Gilt das Recht auf kostenlose Auskunft auch bei anderen legitimen Zwecken, aber datenschutzfremden Zwecken?

Diese Frage soll nun der EuGH klären. Anlass ist ein Vorlagebeschluss des Bundesgerichtshofs (BGH) vom 29.03.2022, Az. VI ZR 1352/20. Insbesondere soll geklärt werden, unter welchen Voraussetzungen und in welchem Umfang Ärzte ihren Patienten eine unentgeltliche Kopie der Patientenakte herausgeben müssen.

Im konkreten Fall verlangt der Patient für die Prüfung eines möglichen Behandlungsfehlers seiner Ärztin die unentgeltliche Herausgabe einer Kopie sämtlicher bei ihr existierender, ihn betreffender Krankenunterlagen und stützt sich hierbei auf die DSGVO. Die Ärtzin hingegen ist der Auffassung, dass sie nur gegen Erstattung der Kosten eine Kopie der Unterlagen zur Verfügung stellen müsse.

Mit der Begründung, der Patient könne sich auf sein Auskunftsrecht nach der DSGVO berufen, gaben sowohl das Amts- als auch das Landgericht dem Patienten Recht. Der BGH hat allerdings Zweifel, ob das Auskunftsrecht in der DSGVO auch dann greift, wenn es nicht mit dem Anspruch auf eine datenschutzrechtliche Prüfung im Sinne von Erwägungsgrund 63 der DSGVO begründet wird. Vorliegend möchte der Patient die Kopie seiner Daten in erster Linie zur Verfolgung von Schadensersatzansprüchen erhalten, nicht aber zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung.

In diesem Zusammenhang wird der EUGH insbesondere auch der Frage nachgehen, wie es sich mit den Kosten des Auskunftsanspruchs verhält. So ergibt sich aus Art. 15 Abs. 3 DSGVO ganz allgemein das Recht der betroffenen Person vom Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu erhalten. Hierbei muss die erste Kopie unentgeltlich erfolgen und erst für weitere Kopien kann ein angemessenes Entgelt gefordert werden. Aus § 630g Abs. 2 BGB ergibt sich hingegen das Recht des Patienten eine Abschrift der Patientenakte zu verlangen. Dies kann auch in elektronischer Form erfolgen. Dafür kann der Arzt jedoch die Erstattung der entstandenen Kosten verlangen. Dieses Recht auf eine Kopie ist für den Patienten nach dieser Regelung nicht kostenlos.

Es bleibt daher abzuwarten, ob das Recht auf eine kostenlose Kopie auch dann besteht, wenn der Betroffene die Kopie zur Verfolgung von legitimen Zwecken, aber datenschutzfremden Zwecken, begehrt.

Zur Bestimmtheit des Klageantrags bei einem Auskunftsanspruch nach Art. 15 DSGVO

Das Bundesarbeitsgericht (BAG) hatte als Revisionsinstanz über die Bestimmtheit von Anträgen eines Arbeitnehmers gegen seine Arbeitgeberin zu entscheiden. Der Kläger verlangte nach Art. 15 Abs. 1, 3 DSGVO die Erteilung einer Auskunft über seine verarbeiteten personenbezogenen Daten durch die Beklagte und die Zurverfügungstellung einer Kopie seiner personenbezogenen Daten. Die Anträge enthielten die Einschränkung, dass personenbezogene Daten aus der Personalakte ausgenommen seien und dass die Anträge sich nur auf Leistungs- und Verhaltensdaten des Klägers bezögen.

Das BAG erachtete die Revision der Beklagten für begründet, da das Berufungsurteil nicht hinreichend bestimmt gewesen sei und auch die Anträge des Klägers bereits zu unbestimmt gewesen seien.

Das Gericht führte aus, dass zwar der Tatbestand und die Entscheidungsgründe eines Urteils ergänzend heranzuziehen seien, wenn der Streitgegenstand den Umfang der Rechtskraft noch nicht erkennen lasse. Für den Schuldner müsse aber aus rechtsstaatlichen Gründen erkennbar sein, mit welchen Zwangsmitteln er aufgrund des Urteils zu rechnen habe. Zugleich mache das Rechtsstaatsprinzip es aber auf für den Kläger erforderlich, dass ein Urteil auch effektiv durchgesetzt werden könne.

Vorliegend seien sich die Parteien bis zuletzt darüber uneinig gewesen, was genau unter die Anträge gefasst werden könne. Auch für das Vollstreckungsorgan werde daher nicht ersichtlich, welche Verpflichtung diese darstellen sollten, sodass sich der Streit nur in das Vollstreckungsverfahren verlagern würde.

Das Gericht erkannte, dass es aus Gründen des effektiven Rechtsschutzes einen Weg geben müsse, den aus Art. 15 Abs. 1 Halbs. 2 DSGVO folgenden Anspruch auch prozessual durchsetzen zu können. Bei den Anforderungen an die Konkretisierung der Informationen müsse berücksichtigt werden, dass der Anspruchssteller sich überhaupt erst Informationen beschaffen wolle. Die Verwendung auslegungsbedürftiger Begriffe komme aber nur dann in Betracht, wenn für den Kläger eine weitere Konkretisierung nicht möglich sei und für die Parteien kein Zweifel an dem Inhalt der Anträge bestehe.

