DSK zu Diensten zur Einwilligungsverwaltung

31. Juli 2023

Die Datenschutzkonferenz (DSK) veröffentlichte Anfang dieses Monats eine Stellungnahme zum Referentenentwurf zur Verordnung über Dienste zur Einwilligungsverwaltung des Bundesministeriums für Digitales und Verkehr (BMDV). Der Entwurf behandelt die konkrete Umsetzung des § 26 Abs. 2 TTDSG. Dieser sieht vor, dass der Bund eine Rechtsverordnung erlassen darf, in der die Funktionen von Diensten zur Einwilligungsverwaltung und ihre Anerkennung durch eine zuständige unabhängige Stelle geregelt wird.

Künftig keine Cookie-Banner mehr?

Für Telekommunikationsanbieter sieht § 25 Abs. 1 TTDSG vor, eine Einwilligung von den Nutzern einzuholen, sie sie ihre Informationen im Endgerät speichern oder auslesen. Ausnahme dazu bildet § 25 Abs. 2 TTDSG, nach dem bei erforderlichen Technologien keine Einwilligung für das Speichern oder Auslesen notwendig ist. Dies ist Grund, weshalb beim Besuch einer Webseite der Nutzer jedes Mal seine Einwilligung für die Verwendung von Cookies abgeben muss (zu den Regelungen des TTDSG berichteten wir – hier -). Um die Anwendung von Cookies und insbesondere die Abgabe der Einwilligung zu vereinfachen, sieht das TTDSG die Einrichtung sog. Dienste zur Einwilligungsverwaltung vor. Mit Hilfe der Dienste können Nutzer ihre Einwilligungspräferenzen einmal festlegen. Diese übermitteln die Einwilligung dann weiter an Webseitenbetreiber, sodass nach dem Entwurf das erklärte Ziel ist, dass kein Cookie-Banner mehr verwendet werden, müssen. Dies kann dazu beitragen, dass Nutzer Cookie-Banner nicht ungelesen „wegklicken“ und damit eine uninformierte Einwilligung abgeben.

Reaktion der DSK

Aus Sicht der DSK sei es allerdings nicht möglich keine Cookie-Banner einzusetzen. Aus Sicht der DSK seien Cookie-Banner regelmäßig so gestaltet, dass nicht nur eine Einwilligung nach § 26 TTDSG eingeholt werden. Der Banner diene auch dazu eine Einwilligung nach art. 6 Abs. 1 lit. A Datenschutz-Grundverordnung (DSGVO) und nach § 9 Abs. 1 lit. a) DSGVO einzuholen. Für diese beiden von § 25 TTDSG zu unterscheidenden Rechtsgrundlagen bietet § 26 TTDSG gerade keine Rechtsgrundlage. Die Einwilligungen nach der DSGVO dienten anderen Zwecken.

Unabhängig von der Frage nach weiterhin erforderlichen Einwilligungen, enthalte der Entwurf, so die DSK, nicht die Möglichkeit, dass Nutzer einmal gegenüber dem Dienst eine Einwilligung abgeben und anschließend jede Webseite ohne Aufzeigen eines Cookie-Banners frei zugänglich sei. Stattdessen müsse der Nutzer bei jedem erstmaligen Besuch einer jeden Webseite eine Einwilligung abgeben. Diese könne anschließend über den Dienst gespeichert werden, sodass der Nutzer die Einwilligung nur einmal abgeben müsse.

Fazit

Nach dem jetzigen Stand ist mit dem neuen Entwurf ein Abrücken von Cookie-Bannern nicht denkbar. Für die Nutzer wie auch für Unternehmen bleiben Cookies ein wichtiges Thema, dessen Umsetzung in der Praxis künftig eine Erleichterung finden kann. Derzeit bieten viele Webseiten bereits verschiedene Möglichkeiten zur individuellen Cookie-Verwaltung.

Aufzeichnung von Telefongesprächen – Einwilligung erforderlich?

Wenn wir ein Unternehmen, zum Beispiel einen Dienstleister, anrufen möchten, landen wir oft in der Warteschleife, bevor wir mit der gewünschten Abteilung verbunden werden. Während dieser Wartezeit hören wir oft den Hinweis, dass das Gespräch automatisch aufgezeichnet wird, sobald es von einem Mitarbeiter des Unternehmens angenommen wird. Diese Aufzeichnungen dienen möglicherweise internen Schulungszwecken oder dem Qualitätsmanagement. Ist es überhaupt erlaubt, dem Anrufer lediglich die Information zu geben, dass sein Gespräch zu Schulungs- und Qualitätszwecken aufgezeichnet wird?

Diese Fragestellung wurde im Tätigkeitsbericht für das Jahr 2022 (S. 99 ff) von der Sächsischen Datenschutz- und Transparenzbeauftragten behandelt.

Berechtigtes Interesse nicht ausreichend

Die Datenschutz- und Transparenzbeauftragte in Sachsen betont, dass das berechtigte Interesse grundsätzlich nicht als angemessene Rechtsgrundlage für das Aufzeichnen von Telefonanrufen dienen kann. Dies liegt vor allem daran, dass mildere Methoden ersichtlich sind, um beispielsweise Qualitäts- oder Schulungszwecke zu erreichen, wodurch die Notwendigkeit dieser Datenverarbeitung entfällt. Zudem stehen auch die überwiegenden Interessen der Betroffenen dem entgegen, insbesondere ihr Interesse an der Vertraulichkeit des nicht-öffentlichen gesprochenen Wortes.

Die Einwilligung als Rechtsgrundlage zur Datenverarbeitung

Als Rechtsgrundlage für die Aufzeichnung von Telefongesprächen kommt ausschließlich die Einwilligung der Anrufer gemäß Art. 6 Abs. 1 lit. a DSGVO in Betracht. Die Anforderungen für eine datenschutzrechtlich zulässige Einwilligung bemessen sich nach den Kriterien des Art. 7 DSGVO.

