßnahmen vorgesehen sind, die belegen können, dass der Betroffene die Einwilligung selbst und die dazugehörigen Informationen auch zur Kenntnis genommen hat. Der Nachweis, dass der Vertrag mit der entsprechenden Klausel unterzeichnet wurde, reicht nicht aus.

Die Anforderung des EuGH, dass der Kunde die Klausel wirklich auch gelesen haben muss, ist meines Erachtens eher im Sinne einer „Kenntnisnahme“ zu verstehen. Denn wir soll man als Verantwortlicher in der Praxis sicherstellen, dass ein Betroffener wirklich den Text liest? Selbst wenn man ihm die Klausel zum Lesen vorlegt, könnte er ja (salopp formuliert) nur auf das Blatt starren. In diesem Fall zu fordern, dass das Unternehmen den Nachweis des Lesens erbringt, halte ich persönlich für überspitzt.

Justizministerium veröffentlicht Referentenentwurf zur Umsetzung der Richtlinie über digitale Inhalte – Vom „Zahlen mit Daten“ und der Vertragsnichtigkeit bei DSGVO-Verstößen

Am 3. November hat das BMJV den lang erwarteten Referentenentwurf zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen veröffentlicht (pdf). Dieser soll die Vorgaben der Richtlinie 2019/770 in das deutsche Recht umsetzen.

Ganz allgemein bietet der Referentenentwurf eine Fülle an spannenden Themen rund um die Digitalisierung, insbesondere etwa eine Updatepflicht (inkl. der Frage, inwieweit Verbraucher hierbei mitwirken müssen) (§ 327 f BGB) für Unternehmen und auch Vorschriften zu Mängelrechten, wenn digitale Produkte (dies umfasst digitale Inhalte und Dienstleistungen) nicht frei von Produkt- und Rechtsmängeln sind (§ 327e BGB).

Daneben bietet der Entwurf spannende Überschneidungen zum Datenschutzrecht. Auf einige solcher Themenkomplex möchte ich hier kurz eingehen. Weitere Beiträge zu dem Vorhaben folgen sicherlich noch.

Verträge, bei denen „mit Daten bezahlt“ wird

Der Referentenentwurf schlägt einen neuen § 312 Abs. 1a BGB vor, mit dem nun auch ausdrücklich geregelt werden soll, dass die Verbraucherschutzvorschriften auf Verträge Anwendung finden, die ein „Bezahlen mit Daten“ zum Gegenstand haben. Der neue Abs. 1a lautet:

Die Vorschriften der Kapitel 1 und 2 dieses Untertitels sind auch auf Verbrauchervertra?ge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet.“

Zunächst ist festzustellen, dass sich die Vorschrift nur auf personenbezogene Daten bezieht; also nicht auf technische Informationen. Was personenbezogene Daten sind, ergibt sich aus der Legaldefinition des Art. 4 Nr. 1 DSGVO.

Nach Satz 2 ausgenommen sein sollen jene Verarbeitungen, die zur Erfüllung des Vertrages oder auch gesetzlicher Pflichten erforderlich sind. Nach der Begründung dürfte dies etwa einschlägig sein bei der „Erhebung personenbezogener Daten des Verbrauchers wie Name, Postanschrift oder E-Mail-Adresse, die der Unternehmer benötigt, um seinem Vertragspartner die vereinbarte Leistung zukommen zu lassen“. Eine weitere Ausnahme betrifft Datenverarbeitungen, zu denen der Unternehmer aufgrund gesetzlicher Anforderungen, laut der Begründung „etwa nach Steuer- oder Ordnungsrecht, verpflichtet ist“. Es geht bei den für den Anwendungsbereich relevanten Daten also stets um ein „Mehr“ an Zwecken bzw. Datenverarbeitungen. Auch eine Zweckänderung von Daten kann zur Anwendung der neuen Vorschriften führen.

Datenschutzverstoß führt nicht zur Nichtigkeit des Vertrages

Interessant ist die folgende Begründung im Entwurf: „Auf die Frage der datenschutzrechtlichen Rechtma?ßigkeit der Datenverarbeitung kommt es für die Anwendbarkeit der §§ 312 ff. BGB-E nicht an“. Dies wird damit begründet, dass es aus Sicht des Verbrauchers nicht nachteilig sein darf (er also nicht auf die Einhaltung verbraucherschützender Vorschriften vertrauen darf), wenn die Datenverarbeitung unzulässig ist.

Ganz abstrakt relevant ist die Ansicht des BMJV, dass Verstöße gegen die Vorgaben der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO keine Regelungen betreffen, die sich gegen den Abschluss eines mit der Datenerhebung verbundenen Rechtsgeschäfts wenden. In der Begründung wird etwa auf Art. 6 Abs. 1 lit. a, b und f DSGVO verwiesen. Das bedeutet nach Ansicht des BMJV auch, dass „ein Verstoß gegen die entsprechenden Vorschriften der Datenschutz-Grundverordnung die Wirksamkeit des Vertrags mit Blick auf § 134 BGB unberührt“ lässt.