Nicht nur der relevante Speicherort der einzubeziehenden Daten sei unklar, der Kläger die Anträge dadurch besonders unklar gemacht, dass der Informationsanspruch auf Verhaltens- und Leistungsdaten beschränkt wurde. Dies seien auslegungsbedürftige Begriffe. Der Kläger habe es auch versäumt, die Anträge im Laufe des Prozesses zu präzisieren. Das Gericht ließ offen, wie ein zulässiger, bestimmter Antrag aussehen könnte.

Der Antrag auf den Erhalt einer Kopie der personenbezogenen Daten des Klägers sei aus denselben Gründen unzulässig. Zudem sei nicht präzisiert worden, ob die Kopie in Papierform oder in elektronischer Speicherform zur Verfügung gestellt werden solle. Es genüge nicht, nur den Wortlaut des Gesetzestextes zu wiederholen.

Das BAG stellte fest, dass in Bezug auf den Antrag auf den Erhalt einer Kopie personenbezogener Daten nach Art. 15 Abs. 3 DSGVO wesentlich strengere Anforderungen an die Bestimmtheit des Antrags galten, da es einem Antragsteller möglich sei, im Wege der Stufenklage zunächst Informationen einzuklagen und erst anschließend den Antrag auf Zurverfügungstellung zu präzisieren.

Durch das vorliegende Urteil wird deutlich, dass ein Verbraucher bei der Geltendmachung eines Auskunftsanspruches präzise darzulegen hat und Hinweise des Gerichts in Bezug auf die Bestimmtheit der Anträge ernst nehmen sollte.

Das BAG entschied hier zwischen dem Spannungsfeld der Einhaltung der Rechtsstaatlichkeit für den Verarbeitenden und den Rechten der betroffenen Verbraucher, deren Daten verarbeitet werden. Einem Verarbeitenden personenbezogener Daten ist nicht zuzumuten, Auskunft erteilen zu müssen, ohne sich darüber im Klaren sein zu können, welche Informationen die Auskunft überhaupt beinhalten soll. Andererseits hatte das BAG bei der Auslegung der Norm auch den effet utile und die Rechte der Verbraucher im Blick zu behalten, denen eine effektive und zumutbare Art und Weise der Geltendmachung ihres Auskunftsanspruchs ermöglicht werden soll.

Das BAG nimmt Bezug auf ein weiteres Urteil des BAG vom 27.04.2021 (Az.: 2 AZR 342/20) und eines vom BGH vom 15.06.2021 (Az.: VI ZR 576/19), in denen jeweils offengelassen wurde, ob ein Antrag auf Erteilung „vollständiger“ Informationen über eigene personenbezogene Daten bestimmt genug wäre. In der vorliegenden Entscheidung führt das Gericht aus, dass man hierüber diskutieren könne. Aus Sicht der Rechtssicherheit von Verbrauchern ist es bedauerlich, dass auch das BAG hierzu keine Aussage trifft.

Die Aussage des Gerichts, dass an die Bestimmtheit des Antrags auf Erhalt einer Kopie personenbezogener Daten höhere Anforderungen zu stellen sind, als an den Antrag auf Erhalt von Auskünften ist dagegen gut nachvollziehbar und in Einklang mit bestehender höchstrichterlicher Rechtsprechung.

Fehlende Umsetzung der Whistleblower-Richtlinie: Folgen für Unternehmen

Mit der EU-Whistleblower-Richtline EU 2019/1937 vom 23.10.2019 verpflichteten sich die Mitgliedsstaaten Unternehmen mit mindestens 250 Mitarbeitern* vorzuschreiben, eine Hinweisgeberstelle für Rechtsverstöße im Unternehmen einzurichten. Ab dem 17.12.2023 soll die Verpflichtung auch auf kleinere Unternehmen, mit mehr als 50 Mitarbeitern, erweitert werden.

Die Umsetzung der Richtlinie in nationales Recht sollte bis zum 17.12.2021 erfolgen. Diese Frist wurde allerdings vom deutschen Gesetzgeber verpasst, u. a., weil keine Einigung über den Umfang der zu meldenden Verstöße herrschte. Wegen fehlender Umsetzungen leitete die Europäische Kommission anschließend gegen Deutschland sowie gegen 25 weitere Mitgliedsstaaten Vertragsverletzungsverfahren ein. Die fehlenden Umsetzungen erzeugen nun eine gewisse Rechtsunsicherheit für Unternehmen.

Inhalt der Whistleblower-Richtlinie

Die Richtlinie sieht vor, dass Mitarbeiter bei den einzurichtenden Hinweisgeberstellen anonym melden können, wenn sie im Unternehmen Verstöße gegen EU-Recht empfinden. Hierdurch sollen Rechtsverstöße besser aufgedeckt und unterbunden werden und die Möglichkeiten der Rechtsdurchsetzung für die Betroffenen verbessert werden.

Eine weitergehende Verpflichtung kann die Europäische Union mangels Gesetzgebungskompetenz nicht vorschreiben. Den Mitgliedsstaaten soll es aber freistehen, die Hinweisgeberstellen auch auf Verstöße gegen nationales Recht zu erweitern.

