In seinem Urteil vom 26.4.2023, Rs. T-557/20 hat sich der Europäische Gerichtshof (EuG) mit der Frage der Relativität des Personenbezugs beschäftigt. Das Urteil räumt mit einigen Missverständnissen auf, die im Zusammenhang mit dem bekannten „Breyer“-Urteil des EuGH zum Personenbezug von IP-Adressen (EuGH v. 19.10.2016, C 582/14) entstanden sind.
1. Pseudonymisierung und Anonymisierung von Daten
Wie kann man pseudonyme und anonyme Daten unterscheiden?
Pseudonyme Daten können nur unter Hinzuziehung zusätzlicher Informationen einer spezifischen betroffenen Person zugeordnet werden. Diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die Zuordnung nicht bzw. nicht ohne weiteres erfolgen kann (Art. 4 Nr. 5 DSGVO). Pseudonymisierung bedeutet also, dass z. B. ein Name durch ein Pseudonym – einen Code, eine Nummer usw. – ersetzt wird. Allerdings können die Pseudonyme mit Hilfe von Zusatzinformationen wieder entschlüsselt und personenbeziehbar gemacht werden.
Bei anonymen Daten ist eine solche „Entschlüsselung“, also die Herstellung eines Personenbezugs, nicht oder nicht mit vertretbarem Aufwand möglich (vgl. Erwägungsgrund 26 der DSGVO). Anonyme Daten gelten deshalb nicht mehr als personenbezogene Daten und unterfallen nicht mehr der DSGVO.
2. Sachverhalt
In dem vom EuG entschiedenen Fall hatte der Einheitliche Abwicklungsausschuss (SRB) Daten an Deloitte weitergeleitet, bei denen personenidentifizierende Merkmale durch alphanumerische Codes ersetzt wurden. Der SRB konnte diese Codes konkreten Personen zuordnen. Deloitte hatte keinen Zugriff auf die Codes und konnte keinen Personenbezug der Daten herstellen.
Der Europäische Datenschutzbeauftragte (EDSB) hielt die Daten pauschal für personenbeziehbar. Nach Auffassung des EDSB sei der Umstand, dass Deloitte keinen Zugang zu den vom SRB gespeicherten Informationen zur Rückidentifizierung gehabt habe, unbeachtlich. „Pseudonymisierte“ Daten blieben dies selbst dann, wenn sie an einen Dritten übermittelt würden, der nicht über die zusätzlichen Informationen verfüge.
Dagegen klagte der SRB mit dem Argument, dass es sich zumindest für Deloitte nicht um personenbeziehbare Daten handele und die DSGVO insoweit nicht anwendbar sei.
3. Relativität des Personenbezugs
Im Kern geht es um die Frage, ob die „Personenbeziehbarkeit“ von Daten relativ oder absolut zu beurteilen ist – ob es also dem jeweils Verantwortlichen mit vertretbaren Mitteln möglich sein muss, einen Personenbezug herzustellen („relativer“ Personenbezug) oder ob es ausreicht, dass irgendjemand über diese Mittel verfügt („absoluter“ Personenbezug).
Der EuG hat sich im Ergebnis der Argumentation des SRB angeschlossen: es kommt darauf an, ob der jeweils Verantwortliche – hier also Deloitte – über die zusätzlichen Informationen verfügt, anhand deren eine Rückidentifizierung von Personen möglich ist.
Dies steht nicht im Widerspruch zum „Breyer“-Urteil des EuGH. Darin stellte sich die Frage, ob eine dynamische IP-Adresse für den Anbieter einer Website ein personenbezogenes Datum darstellt. Über die zur Identifizierung des Nutzers anhand einer IP-Adresse erforderlichen Zusatzinformationen verfügt üblicherweise nicht der Anbieter der Website, sondern der Internetzugangsanbieter des jeweiligen Nutzers. Zu prüfen war nach Auffassung des EuGH in diesem Fall, ob die Möglichkeit, eine IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise vom Website-Betreiber zur Bestimmung der betreffenden Person eingesetzt werden kann. Der EuGH ging also ebenfalls von der Relativität des Personenbezugs aus.
Der EuG führt aus (Rn. 99, 100 des Urteils):
„[Es kann] die Situation von Deloitte mit der des Anbieters von Online-Mediendiensten im Sinne des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), verglichen werden, soweit sie über Informationen […] verfügte, bei denen es sich nicht um Informationen handelte, die sich auf eine „identifizierte natürliche Person“ bezogen, da es nicht möglich war, anhand des auf jeder Antwort vermerkten alphanumerischen Codes unmittelbar die natürliche Person zu identifizieren, die den Fragebogen ausgefüllt hatte. Zum anderen kann die Situation des SRB mit der des Internetzugangsanbieters in jener Rechtssache verglichen werden, da feststeht, dass nur der SRB über die zusätzlichen Informationen – nämlich über den alphanumerischen Code und die Identifizierungsdatenbank – verfügte, anhand deren die betroffenen Anteilseigner und Gläubiger identifiziert werden können, die den Fragebogen ausgefüllt haben.