Diese Ansicht ist deshalb ganz allgemein von praktischer Relevanz, da es in der Vergangenheit bereits anderslautende Rechtsprechung gab, etwa im Fall des OLG Frankfurt a.?M., Urteil vom 24.1.2018 – 13 U 165/16. Dort ging das Gericht (noch zum alten Datenschutzrecht, konkret zu § 28 Abs. 3 BDSG aF) davon aus, dass sowohl ein Verstoß gegen § 28 Abs. 3 S. 1 BDSG aF als auch ein Verstoß gegen § 7 Abs. 3 Nr. 3 UWG zu einer Nichtigkeit des gesamten Vertrags gemäß § 134 BGB führt.

Schon die „Bereitstellung“ genügt

Beachtenswert ist, dass Verträge bereits dann erfasst werden, wenn personenbezogene Daten bereitgestellt werden oder sich der Verbraucher hierzu auch nur verpflichtet.

Nach der Begründung ist der „Begriff der Bereitstellung personenbezogener Daten ist im weitest möglichen Sinne zu verstehen und umfasst alle Verarbeitungen von personenbezogenen Daten des Verbrauchers durch den Unternehmer, unabhängig von der Art und Weise der Verarbeitung“.

Ausdrücklich nicht erforderlich ist daher, dass der Verbraucher dem Unternehmer seine personenbezogenen Daten aktiv übermittelt. Ausreichend soll vielmehr sein, dass der Verbraucher die Verarbeitung seiner personenbezogenen Daten durch den Unternehmer zulässt.

Und hier nennt das BMJV einige interessante Fälle für die Praxis:

Dies kann bereits im Zeitpunkt des Vertragsschlusses geschehen sein oder auch im weiteren Verlauf erfolgen. Eine Bereitstellung liegt auch vor, wenn der Unternehmer Cookies setzt oder Metadaten wie Informationen zum Gerät des Verbrauchers oder zum Browserverlauf erhebt, soweit der betreffende Sachverhalt als Vertrag anzusehen ist“.

Dies bedeutet, dass das BMJV von einem „Bereitstellen“ und damit der Anwendung der Verbraucherschutzvorschriften ausgeht, wenn Unternehmen Cookies auf Geräten der Nutzer setzen, um hierüber personenbezogene Daten zu erheben. Man darf davon ausgehen, dass Cookies nur ein möglicher Anwendungsfall sind und dies etwa auch für Pixel oder Scripte gelten wird.

Bundesdatenschutzbeauftragter: Prüfschema für Datentransfers in Drittländer

Die Auswirkungen des EuGH-Urteils in Schrems II (C-311/18) sind in der Praxis weiterhin ein wichtiges Thema. Viele Unternehmen versuchen (Anm: viel mehr geht aktuell wohl auch nicht), ihre eigenen Datentransfers zu prüfen und, wo möglich, zusätzliche Garantien mit Datenempfängern zu vereinbaren. Wie diese vom EuGH angesprochenen „zusätzlichen Maßnahmen“ (Rz. 133) konkret aussehen, wissen wir immer noch nicht. Der EDSA soll hierzu wohl noch Leitlinien veröffentlichen.

Bis es soweit ist, könnte für Unternehmen eventuell auch eine Veröffentlichung des Bundesbeauftragten für Datenschutz (BfDI) interessant sein. Der BfDI veröffentlicht auf seiner Webseite ein „Prüfschema Drittländertransfer“ (PDF). Laut den Angaben auf der Webseite dient das Prüfschema „der strukturierten Überprüfung zum Datentransfer in Drittländer“. Zudem verlangt der BfDI, dass das Ergebnis dieser Prüfung nachvollziehbar und überprüfbar dokumentiert wird. Zwar ist der BfDI vor allem für die öffentlichen Stellen des Bundes und im privatwirtschaftlichen Bereich für Unternehmen aus den Branchen Post und Telekommunikation zuständig. Nichts desto trotz kann ein Blick in das Prüfschema meines Erachtens auch für Unternehmen, die nicht direkt der Aufsicht des BfDI unterliegen, sinnvoll sein. Denn wie sagt ein von mir sehr geschätzter Landesbeauftragter immer (frei zitiert): „Kein Unternehmen muss schlauer als die Aufsichtsbehörde sein“.