Die neue Bundesregierung kündigte an, die Richtlinie im ersten Quartal 2022 durch den Erlass eines „Hinweisgeberschutzgesetzes“ (HinSchG) umsetzen zu wollen. Dabei sollen Mitarbeiter tatsächlich die Möglichkeit erhalten, nicht nur empfundene Verstöße gegen EU-Recht, sondern auch gegen deutsches Recht oder sonstiges erhebliches Fehlverhalten melden zu können.

Da Hinweisgeber sich beim Bekanntwerden von Meldungen innerhalb ihres Unternehmens unbeliebt machen könnten, sieht die Whistleblower-Richtlinie in Art. 19, 20 und 21 einen Schutz vor Repressalien wie Kündigungen oder Versetzungen vor. Auch diese Schutzmaßnahmen sollen im „HinSchG“ wohl inhaltlich noch erweitert werden.

Weder die Details der geplanten Ausgestaltung dieses Schutzes und hierdurch entstehender zusätzlicher Pflichten eines Arbeitgebers noch die weitere Ausgestaltung der deutschen Umsetzung sind jedoch bisher bekannt. Etwa ob innerhalb eines Konzerns eine zentrale Hinweisgeberstelle für die Mitarbeiter sämtlicher Gesellschaften ausreicht oder jede Gesellschaft eine eigene Stelle einrichten muss.

Folgen der fehlenden Umsetzung

Da Deutschland die Frist zur Umsetzung und Ausgestaltung der Richtlinie in deutsches Recht verpasst hat, stellt sich für Unternehmen hierzulande nun die Frage, ob sie nun dennoch verpflichtet sind, bereits jetzt eine Hinweisgeberstelle einzurichten, was entweder intern oder auch extern erfolgen kann.

Prinzipiell kann eine nicht umgesetzte EU-Richtlinie nach dem Ende der Umsetzungsfrist selbst eine unmittelbare Wirkung entfalten. Dafür muss die Richtlinie von der EU so genau bestimmt worden sein, dass die Handlungspflicht bereits eindeutig ist. Sie darf auch nicht von zusätzlichen Bedingungen abhängig sein oder zu ihrer Anwendung weitere Rechtsvorschriften bedürfen. All diese Bedingungen dürften bei der EU-Whistleblower-Richtline vorliegen.

Dennoch kann sich ein Bürger nur gegenüber dem Staat auf die nicht umgesetzte Richtlinie berufen, nicht jedoch gegenüber anderen Privatpersonen. Momentan kann sich ein Arbeitnehmer also beispielsweise noch nicht auf den erweiterten Kündigungsschutz berufen, sodass Unternehmen durch die fehlende Umsetzung keine negativen Konsequenzen entstehen. Zugleich müssen staatliche Organisationen aber bereits jetzt eine Hinweisgeberstelle einrichten, bei der Verstöße gegen EU-Recht gemeldet werden können.

Fazit

Momentan sind Unternehmen noch nicht verpflichtet, Hinweisgeberstellen vorzuhalten. Zudem ist die Ausgestaltung des geplanten Hinweisgeberschutzgesetzes noch unklar. Dennoch ist es für Unternehmen sinnvoll, gerade in Konzernstrukturen, die Einrichtung entsprechender Stellen bereits jetzt vorzubereiten, da diese aufwändig und zeitintensiv sein könnte. Bei der Einrichtung einer Hinweisgeberstelle sind u. a. auch datenschutzrechtliche Rahmenbedingungen zu schaffen, z. B. eine sichere Möglichkeit der Kommunikation mit der Hinweisgeberstelle. Im Einzelfall ist zudem eine sog. Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen, die grundsätzlich erforderlich ist bei einer Form der Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wenn man berücksichtigt, dass über die Hinweisgeberstelle ggf. Daten über potenziell strafrechtlich relevantes Verhalten verarbeitet werden und für den Hinweisgeber zudem das greifbare Risiko besteht, dass seine Anonymität nicht geschützt wird, dann erscheint eine Datenschutz-Folgenabschätzung somit notwendig, ebenso wie eine Abstimmung mit dem betrieblichen Datenschutzbeauftragten.

*Aus Gründen der vereinfachten Lesbarkeit wird lediglich die grammatikalisch männliche Form genannt, gemeint sind jedoch Beschäftigte jeder Geschlechteridentität.

Update: TTDSG, Cookies, Tracking und Google Analytics

Cookies, Tracking und Datenanalyse beschäftigt nach wie vor die Datenschützer. Einige neue Entwicklungen haben Bewegung in das Thema gebracht:

Am 1. 12.2021 trat das neue „Telekommunikation-Telemedien-Datenschutz-Gesetz“ (TTDSG) in Kraft. § 25 TTDSG enthält nun eine ausdrückliche Regelung zu Cookies.

Die deutschen Datenschutz-Aufsichtsbehörden haben am 20.12.2021 eine „Orientierungshilfe für Anbieter von Telemedien ab dem 1. Dezember 2021“ veröffentlicht, in der u.a. die aktuellen Anforderungen der Aufsichtsbehörden an Einwilligungen und Cookie-Banner zusammengefasst sind (https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf).

Die österreichische Datenschutzbehörde hält ausweislich einer Entscheidung vom Januar 2022 den Einsatz von Google Analytics wegen Datenübermittlungen in die USA für rechtswidrig (siehe https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf).

