Wenige Rechtsgebiete entwickeln sich so schnell und stark wie das Datenschutzrecht. Im Folgenden soll ein Überblick über einige relevante Entwicklungen im Datenschutzrecht der letzten Wochen und Monate gegeben werden. Besprochen werden der neue Angemessenheitsbeschluss für das Vereinigte Königreich, Bußgeldverfahren gegen juristische Personen, eine neue Ausnahme-Verordnung für die ePrivacy-Richtlinie sowie aktuelle höchstrichterliche Rechtsprechung zum Auskunftsanspruch nach Art. 15 DSGVO.
Angemessenheitsbeschluss UK
Am 28. Juni 2021 hat die EU-Kommission einen Angemessenheitsbeschluss nach Art. 45 DSGVO für das Vereinigte Königreich (UK) erlassen (Durchführungsbeschluss C/2021/4800). Das Land wird dadurch als sicheres Drittland mit einem EU-ähnlichen Datenschutzniveau anerkannt, der Austausch von personenbezogenen Daten bleibt also auch nach dem Brexit weiter möglich.
Zuvor unterfielen Datenübermittlungen in das Vereinigte Königreich sowie die verarbeitenden Stellen nach dem Brexit-Abkommen vom 31.12.2020 nur deshalb nicht den von Art. 46 DSGVO geforderten Garantien für eine Datenübermittlung in Drittländer, weil eine Übergangsfrist bis zum 30.04.2021 vereinbart wurde. Durch die Ratifizierung des Brexit-Handelsabkommens am 28.04.2021 wurde die Frist allerdings bis zum 30.06.2021 verlängert. Nunmehr liegt durch den Angemessenheitsbeschluss vom 29.06.2021 eine Grundlage für die Datenübermittlung im Sinne des Art. 45 Abs. 3 DSGVO vor.
Das Datenschutzrecht des Vereinigten Königreichs wird maßgeblich durch den Data Protection Act 2018 (DPA 2018) bestimmt. Der DPA steht neben der auf der DSGVO basierenden UK GDPR und ergänzt diese z.B. durch Ausnahmen für Strafverfolgungsbehörden und Geheimdienste. Besonders in der Kritik steht das sogenannte Five-Eyes-Abkommen, ein Geheimdienst-Abkommen zwischen Großbritannien, den USA, Kanada, Neuseeland und Australien, welches für das knappe Scheitern des Angemessenheitsbeschlusses im EU-Parlament im Mai 2021 mitverantwortlich war. Auch angeführt für das Scheitern des Beschlusses wurden Datentransfers von EU-Daten aus Großbritannien aufgrund eigener Abkommen in Drittstaaten ohne Angemessenheitsbeschluss.
Nach Modifizierung der Angemessenheitsentscheidung durch Einschränkung des Anwendungsbereiches wurde der Beschluss nun doch am 28.06.2021 von der Kommission verabschiedet. Ausgeklammert sind nach dem aktuellen Angemessenheitsbeschluss Datenverarbeitungen zum Zwecke der Einwanderungskontrolle. Sorge bereitet nach EU-Ansicht in dem Fall vor allem das unbillige Beschneiden von Betroffenenrechten. Der Angemessenheitsbeschluss entfaltet hierfür keine legitimierende Wirkung. Notwendig bleibt deshalb weiterhin die eigenständige Implementierung von geeigneten Garantien gem. Art. 46 DSGVO. Der Angemessenheitsbeschluss ist zunächst auf vier Jahre befristet, könnte jedoch schon früher durch ein Urteil des EuGHs für ungültig erklärt werden. Die Kommission muss mit Ablauf der vier Jahre bis zum 27.06.2025 selbstständig prüfen, ob das Datenschutzniveau im Vereinigten Königreich auch weiterhin angemessen ist.
Bußgeld gegen die Deutsche Wohnen SE
LG Berlin, 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hatte im Herbst 2019 einen Bußgeldbescheid über 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Zur Begründung brachte die Behörde an, dass im Archiv des Unternehmens teils Jahre alte personenbezogene Daten von Mieter:innen einzusehen waren. Darunter waren unter anderem Arbeitsverträge, Finanzdaten sowie Sozial- und Krankenversicherungsdaten.
Das LG Berlin stellte das Bußgeldverfahren am 18.02.2021 mittels Beschlusses ein.Das Gericht begründete seinen Beschluss damit, dass die Behörde eine juristische Person (hier die Deutsche Wohnen SE) nicht als Betroffene in einem Bußgeldverfahren behandeln könne. Ordnungswidrigkeiten könnten nur von natürlichen Personen begangen werden. Das LG Berlin wertete die Behandlung der Deutsche Wohnen SE als Betroffene des Bußgeldbescheides als Verfahrenshindernis.