Damit muss die Einwilligung der betroffenen Person vor der Gesprächsaufzeichnung in informierter Weise erfolgen, sodass sie genau weiß, worin sie einwilligt. Die Einwilligung muss außerdem aktiv von der jeweiligen anrufenden Person, dem Anrufer, erteilt werden. Der Anrufer muss eine eindeutige, bestätigende Handlung vornehmen, beispielsweise ein mündliches “Ja” oder das Drücken einer speziellen Telefontaste, um der Aufzeichnung zuzustimmen. Die verantwortliche Stelle, die das Gespräch aufzeichnen möchte, muss die Einwilligung der betroffenen Person nachweisen können. Darüber hinaus ist zu beachten, dass eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

Sonderfall: Konkludente Einwilligung

Eine konkludente „Einwilligung“ würde in diesem Fall das eingangs beschriebene Szenario darstellen: Sprich der Anrufer erhält die Information, dass das Gespräch aufgezeichnet wird – ohne Zustimmungs- oder Ablehnungsmöglichkeit. Vielmehr wird dann seitens der verantwortlichen Stelle davon ausgegangen oder sogar ggf. in der Ansage thematisiert, dass mit dem Halten bzw. Fortsetzen des Anrufs „konkludent“ in die Aufzeichnung eingewilligt wird. Hier wird dann seitens der verantwortlichen Stelle sinngemäß die Ansicht vertreten, dass der Anrufer über die Aufzeichnung informiert wird und wenn er das nicht möchte, sich anderweitig mit dem Unternehmen in Verbindung setzen kann – jedoch nicht telefonisch ohne Aufzeichnung. Bzgl. konkludenter Einwilligungen problematisiert die Sächsische Datenschutz- und Transparenzbeauftragte insbesondere die Freiwilligkeit der „Einwilligung“.

Die Freiwilligkeit einer Einwilligung ist eine der Grundvoraussetzungen für ihre Zulässigkeit. Die Sächsische Datenschutz- und Transparenzbeauftragte führt hierzu aus, dass von der Freiwilligkeit der konkludenten „Einwilligung“ im Anruf-Szenario nur dann ausgegangen werden könnte, wenn den Anrufern angemessene Alternativen zur telefonischen Kontaktaufnahme mit Aufzeichnung angeboten würden. Ein Verweis auf eine alternative Kontaktaufnahme beispielsweise per E-Mail kann der Freiwilligkeit jedoch entgegenstehen. Dies resultiere daraus, dass die Kontaktaufnahme per E-Mail nicht grundsätzlich als angemessene Alternative zur telefonischen Kontaktaufnahme gewertet werden könne. Eine „konkludente Einwilligung“ sollte vorliegend also nicht als Rechtsgrundlage herangezogen werden.

Opt-Out ist keine Einwilligungsmöglichkeit

Es reicht nicht aus, wenn den Anrufern lediglich mitgeteilt wird, dass Anrufe grundsätzlich aufgezeichnet werden, aber eine Aufzeichnung abgelehnt werden kann. Eine solche Vorgehensweise entspricht nicht einer rechtsgültigen Einwilligung gemäß der DSGVO. Konkret bedeutet dies, dass die bloße Information über die Aufzeichnung und das Anbieten einer Widerspruchsmöglichkeit – zum Beispiel durch das gesprochene “Nein” als Ablehnung der Aufzeichnung – nicht ausreichend ist. Die Sächsische Datenschutz- und Transparenzbeauftragte betont auch nochmals, dass die Einwilligung aktiv erklärt werden muss und nicht durch einen Widerspruch in Form einer Ablehnung erfolgen kann.

Fazit

Zusammenfassend kann festgestellt werden, dass für die rechtskonforme Aufzeichnung von Telefongesprächen eine aktive Einwilligung der betroffenen Personen erforderlich ist. Konkludente Einwilligungen oder das berechtigte Interesse können hier grundsätzlich nicht als angemessene Rechtsgrundlagen betrachtet werden.

BGH: Löschen von Suchergebnissen

24. Juli 2023

Mitte Mai setzt sich der Bundesgerichtshof (BGH), in einer jetzt veröffentlichten Entscheidung (Az. VI ZR 476/18) mit der Frage auseinander, wann ein Anspruch auf Löschung von Sucherergebnisse bei einer Suchmaschine bestehen. Insbesondere wenn eine entsprechenden Suche negative Ergebnisse anzeigt, kann die betroffene Person ein Interesse auf Löschung der Ergebnisse haben.

Die Hintergründe

Der Kläger ist als Leitungsorgan verschiedener Unternehmen tätig, die zusammen eine Gesellschaftsgruppe bilden. Über die in Anspruch genommene Suchmaschine ließen sich verschiedene Berichte über die einzelnen Gesellschaften der Gruppe sowie über den Kläger in seinen unternehmensinternen Funktionen selbst, finden. Zu großen Teilen handelte es sich dabei um Artikel, die negativ über die Geschäftspraktiken der Gesellschaften berichteten.

Der Kläger wandte sich daraufhin an die Suchmaschine, um Unterlassungsansprüche durchzusetzen. Sein Ziel war es, bei einer Suche nach seinem Namen die oben genannten Artikel nicht mehr zu finden sein würden.

Entscheidungsgründe des BGH

Aus Sicht des BGH sei für einen Teil der Suchergebnisse die Datenschutz-Grundverordnung (DSGVO) bereits sachlich nicht anwendbar. Grund hierfür sei, dass die Suchergebnisse gerade nicht bei der Suche nach dem Namen des Klägers vorgeschlagen würden. Viel mehr müsse ein interessierter Nutzer nach den Namen der Gesellschaften suchen, damit eine Suche die kritischen Artikel zeige. Demnach fehle es an einem Personenbezug.

Ein anderes gelte aber für einen anderen Teil der Suchergebnisse. Diese ließen den Bezug zum Kläger als natürliche Person zu, sodass die DSGVO grundsätzlich anwendbar sei. Dennoch habe der Kläger keinen Anspruch auf eine sog. Auslistung. Demnach könne nach Art. 17 Abs. 1 DSGVO (Recht auf Vergessen) eine betroffene Person einen Anspruch auf Löschen der Entsprechenden Artikel bei einer Suche geltend machen.

Dieser Anspruch bestehe allerdings nur insofern, dass die im angezeigten Artikel enthaltenen Informationen tatsächlich unwahr seien. Hinsichtlich des konkreten Inhalts der entsprechenden Artikel müsse die betroffene Person nachzuweisen, dass „(…) die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil diese Informationen offensichtlich unrichtig ist“ (BGH, Urteil vom 23.5.23, VI ZR 476/18, Rn. 33). Nur dann könne sie eine Auslistung von der Suchmaschine verlangen.

Für den erforderlichen Nachweis seien insbesondere zwei Umstände von Bedeutung. Einerseits seien keine zu strengen Anforderungen diesen zu stellen. Die konkret erforderlichen Voraussetzungen richteten sich nach den Umständen des Einzelfalls. Andererseits sei kein Mitwirken der Suchmaschine bei dem Nachweis erforderlich.