Mit Urteil vom 20.1.2022 hat das Landgericht München den Einsatz von Google Fonts untersagt und einem Website-Besucher 100,- € Schadensersatz zugesprochen, da aufgrund des Einsatzes von Google Fonts IP-Adressen an Google übertragen werden und es dafür an einer Rechtsgrundlage fehlt (LG München, Urt. v. 20.01.2022 – 3 O 17493/20). Allerdings ist umstritten, ob Website-Besucher derartige Ansprüche geltend machen können – das Landgericht Wiesbaden hat einen ähnlichen Anspruch mit Urteil vom 22.01.2022 abgelehnt (LG Wiesbaden, Urt. v. 22.01.2021 – 10 O 14/21).

Cookies, Tracking und Analytics-Maßnahmen erfordern zwingend eine Einwilligung. Gleiches gilt für die Einbindung externer Services (Videos, Chats, Schriftarten etc.). Der Einsatz von Cookie-Bannern bzw. Consent-Management-Tools ist damit Pflicht. Die Aufsichtsbehörden stellen extrem detaillierte und kleinteilige Anforderungen an die Gestaltung und technische Implementierung von Cookie-Bannern.

Das Thema steht derzeit verstärkt im Fokus der Aufsichtsbehörden. Aufgrund der leichten „Sichtbarkeit“ von Verstößen – jeder Nutzer der Website bzw. App kann die Einhaltung der gesetzlichen Vorgaben kontrollieren – drohen verstärkt Beschwerden, Abmahnungen und Klage von Nutzern und Verbraucherschützern.

Das neue TTDSG: Einwilligungspflichten für Cookies und App-Tracking

Mit dem neuen § 25 TTDSG hat der Gesetzgeber nun endlich Art. 5 Abs. 3 ePrivacy-RL in deutsches Recht umgesetzt. Das Einwilligungserfordernis bei Cookies ist nun auch ausdrücklich gesetzlich verankert.

Wir haben zum neuen TTDSG bereits in einem Artikel vom 22.12.2021 ausführlicher informiert (https://www.tcilaw.de/das-ttdsg-veraenderungen-beim-einsatz-von-cookies/).

Generell ist gemäß § 25 TTDSG eine Einwilligung immer dann notwendig, wenn Informationen in der „Endeinrichtung“ (also z.B. auf dem PC oder Mobilgerät) des Nutzers gespeichert oder ausgelesen werden – unabhängig davon, ob es um personenbezogene Daten geht.

Ein Speichern und Auslesen findet bei Cookies statt, aber z.B. auch beim Zugriff auf Daten in Mobilgeräten wie etwa Werbe-IDs (IDFA), Hardware-Gerätekennungen usw. Das Einwilligungserfordernis gilt damit nicht nur für Cookies auf Webseiten, sondern auch beim App-Tracking, bei dem regelmäßig Werbe-IDs oder ähnliche auf dem Gerät gespeicherte Identifier genutzt werden. Gleiches gilt für die Verwendung von local storage als Alternative zu Cookies. Die Aufsichtsbehörden wenden § 25 TTDSG sogar auf Browser-Fingerprinting an, soweit dabei Informationen verwendet werden, die über die standardmäßig im Rahmen von http-Requests übermittelten Daten hinausgehen. Auch bei der Einbindung von Drittinhalten („embedded content“, z.B. Einbindung von YouTube-Videos oder Instagram-Streams) werden i.d.R. vom Drittanbieter Cookies gesetzt.

Eine Einwilligung ist dann nicht erforderlich, wenn der Zugriff bzw. die Speicherung „unbedingt erforderlich ist, damit der Anbieter […] einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (§ 25 Abs. 2 Nr. 2 TTDSG). Die Aufsichtsbehörden legen an die „unbedingte Erforderlichkeit“ einen äußerst strengen Maßstab an. So sind z.B. Cookies für eine Warenkorb-Funktion erforderlich –aber erst dann, wenn der Nutzer den Warenkorb auch tatsächlich verwendet. Cookies im Zusammenhang mit einem Chatbot auf der Website dürfen erst dann ohne Einwilligung gesetzt werden, wenn der Nutzer den Chatbot aktiv anklickt.

Ergänzende datenschutzrechtliche Anforderungen

Website- und App-Betreiber müssen zusätzlich zum § 25 TTDSG noch weitere datenschutzrechtliche Anforderungen beachten:

Zusätzliche datenschutzrechtliche Rechtsgrundlage erforderlich

§ 25 TTDSG gilt nur für das Setzen und Auslesen von Cookies oder anderen Informationen. Für die damit zusammenhängenden Datenverarbeitungen – also z.B. das Tracking oder die Analyse – ist eine zusätzliche Rechtsgrundlage nach der DSGVO erforderlich. 

Gleiches gilt für den Einsatz von Services, bei denen IP-Adressen an Dritte übertragen werden – also z.B. die Einbindung externer Schriftarten (siehe LG München, Urt. v. 20.01.2022 – 3 O 17493/20) oder die Einbindung von Drittinhalten („embedded content“, z.B. Einbindung von YouTube-Videos oder Instagram-Streams).

Dies kann eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1a DSGVO sein (zusätzlich zur Einwilligung nach § 25 TTDSG!). Glücklicherweise können diese Einwilligungen zusammen eingeholt werden. Es muss jedoch klargestellt werden, dass sich die Einwilligung nicht nur auf die Verwendung von Cookies, sondern auch auf die damit verbundenen weiteren Verarbeitungen (also z.B. das Tracking) bezieht.