Das Prüfschema enthält verschiedene Prüfschritte:

  • Datentransfers prüfen
  • Vorliegen Angemessenheitsbeschluss
  • Schutzniveau im Drittland: Einzelfallanalyse
  • Prüfung Schutzmechanimus
  • Definierung zusätzlicher Maßnahmen
  • Implementierung zusätzlicher Maßnahmen
  • Ausnahmen nach Art. 49 DSGVO
  • Dokumentation
  • Meldung an die Aufsichtsbehörde

Ganz interessant in Bezug auf die Frage, ob Standardvertragsklauseln (SCC) genehmigungsfrei angepasst werden dürfen (hier meine Meinung zu dieser Frage), finde ich die folgende Aussage des BfDI:

Hinweis: Eigenständige vertragliche Lösungen bedürfen als ad-hoc-Klauseln einer Genehmigung durch die zuständige Aufsichtsbehörde. Änderungen an Standard-Datenschutzklauseln behalten ihre Gemehmigungsfreiheit nur, solange diese weder mittelbar noch unmittelbar im Widerspruch zum Inhalt der erlassenen Standard-Datenschutzklauseln stehen“.

Der BfDI geht also meiner Ansicht davon aus, dass 1) eine Anpassung der SCC nicht per se zur Genehmigungspflicht führt und 2), dass die Genehmigungsfreiheit dann besteht, wenn die Anpassungen nicht im „Widerspruch“ zu den Klauseln stehen. Dies ist aus praktischer Sicht auf jeden Fall begrüßenswert. Natürlich wird in der Praxis dann immer die entscheidende Frage sein, wann denn ein solcher Widerspruch vorliegt.

Europäischer Datenschutzbeauftragter: Strategie für EU-Institutionen zur Einhaltung des „Schrems II“-Urteils

Der Europäische Datenschutzbeauftragte (EDPS), also die Aufsichtsbehörde für die Institutionen der EU, hat gestern ein interessantes Papier für eine Stratege zur Einhaltung der Vorgaben des Schrems II Urteils des EuGH veröffentlicht (pdf). Dort wird dargelegt, wie nach Ansicht der Aufsichtsbehörde die EU-Institutionen nun kurz- und mittelfristig mit Datentransfers in Drittländer (insbesondere die USA) umgehen sollten.

Die Vorgaben und Empfehlungen des EDPS sind meines Erachtens auch eine gute Arbeitshilfe für Unternehmen im privatwirtschaftlichen Bereich, die ja vor derselben Herausforderung stehen.

Ziel der Strategie

Nach Aussage des EDPS zielen die Strategie und darin enthaltende Empfehlungen darauf ab, die Einhaltung des Urteils durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union zu gewährleisten und zu überwachen. Das Dokument befasst sich sowohl mit kurz- als auch mit mittelfristigen Maßnahmen für die EU-Institutionen und den EDPS.

Inhalt der Strategie

Die Vorgaben unterscheiden zwischen kurzfristigen und mittelfristigen Einhaltungsmaßnahmen wurde. Als kurzfristige Maßnahme erließ der EDPS am 5. Oktober 2020 eine Anweisung an die EU-Institutionen, eine Bestandsaufnahme durchzuführen, um festzustellen, bei welchen laufenden Verträgen, Beschaffungsverfahren und anderen Arten der Zusammenarbeit Daten übertragen werden. Als mittelfristige Maßnahme wird der EDPS Leitlinien bereitstellen und von Fall zu Fall Maßnahmen zur Einhaltung und/oder Durchsetzung der Datenschutzvorschriften bei Übermittlungen in die Vereinigten Staaten oder andere Drittländer verfolgen. Zudem sollen die EU-Institutionen aufgefordert werden, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um für den jeweiligen Transfer zu ermitteln, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau, wie es in der EU/EWR vorgesehen ist, gewährleistet ist.

Nachfolgend eine Übersicht zu den Vorgaben mit einer eigenen Übersetzung. Ich denke, dass man aus Sicht eines Unternehmens nicht alle Vorgaben direkt übernehmen kann. Jedoch ist dieser Umsetzungsplan des EDPS ein guter Anhaltspunkt, wie man im Unternehmen sein eigenes „Schrems II-Projekt“ aufsetzen könnte.

Der EDPS hält einen zweigleisigen Ansatz für den geeignetsten:

(1) Ermittlung dringender Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften durch einen risikobasierten Ansatz für Übermittlungen in die USA, die für die betroffenen Personen mit hohen Risiken verbunden sind, und parallel dazu

(2) Bereitstellung von Leitlinien und Verfolgung mittelfristiger fallweiser Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften des EDPS für alle Übermittlungen in die USA oder in andere Drittländer.

Die Strategie des EDPS zur Gewährleistung und Überwachung der Einhaltung des Urteils ist im Wesentlichen in zwei Phasen mit kurz- und mittelfristigen Maßnahmen unterteilt.