LG Bonn, 11.11.2020 – 29 OWi 1/20
Das LG Bonn hatte im November 2020 in einem ähnlichen Sachverhalt noch anders entschieden. Mit Urteil vom 11.11.2020 reduzierte das Gericht ein gegen 1&1 verhängtes Bußgeld des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) stark. Ein Verfahrenshindernis wurde allerdings nicht angenommen. Das LG Bonn knüpfte für den Sanktionsgegenstand an den Datenschutzverstoß als Erfolg an. Für das Bußgeld komme es gerade nicht auf eine ursächliche Handlung einer natürlichen Person an. Im Bußgeldbescheid müsse nicht angegeben werden, welche natürlichen Personen eines Unternehmens einen Datenschutzverstoß konkret begangen haben. Der Verstoß müsse nur ausreichend konkretisiert werden. Das LG Bonn sah im Gegensatz zum LG Berlin die Grundsätze des supranationalen Kartellrechts als anwendbar an, die eine unmittelbare Verbandshaftung ermöglichen. Unternehmen haften danach als funktionale Einheit nach dem sogenannten Funktionsträgerprinzip. Im Ergebnis müsse die Behörde somit nur den Datenschutzverstoß selbst feststellen. Darüberhinausgehende Ermittlungsarbeit wäre so nicht erfasst.
Verbands- oder Rechtsträgerhaftung
Ausgangspunkt dieses Konflikts ist Art. 83 DSGVO, der für die tatsächliche Verhängung von Bußgeldern den Rückgriff auf das Recht der Mitgliedstaaten ermöglicht. In Deutschland verweist § 41 Abs. 1 BDSG „sinngemäß“ auf das OWiG. Das LG wertet dies als „Analogieverweisung“, was durch das LG Berlin als typische Analogieverweisung verstanden wird. Dies bedeute, dass das OWiG nur dann sinngemäß angewandt wird, wenn der Bezugstext nicht wörtlich passt. Nicht aber ist darunter eine Nichtgeltung bestimmter Normen zu verstehen. Aus dem Begriff „sinngemäß“ ergebe sich also gerade keinesfalls, dass die §§ 30, 130 OWiG nicht oder nur eingeschränkt im datenschutzrechtlichen Bußgeldverfahren anwendbar wären. Damit brauche es also auch eine Anknüpfungstat einer natürlichen Person.
Das LG Bonn führt dagegen an, der europäische Gesetzgeber habe bei Konzipierung der DSGVO das Kartellrecht vor Augen gehabt. Es bedürfe also nach Art. 83 DSGVO gerade nicht der Anknüpfung an die schuldhafte Handlung einer natürlichen Person. Infolgedessen könne § 30 OWiG gerade nicht uneingeschränkt angewendet werden. Nur so könne man dem Haftungskonzept des Art. 83 DSGVO gerecht werden.
Ein solcher staatlicher Strafausspruch ohne die Anknüpfung an eine schuldhafte Handlung sei allerdings nach dem LG Berlin nicht möglich, denn auch im Ordnungswidrigkeitenrecht gelte das Schuldprinzip. Der europäische Effektivitätsgrundsatz könne nicht das verfassungsrechtlich garantierte Schuldprinzip aushebeln.
Die BlnBDI hatte in einer Pressemitteilung vom 03.03.2021 angebracht, dass die Auslegung des deutschen Ordnungswidrigkeitenrechts durch das LG Berlin nicht im Einklang mit dem Willen des europäischen Gesetzgebers stehe. Um eine einheitliche Anwendung der DSGVO in allen Mitgliedstaaten zu gewährleisten, müssten die Regelungen des OWiG im Lichte der europäischen Vorschriften ausgelegt werden. Die BlnBDI trägt zudem vor, dass der Beschluss des LG Berlins die Effektivität des Ordnungswidrigkeitenverfahrens erheblich gefährde. In Deutschland wäre dem LG Berlin folgend anders als in vielen anderen Mitgliedstaaten der Nachweis einer individuellen Handlung besonders bei großen Unternehmen aufgrund ihrer komplexen Struktur für die Behörden nur schwer zu erbringen. Es bestehe die Gefahr der Benachteiligung kleiner und mittlerer Unternehmen sowie des Auseinanderfallens der europaweiten Sanktionierungspraxis bei DSGVO-Verstößen.
Die Staatsanwaltschaft hat gegen den Beschluss des LG Berlin in Einvernehmen mit der BlnBDI Beschwerde beim Kammergericht Berlin eingelegt. Es erscheint denkbar, dass das Kammergericht den Fall dem EuGH im Vorabentscheidungsverfahren vorlegt, um die notwendige und intendierte Auslegung des Art. 83 DSGVO zu klären.