Datenübermittlungen in das Nicht-EU-Ausland sind rechtswidrig

Der EuGH hat in seinem „SchremsII“-Urteil vom 16.07.2020 klargestellt, dass Datentransfers an Empfänger im Nicht-EU-Ausland nur dann zulässig sind, wenn beim Empfänger ein „angemessenes Schutzniveau“ der Daten sichergestellt ist. Nach der EuGH-Entscheidung gibt es keine formalen Mittel mehr (wie z.B. den Abschluss von Verträgen wie den sog. EU-Standardvertragsklauseln), um Datenübermittlungen insbesondere in die USA zu legalisieren. 

Die österreichische Datenschutzbehörde hält deshalb den Einsatz von Google Analytics für rechtswidrig. Auch eine Einwilligung in die Auslandsübermittlung soll nach Auffassung der österreichischen und deutschen Aufsichtsbehörden nicht möglich sein.

Es ist deshalb äußerst fraglich, ob derzeit US-basierte Analyse- und Trackingtools rechtskonform eingesetzt werden können. Wir empfehlen deshalb, bis auf weiteres auf den Einsatz US-basierter Analyse- und Trackingtools zu verzichten (wie z.B. Google Analytics). Prüfen Sie, ob europäische Alternativen wie z.B. Matomo in Betracht kommen – insbesondere wenn Sie nur Aufrufstatistiken benötigen und nicht weitergehendes Werbe-Tracking einsetzen.

EuGH, Klagebefugnis der nicht federführenden Aufsichtsbehörde

In der aktuellen Ausgabe der Zeitschrift für Internationales Wirtschaftsrecht (IWRZ) erläutert unsere Partnerin Dr. Truiken Heydn das datenschutzrechtliche Urteil des EuGH vom 15. Juni 2021 im Fall Facebook (Az. C-645/19). In dem Fall, der dem Urteil zugrunde lag, ging es um eine Klage der belgischen Datenschutzaufsichtsbehörde gegen die Facebook Belgium BVBA. Facebook hatte im Verfahren vorgetragen, dass die Facebook Ireland Ltd. die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet habe, also auch in Bezug auf die personenbezogenen Daten belgischer Nutzer. Fundstelle: IWRZ 2021, Heft 5, Seiten 226-229. Einen Kurzüberblick finden Sie hier.

Neue Urteile zur Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO

Nach Art. 15 Abs. 1 der DSGVO sind Verantwortliche dazu verpflichtet, den Betroffenen auf Wunsch Auskunft darüber zu erteilen, welche Daten sie über sie erhoben haben und in welcher Form diese Daten verarbeitet werden.  Art. 15 Abs. 3 DSGVO regelt, dass der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellt. Welche Daten der Auskunftsanspruch und das Recht auf eine Kopie genau umfasst, ist bisher nicht klar definiert.

Der Wortlaut der DSGVO schränkt den Auskunftsanspruch nicht wirklich ein. So kann der Verantwortliche dazu verpflichtet sein, umfassende Kopien aller Unterlagen herauszugeben, die personenbezogene Daten des Betroffenen enthalten. Das wird z. B. in arbeitsrechtlichen Auseinandersetzungen zunehmend genutzt, um den Druck auf den (ehemaligen) Arbeitgeber mit umfassenden Ansprüchen auf Herausgabe z. B. der gesamten E-Mail-Korrespondenz zu erhöhen.

In der Rechtslehre ist deshalb streitig, ob der Anspruch aus Art. 15 DSGVO nicht beschränkt werden kann. Zum Umfang des Anspruchs auf Datenkopie haben sich in letzter Zeit unter anderem das Bundesarbeitsgericht (BAG) und das Oberverwaltungsgericht Münster beschäftigt.

Urteil des BAG vom 27.04.2021 – 2 AZR 342/20

In seiner Entscheidung vom 27. April 2021 beschäftigte sich das BAG mit dem Auskunftsanspruch ehemaliger Arbeitnehmer.

Sachverhalt

Der Kläger verlangte von seinem ehemaligen Arbeitgeber Auskunft über seine personenbezogenen Daten und verlangte zudem pauschal Kopien des E-Mail-Verkehrs zwischen ihm und dem Unternehmen sowie Kopien von allen E-Mails, in denen er namentlich erwähnt wurde.

Entscheidung

Das Bundesarbeitsgericht lehnte den Anspruch auf Erteilung einer Kopie der Daten in seinem Urteil ab. Als Begründung führte das Gericht aus, dass der Klageantrag zu unbestimmt sei. So könne sich der Auskunftsanspruch nicht auf eine unbestimmte Anzahl von E-Mails beziehen. Das Auskunftsbegehren müsse vielmehr auf bestimmte Dokumente und E-Mails konkretisiert werden. Anträge müssen vom Arbeitnehmer so genau bezeichnet werden, dass im Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich die Verurteilung beziehe.

Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20

Wie weit der Auskunftsanspruch nach Art. 15 Abs. 3 reicht, zeigt auch das Urteil des Oberverwaltungsgericht Münster 8. Juni 2021 (Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20).