Fazit  

Hie habe der Kläger die Unwahrheit gerade nicht nachweisen können. Demnach müsse Art. 17 Abs. 1 DSGVO hinter der Meinungs- und Informationsfreiheit zurücktreten. Das Urteil zeigt vor allem, dass auch bei unerwünschter Berichterstattung die DSGVO möglicherweise Abhilfe schaffen kann.

EU-US Angemessenheitsbeschluss DPF: Zertifizierung gestartet; EDSA veröffentlicht FAQs

21. Juli 2023

Die Europäische Kommission hat am 10. Juli 2023 den lang angekündigten Angemessenheitsbeschluss für die Übermittlug personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ (EU-US Data Privacy Framework, DPF) veröffentlicht (wir berichteten). Die Entscheidung kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die gemäß dem neuen Rahmen an US-Unternehmen übermittelt werden.

Datentransfer mit zertifizierten US-Unternehmen nun möglich

Das DPF-Programm, das von der International Trade Administration (ITA) innerhalb des U.S. Department of Commerce verwaltet wird, ermöglicht es, berechtigten Organisationen mit Sitz in den USA, ihre Konformität mit dem EU-US DPF und, falls zutreffend, mit der britischen und/oder der schweizerischen Erweiterung selbst zu zertifizieren. Um am DPF-Programm teilzunehmen, muss sich ein in den USA ansässiges Unternehmen über die Website des Ministeriums für das DPF-Programm zertifizieren und sich öffentlich zur Einhaltung der DPF-Prinzipien verpflichten. Die Entscheidung zur Selbstzertifizierung im Rahmen des DPF-Programms einer Organisation ist freiwillig, die tatsächliche Einhaltung ist bei einer Teilnahme jedoch obligatorisch. Sobald eine Organisation sich gegenüber der ITA selbst zertifiziert und öffentlich erklärt, dass sie sich zur Einhaltung der DPF-Grundsätze verpflichtet, ist diese Verpflichtung nach US-Recht einklagbar.

Organisationen, die derzeit noch über eine aktive Privacy Shield-Zertifizierung verfügen, können diese an die neuen Anforderungen anpassen, um auch unter dem DPF zertifiziert zu bleiben. Für diese Anpassungen wird eine Übergangsfrist von drei Monaten gewährt.

Standardvertragsklauseln, wenn keine Zertifizierung vorliegt

Praktisch bedeutet dies, dass zertifizierte Unternehmen nunmehr ohne Standardvertragsklauseln (SCC) auskommen können. Sofern die Empfänger nicht unter das DPF fallen oder keine Zertifizierung vorliegt, müssen auch weiterhin Standartvertragsklauseln abgeschlossen werden und zusätzliche Maßnahmen ergriffen werden, um ein gleichwertiges Schutzniveau garantieren zu können. Das gleiche gilt auch für Transfer Impact Assessments (TIA). Der Beschluss ist so auszulegen, dass nur für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre.

Wichtig ist, dass das DPF-Programm nur für US-Organisationen zur Verfügung steht, die von der FTC oder dem DOT reguliert werden. Andere Organisationen, insbesondere Banken und einige andere Arten von Finanzinstituten, sind nicht teilnahmeberechtigt und müssen sich daher weiterhin auf SCCs (oder BCRs) für ihre konzerninternen Übermittlungen und andere Übermittlungen an ihre US-Betriebe stützen.

Soll ich weiterhin Standardvertragsklauseln zusätzlich zum DPF abschließen?

Aufgrund der Entwicklungen in dieser Thematik ist es fraglich, ob auch das DPF auf Dauer Bestand haben wird. Die grundsätzlichen Bedenken, welche bereits die Vorgängerabkommen zu Fall gebracht haben, sind nicht vollständig ausgeräumt. Auch dieses Abkommen könnte durch ein Verfahren vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht werden. Der Umstand, dass diese Abkommen mit sofortiger Wirkung für unzulässig erklärt wurden, hatte zur Folge, dass alle Datenübermittlungen, die auf diesen Abkommen beruhten, nicht mehr rechtmäßig waren. Insofern bleibt es auch weiterhin sinnvoll, auf Standardvertragsklauseln aufzubauen, um genau dieses Risiko abzufedern.

EDSA veröffentlicht FAQs

Der Europäische Datenschutzausschuss (EDPB) hat nun ein neues Dokument (Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023) veröffentlicht, welches weitere Informationen zur Verfügung stellt. Die damit verbundenen FAQs wurden kürzlich veröffentlicht und werfen ein neues Licht auf die Thematik.

In den FAQs betont der EDPB, dass alle Sicherheitsvorkehrungen, die von der US-Regierung im Bereich der nationalen Sicherheit getroffen wurden (einschließlich des Beschwerdemechanismus), auf alle Datenübermittlungen in die USA anwendbar sind, unabhängig von dem gewählten Übermittlungsinstrument. Dies bedeutet, dass Datenexporteure bei der Bewertung des Risikos des von ihnen gewählten Übertragungsinstruments gemäß Artikel 46 der Datenschutz-Grundverordnung (DSGVO) die von der Kommission durchgeführte Bewertung in der Angemessenheitsentscheidung berücksichtigen können.

Was bedeutet das konkret?

Im Rahmen des DPF wurden neue Datenschutzmechanismen eingeführt, darunter ein Gericht zur Datenschutzüberprüfung in den USA (Data Protection Review Court, kurz DPRC) sowie beschränkte Zugriffsbefugnisse für Strafverfolgung und nationale Sicherheit wie z.B. die US-Nachrichtendienste.

Bisher galten bestimmte Gesetze wie beispielsweise der Foreign Intelligence Surveillance Act (FISA) 702 und Executive Order (EO) 12.333 als äußerst problematisch, da sie weitreichende Zugriffsmöglichkeiten auf personenbezogene Daten ermöglichten und Bedenken hinsichtlich der Einhaltung der europäischen Datenschutzstandards aufwarfen. Durch die nun erfolgte Angemessenheitsentscheidung könnten diese Gesetze weniger stark ins Gewicht fallen, da die US-Regierung Maßnahmen ergriffen hat, um die Datenübermittlungen rechtskonformer zu gestalten.

Insbesondere die Einführung eines Beschwerdemechanismus sei ein entscheidender Schritt, um den europäischen Datenschutzanforderungen gerecht zu werden. Durch diesen Mechanismus erhalten EU-Bürgerinnen und -Bürger das Recht, gegen etwaige Zugriffe auf ihre personenbezogenen Daten in den USA vorzugehen und ihre Rechte geltend zu machen.