Nun bleibt abzuwarten, wie sich der Streit zwischen den Vertretern der Verbandshaftung bzw. des Funktionsträgerprinzips und dem LG Berlin als Vertreter der Rechtsträgerhaftung durch Entscheidung des Kammergerichts Berlin oder auch des EuGHs auflöst.
Online-Massenüberwachung durch Umgehung der ePrivacy-RL
Am 06.07.2021 hat das Europäische Parlament eine vorübergehende Ausnahmeverordnung von der Richtlinie 2002/58/EG zur Verwendung von Technik zur Verarbeitung von Daten zwecks Bekämpfung des sexuellen Missbrauchs von Kindern im Internet erlassen. Durch die Verordnung wird es künftig
Chat-, E-Mail- und Social-Media-Anbietern erlaubt sein, private Telekommunikationsinhalte zu scannen, auszuwerten und bei Verdacht der Kinderpornographie automatisiert an Strafverfolgungsbehörden zu melden. Die Verordnung gilt hingegen nicht für das Durchsuchen von Audiokommunikation.
Die beschriebene, nun von der Ausnahmeverordnung gedeckte, Praxis gab es bereits zuvor. Durch die Anwendbarkeit des Europäischen Kodexes für die elektronische Kommunikation fielen seit dem 21.12.2020 die entsprechenden „nummernunabhängigen interpersonellen Kommunikationsdienste“ auf einmal unter die ePrivacy-Richtlinie. Die automatische Überprüfung von Kommunikationsinhalten war nicht mehr zulässig. Facebook schaltete seine Scanner daraufhin ab. Google und Microsoft ließen sie zunächst weiterlaufen.
Der Nutzer muss über eine Meldung bei den Strafverfolgungsbehörden oder Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen nicht durch die Dienste informiert werden. Vielmehr sieht die Verordnung einen verbindlichen Hinweis auf die Beschwerdemöglichkeit der Nutzer lediglich dann vor, wenn ihre Inhalte entfernt, das Konto gesperrt oder ein ihnen angebotener Dienst eingestellt wurde.
Sollte eine langfristige Lösung vor Ablauf der drei Jahre gefunden werden, soll der dann geschaffene Rechtsrahmen die Ausnahmeverordnung aufheben.
- ePrivacy-Verordnung – EU einigt sich auf einen Entwurf
- Neues zum Thema Cookies: Urteile und aktuelle Gesetzesentwürfe
- Aktuelle Datenschutz-Entwicklungen beim Brexit: Womit müssen Unternehmen rechnen?
Rechtsprechung zum Umfang des datenschutzrechtlichen Auskunftsanspruches
In den vergangenen Monaten ergingen zwei wichtige höchstrichterliche Urteile zu den Auskunftsansprüchen nach Art. 15 DSGVO.
1. BAG, 27. April 2021 – 2 AZR 342/20
Das Bundesarbeitsgericht (BAG) entschied am 27.04.2021 über einen Fall, in welchem der Kläger im Rahmen eines Kündigungsrechtstreits einen Auskunftsanspruch dahingehend geltend machte, dass er die Herausgabe von Kopien seiner dienstlichen E-Mails begehrte. Das Landesarbeitsgericht Niedersachsen entschied, dass ihm ein entsprechender Anspruch nicht zustünde, da ihm die durch ihn verschickten E-Mails bekannt seien. Begründet wurde dies damit, dass Sinn und Zweck der Auskunftserteilung sei, den betroffenen Personen eine Überprüfung der Datenverarbeitung zu ermöglichen, nicht aber vollständige Kopien aller Unterlagen zu erhalten, in denen personenbezogene Daten enthalten sind.
Das BAG wies die Revision zurück, da der Klageantrag nicht hinreichend bestimmt gewesen sei. Das Begehren des Klägers müsse im Wege einer sogenannten Stufenklage gem. § 254 ZPO gerichtlich geltend gemacht werden. Auf der ersten Stufe müsse der Kläger auf Auskunft klagen, um auf der zweiten Stufe entsprechend der erteilten Auskunft einen hinreichend bestimmten Leistungsantrag zu stellen. Im Vollstreckungsverfahren müsse dann unzweifelhaft klar sein, auf welche E-Mails sich die Verurteilung bezieht. Nur dann könnte ein entsprechender Auskunftsanspruch geltend gemacht werden.
Zu der umstrittenen Frage der Reichweite des Anspruchs auf Ausgabe von Datenkopien äußerte sich das BAG allerdings nicht. Diesbezüglich herrscht damit weiter Rechtsunsicherheit. Auf Auskunftsbegehren von Arbeitnehmer:innen sollten Arbeitgeber:innen weiterhin vorbereitet sein. Die Entscheidung des BAG verdeutlicht, dass eine grundsätzliche Möglichkeit der Geltendmachung entsprechender Ansprüche besteht.