Somit war es gemäß der oben in Rn. 91 angeführten Rn. 44 des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), Sache des EDSB, zu prüfen, ob für Deloitte die an sie übermittelten Stellungnahmen personenbezogene Daten waren.“
Diese Prüfung der Personenbeziehbarkeit der Daten aus Sicht von Deloitte hat der EDSB nicht vorgenommen. Der EuG hat damit der Klage des SRB stattgegeben. Ob vorliegend Deloitte tatsächlich über Mittel für eine Rückidentifizierung verfügte und diese hinreichend wahrscheinlich war, hat der EuG nicht mehr geprüft.
Heutzutage stellt fast jedes Unternehmen auf seiner Website nicht nur grundlegende Informationen über seine Aktivitäten und Kontaktdaten, sondern auch einen Bereich für das Team mit einer Darstellung der Mitarbeiter bereit. So können Kunden oder Geschäftspartner erfahren, wer die Ansprechpartner in den einzelnen Abteilungen des Unternehmens sind. Das Hinzufügen eines Fotos eines Mitarbeiters kann sicherstellen, dass die Kommunikation nicht zu unpersönlich wirkt. Allerdings können Mitarbeiterfotos mehr Informationen enthalten, als es auf den ersten Blick scheint.
Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten
Die Veröffentlichung von Mitarbeiterbildern kann Bedenken hinsichtlich des Schutzes personenbezogener Daten aufwerfen. Insbesondere stellt sich die Frage, ob die Veröffentlichung von Mitarbeiterbildern zu einer Veröffentlichung „besonderer Kategorien personenbezogener Daten“ nach Art. 9 DSVGO führt. Art. 9 DSGVO stellt besondere Anforderungen an die Verarbeitung personenbezogener Daten, aus denen die ethnische oder rassische Herkunft hervorgeht oder die Informationen über den Gesundheitszustand enthalten. Kann ein Foto solche besonders sensiblen Daten enthalten, auch wenn diese sich nur indirekt aus dem Foto ergeben? Das Äußere, die Hautfarbe, kann z.B. Hinweise auf ethnische Herkunft und Rassenzugehörigkeit geben. Das Tragen einer Brille informiert über Kurzsichtigkeit und ist damit eine Information über den Gesundheitszustand. Symbole wie beispielsweise Kreuze können auf eine religiöse Konfession hinweisen. Ist das aber ausreichend um Mitarbeiterfotos als besonders geschützte Daten im Sinne von Art. 9 DSGVO zu qualifizieren?
Rechtsprechung EuGH, 01.08.2022 – C-184/20
Zu diesem Thema hat sich der Gerichtshof in seinem Urteil vom 1. August 2022 geäußert. Im vorliegenden Fall ging es um Inhalte, die indirekt Rückschlüsse auf sensible Daten (in diesem Fall die sexuelle Orientierung) natürlicher Personen zuließen und auf der Website einer Behörde veröffentlicht waren. Dabei hat der EuGH den Begriff der „besonderen Kategorien personenbezogener Daten“ weit ausgelegt. Auch Daten, die indirekt sensible Informationen über eine natürliche Person offenbaren können, werden von Art. 9 Abs. 1 DSGVO erfasst, da andernfalls die praktische Wirksamkeit des Art. 9 DSGVO und der damit bezweckte Schutz der Grundrechte und Grundfreiheiten natürlicher Personen beeinträchtigt würde (Rn. 127 des Urteils).
Folgt man dieser Auffassung, können auch Fotos „besondere Kategorien personenbezogener Daten“ enthalten, wenn die Fotografie eines Mitarbeiters Merkmale enthält, die indirekt auf sensible Informationen hinweisen bzw. wenn aus der Fotografie solche Merkmale hervorgehen. Das bedeutet, dass in diesem Fall Art. 9 DSGVO Anwendung findet.
Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt, es sei denn es liegt eine Einwilligung vor (Art. 9 Abs. 1a DSGVO) oder die Verarbeitung dieser besonders geschützten Daten ist im Rahmen des Arbeitsverhältnisses erforderlich (§ 26 Abs. 3 BDSG).
Die Veröffentlichung von Mitarbeiterfotos wird aber i.d.R. nicht zwingend erforderlich sein. Natürlich gibt es Berufe, in denen die Veröffentlichung von Bildern notwendig ist, z.B. als Model oder Schauspieler – das sind aber Ausnahmefälle. Sie bedarf deshalb (fast) immer der Einwilligung der betroffenen Mitarbeiter. Die Einwilligung muss freiwillig und informiert sein und sollte am besten in schriftlicher Form erfolgen (dies ist zwar nicht zwingend, aber empfehlenswert). Wenn das Foto bestimmte Merkmale enthält, die als besonders sensible Daten betrachtet werden könnten, sollten diese in der Einwilligung ausdrücklich erwähnt werden. Wichtig ist, dass die Einwilligung freiwillig und ohne Zwang erfolgt. Eine Ablehnung der Einwilligung zur Veröffentlichung darf nicht mit Nachteilen für die betroffenen Mitarbeiter verbunden sein.