Bedeutung für das Transfer Impact Assessment (TIA)

Sofern die Empfänger nicht unter das DPF fallen oder keine Zertifizierung vorliegt, müssen auch weiterhin TIAs abgeschlossen werden. Der Beschluss ist so auszulegen, dass nur für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre. Gesetze, die zuvor als problematisch eingestuft wurden (wie z.B. FISA 702 & EO 12.333) könnten nun weniger stark ins Gewicht fallen, was die TIAs vereinfachen könnte. Dies stellt einen Fortschritt dar und dürfte die Zusammenarbeit zwischen europäischen und amerikanischen Unternehmen erleichtern.

Trotz dieser positiven Entwicklung ist es weiterhin von entscheidender Bedeutung, dass Datenexporteure ihre Verantwortung ernst nehmen und stets sorgfältig prüfen, welche Übertragungsinstrumente sie wählen.

Fazit

Zumindest vorübergehend steht nun eine „einfache“ Methode zur Legitimierung der Übermittlung von Daten in die Vereinigten Staaten zur Verfügung. Ob diese Lösung auf Dauer tragfähig ist, ist allerdings fraglich. Dieses Risiko sollte man, insbesondere bei laufenden Projekten zum Abschluss von Standardvertragsklauseln, im Hinterkopf behalten und abwägen, ob eine solche Maßnahme weiterhin (auch bei zertifizierten Unternehmen) sinnvoll ist.

Als Ihr Partner im Datenschutz möchten wir Ihnen die Unterstützung der KINAST GRUPPE anbieten. Unsere Experten können Ihre derzeitige Zertifizierung überprüfen und bewerten, ob zusätzliche Maßnahmen erforderlich sind, um den Anforderungen des neuen Datenschutzrahmens gerecht zu werden. Auch im Falle einer neuen Zertifizierung unterstützen wir Sie gerne. Wir sind bestens mit den aktuellen Datenschutzbestimmungen vertraut und können Ihnen helfen, den Übergang zum Data Privacy Framework reibungslos zu gestalten.

Zögern Sie nicht, uns zu kontaktieren, wenn Sie Interesse an unserer Unterstützung bei der Zertifizierung haben oder weitere Informationen benötigen.

Das einheitliche Leitlinien Modell für DSGVO-Bußgelder

17. Juli 2023

Die Europäische Datenschutzgrundverordnung (DSGVO) sieht vor, dass Verstöße gegen ihre Bestimmungen von den Datenschutzbehörden der EU-Mitgliedsstaaten sanktioniert werden. Die möglichen Strafzahlungen belaufen sich auf bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Bisher war es in der Verantwortung der entsprechenden nationalen Datenschutzbehörden, die Höhe der Bußgelder festzulegen. Jedes EU-Mitgliedsland traf bisher eigenständige Entscheidungen darüber, inwieweit die in der DSGVO festgelegten “bis zu-Werte” ausgeschöpft werden. Jetzt gibt es neue Vorschriften für die Berechnung von Bußgeldern: Der Europäische Datenschutzausschuss (EDSA) hat die abschließenden Leitlinien zur Festsetzung von Bußgeldern angenommen.

Die neuen einheitlichen Leitlinien des EDSA

In seiner Sitzung am 24. Mai 2023 hat der Europäische Datenschutzausschuss (engl. European Data Protection Board, EDPB) die Leitlinien zur Bußgeldzumessung gemäß der DSGVO nach einer öffentlichen Konsultation angenommen.

Die neuen Leitlinien stellen den Datenschutzaufsichtsbehörden nun einheitliche Maßstäbe und harmonisierte Rahmenbedingungen zur Verfügung, um Bußgelder festzulegen. Diese Harmonisierung betrifft jedoch ausschließlich die Berechnungsgrundlage der Bußgelder. Die endgültige Höhe der Strafen wird weiterhin individuell von der jeweiligen nationalen Aufsichtsbehörde durch die Anpassungsmöglichkeiten des Leitlinien-Modells festgelegt.

BfDI von Entscheidung überzeugt

BfDI Prof. Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit begrüßt die Annahme der Leitlinien: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten. Die Leitlinien sind damit der konsequente nächste Schritt in der europäischen Integration und können künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.“

Die 5 Stufen der Leitlinien

Die Leitlinien sehen ein 5-stufiges Verfahren zur Bußgeldfestlegung vor

Schritt 1 – Identifizierung sanktionierbarer Handlungen: Die Aufsichtsbehörden prüfen, ob der vorliegende Fall sanktionierbare Handlungen beinhaltet, die gegen die DSGVO verstoßen haben. Es wird geprüft, ob bußgeldbewehrte Handlungen vorliegen.

Schritt 2 – Ermittlung des Ausgangsbetrags: Der Ausgangsbetrag für die Bußgeldberechnung wird aus den Faktoren Art der Verstöße, Schwere des Verstoßes und Umsatz des Unternehmens ermittelt.

Schritt 3 – Berücksichtigung erschwerender oder mildernder Umstände: Die Aufsichtsbehörden ermitteln Umstände, die den in Schritt 2 festgestellten Betrag erhöhen oder reduzieren können, wie das Verhalten der Verantwortlichen und vergangene Verstöße gegen die DSGVO.

Schritt 4 – Festlegung der Obergrenze: Der ermittelte Bußgeldbetrag wird mit den gesetzlichen Höchstbeträgen der DSGVO (Art. 83 Abs. 4 – 6) verglichen, um die Obergrenze für das Bußgeld festzulegen.

Schritt 5 – Überprüfung und Anpassung: Im letzten Schritt bewerten die Aufsichtsbehörden das ermittelte Bußgeld hinsichtlich Wirksamkeit, Verhältnismäßigkeit und Abschreckung, um gegebenenfalls Anpassungen vorzunehmen.

Datenübermittlung in die USA: Trans-Atlantic Data Privacy Framework beschlossen

12. Juli 2023

Am 10.7.2023 hat die EU-Kommission eine neue Entscheidung getroffen, um den sicheren Datenverkehr zwischen der EU und den USA zu gewährleisten. Mit dem Trans-Atlantic-Data-Privacy-Framework (TADPF) wird nun bereits der dritte Versuch unternommen, nach “Safe Harbor” und “Privacy Shield” transatlantische Datentransfers möglichst unkompliziert zu gestalten. Mit dieser Vereinbarung können nun Daten von Unternehmen wie Google, Microsoft, Meta, AWS und anderen sicher von der EU in die USA übermittelt werden.