Sachverhalt

Ein Examenskandidat forderte die unentgeltliche Zusendung von Kopien seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege. Das Prüfungsamt war jedoch nur zur Übersendung der Kopien gegen eine Vorschusszahlung bereit. Der Kandidat reichte daraufhin Klage ein und begründete seinen  Anspruch auf Erhalt der Kopien nach Art. 15 Abs. 3 DSGVO i. V. m. Art. 12 Abs. 5 DSGVO. Das Gericht gab dem Kläger Recht und stellte fest, dass der gesamte Inhalt der Aufsichtsarbeiten des Klägers digital oder postalisch als Kopie unentgeltlich herauszugeben ist.

Entscheidung

Auch in der Berufungsinstanz wurde bestätigt, dass der Kläger einen Anspruch auf Zurverfügungstellung einer unentgeltlichen Datenkopie seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege habe.

Als Begründung führt das Gericht aus, dass sich dies aus der DSGVO, die vorliegend über die Regelungen im Landesdatenschutzgesetz NRW anwendbar sei, ergebe. Der damit aus Art. 15 Abs. 3 DSGVO folgende Anspruch auf Zurverfügungstellung einer Datenkopie umfasse eine unentgeltliche Kopie sämtlicher vom Landesjustizprüfungsamt verarbeiteter, den Kläger betreffender personenbezogener Daten, worunter auch die angefertigten Aufsichtsarbeiten einschließlich der Prüfergutachten fielen.

Das Recht aus Art. 15 Abs. 3 DSGVO unterliege keiner einschränkenden Auslegung auf bestimmte Daten oder Informationen. Weiter führt das Gericht aus, dass keine anderen  Gründe für einen Ausschluss des geltend gemachten Anspruchs vorlägen. Insbesondere seien keine Anhaltspunkte für ein rechtsmissbräuchliches Verhalten des Klägers zu erkennen. Auch lasse sich kein unverhältnismäßig großer Aufwand für das Landesjustizprüfungsamt feststellen.

Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision zum Bundesverwaltungsgericht zugelassen.

Es bleibt hier abzuwarten, wie das Bundesverwaltungsgericht entscheiden wird.

Fazit

Die vor allem von Arbeitgebern erhoffte Klärung haben die Entscheidungen leider nicht geschaffen. Das BAG hat seine Klageabweisung in erster Linie prozessrechtlich begründet: um zu einem vollstreckbaren Titel zu kommen, muss der Klagegegenstand konkret bestimmt sein. Dem Grunde nach umfasst der Anspruch auf Datenkopie nach Art. 15 Abs. 3 DSGVO aber offenbar auch nach Auffassung des BAG die gesamte E-Mail-Korrespondenz, soweit diese personenbezogene Daten des Klägers enthält (z. B. seinen Namen). Diese dem Grunde nach umfassende Herausgabepflicht von Dokumenten bestätigt die Entscheidung des OVG Münster.

Es bleibt zu hoffen, dass der Gesetzgeber das Auskunftsrecht aus Art. 15 DSGVO sinnvoll einschränkt.

Formularhandbuch Datenschutzrecht erscheint in neuer Auflage mit Beiträgen von Stephan Schmidt

Die neue Auflage des im Verlag C.H.BECK erscheinenden Formularhandbuch Datenschutzrecht von Koreng/ Lachenmann ist nun im gut sortierten Buchhandel erhältlich.

Wie bereits die bisherigen Auflagen bietet auch diese stark erweiterte Auflage des Handbuchs einen guten Überblick und zahlreiche Muster zu den komplexen und vielfältigen Themen des Datenschutzrechts. Neben vielen anderen ausgewiesenen Datenschutz-Experten hat sich an dieser Auflage auch erneut unser Mainzer Partner Stephan Schmidt beteiligt. Wie bereits in der Vorauflage, hat er zusammen mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink ein Vertragsmuster zur Auftragsverarbeitung beigesteuert. Neu in dieser Auflage sind zwei weitere Beiträge von Stephan Schmidt: eine Checkliste zu Aufgaben und Umfang des Vertreters nach Art. 27 DSGVO und ein Muster für einen Vertrag über die Benennung eines Vertreters nach Art. 27 DSGVO.

Die Neuauflage berücksichtigt die bisherigen Erfahrungen mit der DSGVO. Es wurden alle bisherigen Muster aktualisiert und neue Entscheidungen von Aufsichtsbehörden und Gerichten berücksichtigt. Die neue Auflage enthält darüber hinaus diverse neue Kapitel, z.B. zum Gesundheitsdatenschutz, anwaltlichem Berufsrecht und der Verwendung von Personenbildnissen. Die Unterstützung von KMU und Vereinen wurde zudem durch spezielle Muster vertieft. Der internationale Kontext wird durch die Sicht auf Österreich abgerundet.

Zum Werk gehört ein Zugang zur Online-Version bei Beck-Online. Bestellungen sind auch direkt beim Verlag möglich.

TCI berät zusammen mit MUTTER & KRUCHEN und WKGT die Aareon AG bei dem Erwerb des PropTech wohnungshelden GmbH

Die Transaktion: Die Aareon AG, Europas führendes Unternehmen für Immobiliensoftware und digitale Lösungen hat sämtliche Geschäftsanteile am PropTech wohnungshelden GmbH, München, erworben. Mit dieser Akquisition setzt die Aareon AG ihren Wachstumskurs fort und ergänzt mit der digitalen Lösung für die Wohnungsvermittlung ihr Produktportfolio in Deutschland.