EuGH Urteil vom 22.6.2022 – C-534/20
Die Pflicht zur Benennung eines Datenschutzbeauftragten trifft viele Unternehmen. Eine deutsche Besonderheit ist dabei der besondere Kündigungsschutz des internen betrieblichen Datenschutzbeauftragen. Zur Vereinbarkeit dieses Kündigungsschutzes mit europarechtlichen Vorgaben hat nun der EuGH entschieden.
Besonderer Schutz des Datenschutzbeauftragten
Der betriebliche und behördliche Datenschutzbeauftragte wird aufgrund seiner Funktion besonders geschützt. Nach Art. 38 III 2 DSGVO dürfen Datenschutzbeauftragte vom Verantwortlichen oder Auftragsverarbeiter wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden. Allerdings geht der nationale Gesetzgeber in § 6 Abs. 4 BDSG noch einen Schritt weiter und regelt arbeitsrechtliche Vorschriften in Form von einem strengeren Kündigungsschutz – auch dann, wenn die Kündigung nicht mit der Erfüllung der Aufgaben als Datenschutzbeauftragter zusammenhängt, sondern aus anderen Gründen erfolgt. Die Rechtmäßigkeit eines solch starken Kündigungsschutzes ist in der deutschen Fachliteratur stark umstritten, insbesondere ob es sich nur um eine rein arbeitsrechtliche Regelung handelt oder aber gegen EU-Recht verstößt.
Daher befasste sich der EuGH im Rahmen eines Vorabentscheidungsverfahren nach Art. 267 AEUV mit der Frage, ob der stringentere Kündigungsschutz für Datenschutzbeauftragte in Deutschland vereinbar sei mit dem datenschutzrechtlichen Europarecht.
Zulässigkeit einer betriebsbedingten Kündigung des internen Datenschutzbeauftragten
Im konkreten Fall ging es um eine betriebsbedingte Kündigung eines betrieblichen Datenschutzbeauftragten. Dabei berief sich der Arbeitsgeber eines privatrechtlich organisierten Unternehmens auf eine Umstrukturierungsmaßnahme, die zum Wegfall des Beschäftigungsbedürfnisses für die Datenschutzbeauftragte geführt habe. Die Funktion der Datenschutzbeauftragten sollte ausgelagert werden und durch einen Externen wahrgenommen werden. Daraufhin erhob die Datenschutzbeauftragte eine Kündigungsschutzklage, mit der sie die Unwirksamkeit der Kündigung geltend machte. Die Instanzgerichte gaben der Datenschutzbeauftragten Recht, denn aus den speziellen deutschen Datenschutzregelungen in § 38 II iVm § 6 IV 2 BDSG ergibt sich, dass verpflichtend bestellte Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund nach § 626 BGB gekündigt werden können. Dagegen wandte sich das Unternehmen mit seiner Revision beim BAG.
Der EuGH hat eine solche schärfere, schützende Regelung als grundsätzlich mit der DSGVO für vereinbar erklärt. Allerdings schränkt er dies damit ein, dass diese schärfere Regelung nur gelte, solange sie die Zwecke des europäischen Datenschutzes nicht beeinträchtigt. Dies begründet der EuGH im Wesentlichen mit dem Telos des Datenschutzes sowie der jeweiligen Gesetzgebungskompetenz. In der DSGVO ist in Art. 38 III 2 DSGVO nicht geregelt, wie ein Datenschutzbeauftragter gekündigt werden kann. Art. 16 II AEUV bildet nur eine Datenschutzrechtsgrundlage. Hier hat Deutschland seine arbeitsrechtliche Kompetenz genutzt, um den Kündigungsschutz auszuweiten. Denn im Bereich der Sozialpolitik hat die EU keine spezifische Kompetenz, sondern bestehen geteilte Zuständigkeiten. Die EU hat gem. Art. 2 II, 4 II b), 153 AEUV beschränkte Richtlinienkompetenzen. Nach Art. 153 II b) AEUV hat die EU lediglich eine Richtlinienkompetenz für Mindestvorschriften. Nach dem Kohärenzprinzip müssen sich die Mitgliedstaaten an den europarechtlichen Rahmen halten, allerdings ist gegen strengere mitgliedstaatliche Regelungen kein Einwand zu erheben. Somit scheidet mangels entsprechender EU-Gesetzgebungskompetenz eine Kollision von EU-Recht und deutschem Sonderkündigungsschutz aus.
