Kategorie: DSGVO
4. Juni 2020
Der Bundesgerichtshof (BGH) hat am 28.05.2020 entschieden, dass eine Opt-Out Regelung nicht ausreicht, um die Zustimmung von Nutzern zur Speicherung von Daten zu erlangen. Dabei hat der BGH in seiner Entscheidung Cookie-Banner für unrechtmäßig erklärt, wenn diese nur weggeklickt werden können (Urt. v. 28.05.2020, Az. I ZR 7/16). Die Nutzer müssen ihre Einwilligung durch aktives Ankreuzen entsprechender Felder erklären. Laut BGH sei das vorformulierte Einverständnis zum Setzen von Cookies sonst unwirksam.
Cookies sind kleine Dateien, die im Rahmen des Besuchs einer Internetseite an den Browser des Endgeräts gesendet und dort gespeichert werden. Sie dienen dazu, um die Navigation im Internet zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen. Große Tracking-Anbieter, wie Google Analytics, nutzen Cookies um auf diese Weise ein Werbeprofil des Nutzer zu erstellen.
Hintergrund der Entscheidung
Das Urteil markiert den Abschluss eines 2014 begonnen Rechtsstreit zwischen der Verbraucherzentrale Bundesverband (vzbv) und dem Gewinnspielanbieter Plant49. Darüber wurde bereits berichtet.
Nun hat der BGH die Rechtsauffassung des EuGH von 2019 bestätigt. Eine aktive und informierte Einwilligung ist für alle technisch nicht notwendigen Cookies auf Webseiten erforderlich.
Ausnahmen für das Einwilligungserfordernis
Eine Ausnahme bilden „zwingend erforderliche“ Cookies. Wann dies genau der Fall sein soll, hängt von dem konkreten Einzelfall ab. Die zwingende Erforderlichkeit kann z.B. bei Nutzereinstellungen wie etwa der Einstellung der Sprache angenommen werden. Das Tracking zu Werbezwecken und zur Profilbildung ist nach Ansicht des BGH jedoch nicht zwingend erforderlich. Hierfür ist eine Einwilligung mittels Opt-In erforderlich. Abzuwarten bleibt, was sich zu dieser Diskussion aus der Urteilsbegründung der BGH-Entscheidung entnehmen lässt.
2. Juni 2020
Mit Beschluss vom 28.05.2020 (Az.: I ZR 186/17) hat der BGH entschieden, dem EuGH die Frage zur Vorabentscheidung vorzulegen, ob unter Anderem Verbraucherschutzverbände berechtigt sind, Datenschutzverstöße gerichtlich geltend machen zu können. Konkret geht es um die Frage, „ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutzgrundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.“
Der Sachverhalt
In dem Verfahren, das durch den BGH nun bis zur Entscheidung des EuGHs über die Vorlagefrage ausgesetzt wurde, geht es um eine Auseinandersetzung zwischen Facebook Ireland Limited und dem Dachverband der Verbraucherzentralen der Bundesländer. Facebook hatte in seinem Netzwerk im Jahr 2012 ein sog. „App-Zentrum“ installiert, über welches Nutzer Online-Spiele anderer Anbieter spielen konnten. In diesem Rahmen wurde auch auf die erfolgende Datenverarbeitung hingewiesen und eine Einwilligung der Nutzer eingeholt. Diese Einwilligung beurteilte der Verbraucherschutzverband als nicht datenschutzkonform und machte wegen des Rechtsbruchs wettbewerbsrechtliche Unterlassungsansprüche gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG geltend.
Zur Vorlagefrage
Der BGH möchte nun überprüfen lassen, ob Mitbewerber, Verbände u.ä. Verstöße gegen das Datenschutzrecht gerichtlich geltend machen können, obwohl sie nicht in ihren eigenen Rechten verletzt und auch nicht durch die verletzten Betroffenen mit der Geltendmachung ihrer Recht betraut worden sind. Diese Frage werde, so der BGH, in Rechtsprechung und Fachliteratur unterschiedlich beantwortet. Teilweise werde die Auffassung vertreten, Art. 80 DS-GVO enthalte eine abschließende Regelung zur Durchsetzung der in der Verordnung getroffenen datenschutzrechtlichen Bestimmungen. Nationale Regelungen, die dieser Regelung widersprechen, wären damit unionsrechtswidrig. Andere hielten die in der Datenschutzgrundverordnung zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend; somit wären nationale Regelungen, welche die Möglichkeit vorsehen, dass z.B. Verbraucherschutzverbände Datenschutzverstöße als Wettbewerbsverstöße geltend machen können, grundsätzlich möglich.
