Geldbußen bei DSGVO-Verstößen durch Unternehmen

Haftung für Fahrlässigkeit und Auftragsverarbeiter

Der Europäische Gerichtshof (EuGH) hat am 5. Dezember 2023 in zwei Urteilen Fragen im Zusammenhang mit der Verhängung von Bußgeldern gegen Unternehmen bei Verstößen gegen die DSGVO geklärt.

Einführung

Nach Art. 83 DSGVO können u.a. gegen Verantwortliche und Auftragsverarbeiter Geldbußen festgesetzt werden, wenn diese bestimmte Pflichten nach der DSGVO verletzen. Verantwortliche und Auftragsverarbeiter können natürliche oder juristische Personen sein (Art. 4 Nr. 7, Nr. 8 DSGVO).

Diese Bestimmungen kollidieren mit dem deutschen Rechtssystem, nach welchem nur natürliche Personen Straftaten oder Ordnungswidrigkeiten begehen können. Eine Strafe im Sinne des Strafgesetzbuchs, also eine Geldstrafe oder Freiheitsstrafe, kann nur gegen eine natürliche Person verhängt werden. Die Festsetzung einer Geldbuße gegen eine juristische Person, also beispielsweise eine GmbH oder Aktiengesellschaft, ist zwar möglich. Das setzt aber gemäß § 30 Abs. 1 OWiG voraus, dass eine natürliche Person in ihrer Eigenschaft als organschaftlicher Vertreter oder sonst in leitender Stellung eine Straftat oder Ordnungswidrigkeit begangen und dadurch Pflichten der juristischen Person verletzt hat. Daraus folgt im Umkehrschluss, dass eine Geldbuße unzulässig ist, wenn ein Mitarbeiter, der nicht in leitender Stellung tätig ist, eine Verpflichtung der juristischen Person verletzt hat.

Die Verhängung einer Geldbuße setzt nach deutschem Recht immer eine schuldhafte Begehung voraus, also dass die handelnde Person vorsätzlich oder fahrlässig gehandelt hat. Nach deutschem Recht ist die Ahndung fahrlässiger Handlungen nur möglich, wenn das Gesetz dies ausdrücklich bestimmt (§ 10 OWiG).

Sachverhalt

Dem ersten Fall lag eine Auseinandersetzung zwischen der Deutsche Wohnen SE, einem der größten deutschen Wohnungsunternehmen, und der Staatsanwaltschaft Berlin zugrunde. Die Berliner Datenschutz-Aufsichtsbehörde hatte gegen die Deutsche Wohnen SE wegen der Speicherung von personenbezogenen Daten von Mietern in einem elektronischen Archivsystem mehrere Geldbußen festgesetzt. Die Behörde beanstandete, dass nicht nachvollzogen werden konnte, ob die Speicherung erforderlich ist und ob die Löschung nicht mehr erforderlicher Daten gewährleistet ist.

Auf Einspruch der Deutsche Wohnen SE stellte das Landgericht Berlin das Verfahren ein, weil der Bußgeldbescheid unter so gravierenden Mängeln leide, dass er nicht als Grundlage für die Festsetzung einer Geldbuße dienen könne. Der schuldhafte Verstoß eines organschaftlichen Vertreters oder sonst in leitender Stellung tätigen Mitarbeiters sei nicht festgestellt.

Fragen an den EuGH

Auf sofortige Beschwerde der Staatsanwaltschaft Berlin legte das Kammergericht Berlin den Fall dem EuGH vor und fragte, ob nach Art. 83 DSGVO die Möglichkeit bestehen muss, eine Geldbuße gegen eine juristische Person zu verhängen, ohne dass der Verstoß gegen die DSGVO zuvor einer identifizierten natürlichen Person zugerechnet wird. Wenn das der Fall ist, fragte das Kammergericht, welche Kriterien für die Verantwortlichkeit eines Unternehmens für einen Verstoß gegen die DSGVO heranzuziehen sind. Insbesondere wollte das Kamemrgericht wissen, ob eine Geldbuße gegen eine juristische Person verhängt werden kann, ohne dass nachgewiesen werden kann, ob der ihr zuzurechnende Verstoß gegen die DSGVO schuldhaft begangen wurde.