Weiterhin müsse laut EuGH auf die Systematik und Telos der Datenschutzvorschriften abgestellt werden. Aspekte des Arbeitsverhältnisses sind kein direktes Regelungsziel der DSGVO, sondern allenfalls am Rande betroffen, um die Unabhängigkeit von Datenschutzbeauftragten zu gewährleisten. Aus Art. 38 DSGVO sowie den Erwägungsgründen 97 und 10 DSGVO folgt, dass die EU als Zweck der Vorschrift Art. 38 III DSGVO die funktionelle Unabhängigkeit der Datenschutzbeauftragten sichergestellt werden soll. Erwägungsgrund 10 der DSGVO deutet an, welches hohe Harmonisierungsniveau mit der DSGVO erzielt werden soll und infolgedessen das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten gleichwertig sein sollte. Auch der Kündigungsschutz dient der funktionellen Unabhängigkeit eines Datenschutzbeauftragten. Dabei bleibt jedoch die Frage, ob ein derart strenger Kündigungsschutz wie es im deutschen BDSG vorgesehen ist, wirklich erforderlich ist.
Schließlich schränkt der EuGH die Anwendbarkeit des Sonderkündigungsschutzes im BDSG dahingehend ein, dass der Datenschutz damit nicht ausgehebelt werden darf. Ein stärkerer Kündigungsschutz darf nicht bedeuten, dass ein Datenschutzbeauftragter unabhängig von datenschutzrechtlichen Zwecken unkündbar ist und die Kündigung per se verhindert werden kann, wenn ein Datenschutzbeauftragter nicht mehr für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder die Aufgaben nicht im Einklang mit der DSGVO erfüllt. Dies zeigt abermals auf, dass es sich beim Datenschutz von Natur aus um eine Querschnittsmaterie handelt und deren Regelungen unvermeidlich auf andere Rechtsbereiche ausstrahlt.
Es ist somit in jedem Einzelfall durch die nationalen Gerichte neu zu prüfen, ob ein wichtiger Kündigungsgrund iSv § 626 BGB vorliegt. Dabei bildet die Europarechtskonformität den übergeordneten Auslegungsmaßstab. Diese Wechselwirkung mit den datenschutzrechtlichen Pflichten nach der DSGVO müssen auch die deutschen Arbeitsgerichte bei ihren Entscheidungen zwingend berücksichtigen. Beispielsweise könnten Interessenkonflikte aus Gründen wie der Wahrnehmung verschiedener Rollen in einer Organisation zu einem anderen Ergebnis im Rahmen einer Abwägung führen.
Der externe Datenschutzbeauftragte als bessere Alternative? Praktisch bedeutet diese EuGH-Entscheidung, dass die relativ starke Stellung und Unabhängigkeit interner Datenschutzbeauftragten bestätigt und bestärkt wurde. Damit bleibt es für Arbeitgeber weiterhin schwierig, sich von internen Datenschutzbeauftragten zu trennen, sofern eine gesetzliche Benennungspflicht vorliegt. Letztlich muss der Verantwortliche bzw. der Auftragsverarbeiter unter Abwägung aller Gesichtspunkte entscheiden, ob er aus Gründen der Flexibilität Externe statt eigene Beschäftige zu betrieblichen Datenschutzbeauftragten bestellen. Eine Möglichkeit für interne Datenschutzbeauftragte könnte eine befristete Benennung sein. Teilweise wird, aus Gründen der Verhinderung des Unterlaufens der gesetzlichen Vorgaben für die Abberufung eines Datenschutzbeauftragten, dazu ein sachlicher, angemessener Grund verlangt.
Wir freuen uns, dass wir Sie zu einer ganz besonderen Online-Veranstaltung am 22.09.2022 einladen können!
Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, wird über den aktuellen Stand der Auslandsübermittlungen berichten und dabei auch Einblick in die Prüfungs- und Bußgeldpraxis der Aufsichtsbehörden geben.
Danach steht Dr. Brink für Ihre Fragen zur Verfügung. Sie haben die Möglichkeit, uns unter webinar@tcilaw.de vorab Fragen zukommen zu lassen.
Auf Wunsch stellen unsere Moderatoren Ihre Fragen Herrn Dr. Brink auch gerne anonym.
Wir freuen uns über Ihre Teilnahme und bitten um Anmeldung bis zum 19.09.2022 per E-Mail an webinar@tcilaw.de. Sie erhalten Ihre Zugangsdaten per E-Mail. Die Teilnahme ist kostenlos.
Bereits am 24. März 2022 veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) einen Beschluss zum Thema „Datenschutzkonformer Online-Handel mittels Gastzugang“.