Der BGH weist auch darauf hin, dass sich der EuGH mit dieser Frage bereits einmal befasst hat. Mit Urteil vom 29.07.2019 (Az.: C-40/17) hatte der EuGH entschieden, dass die gesetzlichen Regelungen einer Klagebefugnis von Verbänden nicht entgegenstehen. Allerdings erging dieses Urteil noch zur Datenschutz-Richtlinie, sodass nicht klar sei, ob diese Frage unter Geltung der Datenschutz-Grundverordnung gleich zu beantworten ist.
27. Mai 2020
Die dänische Datenschutzbehörde hat eine Geldbuße in Höhe von 50.000 Dänischen Kronen gegen ein Personalvermittlungsunternehmen empfohlen. Im Gegensatz zu den meisten Mitgliedstaaten kann die Datenschutzbehörde in Dänemark nicht selbst eine Geldbuße verhängen. Die Polizei führt diesbezüglich Ermittlungen durch. Die Entscheidung über die Verhängung einer Geldstrafe wird vom Gericht getroffen werden.
Das Unternehmen hatte personenbezogene Daten, die Gegenstand eines Auskunftsersuchens waren, nach Eingang des Ersuchens und vor der Auskunftserteilung gelöscht. Die dänische Datenschutzbehörde vertritt die Ansicht, dass das Unternehmen den Anforderungen der Datenschutzverordnung (DSGVO), wonach personenbezogene Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden müssen, nicht erfüllt hatte.
Astrid Mavrogenis, Leiterin der dänischen Datenschutzbehörde, ist der Auffassung, dass die Löschung von personenbezogenen Daten, die im direkten Zusammenhang mit der Nichterfüllung eines Auskunftsersuchens stehen, nicht nur ein Verstoß gegen die DSGVO, sondern auch eine Verletzung der Grundrechte darstelle.
„Deutschlands größte E-Mail-Anbieter“, GMX und WEB.DE, haben anlässlich des zweijährigen Jubiläums des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) am 25.05.2020 eine Umfrage zur Sicht deutscher Internetnutzer auf die DSGVO veröffentlicht, welche durch das Meinungsforschungsinstitut YouGov Deutschland GmbH duchgeführt wurde. Im Rahmen der repräsentativen Umfrage wurden im Zeitraum vom 15.-18.05.2020 ingsesamt 2045 deutsche Internetnutzer ab 18 Jahren befragt.
Großteil der Nutzer von Cookie-Hinweisen „genervt“
Statt einer Umfrage zur Sicht deutscher Internetnutzer auf die Datenschutz-Grundverordnung – wie es der Titel vermuten lässt – handelt es sich vielmehr um eine Umfrage zur derzeitigen Cookie-Praxis. Die Teilnhmer der Umfrage wurden unter anderem gefragt, ob sie sich durch regelmäßige Cookie-Hinweise in ihrer Internetnutzung eingeschränkt fühlen, und wenn ja, warum. Aus den gegebenen Antworten wird geschlossen, dass sich 63% der Nutzer durch wiederholt auftretende Cookie-Hinweise „genervt bzw. eingeschränkt“ fühlen. Dabei erscheint interessant, dass sich ein Großteil der Teilnehmer daran stört, dass sie langsamer surfen können (25%), bei Nichtzustimmung die Website nicht nutzen zu können (30% – zur Frage der Rechtmäßigkeit solcher „Cookie-Walls“ lesen sie mehr in unsererm Blog-Beitrag) oder durch Cookie-Hinweise überhaupt erst darauf hingewiesen werden, dass bei der Internetnutzung eine „Überwachung“ bzw. Tracking stattfindet (26%). Deutlicher weniger Nutzer kritisieren hingegen die Verständlichkeit der Hinweise (12%) oder deren wiederholtes Erscheinen (10%). Aus diesen Antworten könnte man auch ablesen, dass nicht die Art und Weise der Cookie-Praxis das Problem darstellt, sondern dass sich die Nutzer zwecks „ungestörtem Nutzererlebnis“ einfach nicht mit Fragen des Schutzes ihrer personenbezogenen Daten beschäftigen möchten.