Die Unternehmen: Die wohnungshelden GmbH mit Sitz in München wurde 2016 gegründet und ist auf die digitale Wohnungsvermittlung spezialisiert. Sie bietet eine Softwarelösung, durch deren Einsatz Wohnungsunternehmen ihren gesamten Vermietungsprozess digitalisieren können. Inzwischen setzen Unternehmen mit insgesamt mehr als 750.000 Wohneinheiten die Lösung von wohnungshelden ein. Die wohnungshelden GmbH wird ihre Wachstumsstrategie auch als Teil der Aareon Gruppe mit dem bestehenden Management und einem eigenständigen Marktauftritt fortsetzen.

Die Aareon Gruppe ist ein internationales Unternehmen mit Standorten in der DACH-Region, Finnland, Frankreich, Großbritannien, den Niederlanden, Norwegen und Schweden. Die Aareon Gruppe beschäftigt über 1.800 Mitarbeiter, davon mehr als ein Drittel in ihren internationalen Tochtergesellschaften. Im Jahr 2020 erzielte die Aareon Gruppe einen Umsatz von rund 258 Mio. EUR und ein Adjusted EBITDA von 62 Mio. EUR.

„Als führender Technologieanbieter für die europäische Immobilienwirtschaft ist es unser Anliegen, unsere Kunden bei ihrem digitalen Transformationsprozess zu unterstützen und ihnen dabei zu helfen, ihre Geschäftsprozesse optimal zu managen. Mit der digitalen Lösung von wohnungshelden bauen wir unser Angebotsportfolio rund um den digitalen Vermietungsprozess weiter aus.“ sagt Dr. Manfred Alflen, Vorstandsvorsitzender der Aareon AG.

TCI-Partner Stephan Schmidt hat gemeinsam mit Joscha Falkenhagen ihm Rahmen der Transaktion die Due Diligence in den Bereichen IT, IP, Datenschutz und Commercial durchgeführt und beim Kaufvertrag beraten und verhandelt.

Daneben haben MUTTER & KRUCHEN (Corporate/M&A) sowie Warth & Klein Grant Thornton AG (Steuern/Finanzen) die Transaktion für die Aareon AG beraten.

EuGH erleichtert Vorgehen von Datenschutzbehörden gegen Konzerne

In einem Urteil vom 15. Juni 2021 (Az. C-645/19 – Facebook) hat der EuGH einige wichtige Weichenstellungen für das Vorgehen von Datenschutzbehörden gegen Konzerne vorgenommen.

Sachverhalt

Der Entscheidung lag ein Fall zu Grunde, in dem die belgische Datenschutzbehörde wegen Verarbeitung personenbezogener Daten von Internetnutzern in Belgien mittels Cookies, Social Plugins und Pixeln gegen die Facebook Inc., die Facebook Ireland Ltd. sowie die in Belgien ansässige Facebook Belgium BVBA eine gerichtliche Unterlassungsklage erhoben hatte. Die Klage war in erster Instanz erfolgreich. Facebook hatte vorgetragen, dass die Facebook Ireland Ltd. die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet habe. Die Niederlassung in Belgien sei, so Facebook, in erster Linie gegründet worden, um Beziehungen zu den Organen der Union zu unterhalten, und nur in zweiter Linie, um an in Belgien ansässige Personen gerichtete Werbe- und Marketingmaßnahmen des Konzerns zu fördern. Das Berufungsgericht erklärte sich allerdings für unzuständig, soweit die Klage gegen die Facebook Inc. und die Facebook Ireland Ltd. gerichtet war.

Hintergrund

Aus steuerlichen Gründen haben viele global agierende Unternehmen wie Facebook, Google oder Amazon ihre Europazentrale in bestimmten EU-Ländern wie Irland oder Luxemburg. Dort werden zumeist auch die personenbezogenen Daten der Nutzer verarbeitet. Im Juli 2021 haben sich allerdings die Finanzminister der G20-Staaten auf eine globale Steuerreform mit 15% Mindeststeuern für große Unternehmen geeinigt, um den Wettbewerb dieser Steueroasen um Investitionen und Schaffung von Arbeitsplätzen mittels steuerlicher Anreize zu beenden. Daher wird sich künftig die Frage stellen, nach welchen Kriterien solche Unternehmen dann den Sitz ihrer Europazentrale auswählen werden. Vielleicht danach, in welchem Land die Datenschutzbehörde am wenigsten streng ist, wenn diese Unternehmen in großem Umfang personenbezogene Daten verarbeiten? Wohl kaum, denn der EuGH hat dem Forum Shopping in Bezug auf Datenschutzbehörden nunmehr einen Riegel vorgeschoben.

Rechtlicher Rahmen gemäß DSGVO

Art. 56 DSGVO sieht vor, dass die Aufsichtsbehörde, in deren geografischem Zuständigkeitsbereich ein Verantwortlicher für Datenverarbeitung seine Hauptniederlassung oder seine einzige Niederlassung hat, als federführende Aufsichtsbehörde für die grenzüberschreitende Datenverarbeitung des Verantwortlichen zuständig ist. Die Zusammenarbeit der Datenschutzbehörden bei grenzüberschreitender Datenverarbeitung ist in den Artikeln 60 ff. DSGVO geregelt.