Entscheidung

Keine Zurechnung zu einer natürlichen Person

Der EuGH entschied, dass die Bestimmungen der DSGVO einer nationalen Regelung wie in § 30 OWiG entgegenstehen, mithin also die Festsetzung einer Geldbuße nach der DSGVO nicht davon abhängig gemacht werden darf, dass der Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde (Urteil vom 5. Dezember 2023, Rechtssache C-807/21, Deutsche Wohnen SE ./. Staatsanwaltschaft Berlin).

Schuld der juristischen Person erforderlich

Der EuGH entschied des Weiteren, dass Art. 83 DSGVO die Verhängung einer Geldbuße nicht gestattet, ohne dass nachgewiesen ist, dass der Verstoß „von dem Verantwortlichen“ vorsätzlich oder fahrlässig begangen wurde, weil sich aus Art. 83 Abs. 2 Satz 2 b) und Abs. 3 DSGVO ergibt, dass die Verhängung einer Geldbuße vorsätzliches oder fahrlässiges Handeln voraussetzt (Urteil vom 5. Dezember 2023, Rechtssache C-807/21, Deutsche Wohnen SE ./. Staatsanwaltschaft Berlin).

Haftung für Auftragsverarbeiter

In einer zweiten Entscheidung vom selben Tag (Urteil vom 5. Dezember 2023, Rechtssache C-681/21, Nacionalinis visuomenes sveikatos centras prie Sveikatos apsaugos ministerijos ./. Valstybine duomenq apsaugos inspekcija) bestätigte der EuGH die Erforderlichkeit vorsätzlichen oder fahrlässigen Handelns.

Er entschied des Weiteren, dass eine Geldbuße gegen den Verantwortlichen auch dann verhängt werden kann, wenn nicht der Verantwortliche selbst die betreffenden Verarbeitungsvorgänge vornimmt, sondern in seinem Namen ein Auftragsverarbeiter, es sei denn, der Auftragsverarbeiter hat Verarbeitungen vorgenommen

  • für eigene Zwecke oder
  • auf eine Weise, die nicht mit dem vom Verantwortlichen festgelegten Rahmen vereinbar ist, oder
  • auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.

Bewertung

Die Vorstellung, dass nicht nur eine natürliche Person, sondern auch eine juristische Person als solche schuldhaft handeln kann, widerspricht der der deutschen Rechtsdogmatik. Wie die Schuld einer juristischen Person konkret festzustellen ist, erläutert der EuGH nicht.

In Fällen, in denen es möglich ist, den Verstoß einer zuvor identifizierten Person zuzurechnen, würde es naheliegen, auf die Schuld dieser Person abzustellen. Allerdings sind durchaus Fälle denkbar, in denen zwar die konkrete Person nicht schuldhaft gehandelt hat, etwa weil ihr ein bestimmtes Wissen fehlte, die juristische Person als solche hingegen schon, etwa weil sie sich das Wissen sämtlicher Mitarbeiter zurechnen lassen muss.

Für Deutschland von besonderer Bedeutung ist, dass § 10 OWiG bei Verstößen gegen die DSGVO schlichtweg nicht gilt. Vielmehr kann fahrlässiges Handeln immer mit einer Geldbuße geahndet werden, auch wenn die betreffende Vorschrift der DSGVO dies nicht explizit regelt.

Bemerkenswert ist schließlich die durch den EuGH etablierte Haftung für Verstöße von Auftragsverarbeitern.

Fazit

Zur Vermeidung von Bußgeldern sollten Unternehmen dringend stringente Vorkehrungen gegen mögliche DSGVO-Verstöße treffen.

Wie ein fahrlässiges Handeln eines Unternehmens konkret nachzuweisen ist, ist zwar auch durch die jüngsten Entscheidungen des EuGH nicht geklärt worden.