1. Kurzfristig – Bestandsaufnahme (mapping) und unmittelbare Einhaltungsprioritäten

Bestandsaufnahme

Der EDPS erteile EU-Institutionen die Anweisung, eine Bestandsaufnahme aller laufenden Verarbeitungsvorgänge und Verträge durchzuführen, die Übermittlungen in Drittländer beinhalten. Die Institutionen werden aufgefordert, bis Ende Oktober eine Bestandsaufnahme durchzuführen, um Datenübermittlungen für laufende Verträge, Beschaffungsverfahren und andere Arten der Zusammenarbeit zu ermitteln. Die Bestandsaufnahme der EU-Institutionen sollte folgend Daten enthalten:

  • die Verarbeitungsvorgänge,
  • die Bestimmungsorte,
  • die Empfänger,
  • die verwendeten Übertragungsinstrumente,
  • die Arten der übertragenen personenbezogenen Daten,
  • die Kategorien der betroffenen Personen sowie
  • Informationen über Weiterleitungen beschreiben.

Rückmeldung an den EDPS

Bis spätestens 15. November 2020 sollen die EU-Institutionen dem EDPS über spezifische Risiken und Lücken berichten, die sie bei dieser Bestandsaufnahme ermittelt haben. Darüber hinaus müssen sie dem EDPS spezifische und transparente Informationen über drei Hauptkategorien von Datenübermittlungen vorlegen, die wahrscheinlich höhere Risiken für die Rechte und Freiheiten natürlicher Personen bergen und vom EDPS vor Ende 2020 als Aufsichtsprioritäten ermittelt wurden:

  • illegale Übermittlungen, die nicht auf einem Übermittlungsinstrument beruhen;
  • Übermittlungen, die auf einer Ausnahmeregelung nach Artikel 50 der Verordnung beruhen; und
  • „risikoreiche Übermittlungen“ in die USA an Stellen, die eindeutig unter Abschnitt 702 FISA oder E.O. 1233319 fallen und bei denen es sich entweder um groß angelegte Verarbeitungsvorgänge oder komplexe Verarbeitungsvorgänge oder um die Verarbeitung sensibler Daten oder Daten sehr persönlicher Art handelt.

Auf der Grundlage dieser ersten Berichterstattung kann der EDPS Durchsetzungsmaßnahmen ergreifen, um diese Übermittlungen mit der Verordnung in Einklang zu bringen oder diese Übermittlungen gegebenenfalls auszusetzen.

2. Mittelfristig – Leitlinie des EDSA und Transfer Impact Assessments

Transfer Impact Assessments (TIAs)

Die EU-Institutionen werden aufgefordert, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um festzustellen, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/EWR gewährleistet ist.

Im Anschluss an die erwartete Leitlinie des Europäischen Datenschutzausschusses zu geeigneten ergänzenden Maßnahmen wird der EDPS eine Liste von Vorfragen für Verantwortliche zur Verfügung stellen, damit diese TIAs mit Datenimporteuren einleiten können.

Auf der Grundlage dieser Bewertungen, die mit Hilfe von Datenimporteuren durchgeführt werden, sollten die EU-Institutionen eine Entscheidung darüber treffen, ob es möglich ist, die in der Bestandsaufnahme ermittelten Transfers fortzusetzen.

Rückmeldung an den EDPS

Abhängig vom Ergebnis der TIAs sollen die EU-Institutionen dem EDPS im Laufe des Frühjahrs 2021 über die folgenden drei Kategorien von Datentransfers Bericht zu erstatten:

  • Übermittlungen in ein Drittland, die kein im Wesentlichen gleichwertiges Schutzniveau gewährleisten;
  • Übermittlungen, die ausgesetzt oder beendet werden, sind gemäß Art. 47 Abs. 2 der Verordnung 2018/1725 zu melden, wenn die EU-Institution der Auffassung ist, dass das Drittland kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet;
  • Bei Übertragungen, die auf Ausnahmeregelungen beruhen, sind Kategorien von Fällen, in denen Art. 50 der Verordnung 2018/1725 angewandt wurde, gemäß Art. 50 Abs. 6 der Verordnung zu melden.

Verwaltungsgericht Berlin: wann bestehen „begründete Zweifel“ an der Identität des Betroffenen im Rahmen einer Auskunft?

Das Verwaltungsgericht Berlin (VG) hatte mit Urteil vom 31.8.2020 (1 K 90.19) in einem Fall zu entscheiden, in dem es um die Frage ging, wann ein datenschutzrechtlich Verantwortlicher (hier: das Amtsgericht Tiergarten) „begründete Zweifel“ an der Identität eines Betroffenen gegen einen Auskunftsanspruch vorbringen kann.

Sachverhalt

Der Kläger begehrte schriftliche Auskunft über die beim Amtsgericht Tiergarten zu seiner Person gespeicherten persönlichen Daten. Diesen Auskunftsantrag lehnte der Präsident des Amtsgerichts Tiergarten mit Bescheid vom 17. Januar 2019 ab, weil der Kläger seine Identität nicht in der erforderlichen Form nachgewiesen habe. Der Präsident des Amtsgerichts Tiergarten verlangte hierzu die Vorlage einer Kopie des Personalausweises des Klägers. Der Widerspruch des Klägers hatte keinen Erfolg und er klagte schließlich gegen die Ablehnung.