Nach Ansicht der DSK müssen Shop-Betreiber, die online Waren oder Dienstleistungen anbieten, ihren Kunden grundsätzlich einen Gastzugang (d. h. Verzicht auf Registrierungs- bzw. Zugangsdaten) zur Verfügung stellen. Dies soll unabhängig davon gelten, ob die Shop-Betreiber ihren Kunden daneben einen registrierten Nutzungszugang (ein fortlaufendes Kundenkonto) zur Verfügung stellen.
Onlineshops müssen demnach für Kunden, die keine dauerhafte Geschäftsbeziehung eingehen möchten, die Möglichkeit zur Verfügung stellen, auch ohne Kundenkonto Bestellungen tätigen zu können. Über diesen Gastzugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und Informationen des jeweiligen Kunden erfasst werden. Eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten findet mit einem Gastzugang nämlich nicht statt.
Ebenso muss die „Bestellung als Gast“ in ihrer Art und Weise gleichwertig sein. Dies sei gegeben, „wenn keinerlei Nachteile entstehen, also Bestellaufwand und Zugang zu diesen Möglichkeiten, wie bei einem Gastzugang, denen eines laufenden Kund*innenkontos entsprechen und technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten.“
Ferner ist bei fortlaufenden Kundenkonten für weitere Verarbeitungen der dort gespeicherten Daten (z.B. Profiling der Kundenhistorien, bestellte Produkte / Dienstleistungen, Zusammenführung mit Daten aus anderen Quellen), d. h. jede Verarbeitung, die nicht für die Vertragserfüllung erforderlich ist, vorab eine Einwilligung der Kunden nach Art. 6 Abs. 1 Satz 1 Buchstabe a) DSGVO einzuholen. Denn einen solche Verarbeitung sei eine Verarbeitung, die über die bloße Einrichtung und Führung eines fortlaufenden Kundenkontos hinausgehe. So sei das Anlegen eines Kundenkontos nicht erforderlich, um den Kunden die Waren zukommen zu lassen.
Diese extreme Auffassung der DSK ist rechtlich umstritten. So ist insbesondere fraglich, warum sich die Anlage des Kundenkontos und die damit zusammenhängende Datenverarbeitung nicht einfach auf Art. 6 Abs. 1 Satz 1 Buchstabe f) DSGVO stützen lassen kann. Schließlich haben sowohl der Shop-Betreiber als auch dessen Kunden ein berechtigtes Interesse an der Beschleunigung zukünftiger Bestellungen.
In diesen Kontext passt auch eine aktuelle Nachricht, nach der die EU-Kommission die niederländische Datenschutz-Aufsichtsbehörde wegen eines allzu engen Verständnisses der „berechtigten Interesse“ im Sinne von Art. 6 Abs. 1f DSGVO rügt (siehe https://www.nrc.nl/nieuws/2022/07/03/brussel-tikt-nederlandse-ap-op-de-vingers-om-te-strikte-naleving-privacywetgeving-a4135385 ). Dies führe nach Auffassung der Kommission dazu, dass Unternehmen für praktisch jede Datenverarbeitung Einwilligungen einholen müssten – was nach dem Wortlaut der DSGVO aber eben gerade nicht notwendig sei.
Diese Frage soll nun der EuGH klären. Anlass ist ein Vorlagebeschluss des Bundesgerichtshofs (BGH) vom 29.03.2022, Az. VI ZR 1352/20. Insbesondere soll geklärt werden, unter welchen Voraussetzungen und in welchem Umfang Ärzte ihren Patienten eine unentgeltliche Kopie der Patientenakte herausgeben müssen.
Im konkreten Fall verlangt der Patient für die Prüfung eines möglichen Behandlungsfehlers seiner Ärztin die unentgeltliche Herausgabe einer Kopie sämtlicher bei ihr existierender, ihn betreffender Krankenunterlagen und stützt sich hierbei auf die DSGVO. Die Ärtzin hingegen ist der Auffassung, dass sie nur gegen Erstattung der Kosten eine Kopie der Unterlagen zur Verfügung stellen müsse.
Mit der Begründung, der Patient könne sich auf sein Auskunftsrecht nach der DSGVO berufen, gaben sowohl das Amts- als auch das Landgericht dem Patienten Recht. Der BGH hat allerdings Zweifel, ob das Auskunftsrecht in der DSGVO auch dann greift, wenn es nicht mit dem Anspruch auf eine datenschutzrechtliche Prüfung im Sinne von Erwägungsgrund 63 der DSGVO begründet wird. Vorliegend möchte der Patient die Kopie seiner Daten in erster Linie zur Verfolgung von Schadensersatzansprüchen erhalten, nicht aber zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung.