Dem scheint auch die Antwort von 41% der Teilnehmer zu entsprechen, wonach diese die Cookie-Hinweise gar nicht erst lesen und der Verwendung der Cookies ungeprüft zustimmen. Immerhin 16% lesen die Hinweise und stimmen anschließend ihrer Nutzung zu, und 23% nehmen eine individuelle Cookie-Einstellung vor. Ganze 12% der Nutzer lassen sich von den Cookie-Hinweisen sogar gänzlich von der Nutzung einer Website abbringen und verlassen diese.
Verbesserungswünsche: Einfachheit, Transparenz, zentrale Cookie-Verwaltung
Die Nutzer wurden aber nicht nur nach ihrer Kritik an der gängigen Cookie-Praxis gefragt, sondern auch, welche Verbesserungsvorschläge sie haben. Obwohl 41% die Hinweise gar nicht erst lesen (s.o.), wünschen sich dennoch 39% der Teilnehmer mehr Transparenz darüber, welche ihrer Daten überhaupt erhoben werden, und 31% wünschen sich mehr „Einfachheit und Verständlichkeit bei den Hinweisen und Erklärungen zum Datenschutz“. Andere Teilnehmer wünschen sich hingegen eine grundlegende Änderung der Cookie-Praxis, wobei die Frage gestellt werden muss, ob dies so umsetzbar ist. Dabei geht es einerseits um technische Fragen (25% wünschen sich einheitliche Lösungen, die abgebenene Einwilligungen für mehrere Webseiten speichern), andere Wünsche der Teilnehmer würden hingegen eine Änderung der Rechtslage erfordern. Denn immerhin 33% fordern von der Internet-Industrie, „eine Alternative zur nervigen Cookie-Praxis“ bereitzustellen.
Eine weitere Frage richtet sich wieder an das individuelle Nutzerverhalten. Gefragt ist danach, wie häufig die Nutzer manuell die gespeicherten Cookies löschen. 10% löschen diese sogar mehrmals am Tag, jeweils 9% immerhin einmal am Tag bzw. der Woche, und ebenfalls 9% mehrmals in der Woche. Große Teile der Teilnehmer verlassen sich hingegen bei der Nutzung auf ihre Browser-Einstellungen und löschen die gespeicherten Cookies deswegen selten (29%) oder gar nie (14%).
Zum Abschluss wurden die Teilnehmer gefragt, wie sie die Möglichkeit fänden, ihre Cookie- und Datennutzungseinstellungen bei einem Dienstleister zentral für alle anderen Webseiten speichern zu können, sodass keine individuellen Cookie-Abfragen mehr erforderlich wären. Diese Möglichkeit fänden 27% hilfreich und würden diese nutzen, 34% würden dies vielleicht. Die übrigen Teilnehmer lehnen eine solche Möglichkeit hingegen ab und würden diese sicher (11%) oder doch zumindest wahrscheinlich (10%) nicht nutzen.
Schlussfolgerungen
Welche Schlüsse können nun aus dieser Umfrage gezogen werden? Jan Oetjen, Geschäftsführer von GMX und WEB.DE, sieht aufgrund der aktuellen Regelung – welche auf den Anforderungen der DSGVO beruhe – eine drohende „Klick-Müdigkeit“, denn wer jede Woche dutzende Male nach Einwilligungen für „eher unkritische Daten“ gefragt werde, verliere „schnell den Überblick“. In der Tat ist nach der aktuellen Rechtslage die Einholung einer ausdrücklichen Einwilligung des Nutzers erforderlich, wenn der Betreiber der Website Cookies verarbeiten möchte, die über die „technisch notwendigen“ Erfordernisse hinausgehen. Die Interaktion mit Cookie-Hinweisen kann für den Nutzer sicherlich durch eine vereinfachte optische und technische Gestaltung angenehmer gestaltet werden. Eine „zentralisierte Verwaltung“ aller Cookies wäre für viele Nutzer sicherlich die optimale Lösung. Es stellt sich aber die Frage, welcher Anbieter überhaupt die Entwicklung einer solchen Lösung auf sich nehmen sollte, wenn der Großteil der Nutzer die Verarbeitung seiner Cookies sowieso ungeprüft hinnimmt. Die zentralisierte Verwaltung würde zudem die technische und rechtliche Zusammenarbeit (Joint Control? Auftragsverarbeitung?) verschiedenster Anbieter erfordern.