Der Hintergrund des TADPF liegt in der Unwirksamkeit der vorherigen Regelungen Safe-Harbour und Privacy-Shield, die vom Europäischen Gerichtshof (EuGH) 2015 bzw. 2020 für ungültig erklärt wurden. Seit dem 10.07.2023 gilt nun der lang erwartete neue Angemessenheitsbeschluss gemäß der Datenschutzgrundverordnung (DSGVO) zwischen der EU und den USA. Dieser Beschluss wurde getroffen, um eine sichere Übermittlung von Daten zwischen der EU und den USA zu gewährleisten. Das Trans-Atlantic Data Privacy Framework ist ein Abkommen, das zwischen den 27 Mitgliedsstaaten der Europäischen Union und den Vereinigten Staaten geschlossen wurde.

Das Data Privacy Framework

Das TADPF ist ein Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DSGVO. Gemäß diesem Beschluss gelten die USA erneut als sicherer Drittstaat in Bezug auf den Datenschutz. Dadurch sind für Datenexporte an Empfänger in den USA keine zusätzlichen Legitimationsinstrumente mehr erforderlich. Allerdings hat das TADPF im Vergleich zu anderen Angemessenheitsbeschlüssen nur begrenzte Wirkung. Ähnlich wie beim vorherigen Privacy Shield gilt die privilegierte Wirkung des TADPF nur für Datenempfänger, die sich einem Selbstzertifizierungsmechanismus unterziehen und sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten. Unternehmen, die gemäß den Kriterien des TADPF zertifiziert sind, werden voraussichtlich auf der Website www.dataprivacyframework.gov aufgeführt sein.

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss gemäß der DSGVO, speziell Art. 45 Abs. 3 DSGVO, ist im Grunde genommen eine Entscheidung der Europäischen Kommission, die besagt, dass ein Drittland (ein Land außerhalb der EU/EWR) ein angemessenes Schutzniveau für personenbezogene Daten bietet. Dieser Beschluss bestätigt, dass das betreffende Drittland Datenschutzstandards eingeführt hat, die mit den Standards der EU vergleichbar sind und den Schutz personenbezogener Daten in ähnlicher Weise gewährleisten. Infolgedessen dürfen personenbezogene Daten ohne zusätzliche Schutzmaßnahmen in dieses Drittland übertragen werden.

Safe-Harbour und Privacy-Shield waren ebenfalls solche Angemessenheitsbeschlüsse. Wie bekannt ist, wurden beide von dem Europäischen Gerichtshof (EuGH) für ungültig erklärt. Einer der Hauptgründe dafür war, dass die USA kein Datenschutzniveau bieten konnten, das mit dem EU-Standard vergleichbar war. Insbesondere die nahezu uneingeschränkte Zugriffsmöglichkeit von US-Behörden, insbesondere der National Security Agency (NSA), auf personenbezogene Daten von EU-Bürgern spielte dabei eine Rolle. Dies galt sogar dann, wenn Unternehmen ihren Sitz in den USA hatten, aber ihre Dienstleistungen in der EU erbrachten.

Hintergrund: Executive Order vom 07.10.2022

Um die Zugriffsmöglichkeiten der NSA auf personenbezogene Daten von EU-Bürgern einzuschränken, unterzeichnete US-Präsident Biden bereits am 07.10.2022 die “Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“. Diese Maßnahme sollte sicherstellen, dass zumindest der Grundsatz der Verhältnismäßigkeit gewahrt bleibt. Vor jedem Zugriff auf Daten von EU-Bürgern müssen die US-Geheimdienste nun überprüfen, ob der Zugriff auf die Daten verhältnismäßig ist. Darüber hinaus wurde ein Beschwerdeverfahren für EU-Bürger in den USA eingerichtet. EU-Bürger können sich daher beim Civil Liberties Protection Officer der US-Geheimdienste beschweren. Sollte eine solche Beschwerde nicht erfolgreich sein, haben EU-Bürger die Möglichkeit, vor einem neu geschaffenen Gericht, dem Civil Liberties Protection Officer, Klage zu erheben.

Diese Executive Order hat im Wesentlichen dazu geführt, dass die EU das TADPF beschlossen hat.

Sichere Datenübermittlung zwischen EU und USA wieder möglich?

Solange der Europäische Gerichtshof (EuGH) das TADPF nicht erneut für ungültig erklärt, können sich EU-Unternehmen darauf verlassen, dass Unternehmen, die gemäß dem TADPF zertifiziert sind, die Datenschutzstandards einhalten. Im Gegensatz zu den Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, die vor der Einführung des TADPF hauptsächlich als Rechtsgrundlage für die Übermittlung personenbezogener Daten zwischen der EU und den USA verwendet wurden, soll beim TADPF die verpflichtende eigene Prüfung des Standards bei den jeweiligen US-Unternehmen entfallen.

Fotos im Internet veröffentlichen: Was ist zu beachten?

10. Juli 2023

Unternehmen nutzen die Veröffentlichung von Fotos und Videos im Internet aus verschiedenen Gründen. Datenschutzrechtliche Aspekte werden relevant, sobald Personen auf den Aufnahmen erkennbar sind, beispielsweise in Marketingvideos, bei der Mitarbeitergewinnung oder in Erklärungs- und Anleitungsvideos für Produkte. Diese Veröffentlichungen können sowohl auf Websites als auch über soziale Medien oder in Apps erfolgen.

Einwilligung als Rechtsgrundlage unsicher

Ein häufig gewählter Ansatz zur rechtlichen Absicherung ist die Einholung einer Einwilligung von den abgebildeten Personen. Solange diese Einwilligung freiwillig erfolgt und die betreffenden Personen angemessen über die Art und Weise der Veröffentlichung informiert werden, ist dies rechtlich akzeptabel. Allerdings hat die Verwendung von Einwilligungen als Rechtsgrundlage einen entscheidenden Nachteil: Einwilligungen können jederzeit und ohne Angabe von Gründen widerrufen werden.

Im Falle eines solchen Widerrufs muss die Veröffentlichung unverzüglich beendet werden. Die betroffene Person muss aus den Aufnahmen entfernt oder unkenntlich gemacht werden. Für Unternehmen kann dies sehr unangenehm sein, insbesondere wenn hohe Produktionskosten für die Aufnahmen angefallen sind oder die Veröffentlichung der Aufnahmen von großer Bedeutung ist.