In diesem Zusammenhang wird der EUGH insbesondere auch der Frage nachgehen, wie es sich mit den Kosten des Auskunftsanspruchs verhält. So ergibt sich aus Art. 15 Abs. 3 DSGVO ganz allgemein das Recht der betroffenen Person vom Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu erhalten. Hierbei muss die erste Kopie unentgeltlich erfolgen und erst für weitere Kopien kann ein angemessenes Entgelt gefordert werden. Aus § 630g Abs. 2 BGB ergibt sich hingegen das Recht des Patienten eine Abschrift der Patientenakte zu verlangen. Dies kann auch in elektronischer Form erfolgen. Dafür kann der Arzt jedoch die Erstattung der entstandenen Kosten verlangen. Dieses Recht auf eine Kopie ist für den Patienten nach dieser Regelung nicht kostenlos.
Es bleibt daher abzuwarten, ob das Recht auf eine kostenlose Kopie auch dann besteht, wenn der Betroffene die Kopie zur Verfolgung von legitimen Zwecken, aber datenschutzfremden Zwecken, begehrt.
Cookies, Tracking und Datenanalyse beschäftigt nach wie vor die Datenschützer. Einige neue Entwicklungen haben Bewegung in das Thema gebracht:
Am 1. 12.2021 trat das neue „Telekommunikation-Telemedien-Datenschutz-Gesetz“ (TTDSG) in Kraft. § 25 TTDSG enthält nun eine ausdrückliche Regelung zu Cookies.
Die deutschen Datenschutz-Aufsichtsbehörden haben am 20.12.2021 eine „Orientierungshilfe für Anbieter von Telemedien ab dem 1. Dezember 2021“ veröffentlicht, in der u.a. die aktuellen Anforderungen der Aufsichtsbehörden an Einwilligungen und Cookie-Banner zusammengefasst sind (https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf).
Die österreichische Datenschutzbehörde hält ausweislich einer Entscheidung vom Januar 2022 den Einsatz von Google Analytics wegen Datenübermittlungen in die USA für rechtswidrig (siehe https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf).
Mit Urteil vom 20.1.2022 hat das Landgericht München den Einsatz von Google Fonts untersagt und einem Website-Besucher 100,- € Schadensersatz zugesprochen, da aufgrund des Einsatzes von Google Fonts IP-Adressen an Google übertragen werden und es dafür an einer Rechtsgrundlage fehlt (LG München, Urt. v. 20.01.2022 – 3 O 17493/20). Allerdings ist umstritten, ob Website-Besucher derartige Ansprüche geltend machen können – das Landgericht Wiesbaden hat einen ähnlichen Anspruch mit Urteil vom 22.01.2022 abgelehnt (LG Wiesbaden, Urt. v. 22.01.2021 – 10 O 14/21).
Cookies, Tracking und Analytics-Maßnahmen erfordern zwingend eine Einwilligung. Gleiches gilt für die Einbindung externer Services (Videos, Chats, Schriftarten etc.). Der Einsatz von Cookie-Bannern bzw. Consent-Management-Tools ist damit Pflicht. Die Aufsichtsbehörden stellen extrem detaillierte und kleinteilige Anforderungen an die Gestaltung und technische Implementierung von Cookie-Bannern.
Das Thema steht derzeit verstärkt im Fokus der Aufsichtsbehörden. Aufgrund der leichten „Sichtbarkeit“ von Verstößen – jeder Nutzer der Website bzw. App kann die Einhaltung der gesetzlichen Vorgaben kontrollieren – drohen verstärkt Beschwerden, Abmahnungen und Klage von Nutzern und Verbraucherschützern.
Das neue TTDSG: Einwilligungspflichten für Cookies und App-Tracking
Mit dem neuen § 25 TTDSG hat der Gesetzgeber nun endlich Art. 5 Abs. 3 ePrivacy-RL in deutsches Recht umgesetzt. Das Einwilligungserfordernis bei Cookies ist nun auch ausdrücklich gesetzlich verankert.
Wir haben zum neuen TTDSG bereits in einem Artikel vom 22.12.2021 ausführlicher informiert (https://www.tcilaw.de/das-ttdsg-veraenderungen-beim-einsatz-von-cookies/).
Generell ist gemäß § 25 TTDSG eine Einwilligung immer dann notwendig, wenn Informationen in der „Endeinrichtung“ (also z.B. auf dem PC oder Mobilgerät) des Nutzers gespeichert oder ausgelesen werden – unabhängig davon, ob es um personenbezogene Daten geht.
Ein Speichern und Auslesen findet bei Cookies statt, aber z.B. auch beim Zugriff auf Daten in Mobilgeräten wie etwa Werbe-IDs (IDFA), Hardware-Gerätekennungen usw. Das Einwilligungserfordernis gilt damit nicht nur für Cookies auf Webseiten, sondern auch beim App-Tracking, bei dem regelmäßig Werbe-IDs oder ähnliche auf dem Gerät gespeicherte Identifier genutzt werden. Gleiches gilt für die Verwendung von local storage als Alternative zu Cookies. Die Aufsichtsbehörden wenden § 25 TTDSG sogar auf Browser-Fingerprinting an, soweit dabei Informationen verwendet werden, die über die standardmäßig im Rahmen von http-Requests übermittelten Daten hinausgehen. Auch bei der Einbindung von Drittinhalten („embedded content“, z.B. Einbindung von YouTube-Videos oder Instagram-Streams) werden i.d.R. vom Drittanbieter Cookies gesetzt.