Stattdessen könnte auch weiter in die Sensibilisierung der Internetnutzer für das Thema Datenschutz investiert werden. Wer sich bewusst ist, wozu die Verarbeitung von Cookies überhaupt dient und welche personenbezogenen Daten hier verarbeitet und eventuell miteinander verknüpft werden, empfindet Cookie-Hinweise vielleicht nicht mehr als lästige Störung des Nutzererlebnisses, sondern als notwendigen Schutz der eigenen Privatsphäre.
20. Mai 2020
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.
Mögliche Verfassungswidrigkeit
Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes.
Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.
Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.
Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.
Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.
Parlament lag Stellungnahme von Kelber vor
Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.
Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, „unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen“. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.
Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.
Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .
Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung „keine ernsthafte Befassung mit der DSGVO erkennen“ ließe.
Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich „Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie„. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments „Best-Practice zum Homeoffice“ der Bayerischen Datenschutzbehörde.
13. Mai 2020
Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des „Working Papers“ WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.
Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema „Einwilligung“ noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. „Cookie Walls“, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.
„Cookie Walls“ unzulässig
Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als „freiwillig“ abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. „Cookie Walls“ seien demnach unzulässig (Rn. 39).
Scrollen und Wischen nicht als Einwilligung geeignet
Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen „unter keinen Umständen“ eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht „so einfach wie die Erteilung der Einwilligung“ widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.
Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.
8. Mai 2020
Zuletzt war es zwei Untersuchungsausschüssen im Bundestag nicht möglich die Diensthandys der Minister auszuwerten. Wenn es nach den Vorsitzenden der betreffenden parlamentarischen Ausschüsse geht, soll sich das in Zukunft ändern.
Nach Informationen von Süddeutscher Zeitung, NDR und WDR erfolgte die Initiative aufgrund der Vorkommnisse, die sich bei der Maut-Affäre um Bundesverkehrsminister Andreas Scheuer (CSU) sowie bei der Berateraffäre um Ex- Bundesverteidigungsministerin Ursula von der Leyen (CDU) ereigneten.
Was war zuvor passiert?
Als bekannt wurde, dass im Zuge des Untersuchungsausschusses zur Maut-Affäre die Daten auf den Diensthandys des Bundesverkehrsministers und weiterer führender Beamten gelöscht worden sind, war die Empörung im Bundestag – quer durch die Fraktionen – vorprogrammiert. Die Grünen sprachen sogar von „systematischer Löschung“. Denn einen solchen Vorgang durften die Abgeordneten nicht zum ersten mal bezeugen. Als Abgeordnete 2019 in der Berateraffäre die Handydaten der früheren Bundesverteidigungsministerin Ursula von der Leyen (CDU) auswerten wollten, waren die Daten ebenfalls gelöscht worden.
„Diensthandys sind kein rechtsfreier Raum (…)“
„Mir stinkt, dass wir über gelöschte Handydaten diskutieren müssen“, zitiert die Süddeutsche Zeitung (SZ) den Vorsitzenden des Untersuchungsausschusses, der mit der Maut-Affäre betraut ist, Udo Schiefner (SPD). „Daten von Diensthandys müssten gesichert werden, wie alle anderen Kommunikationsdaten der Ministerien auch. Wie soll das Parlament sonst seine Kontrollfunktion umfassend wahrnehmen?“ In dieselbe Kerbe schlägt der Vorsitzende des Untersuchungsausschusses zu den teuren Beraterverträgen im Bundesverteidigungsministerium, Wolfgang Hellmich (SPD). Denn auch er sieht „erheblichen Regelungsbedarf“ und fordert eine Überarbeitung der bestehenden Regelungen durch die Bundesregierung, in der „geregelt sein muss, dass die Diensthandys der Minister für Untersuchungsausschüsse verfügbar sein müssen“. „Diensthandys sind kein rechtsfreier Raum. Es geht hier um die Wahrung der parlamentarischen Rechte“, sagt Hellmich.