Nicht federführende Behörde darf selbst tätig werden

Der EuGH entschied, dass die nicht federführende Aufsichtsbehörde (hier: die belgische Aufsichtsbehörde) selbst tätig werden kann, wenn die federführende Aufsichtsbehörde (hier: die irische Aufsichtsbehörde) entschieden hat, sich mit dem Fall nicht selbst zu befassen. Weiter führte der EuGH aus, dass eine Klage der tätigkeitsbefugten nicht federführenden Aufsichtsbehörde (der belgischen Aufsichtsbehörde) nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche, gegen den die Klage erhoben wird, im Hoheitsgebiet der nicht federführenden Behörde eine Hauptniederlassung oder eine andere Niederlassung hat. Es kommt lediglich darauf an, ob der Verantwortliche eine Niederlassung (irgendwo) im Unionsgebiet hat. Die Klage der belgischen Aufsichtsbehörde gegen die Facebook Belgium BVBA setzt also nicht voraus, dass die Facebook Ireland Ltd. als für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortlicher in Belgien eine Hauptniederlassung oder eine andere Niederlassung hat.

Untrennbare Verbindung mit der Datenverarbeitung durch andere Konzerngesellschaft

Das Kernargument des EuGH lautet wie folgt: Die Tätigkeit der Facebook Belgium BVBA sei untrennbar mit der Datenverarbeitung durch die Facebook Ireland Ltd. verbunden, und deshalb erfolge die Datenverarbeitung durch die Facebook Ireland Ltd. (auch) „im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen“ im Sinne von Art. 3 Abs. 1 DSGVO. Die Datenverarbeitung durch die Facebook Ireland Ltd. erfolgt also auch durch die Facebook Belgium BVBA und damit auch auf belgischem Boden. Deshalb, so der EuGH, kann eine Aufsichtsbehörde, die nicht die federführende Behörde ist, ihre Klage sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet – was hier indes nicht der Fall war –, als auch gegenüber einer anderen Niederlassung des Verantwortlichen erheben, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt.

Demnach durfte die belgische Aufsichtsbehörde ihre Klage also gegen die Facebook Belgium BVBA erheben, obwohl Facebook vorgetragen hatte, dass für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet ausschließlich die Facebook Ireland Ltd. verantwortlich sei. Jede Konzerngesellschaft, deren Tätigkeit mit der Datenverarbeitung durch eine andere Konzerngesellschaft „untrennbar verbunden“ ist, kann für Verstöße gegen die DSGVO in Anspruch genommen werden.

Fazit: Keine Berufung auf interne Konzernstrukturen

Damit hat der EuGH dem Versuch, sich durch Verweis auf interne Konzernstrukturen einem Verfahren wegen Verletzung von Datenschutzrecht zu entziehen, eine Absage erteilt.

TCI Rechtsanwälte berät die Nimbus Beteiligungsgesellschaft im IT- und Datenschutzrecht bei dem Erwerb eines Teils des Kerngeschäfts der EISENMANN

Die Transaktion: Nimbus erwirbt das gesamte Service- Ersatzteilgeschäft des Geschäftsbereich Paint&Assembly der EISENMANN-Gruppe und führt auch das Projekt- und Retrofit-Geschäft fort.

Die mit dem Insolvenzverwalter Joachim Exner erzielte Investorenlösung umfasst neben dem gesamten Service- Ersatzteilgeschäft auch die Fortführung des Projekt- und Retrofit-Geschäftes der Eisenmann-Sparte Paint&Assembly. „Mit dem Verkauf bleiben nicht nur ein wesentlicher Teil des Kerngeschäfts und der Technologie von Eisenmann sondern auch 110 Arbeitsplätze erhalten“, betonte Exner. „Er stellt vor allem auch sicher, dass die weltweit über 500 Eisenmann-Lackieranlagen weiter mit Service und Ersatzteilen bedient werden – und zwar über die gesamte Produktpalette.“

Erwerber ist der niederländische Beteiligungsfonds Nimbus, die u.a. auch am Anlagenbauer für Oberflächentechnik Sturm Gruppe, Salching, beteiligt ist. Nimbus ist auf die Übernahme von Unternehmen in Turn-Around-Situationen spezialisiert „Nimbus ist ein Investor, der strategisch hervorragend zu Eisenmann passt“, betonte Exner. „Die Gruppe verfügt über ausgeprägtes Branchen-Know-how im Anlagebau.“

Unter Federführung des langjährigen Beraters von Nimbus, Rechtsanwalt und Notar Oliver Thum, haben Stephan Schmidt, TCI Rechtsanwälte Mainz (IT-Recht und Datenschutz), Georg Melzer, Frankfurt am Main (Arbeitsrecht), Markus Fünning, Kanzlei PLUTA, Ulm (Insolvenzrecht) und Florian Heim, Wunderlich & Heim, München (IP-Recht), die als Asset Deal strukturierten Akquisitionen auf Seiten von Nimbus beraten.

Insolvenzverwalter Exner wurde von einem Team von Clifford Chance, Frankfurt a.M. beraten.

Thum, Melzer und Schmidt stehen Nimbus regelmäßig schon seit langem in den deutschen Transaktionen von Nimbus beratend zur Seite. Fünning war das erste Mal auf Seiten von Nimbus tätig, Heim wurde als Berater der Sturm Gruppe für die komplexen patent- und lizenzrechtlichen Themen dieser Transaktion mandatiert.