Unternehmen, die nicht über ein detailliertes Datenschutzkonzept verfügen und nicht nachweisen können, dass dieses nicht nur als zahnloser Papiertiger in einer Schublade liegt, sondern im täglichen Geschäft beachtet wird und in entsprechenden Workflows (z.B. regelmäßige Löschungen nicht mehr benötigter personenbezogener Daten) umgesetzt wurde, müssen damit rechnen, dass der Fahrlässigkeitsvorwurf erfolgreich erhoben wird.

Do-Not-Track

Vor kurzem hat sich das Landgericht Berlin in einem interessanten Urteil mit der Do-Not-Track-Funktion beschäftigt. Do-Not-Track ist eine Technologie, die es bereits seit 2009 gibt und die einen ähnlichen Zweck verfolgte wie die allseits beliebten Cookie-Banner – sie soll es nämlich ermöglichen, der Verarbeitung von personenbezogenen Daten beim Surfen im Internet automatisiert zu widersprechen. „Do-Not-Track“ ist im Grunde nur eine Einstellung im Browser. Ist das Feature aktiviert, sendet der Browser beim Abruf von Seiten das „Do-Not-Track“-Signal, mit dem man so Websites mitteilen kann, dass man nicht „verfolgt“ werden will, während man im Internet surft. Die Berücksichtigung dieses Signals durch die Website-Betreiber erfolgte bisher nur selten – sie war nämlich nicht rechtsverbindlich.

Urteil des Landgerichts Berlin

Nach dem kürzlich ergangenen Urteil des LG Berlin (Urteil vom 24.08.2023 – 16 O 420/19) wird sich die Herangehensweise an die Einbeziehung der Do-Not-Track-Funktion voraussichtlich ändern müssen.

Das Gericht entschied, dass die Verwendung dieser Technologie einen wirksamen Widerspruch gegen die Verarbeitung personenbezogener Daten (wie z. B. auch der IP-Adresse) darstellt und daher beachtet und respektiert werden sollte.

Anlass für die Entscheidung des Gerichts waren Aussagen von LinkedIn, die Do-Not-Track-Einstellung nicht für einen wirksamen Widerspruch zu halten und zu ignorieren. Gegen diese Äußerungen hat die Verbraucherzentrale Bundesverband (vzbv) geklagt.

Do-Not-Track als ein Widerspruch gegen Verarbeitung der persönlichen Daten?

Aus datenschutzrechtlicher Sicht ist für das Tracking – insbesondere unter Verwendung von Cookies – gem. § 25 TTDSG i.d.R. eine Einwilligung erforderlich. Darüber hinaus kommen als Rechtsgrundlagen eine datenschutzrechtliche Einwilligung gem. Art. 6 Abs. 1a DSGVO und das berechtigte Interesse gem. Art. 6 Abs. 1f DSGVO in Betracht.

Wird keine Einwilligung erteilt oder diese widerrufen, ist die Datenverarbeitung i. d. R. rechtswidrig.

Durch die Einstellung „Do-Not-Track“ im Browser wird der Datenverarbeitung widersprochen (auch bevor man durch das Cookie-Banner dazu aufgefordert wird). Dies könnte gleichzeitig einen Widerspruch in möglicherweise schon erteilte Einwilligungen darstellen oder eine Willensäußerung, dass keine Einwilligung abgegeben werden soll.

Das LG Berlin stellt in seiner Entscheidung aber nicht auf den Zusammenhang zwischen Do-Not-Track und Einwilligungen ab, sondern ausschließlich auf einen Widerspruch nach Art. 21 Abs. 1 und 2 DSGVO. Das erstaunt etwas, da es im Zusammenhang mit Tracking in erster Linie auf die Einwilligung nach § 25 TTDSG ankommt.

Die Konsequenzen dieser gerichtlichen Entscheidung?