Entscheidung

Das VG gab der Klage statt. Nach Ansicht des Gerichts konnte sich das Amtsgericht hier nicht auf die Ausnahmeregelung in § 59 Abs. 4 BDSG berufen. Dort ist geregelt, dass der Verantwortliche, wenn er begründete Zweifel an der Identität einer betroffenen Person hat, er von ihr zusätzliche Informationen anfordern kann, die zur Bestätigung ihrer Identität erforderlich sind. Die Vorschrift geht auf Art. 12 der Richtlinie 2016/680 zurück, die für Datenverarbeitungen im Bereich Polizei und Justiz.

Eine ähnliche Regelung findet sich praktisch wortgleich auch in Art. 12 Abs. 5 DSGVO. Aus diesem Grund ist die Begründung des VG in seiner Entscheidung meines Erachtens auch für Unternehmen im Anwendungsberiech der DSGVO interessant.

Strittig war hier also allein die Frage, ob der Kläger sich in der vom Beklagten verlangten qualifizierten Form legitimieren muss, um die beantragte schriftliche Auskunft erhalten zu können. Dies sieht das VG nicht so.

Zunächst interpretiert das VG den Begriff der „begründeten Zweifel“. Es geht davon aus, dass der auskunftspflichtige Verantwortliche ohne besonderen keinen Identitätsnachweis von einem Antragsteller verlangen darf.

Fraglich war dann, ob ein solcher besonderer Anlass oder besondere Umstände vorlagen. Auch dies lehnt das Gericht ab. Der Kläger als Betroffener begehrte Auskunft (wohl) auf postalischem Weg. Die Anschrift des Klägers war dem Amtsgericht aber schon seit längerem bekannt. Das Amtsgericht Tiergarten hatte dem Kläger schon in der Vergangenheit verschiedene Entscheidungen unter seiner gegenwärtigen Adresse übersandt.

Zudem, und dies ist auch ein interessanter Punkt in der Begründung, fehlt nach Ansicht des VG jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte.

Das VG argumentiert also wie folgt: wenn die postalische Adresse schon bisher genutzt wurde, um mit dem Betroffenen zu kommunizieren und keine Anhaltspunkte für unzulässiges Handeln Dritter erkennbar sind, kann man nicht von „begründeten Zweifeln“ ausgehen.

Zuletzt führt das VG aus, dass das Amtsgericht als Verantwortlicher durch eine förmliche Zustellung seines Auskunftsschreibens dessen Fehlleitung unterbinden kann. Auch dieser Hinweis ist für den Anwendungsbereich der DSGVO relevant und meines Erachtens auch in der Praxis dringend anzuraten. Der Versand von Auskunftsschreiben sollte nachweisbar erfolgen (allein um auch die Fristen einzuhalten). Also etwa per Einschreiben.

Fazit

Die Begründung des VG ist meines Erachtens schlüssig. Auch wenn man für den postalischen Auskunftsweg hypothetische Unsicherheitsfaktoren berücksichtigen kann (Bsp: jemand fängt den Brief ab), darf dies nicht per se dazu führen, dass eine Auskunft verweigert wird. Ist aus vergangener Korrespondenz klar, dass der Betroffene unter dieser Adresse kommuniziert, müssten besondere Anhaltspunkte hinzutreten, um „begründete Zweifel“ an der Identität annehmen zu können.

Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW

Nach dem Schrems II Urteil des EuGH (C-311/18) versuchen europäische Verantwortliche und Auftragsverarbeiter, den Einsatz von Dienstleistern aus Drittstaaten und natürlich insbesondere aus den USA den Anforderungen des EuGH anzupassen. Immer wieder diskutiert wird in diesem Zusammenhang auch, ob nicht eine Verlagerung der Daten auf Server in der EU eine Lösung wäre, selbst wenn diese durch ein Tochterunternehmer einer US-Muttergesellschaft betrieben werden. Denn in diesem Fall würde ja keine Übermittlung von Daten in die USA stattfinden.

US CLOUD Act

Wenn personenbezogene Daten über eine Tochtergesellschaft (oder direkt eine Niederlassung) einer amerikanischen Muttergesellschaft auf Server in Europa gehostet werden, wird in der Diskussion um mögliche Alternativen nach Schrems II oft der US CLOUD Act als Problem angeführt. Der US CLOUD Act (PDF) wurde im Jahr 2018 vom US-Kongress verabschiedet. Ziel des Gesetzes ist es u.a., US-Behörden das Recht zu geben, Daten von Unternehmen, die dem US-Recht unterliegen, für Strafverfolgungszwecke anzufordern. Explizit auch solche Daten, die außerhalb der USA gespeichert sind. Das bedeutet, dass auch personenbezogene Daten auf Servern in Europa angefordert werden können.