Datenschutzrechtliche Einordnung

Die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO dient als rechtliche Grundlage für die Verarbeitung personenbezogener Daten. Allerdings ist gemäß Art. 7 Abs. 3 Satz 1 DSGVO eine solche Einwilligung frei widerruflich. Kommentare zur DSGVO stellen klar, dass Einschränkungen des Widerrufsrechts nicht zulässig sind. Folglich entfällt ab dem Zeitpunkt des Widerrufs die rechtliche Grundlage für die Veröffentlichung von Aufnahmen der widerrufenden Person. Bis zum Zeitpunkt des Widerrufs bleibt die Verwendung der Aufnahmen rechtmäßig, danach dürfen sie nicht mehr verwendet werden. Argumente wie hohe Produktionskosten, unverhältnismäßige Rechtsfolgen oder sonstige negative Auswirkungen auf das Unternehmen können nicht als Grund für die Aufrechterhaltung der Veröffentlichung angeführt werden.

Vor Inkrafttreten der DSGVO wurde für die Veröffentlichung von Aufnahmen das Kunsturheberrechtsgesetz herangezogen, insbesondere § 22 KunstUrhG, der die Einwilligung regelt. In der Rechtsprechung wurde anerkannt, dass diese Einwilligung nur bei Vorliegen eines wichtigen Grundes widerrufen werden konnte.

Das Verhältnis zwischen dem Kunsturheberrechtsgesetz und der DSGVO ist nach wie vor umstritten. Jedoch kann mit Gewissheit gesagt werden, dass die DSGVO und ihre Bestimmungen zur Einwilligung und ihrem Widerruf Vorrang haben. Das bedeutet, dass nun kein wichtiger Grund mehr für einen Widerruf erforderlich ist, da die DSGVO eine solche Einschränkung nicht vorsieht.

Alternative zur Einwilligung

Unternehmen können die rechtlich ungünstige Situation bei der Verwendung von Fotos oder Videos vermeiden, indem sie mit den betroffenen Personen, wie Mitarbeitenden oder Testimonials, sogenannte Modelverträge abschließen. In diesem Fall dient der Modelvertrag als rechtliche Grundlage für die Verwendung der Aufnahmen (gemäß Art. 6 Abs. 1 lit. b DSGVO) und nicht eine Einwilligung. Der entscheidende Unterschied besteht darin, dass ein Vertrag nicht einfach widerrufen werden kann, im Gegensatz zu einer Einwilligung. Ein Modelvertrag gibt dem Nutzer der Aufnahmen die Gewissheit, dass es keinen Widerruf geben kann.

Es ist jedoch wichtig zu beachten, dass im Modelvertrag den betroffenen Personen eine Gegenleistung für die Einräumung der Verwendungsrechte an den Aufnahmen gewährt wird. Diese Gegenleistung besteht oft in Form einer Geldzahlung. Die Höhe der Gegenleistung sollte in angemessenem Verhältnis zu den eingeräumten Verwendungsrechten stehen, insbesondere bei umfangreichen und weitreichenden Veröffentlichungen sollte die Gegenleistung entsprechend höher ausfallen.

Fazit

Bei Foto- und Videoaufnahmen, bei denen ein Widerruf einer Einwilligung besonders unerwünscht wäre, beispielsweise im Rahmen einer Werbekampagne, sollten Unternehmen besser auf Modelverträge anstelle von Einwilligungen setzen. Fotos von Weihnachtsfeiern, Betriebsausflügen, Firmenläufen oder ähnlichen Veranstaltungen können natürlich weiterhin mit Einwilligung der Personen veröffentlicht werden, beispielsweise im Intranet, da ein Widerruf in der Regel keine größeren Auswirkungen hätte.

Kategorien: DSGVO · Online-Datenschutz
Schlagwörter: ,

Verantwortlichkeit beim Tracking durch Softwareanbieter

5. Juli 2023

Es ist mittlerweile gängige Praxis für Arbeitgeber, digitale Instrumente einzusetzen, um ihren Mitarbeitern die Nutzung von Self-Service-Funktionen wie Zeiterfassung, Urlaubsanträgen oder Reisekostenabrechnungen schnell und einfach zu ermöglichen.

Normalerweise handelt es sich bei dem Anbieter dieser Software um einen Auftragsverarbeiter gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO). Dies bedeutet, dass die Daten der Mitarbeiter im Auftrag und nach den Anweisungen des Arbeitgebers, der als Verantwortlicher agiert, verarbeitet werden. In einigen Fällen kann der Dienstleister beispielsweise für Wartungszwecke auf die Daten zugreifen.

Der Arbeitgeber als Verantwortlicher muss sicherstellen, dass die Datenverarbeitung über die Software rechtmäßig erfolgt. Daher sollte er einen Dienstleister auswählen, dessen Tool entsprechende Möglichkeiten bietet, um dies umzusetzen. Dies kann beispielsweise durch spezifische Sichtbarkeitseinstellungen und Rollenkonzepte geschehen. Darüber hinaus müssen die technischen und organisatorischen Maßnahmen des Dienstleisters überprüft werden, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.

Datenverarbeitungen zu Zwecken des Dienstleiters

Was ist jedoch der Fall, wenn der Dienstleister die Daten der Beschäftigten auch zu eigenen Zwecken verarbeitet? Eine mögliche Situation ist das Webtracking mittels Cookies und anderen Technologien zu statistischen oder werblichen Zwecken, insbesondere wenn Cloud-Lösungen genutzt werden, die von den Beschäftigten über ein Webportal oder eine App verwendet werden.

In der Regel verfügt der Arbeitgeber, der das betreffende Tool einsetzt, weder über detaillierte Kenntnisse über diese Verarbeitungen durch den Dienstleister, noch zieht er einen Nutzen daraus oder hat tatsächlich Einfluss darauf. Dennoch werden seine Mitarbeiter durch seine Anordnung dem entsprechenden Tracking ausgesetzt. Wie sieht es also mit der datenschutzrechtlichen Verantwortlichkeit in diesem Fall aus?

Gemeinsame Verantwortlichkeit

In den oben beschriebenen Fällen ist ein solches Tracking kein Bestandteil der Auftragsverarbeitung für den Arbeitgeber. Die Datenverarbeitung erfolgt weder zu seinen eigenen Zwecken noch nach seinen Anweisungen. Stattdessen gestaltet der Anbieter der Software selbstständig den Prozess der Datenverarbeitung und führt ihn auch zu seinen eigenen Zwecken durch. Daher ist der Softwareanbieter selbst für die Datenverarbeitung verantwortlich (vgl. auch OH Auftragsverarbeitung des BayLDA, S.12).