Das Urteil könnte Auswirkungen auf die derzeitige Funktionsweise von Cookie-Bannern haben. Folgt man der strengen Auffassung des LG Berlin, wären demnach Cookie-Banner nicht notwendig, wenn „Do-Not-Track“ aktiviert ist: der Nutzer bringt damit seinen „Widerspruch“ gegen Tracking-Maßnahmen und seine fehlende Einwilligungsbereitschaft zum Ausdruck. Andererseits ist es auch denkbar, dass Websites trotz Aktivierung von „Do-Not-Track“ erneut über das Cookie-Banner nachfragen, ob wirklich kein Tracking erfolgen soll und keine Cookies verwendet werden dürfen – es ist auf den ersten Blick nicht ersichtlich, warum eine solche Praxis unzulässig sein sollte.

Es ist gleichwohl denkbar, dass Cookie-Banner in naher Zukunft angepasst werden. Dies ist mit einem größeren technischen Aufwand verbunden. Fraglich ist auch, ob sich die „Do-Not-Track“-Einstellung bzw. „Willenserklärung“ nur auf Funktionen und Cookies bezieht, die im engeren Sinne zu Tracking-Zwecken verwendet werden – oder auch auf Cookies, die für erweiterte Funktionalitäten verwendet werden, wie z. B. bei der Einbettung von YouTube-Videos oder Google Maps. Es bleibt abzuwarten, ob die Linie des LG Berlin in Zukunft durch weitere Gerichtsentscheidungen konkretisiert wird.

Zum Umgang mit Mitarbeiterfotos und -filmaufnahmen zu Werbezwecken

Das Landesarbeitsgericht Baden-Württemberg hatte kürzlich darüber zu entscheiden, ob einem Arbeitnehmer ein datenschutzrechtlicher Schadensersatzanspruch zusteht, wenn die Arbeitgeberin Foto- und Filmaufnahmen, auf denen der Arbeitnehmer zu sehen ist, nach dessen Ausscheiden aus dem Unternehmen zu Werbezwecken weiterverwendet.

Unzulässige Bildernutzung nach Vertragsende

Das Gericht entschied in diesem Fall, dass die Arbeitgeberin durch die unrechtmäßige Weiterverwendung der Foto- und Filmaufnahmen über das Arbeitsvertragsende hinaus, ein „das Persönlichkeitsrecht des Arbeitnehmers erheblich verletzendes Verhalten an den Tag gelegt habe“ und dem Arbeitnehmer daher ein Schadensersatzanspruch in Höhe von 10.000 € zustehe (LAG Baden-Württemberg, Urteil vom 27. Juli 2023, Az. 3 Sa 33/22).

Arbeitgeber stellen sich nun zu Recht die Frage, wie sie sich in einem solchen Fall vor möglichen Schadenersatzansprüchen ehemaliger Arbeitnehmer schützen können.

Rechtsgrundlage für die Nutzung von Mitarbeiterfotos

Um diese Frage beantworten zu können, ist zunächst zu beleuchten, auf welcher Rechtsgrundlage die Nutzung der Mitarbeiterfotos und -videos erfolgt. Denn bekanntlich handelt es sich bei Fotos und Videos, auf denen Personen erkennbar abgebildet sind, um personenbezogene Daten im Sinne der DSGVO. Daraus folgt, dass diese nur verarbeitet, also genutzt werden dürfen, wenn dies auf der Grundlage eines in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestandes erfolgt.

Als Erlaubnistatbestände kommen in der genannten Konstellation die Einwilligung (lit. a), eine vertragliche Vereinbarung (lit. b) oder das Vorliegen eines berechtigten Interesses (lit. f) in Betracht.

Einwilligung der Mitarbeiter

Geht man die einzelnen Erlaubnistatbestände durch, stellt man fest, dass sich bei der Einwilligung (lit. a) gleich zwei Probleme stellen. Zum einen bezüglich der Freiwilligkeit und zum anderen im Zusammenhang mit der Widerruflichkeit der Einwilligung.