Die Status quo Rechtslage
Eigentlich ist die Rechtslage klar: Die Geschäftsordnung der Bundesministerien sowie die sogenannten Registraturrichtlinie schreiben vor, dass dienstliche Inhalte der Ministerhandys grundsätzlich zu archivieren sind. „Klingt erst einmal gut“, mag der aufmerksame Leser nun denken. Der Teufel liegt hier im Detail. Denn die Ministerinnen und Minister können selbst entscheiden, welche Kommunikation für den jeweiligen Sachvorgang relevant ist und somit eine nicht nachvollziehbare Vorabauswahl der zu archivierenden Daten treffen. Das liegt daran, dass Minister ihre Diensthandys auch für private Zwecke nutzen dürfen. In diesem Fall findet „eine Speicherung von SMS und Telefonkontakten außerhalb der Geräte mit Blick auf den Daten- und Persönlichkeitsschutz nicht statt“, so die Bundesregierung.
Mit ihrem Vorstoß wollen Schiefner und Hellmich nun verbindliche und härtere Regelungen erwirken. Das Problem an der Sache ist nur, dass dafür das Bundeskabinett die Gemeinsame Geschäftsordnung verschärfen müsste. Und wer ist Teil des Bundeskabinetts? Richtig, die Minister.
24. April 2020
Eine für Arbeitgeber interessante Entscheidung hat das Landgericht Heidelberg getroffen (Urteil vom 06.02.2020 – Az. 4 O 6/19). Der Kläger begehrte als betroffene Person gegenüber seinem ehemaligen Arbeitgeber, dem Verantwortlichen, Auskunft über alle ihn betreffenden personenbezogenen Daten. Hilfsweise begehrte er die Auskunft über die E-Mail-Korrespondenz in einem Zeitraum von rund 1,3 Jahren. Die betroffene Person war in diesem neun bis zehn Jahre zurückliegenden Zeitraum Vorstandsmitglied des Verantwortlichen. Der Verantwortliche hatte mittlerweile Insolvenz gemeldet und sämtliche Daten zu Backup-Zwecken an einen Dritten übergeben. Das Gericht lehnte den Auskunftsanspruch einer betroffenen Person ab. Die Wiederherstellung und Aufbereitung der Daten stellten in dem konkreten Fall einen unverhältnismäßigen Aufwand dar.
Präzisierung des Anspruchs
auf Auskunft bei umfangreicher Verarbeitung
In seinen Urteilsgründen stellt das Gericht zunächst klar, dass die betroffene Person gegen den Verantwortlichen aus Art. 15 DSGVO grundsätzlich einen umfassenden Auskunftsanspruch über die Verarbeitung ihrer personenbezogenen Daten hat. Allerdings gewährt Erwägungsgrund 63 S. 7 DSGVO Verantwortlichen eine Erleichterung, die eine große Menge von Informationen über die betroffene Person verarbeiten. In einem solchen Fall kann der Verantwortliche von der betroffenen Person verlangen, dass sie ihr Auskunftsersuchen auf bestimmte Informationen oder bestimmte Verarbeitungstätigkeiten präzisiert.
Den umfassenden Hauptantrag der betroffenen Person wies das
Gericht ab, weil sich der Anspruch auf alle personenbezogenen Daten bezog. Zu
dem Hilfsantrag, in dem die betroffene Person ihr Auskunftsbegehren auf die E-Mail-Korrespondent
in einem bestimmten Zeitraum konkretisierte, führte das Gericht weiter aus:
Zweifel an
Erstreckung des Anspruchs auf Backup-Daten
Es könne bereits bezweifelt werden, dass der Verantwortliche
die im Backup bei einem Dritten gespeicherten Daten überhaupt noch verarbeitet.