Eine Einwilligung ist dann nicht erforderlich, wenn der Zugriff bzw. die Speicherung „unbedingt erforderlich ist, damit der Anbieter […] einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (§ 25 Abs. 2 Nr. 2 TTDSG). Die Aufsichtsbehörden legen an die „unbedingte Erforderlichkeit“ einen äußerst strengen Maßstab an. So sind z.B. Cookies für eine Warenkorb-Funktion erforderlich –aber erst dann, wenn der Nutzer den Warenkorb auch tatsächlich verwendet. Cookies im Zusammenhang mit einem Chatbot auf der Website dürfen erst dann ohne Einwilligung gesetzt werden, wenn der Nutzer den Chatbot aktiv anklickt.
Ergänzende datenschutzrechtliche Anforderungen
Website- und App-Betreiber müssen zusätzlich zum § 25 TTDSG noch weitere datenschutzrechtliche Anforderungen beachten:
Zusätzliche datenschutzrechtliche Rechtsgrundlage erforderlich
§ 25 TTDSG gilt nur für das Setzen und Auslesen von Cookies oder anderen Informationen. Für die damit zusammenhängenden Datenverarbeitungen – also z.B. das Tracking oder die Analyse – ist eine zusätzliche Rechtsgrundlage nach der DSGVO erforderlich.
Gleiches gilt für den Einsatz von Services, bei denen IP-Adressen an Dritte übertragen werden – also z.B. die Einbindung externer Schriftarten (siehe LG München, Urt. v. 20.01.2022 – 3 O 17493/20) oder die Einbindung von Drittinhalten („embedded content“, z.B. Einbindung von YouTube-Videos oder Instagram-Streams).
Dies kann eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1a DSGVO sein (zusätzlich zur Einwilligung nach § 25 TTDSG!). Glücklicherweise können diese Einwilligungen zusammen eingeholt werden. Es muss jedoch klargestellt werden, dass sich die Einwilligung nicht nur auf die Verwendung von Cookies, sondern auch auf die damit verbundenen weiteren Verarbeitungen (also z.B. das Tracking) bezieht.
Datenübermittlungen in das Nicht-EU-Ausland sind rechtswidrig
Der EuGH hat in seinem „SchremsII“-Urteil vom 16.07.2020 klargestellt, dass Datentransfers an Empfänger im Nicht-EU-Ausland nur dann zulässig sind, wenn beim Empfänger ein „angemessenes Schutzniveau“ der Daten sichergestellt ist. Nach der EuGH-Entscheidung gibt es keine formalen Mittel mehr (wie z.B. den Abschluss von Verträgen wie den sog. EU-Standardvertragsklauseln), um Datenübermittlungen insbesondere in die USA zu legalisieren.
Die österreichische Datenschutzbehörde hält deshalb den Einsatz von Google Analytics für rechtswidrig. Auch eine Einwilligung in die Auslandsübermittlung soll nach Auffassung der österreichischen und deutschen Aufsichtsbehörden nicht möglich sein.
Es ist deshalb äußerst fraglich, ob derzeit US-basierte Analyse- und Trackingtools rechtskonform eingesetzt werden können. Wir empfehlen deshalb, bis auf weiteres auf den Einsatz US-basierter Analyse- und Trackingtools zu verzichten (wie z.B. Google Analytics). Prüfen Sie, ob europäische Alternativen wie z.B. Matomo in Betracht kommen – insbesondere wenn Sie nur Aufrufstatistiken benötigen und nicht weitergehendes Werbe-Tracking einsetzen.
Nach Art. 15 Abs. 1 der DSGVO sind Verantwortliche dazu verpflichtet, den Betroffenen auf Wunsch Auskunft darüber zu erteilen, welche Daten sie über sie erhoben haben und in welcher Form diese Daten verarbeitet werden. Art. 15 Abs. 3 DSGVO regelt, dass der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellt. Welche Daten der Auskunftsanspruch und das Recht auf eine Kopie genau umfasst, ist bisher nicht klar definiert.
Der Wortlaut der DSGVO schränkt den Auskunftsanspruch nicht wirklich ein. So kann der Verantwortliche dazu verpflichtet sein, umfassende Kopien aller Unterlagen herauszugeben, die personenbezogene Daten des Betroffenen enthalten. Das wird z. B. in arbeitsrechtlichen Auseinandersetzungen zunehmend genutzt, um den Druck auf den (ehemaligen) Arbeitgeber mit umfassenden Ansprüchen auf Herausgabe z. B. der gesamten E-Mail-Korrespondenz zu erhöhen.