Aufgrund des Abhängigkeitsverhältnisses des Arbeitnehmers vom Arbeitgeber kann dieser seine Einwilligung in der Regel nicht freiwillig erteilen. Selbst wenn er sie ausnahmsweise freiwillig erteilen könnte, führt das Recht, sie jederzeit frei widerrufen zu können, dazu, dass die Position des Arbeitgebers keineswegs gesichert ist.

Widerruft der Arbeitnehmer die einmal erteilte Einwilligung, kann sich der Arbeitgeber für die Zukunft nicht mehr auf diesen Erlaubnistatbestand berufen.

Konkret bedeutet dies: Hat der Arbeitnehmer während seines Arbeitsverhältnisses in die Verwendung von Foto- und Filmaufnahmen zu Werbezwecken eingewilligt, so gilt diese Einwilligung nur so lange, sie nicht widerrufen wird.

Berechtigte Interessen des Arbeitgebers?

Denkbar wäre nun, in einem solchen Fall den Auffangtatbestand (lit. f) heranzuziehen und ein berechtigtes Interesse des Arbeitgebers an der Weiterverwendung der Aufnahmen zu bejahen.

Allerdings wird es schwerlich möglich sein, die wirtschaftlichen Interessen des Arbeitgebers an der Weiterverwendung von Werbematerialien gegen das Persönlichkeitsrecht des Arbeitnehmers zu Gunsten des Arbeitgebers abzuwägen.

Allein der Umstand, dass der Arbeitnehmer z.B. inzwischen für einen Konkurrenten des Arbeitgebers tätig ist (so im Fall des LAG Baden-Württemberg), muss letztlich zum Überwiegen der Interessen des Arbeitnehmers führen.

Insgesamt ist Arbeitgebern eher davon abzuraten, sich in solchen Fällen auf ein berechtigtes Interesse zu berufen, da dieser Erlaubnistatbestand tatsächlich nicht geeignet ist, als Regel für eine Vielzahl von Fällen zu gelten. Vielmehr bedarf es stets einer Abwägung der widerstreitenden Interessen im Einzelfall.

Praxistipp: Vertragliche Vereinbarung

Zu raten ist Arbeitgebern daher, in solchen Fällen eine vertragliche Vereinbarung (lit. b) mit dem jeweiligen Arbeitnehmer über die Anfertigung und Nutzung von Foto- und Filmaufnahmen zu Werbezwecken zu treffen.

In dieser Vereinbarung kann sowohl die Verwendung der Aufnahmen als auch deren Nutzung über die Beendigung des Arbeitsverhältnisses hinaus DSGVO-konform geregelt werden.  Zu beachten ist jedoch, dass die Vereinbarung für den Arbeitnehmer vorteilhaft sein muss.

Das heißt, sie darf sich nicht darauf beschränken, dem Arbeitgeber Nutzungsrechte an den Aufnahmen einzuräumen, ohne dass der Arbeitnehmer dafür eine angemessene Gegenleistung erhält. Denn ist dies der Fall, stellt sich im Grunde das gleiche Problem wie bei der Freiwilligkeit der Einwilligung, was die vertragliche Vereinbarung letztlich angreifbar machen würde.

Sie haben Fragen zu diesem Thema oder zu datenschutzrechtlichen Themen im Allgemeinen? Benötigen Sie Unterstützung bei der Umsetzung datenschutzrechtlicher Maßnahmen? Wir unterstützen Sie gern. Sprechen Sie uns an.

Aktuelles zu DSGVO-Schadensersatzansprüchen: „Kontrollverlust“ ist noch kein Schaden

In letzter Zeit werden vermehrt Ansprüche auf Schadensersatz wegen der Verletzung von Regelungen der DSGVO geltend gemacht. Schon seit Inkrafttreten der DSGVO gab es Befürchtungen, dass es zu „Klagewellen“ bzw. der massenhaften Geltendmachung von Schadensersatzansprüchen schon aufgrund geringfügiger DSGVO-Verstöße kommen würde.