Dennoch bedeutet das nicht automatisch, dass der Arbeitgeber “aus dem Schneider” ist. Aufgrund der engen Verknüpfung zwischen der Datenverarbeitung des Dienstleisters und der Datenverarbeitung durch den Verantwortlichen liegt hier zumindest die Möglichkeit einer gemeinsamen Verantwortlichkeit gemäß Artikel 26 DSGVO nahe.

Für die Beschäftigten ist oft nicht klar ersichtlich, welche Datenverarbeitung in den Verantwortungsbereich ihres Arbeitgebers fällt und welche in den Verantwortungsbereich des externen Softwareanbieters. Daher wird in solchen Fällen teilweise argumentiert, dass im Hinblick auf die Schutzziele des Artikel 26 DSGVO (Transparenz für Betroffene und Schutz ihrer Rechte) eine einheitliche Betrachtung des gesamten Verarbeitungsvorgangs erfolgen sollte und dieser nicht in separate Schritte mit getrennten Verantwortlichkeiten aufgeteilt werden sollte (vgl. Ehmann/Selmayr/Bertermann, 2. Aufl. 2018, DS-GVO Art. 26 Rn. 8).

Mit dem Facebook Fanpage Urteil des EuGH vergleichbar?

Auch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) im “Facebook Fanpage Urteil” vom 5. Juni 2018 (Az. C-210/16) geht in eine ähnliche Richtung: Beim Betrieb von Fanseiten besteht eine gemeinsame Verantwortlichkeit der jeweiligen Betreiber, da sie Facebook ermöglichen, über die Fanseite Cookies zu setzen. Darüber hinaus beeinflussen die Betreiber durch bestimmte Voreinstellungen beispielsweise die Erstellung von Statistiken, die mithilfe dieser Cookies ausgewertet werden, oder bringen über die Nutzung von Werbefunktionen ihr Angebot bestimmten Zielgruppen näher. Die Taskforce Facebook-Fanpages der Datenschutzkonferenz argumentiert zusätzlich, dass Fanseiten-Betreiber ein “eigenes Interesse an der Verarbeitung der personenbezogenen Daten von Besucher:innen ihrer Fanpage zu Zwecken der Profilerstellung und – darauf aufbauend – zu Zwecken der gezielten (werblichen) Ansprache haben, u. a. weil durch dieses Geschäftsmodell für sie eine entgeltfreie Nutzung des Dienstes ermöglicht wird“.

Bei genauerer Betrachtung dieser Argumentation werden jedoch auch die Unterschiede zwischen dem Betrieb einer Fanseite und dem Einsatz eines Tools zur Verarbeitung von Mitarbeiterdaten deutlich: Arbeitgeber haben weder ein Interesse an gezielter werblicher Ansprache bestimmter Zielgruppen unter ihren Mitarbeitern noch setzen sie typischerweise auf werbefinanzierte und daher kostenlose Tools. Ein (Mit-)Interesse an dem entsprechenden Tracking des Dienstleisters kann daher in diesem Fall nicht in gleicher Weise angenommen werden wie bei Social-Media-Präsenzen. Außerdem ist es gerade nicht möglich, die Datenverarbeitung im Tracking durch das Setzen von Filtern oder ähnlichen Maßnahmen zu steuern.

Einflussmöglichkeiten auf Datenverarbeitung des Dienstleiters von Bedeutung

Der Hauptgrund, der gegen die Annahme einer gemeinsamen Verantwortlichkeit spricht, ist die vollständige fehlende Möglichkeit und Beteiligung des jeweiligen Arbeitgebers bei der Datenverarbeitung im Rahmen des Webtrackings durch den Dienstleister.

Der Europäische Datenschutzausschuss stellt für eine gemeinsame Verantwortlichkeit die Bedingung, dass beide Verantwortlichen einen “deutlichen Einfluss auf die Festlegung der Zwecke und Mittel der Verarbeitung” haben und dass die Verarbeitungsvorgänge beider Parteien untrennbar miteinander verbunden sind (vgl. Leitlinien 07/2020 zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”, S. 22). Jedoch reicht allein die Tatsache, dass eine der beteiligten Parteien keinen Zugang zu den verarbeiteten Daten hat, nach Einschätzung des Europäischen Datenschutzausschusses nicht aus, um eine gemeinsame Verantwortlichkeit auszuschließen (ebenda, S. 23).

Fazit

Die klare Zuordnung der datenschutzrechtlichen Verantwortlichkeiten im Falle von Webtracking zu eigenen Zwecken durch einen Softwareanbieter kann nicht pauschal festgelegt werden. Jeder Fall muss individuell geprüft werden. In solchen Situationen handelt es sich häufig um Grenzfälle, bei denen sowohl eine separate als auch eine gemeinsame Verantwortlichkeit vertretbar erscheint. Um rechtliche Sicherheit zu gewährleisten, empfiehlt es sich, eine Vereinbarung gemäß Artikel 26 DSGVO abzuschließen. Dabei sollte jedoch beachtet werden, dass idealerweise bereits vor der Beauftragung des Dienstleisters die Rechtmäßigkeit seiner Datenverarbeitung im Rahmen des Trackings geprüft wird, da diese dann in den Verantwortungs- und Haftungsbereich des Arbeitgebers fällt. Es ist für Arbeitgeber wichtig, die Mitarbeiter transparent zu informieren und ihnen gegebenenfalls Alternativen zur Nutzung des betreffenden Tools anzubieten, falls sie aufgrund der damit verbundenen umfangreicheren Datenverarbeitung die digitale Lösung nicht nutzen möchten.

Kategorien: Allgemein

CNIL: 40 Mil. EUR Bußgeld

4. Juli 2023

Vor rund zwei Wochen veröffentlichte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), dass sie eine Geldstrafe in Höhe von 40 Mil. EUR verhängt habe. Adressat der Strafe sei „Criteo“, ein Unternehmen, dass Softwarelösungen für Werbeanzeigen im Bereich des Online-Marketings anbiete.