Gegebenenfalls kann es dann zu einem Konflikt zwischen US-Recht und der DSGVO kommen. Hierzu hatten sich schon einmal der EDSA und der EDSB in einer Stellungnahme geäußert (PDF).

Ein wichtiger Punkt im Rahmen des US CLOUD Act ist die Möglichkeit für betroffene Unternehmen, gegen eine behördliche Anfrage vorzugehen („may file a motion to modify or quash the legal process“). Zwar besteht diese Möglichkeit im Grundsatz, jedoch nur, wenn gewisse Voraussetzungen erfüllt sind. Eine dieser Voraussetzungen ist, dass das Unternehmen gegen das Recht einer sog. „qualifying foreign government“ verstößt. Hierbei handelt es sich um Länder, die mit den USA ein spezielles executive agreement unter dem CLOUD Act abgeschlossen haben (“with which the United States has an executive agreement that has entered into force under section 25239”). Ein solches Abkommen hat bisher nur das Vereinigte Königreich mit den USA abgeschlossen. Die EU verhandelt zu diesem Thema noch mit den USA.

Ansicht der Landesregierung NRW

In einer aktuellen Antwort (PDF) aus Anfang Oktober 2020 im Landtag NRW hat sich die Landesregierung NRW nun zu diesem Themenkomplex geäußert. Es ging dort um „LOGINEO NRW“, konkret den LOGINEO NRW Messenger. Der Messenger wird über einen AVV mit einem Dienstleister betrieben, der wiederum als Subdienstleister die „AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg“ einsetzt, also ein Tochterunternehmen von Amazon Web Services, Inc. In der Frage an die Landesregierung wird daher auch auf den US CLOUD Act und einen möglichen Konflikt mit der DSGVO eingegangen.

Die Landesregierung führt zunächst aus, dass sich die Betriebsserver für den Messengerdienst in einem zertifizierten Rechenzentrum in Frankfurt am Main befinden. Damit würden die Datenschutzgrundverordnung und das nationale Datenschutzrecht gelten. Diese Aussage ist meines Erachtens zumindest missverständlich. Denn allein der Serverstandort (oder: Ort der Datenspeicherung) ist für die Anwendbarkeit der DSGVO nicht relevant. Man wird hier aber in Bezug auf AWS mindestens von der Anwendbarkeit der DSGVO über Art. 3 Abs. 1 DSGVO ausgehen können.

Sodann verweist die Landesregierung für die DSGVO-Compliance darauf, dass es AWS, nach der zu schließenden Auftragsverarbeitungsvereinbarung (diese ist auf der Webseite des Messengers abrufbar), untersagt sei, Daten außerhalb der EU und des europäischen Wirtschaftsraumes zu verarbeiten. Damit verweist die Landesregierung im Grunde auf den Zielkonflikt, dem Unternehmen unterliegen: welches Recht halten wir ein bzw. brechen wir? Wenn sich also hier z.B. der CLOUD Act und die DSGVO gegenüberstehen und die Unternehmen zwischen den Stühlen sitzen. Natürlich ist es möglich, dass vertraglich eine Weitergabe untersagt ist. Rein objektiv betrachtet wird es aber Situationen geben, in denen Unternehmen vor die Wahl gestellt sind, welcher Rechtsordnung sie den Vorzug geben. Dass dies nicht die gewünschte Situation sein kann, ist natürlich auch klar.

Zudem führt die Landesregierung konkret zum US CLOUD Act an:

Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.

Diese Aussage ist sicher auf für Unternehmen interessant, die gerade über eine Verlagerung der Datenspeicherung nach Europa denken. Nach Ansicht der Landesregierung ist der Prozess, der dem US CLOUD Act zugrunde liegt, nämlich jenem in Deutschland vergleichbar. Die Landesregierung argumentiert für die Zulässigkeit des Einsatzes von US-Dienstleistern (bzw. deren Tochtergesellschaften) also mit einer Vergleichbarkeit der Rechtslagen in den USA und Deutschland. Oder anders ausgedrückt: die Landesregierung sieht hier wohl Argumentationsspielraum dafür, von einer Gleichwertigkeit des Schutzniveaus für Daten auszugehen. Ich möchte hinsichtlich des Prozesses und konkret der Widerspruchsmöglichkeit für Unternehmen aber auch auf meine Ausführungen oben verweisen.

Interessant ist auch der Hinweis der Landesregierung, dass die Daten der Kommunikation sowohl „bei der Übertragung zwischen den Endgeräten der Nutzer und AWS als auch während der Speicherung bei AWS verschlüsselt“ seien und von an der Kommunikation Unbeteiligten nicht gelesen werden könnten. Meines Erachtens stellt sich dann aber die Frage, ob denn überhaupt eine Auftragsverarbeitungssituation vorliegt, wenn AWS keinen Zugriff auf verschlüsselte Daten hat. Bzw. wozu wird ein AVV abgeschlossen, wenn der Dienstleister gar nicht auf personenbezogene Daten zugreifen kann?