Denn der Auskunftsanspruch beziehe sich regelmäßig nicht auf Daten, die an
einen Dritten übergeben worden seien. Das könne auch dann gelten, wenn der
Verantwortliche ein Zugriffsrecht hat.
Unverhältnismäßiger
Aufwand gemessen am Informationsinteresse
Im Ergebnis stellt das Gericht aber darauf ab, dass die Erteilung
der Auskunft für den Verantwortlichen einen unverhältnismäßig großen Aufwand
darstellt. Das Gericht hat keine Zweifel daran, dass allein die Wiederherstellung
der Daten Kosten von bis zu 4.000 € verursachen würde. Zudem können davon ausgegangen
werden, dass die betroffene E-Mail-Korrespondenz mehrere tausend E-Mails
umfasse. Denn die betroffene Person war über ein bis eineinhalb Jahre Vorstandsmitglied
den Verantwortlichen. All diese Mails müssten zur Sicherung berechtigter
Interessen Dritter gesichtet und geschwärzt werden, bevor sie an die betroffene
Person herausgegeben werden könnten. Diese Aufbereitung würde bei dem Verantwortlichen
unverhältnismäßige Ressourcen binden. Das Informationsinteresse der betroffenen
Person sei demgegenüber zu gering. Das Gericht betonte, dass die begehrten
Informationen neun bis zehn Jahren alt waren, der Anspruch erst spät geltend
gemacht wurde, die betroffene Person seit neun Jahren nicht mehr für das
verantwortliche Unternehmen arbeitete und es mittlerweile insolvent sei.
Bewertung
Das Gericht bezieht sich in seiner Entscheidung auf altes Recht: § 34 Abs. 7 i.V.m. § 33 Abs. 2 Nr. 1 BDSG alt kannten eine Ausnahme den Auskunftsanspruchs, wenn die Daten ausschließlich der Datensicherung dienten und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordert hätte. Der Wegfall der Spezialnorm bedeute nicht, dass nun alle Backup-Daten dem Auskunftsanspruch unterfielen.
Eine entsprechende Ausnahme findet sich in § 34 Abs. 1 Nr. 1 lit. b BDSG auch im aktuellen Recht. Die Entscheidung des Landgerichts Heidelberg kann dennoch nicht pauschal Auskunftsbegehren entgegengehalten werden, da sie einen Sonderfall betrifft. Sie steht insbesondere nicht einem Auskunftsbegehren entgegen, das sich auf im System des Verantwortlichen vorgehaltene Daten bezieht. Die Entscheidung zeigt aber Möglichkeiten auf, wie einem Auskunftsbegehren begegnet werden kann, wenn es eine aufwändige Wiederherstellung und Aufarbeitung der Daten nach sich ziehen würde.
Wenn der Verantwortliche eine große Menge personenbezogener Daten von der betroffenen Person verarbeitet und sich das Auskunftsbegehren auf alle Daten bezieht, sollte die betroffene Person zunächst darauf verwiesen werden, ihren Antrag auf bestimmte Datenkategorien, Zeiträume oder Verarbeitungstätigkeiten zu präzisieren.
15. April 2020
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü), Dr. Stefan Brink, hat Handreichungen für die Zeit des Ausnahmezustandes herausgegeben.
Hintergrund der Handreichungen sei, dass vielerorts die frisch etablierten Verwaltungsprozesse zum Datenschutz durch die Corona-bedingte Ausnahmesituation auf die Probe gestellt würden. So stünden viele Datenschutzbeauftragte erneut vor Fragen zur Rechtmäßigkeit von Datenverarbeitung – etwa wenn es um Aufträge an Firmen außerhalb Deutschlands geht, personenbezogene Daten zu verarbeiten.
Hier seien Datenschutzbeauftragte auf praktikable Hilfen angewiesen. Dies zu gewährleisten sei Aufgabe der Aufsichtsbehörde. Konkret hat der LfDI BaWü ein Muster für die Datenverarbeitung im Auftrag nach Maßgabe des Art. 28 Abs. 3 DSGVO herausgegeben.