In der Rechtslehre ist deshalb streitig, ob der Anspruch aus Art. 15 DSGVO nicht beschränkt werden kann. Zum Umfang des Anspruchs auf Datenkopie haben sich in letzter Zeit unter anderem das Bundesarbeitsgericht (BAG) und das Oberverwaltungsgericht Münster beschäftigt.
Urteil des BAG vom 27.04.2021 – 2 AZR 342/20
In seiner Entscheidung vom 27. April 2021 beschäftigte sich das BAG mit dem Auskunftsanspruch ehemaliger Arbeitnehmer.
Sachverhalt
Der Kläger verlangte von seinem ehemaligen Arbeitgeber Auskunft über seine personenbezogenen Daten und verlangte zudem pauschal Kopien des E-Mail-Verkehrs zwischen ihm und dem Unternehmen sowie Kopien von allen E-Mails, in denen er namentlich erwähnt wurde.
Entscheidung
Das Bundesarbeitsgericht lehnte den Anspruch auf Erteilung einer Kopie der Daten in seinem Urteil ab. Als Begründung führte das Gericht aus, dass der Klageantrag zu unbestimmt sei. So könne sich der Auskunftsanspruch nicht auf eine unbestimmte Anzahl von E-Mails beziehen. Das Auskunftsbegehren müsse vielmehr auf bestimmte Dokumente und E-Mails konkretisiert werden. Anträge müssen vom Arbeitnehmer so genau bezeichnet werden, dass im Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich die Verurteilung beziehe.
Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20
Wie weit der Auskunftsanspruch nach Art. 15 Abs. 3 reicht, zeigt auch das Urteil des Oberverwaltungsgericht Münster 8. Juni 2021 (Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20).
Sachverhalt
Ein Examenskandidat forderte die unentgeltliche Zusendung von Kopien seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege. Das Prüfungsamt war jedoch nur zur Übersendung der Kopien gegen eine Vorschusszahlung bereit. Der Kandidat reichte daraufhin Klage ein und begründete seinen Anspruch auf Erhalt der Kopien nach Art. 15 Abs. 3 DSGVO i. V. m. Art. 12 Abs. 5 DSGVO. Das Gericht gab dem Kläger Recht und stellte fest, dass der gesamte Inhalt der Aufsichtsarbeiten des Klägers digital oder postalisch als Kopie unentgeltlich herauszugeben ist.
Entscheidung
Auch in der Berufungsinstanz wurde bestätigt, dass der Kläger einen Anspruch auf Zurverfügungstellung einer unentgeltlichen Datenkopie seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege habe.
Als Begründung führt das Gericht aus, dass sich dies aus der DSGVO, die vorliegend über die Regelungen im Landesdatenschutzgesetz NRW anwendbar sei, ergebe. Der damit aus Art. 15 Abs. 3 DSGVO folgende Anspruch auf Zurverfügungstellung einer Datenkopie umfasse eine unentgeltliche Kopie sämtlicher vom Landesjustizprüfungsamt verarbeiteter, den Kläger betreffender personenbezogener Daten, worunter auch die angefertigten Aufsichtsarbeiten einschließlich der Prüfergutachten fielen.
Das Recht aus Art. 15 Abs. 3 DSGVO unterliege keiner einschränkenden Auslegung auf bestimmte Daten oder Informationen. Weiter führt das Gericht aus, dass keine anderen Gründe für einen Ausschluss des geltend gemachten Anspruchs vorlägen. Insbesondere seien keine Anhaltspunkte für ein rechtsmissbräuchliches Verhalten des Klägers zu erkennen. Auch lasse sich kein unverhältnismäßig großer Aufwand für das Landesjustizprüfungsamt feststellen.
Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision zum Bundesverwaltungsgericht zugelassen.
Es bleibt hier abzuwarten, wie das Bundesverwaltungsgericht entscheiden wird.
Fazit
Die vor allem von Arbeitgebern erhoffte Klärung haben die Entscheidungen leider nicht geschaffen. Das BAG hat seine Klageabweisung in erster Linie prozessrechtlich begründet: um zu einem vollstreckbaren Titel zu kommen, muss der Klagegegenstand konkret bestimmt sein. Dem Grunde nach umfasst der Anspruch auf Datenkopie nach Art. 15 Abs. 3 DSGVO aber offenbar auch nach Auffassung des BAG die gesamte E-Mail-Korrespondenz, soweit diese personenbezogene Daten des Klägers enthält (z. B. seinen Namen). Diese dem Grunde nach umfassende Herausgabepflicht von Dokumenten bestätigt die Entscheidung des OVG Münster.
Es bleibt zu hoffen, dass der Gesetzgeber das Auskunftsrecht aus Art. 15 DSGVO sinnvoll einschränkt.