2. BGH, 15.06.2021 – VI ZR 576/19
Der BGH entschied ebenso über relevante Fragen insbesondere des Umfangs des Auskunftsanspruchs gem. Art. 15 DSGVO i.V.m. Art. 4 Nr. 1 Halbsatz 1 DSGVO in einer Auseinandersetzung zwischen einem Lebensversicherer und dessen Versicherungsnehmer.
Das Landgericht Köln hatte in der Berufungsinstanz entschieden, dass die Versicherung als Beklagte den Auskunftsanspruch des Klägers vollständig erfüllt habe. In einer vorprozessualen Mitteilung habe die Beklagte bereits verschiedene Auskünfte und Informationen erteilt, nach eigenen Angaben seien auch keine weiteren personenbezogenen Daten des Klägers gespeichert bzw. verarbeitet worden. Der Kläger habe dagegen nicht konkret dargelegt, dass die bereits erteilte Auskunft unvollständig sei und inwieweit er weitere Auskunft verlange. Insbesondere unterliege die zurückliegende Korrespondenz der Parteien ebenso wie Datenauskünfte zu internen Bearbeitungsvermerken und das Prämienkonto nicht dem Auskunftsanspruch nach Art. 15 DSGVO. Das LG vertrat die Auffassung, dass sich das Auskunftsrecht nach Art. 15 DSGVO auf solche Daten beschränke, die dem Betroffenen noch nicht bekannt seien. Zurückliegende Korrespondenz zwischen dem Kläger und der Beklagten falle somit nicht unter den Auskunftsanspruch. Auch erstrecke sich der Anspruch nach Auffassung der Kammer nicht auf sämtliche interne Vorgänge der Beklagten wie zum Beispiel Vermerke.
Der BGH führt an, dass der Auskunftsanspruch nur erfüllt sei, wenn die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdeckt. Daran fehle es gerade, wenn sich der Auskunftspflichtige zu einer bestimmten Kategorie von Auskunftsgegenständen nicht äußere, weil er irrig davon ausgehe, dazu nicht verpflichtet zu sein. Dem Kläger wäre hier also möglich, eine Ergänzung der Auskünfte zu verlangen. Der Kläger präzisierte auch, dass er weitergehende Auskünfte hinsichtlich der Korrespondenz der Parteien, etwaiger interner Vermerke sowie seines Prämienkontos forderte. Das LG hätte eine falsche Auffassung des Begriffs der personenbezogenen Daten, sofern es die begehrten Informationen nicht als von ihm abgedeckt sähe.
Der BGH merkt an, dass der Begriff der „personenbezogenen Daten“ im Sinne des Art. 4 Nr. 1 Halbsatz 1 DSGVO nach der dortigen Definition sowie nach der Rechtsprechung des Europäischen Gerichtshofs weit zu verstehen sei. Zentrale Voraussetzung sei, dass es sich um Informationen über die in Rede stehende Person handele, sie also in irgendeiner Weise mit ihr verknüpft sein müssen.
Insbesondere schließe einen Auskunftsanspruch auch nicht aus, dass etwaige Schreiben dem Kläger schon bekannt sind. Die Auskunft soll ihm die ihn betreffende Datenverarbeitung offenlegen und die Möglichkeit zur Rechtmäßigkeitsprüfung einräumen, ein Auskunftsbegehren könne zudem wiederholt geltend gemacht werden. Auch interne Vermerke seien von Art. 15 Abs. 1 DSGVO erfasst, da der Anspruch nicht voraussetze, dass Daten extern zugänglich sind.
Vom Auskunftsanspruch nach Art. 15 DSGVO i.V.m. Art. 4 DSGVO seien laut BGH also insbesondere auch die Korrespondenz des Verantwortlichen über sowie mit dem Betroffenen, interne Vermerke und Gesprächsnotizen sowie das Prämienkonto bei einer Versicherung und Daten des Versicherungsscheins erfasst.
Ausgenommen von der Pflicht zur Auskunftserteilung seien aber nach der Rechtsprechung des EuGHs rechtliche Analysen über die Betroffenen, die auf Grundlage der personenbezogenen Daten vorgenommen wurden. Die vorgenommene rechtliche Beurteilung stelle gerade kein personenbezogenes Datum dar, der Auskunftsanspruch nach Art. 15 DSGVO greife mithin nicht. Der BGH führte schließlich an, dass Gründe, die zu einem Ausschluss des Auskunftsanspruchs führen könnten, mangels entsprechender tatsächlicher Feststellungen im Berufungsurteil nicht angenommen werden könnten. Es ist daher für Auskunftspflichtige empfehlenswert, etwaige Ausschlussgründe mittels konkreten Sachvortrages vorzutragen.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling
In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.