Ob die Ansicht zum US CLOUD Act auch deutsche Datenschutzbehörden teilen würden, ist meines Erachtens zumindest fraglich. Denn wie oben verlinkt, hat der EDSA sich zum US CLOUD Act bereits einmal inhaltlich geäußert und sieht wohl datenschutzrechtliche Probleme. Ich finde die Ansicht der Landesregierung dennoch interessant und meines Erachtens macht es für Unternehmen im Rahmen des internen Mappings von Drittlandsübermittlungen und der Prüfung des Schutzniveaus bei Empfängern in Drittländern durchaus Sinn, auch die Vorgaben des US CLOUD Act zu betrachten. Denn sollte es von Aufsichtsbehörden diesbezüglich, zB im Rahmen einer Prüfung, zu Rückfragen kommen, ist eine entsprechend dokumentierte Auseinandersetzung mit der Rechtslage in dem Drittland zu empfehlen.

 

Der „Dritte“ nach der DSGVO

Wer ist „Dritter“ im Sinne des Art. 4 Nr. 10 DSGVO und was hat diese Rolle für datenschutzrechtliche Folgen?

Mit diesem, in der Praxis durchaus relevanten, Thema, befassen sich u.a. die aktuell veröffentlichten Leitlinien des EDSA (im Entwurf, 07/2020, pdf).

Die DSGVO selbst grenzt in Art. 4 Nr. 10 DSGVO im Grunde zu den übrigen Rollen nur negativ ab, wer nicht (!) Dritter ist. „Dritter“ ist danach eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle. Jedoch nicht:

  • Die betroffene Person
  • Der Verantwortliche
  • Der Auftragsverarbeiter
  • Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten (vgl. Art. 29 DSGVO)

Zunächst stellt der EDSA klar, dass die im letzten Spiegelstrich erwähnten „Personen“ solche sind, die zu der juristischen Einheit des Verantwortlichen/Auftragsverarbeiters gehören. Also vor allem Mitarbeiter. Dann werden sie quasi zu dem Verantwortlichen/Auftragsverarbeiter hinzugerechnet. Dies gilt jedoch nur soweit, wie diese Mitarbeiter innerhalb ihres Arbeitgebers befugt sind, mit personenbezogenen Daten umzugehen. Der EDSA geht davon aus, dass Mitarbeiter, die unbefugt/weisungswidrig Daten verarbeiten, nicht in diese privilegierte Kategorie fallen, sondern „Dritte“ sind.

Nun stellt man sich aber die Frage: was ist denn nun dieser „Dritte“ datenschutzrechtlich? Treffen ihn irgendwelche Pflichten der DSGVO (diese spricht ja zumeist den Verantwortlichen oder Auftragsverarbeiter an). Wenn „Dritter“ nach Art. 4 Nr. 10 DSGVO nicht der Verantwortliche oder der Auftragsverarbeiter ist, was soll er dann sein, wenn er mit personenbezogenen Daten umgeht?

Der EDSA vertritt die Ansicht, dass der „Dritte“ grundsätzlich beide Rollen einnehmen kann, je nachdem, wie er in Bezug auf die Daten agiert. Um bei dem Beispiel des Mitarbeiters zu bleiben: verwendet er die Daten weisungswidrig für eigene Zwecke, so agiert er als Verantwortlicher (und ihn treffen alle DSGVO-Pflichten).

Die Figur des „Dritten“ ist also als vorgelagertes Abgrenzungskriterium (zu dem Verantwortlichen/Auftragsverarbeiter, der betroffenen Person und den berechtigten Personen innerhalb einer Organisation) zu verstehen, welches aus dem Blickwinkel des Verantwortlichen/Auftragsverarbeiters bewertet wird. In welcher Pflichtenrolle (Verantwortlicher oder Auftragsverarbeiter) der Dritte agiert, bemisst sich nach der jeweiligen Situation und wie der Dritte mit den Daten umgeht (insb., ob er selbst Zwecke und Mittel der Verarbeitung festlegt).

Meines Erachtens kommt man zu diesem Ergebnis auch durch eine sehr genaue Betrachtung des Wortlauts von Art. 4 Nr. 10 DSGVO. Dort steht immer „dem“ Verantwortliche oder „dem“ Auftragsverarbeiter. Damit bezieht sich der Gesetzgeber (abgrenzend zum Dritten) auf den aktuell bzw. bisher Verantwortlichen/Auftragsverarbeiter.