Hintergründe

Der Grund für das Bußgeld sei gewesen, dass Criteo nicht überprüft habe, ob Personen, deren Daten es verarbeitet habe, eine Einwilligung erteilt hätten. Anlass für die Untersuchungen der Behörde bei Criteo seien Beschwerden der Organisationen Privacy International und „None of your business“ gewesen,

Das Unternehmen Criteo habe sich auf das sog. „Retargeting“ spezialisiert. Dies sei eine bestimmte Methode des Online-Marketings. Auf Webseiten von Partnern setzt Criteo eigene Cookies ein. Diese könnten Navigationsdaten der Nutzers tracken. Über die gesammelten Daten ließen sich anschließend personalisierte Werbeanzeigen schalten. Insbesondere könne dem Nutzer Werbeanzeigen zu Produkten angezeigt werden, für die er sich wahrscheinlich interessieren würde.

Verstöße

CNIL stellte zunächst fest, dass bei der Verwendung von Cookies zu Werbezwecke eine Einwilligung der betroffenen Person eingeholt werden müsse. Wenn ein Unternehmen auf seiner Webseite die Cookies von Criteo einsetze, müsse es eine solche Einwilligung einholen. Criteo müsse sicherstellen, dass die entsprechenden Unternehmen diese Einwilligung tatsächlich einholten und dies dokumentieren. Die Pflicht zur Einholung einer Einwilligung sei allerdings nie Vertragsbestandteil im Rahmen der Geschäftsbeziehungen zu Criteo. Damit verstoße das Marketingunternehmen gegen die Datenschutz- Grundverordnung (DSGVO).

Außerdem verstoße Criteo gegen seine Informationspflichten. Das Unternehmen informiere nicht vollständig über die Zwecke der Datenverarbeitungsvorgänge.

Zusätzlich hätten betroffene Person nicht hinreichend Gebrauch von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten nach Art. 7 Abs. 3 und Art. 17 Abs. 1 DSGVO machen können. Den betroffenen Person seien lediglich keine Werbeanzeigen mehr gezeigt worden. Allerdings habe das Unternehmen Kennungsdaten der Nutzer weiter behalten.

Abschließend stellte die CNIL fest, dass Criteo mit seinen Geschäftspartnern keine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen habe.

Bußgeld

Die CNIL bewertete bei der Bestimmungen der Höhe des Bußgeldes negativ, dass das Unternehmen über die Daten einer sehr großen Personenanzahl verfüge. Außerdem sei, laut CNIL negativ in die Bewertung mit eingeflossen, dass das Unternehmen sich ausschließlich darauf spezialisiert habe, für eine bestimmte Zielgruppe relevante Werbung anzuzeigen. Demnach sei es das Geschäftsmodell des Unternehmens gerade personenbezogene Daten zu sammeln und zu verarbeiten.

Fazit

Alle angesprochenen Kritikpunkte konnte Criteo nach den Untersuchungen der CNIL einstellen. Dabei ist auffällig, dass das Thema Cookies weiterhin Grund für Datenschutzverstöße ist (hier berichten wir über weitere Cookie-Verstöße).

EuGH entscheidet über Auskunftsanspruch

3. Juli 2023

Vergangene Woche entschied der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens (Az. C-579/21) über die Reichweite des Auskunftsanspruchs. Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) habe die betroffene Person auch das Recht zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die Mitarbeiter eines Verantwortlichen ihre personenbezogenen Daten abfragten.

Sachverhalt

Das Verfahren findet seinen Ursprung bei einem Bankmitarbeiter. Dieser hatte, neben der arbeitsvertraglichen Beziehung auch ein Konto bei der betroffenen Bank. Er erfuhr, dass andere Mitarbeiter der Bank seine Kundendaten mehrmals abgefragt hatten. Daraufhin wollte die betroffene Person wissen, welcher Mitarbeiter seine Kundendaten abgefragt hatten.

Das vorlegende Gericht wollte nun vom EuGH wissen, ob Art. 15 DSGVO den Zugang zu Informationen darüber umfasse, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet habe.

Weiter Umfang des Art. 15 DSGVO

Ausgangspunkt der Entscheidung über diese Vorlagefrage ist Art. 4 Abs. 1 DSGVO. Die Norm definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…)“. Laut des Gerichtshofs habe der Unionsgesetzgeber im Rahmen seiner Definition „personenbezogenen Daten“ eine weite Bedeutung beimessen wollen. Demnach umfasse das Auskunftsrecht nach Art. 15 DSGVO die weite Vielfalt aller Informationen, die ein Verantwortlicher verarbeiten könne. Das Ziel des Auskunftsrechts sei es dabei eine faire und transparente Verarbeitung zu gewährleisten. Die betroffene Person solle sich über den Verarbeitungsvorgang als solchen informieren können. Das Informationsrecht umfasse auch solche Informationen, die notwendig seien, um die transparente Verarbeitung zu gewährleisten.

Der EuGH stellte klar, dass zu den notwendigen Informationen auch der Zeitpunkt der Verarbeitung zähle. Zusätzlich sei es ggf. erforderlich, dass ein Verantwortlicher der betroffenen Personen auch Auszüge aus Dokumenten oder Datenbanken zur Verfügung stelle. Damit könne die betroffene Person auch Informationen über den Kontext der Verarbeitung erhalten, die möglicherwiese erforderlich seien, um die Datenverarbeitung richtig einordnen zu können.

Demnach könne sich aus den zur Verfügung gestellten Dokumenten bereits ergeben, wann und in welchem Umfang Mitarbeiter personenbezogene Daten abfragen würden.

Einschränkungen

Es sei aber wichtig zu erkennen, dass Mitarbeiter eines Verantwortlichen keine Empfänger im Sinne des Art. 15 Abs. 1 lit. c DSGVO seien. Nur auf letztere beziehe sich das Auskunftsrecht einer betroffenen Person. Mitarbeiter dürften personenbezogene Daten nach Art. 29 DSGO gerade nur auf Weisung des Verantworltichen verarbeiten.

Welcher Mitarbeiter konkret personenbezogene Daten verarbeite, sei eine Frage, die nur beantwortet werde könne, wenn die Rechte Anderer nicht beeinträchtigt würden. Einerseits könne die Information über den konkreten Mitarbeiter die Transparenz fördern. Andererseits seien die Rechte und Freiheiten der Mitarbeiter zu beachten. Demnach könne die betroffene Person in der Regel nach Art. 15 DSGVO keine Informationen zur Identität eines Mitarbeiters erhalten, der personenbezogene Daten auf Weisung des Verantwortlichen verarbeite.

Fazit

Mit seiner Entscheidung nuanciert der EuGH das Auskunftsrecht der DSGVO und zeigt auf, dass auch die DSGVO keine Gesetzestext ist, der hierarchisch an erster Stelle steht.

1 12 13 14 15 16 274