Wann und warum verhängten Datenschutzbehörden Bußgelder – ein kleiner Überblick

Im Rahmen der Evaluierung der DSGVO nach Art. 97 DSGVO, haben auch die europäischen Datenschutzbehörden Antworten auf verschiedenste Fragen zur Anwendung und praktischen Umsetzung der DSGVO-Vorgaben gegeben. Die Liste aller Antworten ist hier abrufbar.

Die gesammelten Antworten (pdf) der deutschen Datenschutzbehörden sind meines Erachtens durchaus lesenswert. Die zum Teil angegeben Zahlen (zB zu Beschwerden) scheinen meines Erachtens den Stand ca. Ende 2019 abzubilden. Insgesamt gab es seit Mai 2018 danach 66.965 Beschwerden bei den Datenschutzbehörden.

Ganz interessant finde ich die Antworten zu Bußgeldern (S. 17). In dem Fragebogen wird angegeben, dass 208 Bußgelder unter Anwendung der DSGVO verhängt wurden (wie gesagt, wird nicht klar, bis zu welchem Datum die Zahlen erhoben wurden). Zudem informieren die deutschen Behörden auch darüber, in welchen Fällen (also für welche Art von Verstößen) Sanktionen verhängt wurden. Hier eine Auswahl:

  • Nichtbenennung eines Datenschutzbeauftragten
  • Unzureichende Authentifizierungsmaßnahmen in Callcentern
  • Bußgeld gegen einen Polizeibeamten, der seinen Zugang zu arbeitsbezogenen Datenbanken nutzte, um an die persönlichen Daten einer Frau, einschließlich ihrer Telefonnummern, zu gelangen, und sie dann aus privaten Gründen kontaktierte
  • Geldstrafe gegen ein Unternehmen, das keinen schriftlichen Vertrag mit dem Auftragsverarbeiter hatte (Artikel 28 (9) GDPR) und die Rechte der betroffenen Personen durch die Verwendung einer intransparenten und unklaren Sprache verletzt hat (Artikel 12 (1) GDPR),
  • verspätete Benachrichtigung über eine Datenverletzung und keine Information der betroffenen Personen
  • Direktmarketing trotz Widerspruch
  • verspätete Benachrichtigung gemäss Artikel 33 GDPR
  • unbefugtes Abrufen von Daten durch Mitarbeiter
  • Videoüberwachung an Verkaufsstellen
  • Videoüberwachung von Angestellten
  • Offenlegung von Anwalt/Mandanten-Beziehungen gegenüber einer dritten Partei
  • rechtswidrige Sammlung persönlicher Daten über Dashcam
  • unrechtmäßige Übermittlung personenbezogener Daten ohne angemessene Sicherheitsmaßnahmen
  • keine oder unzureichende Informationen an die Aufsichtsbehörde
  • Entsorgung personenbezogener Daten ohne notwendige Sicherheitsvorkehrungen
  • unrechtmäßige Offenlegung persönlicher Daten in sozialen Medien
  • Videoüberwachung von Mitarbeitern und Kunden
  • im öffentlichen Gesundheitssektor wegen Vermischung von Patientendaten und nicht ausreichender TOM
  • unzulässige Videoüberwachung
  • Versand von Werbe-E-Mails
  • E-Mail-Zustellung
  • Verletzungen von Zugangsrechten
  • mangelnde Kooperation
  • verdeckte Videoüberwachung
  • unbeantwortete Anfrage nach Informationen
  • Versäumnis, der Aufsichtsbehörde Zugang zu den Räumlichkeiten des Kontrolleurs zu gewähren.

Diese Information ist mE vor allem deshalb relevant, da man als Berater bzw. Unternehmen so auch einen guten Überblick darüber bekommt, welche Verarbeitungsbereiche oder Prozesse besondere Risiken bergen.

Zudem erläutern die Datenschutzbehörden auf Basis ihres Bußgeldkonzepts, welche Faktoren erhöhend oder mindernd auf das potenzielle Bußgeld wirken (S. 19).

Erhöhend:

  • (sehr) lange Dauer
  • Art, Umfang oder Zweck der Verarbeitung sind datenschutzrechtlich zu missbilligen/kritisch
  • (sehr) viele betroffene Personen
  • (sehr) schwer erlittener Schaden
  • notwendige Maßnahmen nicht eingeleitet
  • keine / schlechte Zusammenarbeit im Verwaltungsverfahren
  • vom Beschwerdeführer gemeldetes Vergehen / Hinweis / Presse
  • wirtschaftliche Situation (z.B. sehr hohe Umsatzrentabilität)

Mindernd:

  • (sehr) kurze Dauer
  • (sehr) wenige betrafen betroffene Personen
  • (sehr) wenig / kein Schaden erlitten
  • Maßnahmen haben Schäden ausgeschlossen
  • Zusammenarbeit übertraf deutlich das erwartete Niveau
  • Der Kontrolleur meldete das Vergehen von sich aus
  • wirtschaftliche Situation (z.B. drohende Insolvenz)
  • Schuldeingeständnis