Dazu gab es in letzter Zeit einige interessante Gerichtsentscheidungen:

  1. Der EuGH hat in seinem Urteil „Österreichische Post“ vom 4.5.2023 (Az. C-300/21) zwar einerseits ausgeführt, dass es für immaterielle Schadensersatzansprüche Betroffener nach der DSGVO keine Erheblichkeitsschwelle gibt. Andererseits ist ein solcher immaterieller Schaden erforderlich. Der bloße Verstoß gegen die DSGVO begründet noch keinen Schadensersatzanspruch. In dem der Entscheidung zugrundeliegenden Sachverhalt hatte die Österreichische Post Daten von Kunden und deren politische Einstellung analysiert. Auf der Grundlage der Analyse hat sie den Betroffenen Mailings, d.h eine einmalige Werbesendung, entsprechend ihren politischen Präferenzen zugesandt – ohne jedoch ihre Daten an Dritte weiterzugeben. Darin liegt zwar eine Verletzung der DSGVO – es konnte jedoch nicht festgestellt werden, dass den Empfängern des Mailings dadurch in irgendeiner Weise ein Schaden erstanden ist.
  2. In einer Entscheidung des OLG Hamm vom 15.08.2023 (AZ: 7 U 19/23), ging es um das Ausleiten von Facebook–Daten im Wege des „Scraping“. Dritte konnten u.a. Namen und Telefonnummern über Suchfunktionen bei Facebook auslesen. Das Facebook dies nicht mit geeigneten Maßnahmen verhindert hat, begründet nach Auffassung des Gerichts einen Verstoß gegen Art. 32, 24 DSGVO. Schadensersatz hat das Gericht der Klägerin jedoch nicht zugesprochen. Ein immaterieller Schaden entsteht nicht durch einen bloßen Verstoß gegen Vorschriften des DSVGO, sondern nur dann, wenn eine persönliche oder psychische Beeinträchtigung vorliegt. Ein pauschal behaupteter „völliger Kontrollverlust“ stellt zwar ein generelles Risiko dar, aber noch keinen konkreten Schaden.
  3. In diese Linie der Rechtsprechung fügt sich auch eine Entscheidung des Landgerichts Berlin (07.06.2023 – 26 O 240/22) ein. Auch hier ging es um ein Daten-Scraping bei Facebook. Zum behaupteten „Kontrollverlust“ führt das LG Berlin aus, dass ein Verstoß gegen die DSGVO immer einen Kontrollverlust desjenigen bedeutet, der seine Daten dem Datenverarbeiter anvertraut hat. Deshalb könne nicht gleichzeitig der Kontrollverlust für sich genommen ein Schaden sein. Bloßer Ärger und Zorn stellt noch keinen Schaden dar. Nicht jede im Grunde nicht spürbare Beeinträchtigung oder individuell empfundene Unannehmlichkeit reicht mithin aus, sondern es sind ein messbarer Nachteil und eine objektiv nachvollziehbare tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen notwendig.

Die klare Linie der Rechtsprechung scheint also bislang „Klagewellen“ und Massenverfahren erfolgreich einzudämmen. Der bloße „Kontrollverlust“ aufgrund eines DSGVO-Verstoßes begründet noch keine Schadensersatzansprüche. Hinzukommen muss ein konkreter, belegbarer materieller oder immaterieller Schaden.

EuG zur Relativität des Personenbezugs

In seinem Urteil vom 26.4.2023, Rs. T-557/20 hat sich der Europäische Gerichtshof (EuG) mit der Frage der Relativität des Personenbezugs beschäftigt. Das Urteil räumt mit einigen Missverständnissen auf, die im Zusammenhang mit dem bekannten „Breyer“-Urteil des EuGH zum Personenbezug von IP-Adressen (EuGH v. 19.10.2016, C 582/14) entstanden sind.

1. Pseudonymisierung und Anonymisierung von Daten

Wie kann man pseudonyme und anonyme Daten unterscheiden?

Pseudonyme Daten können nur unter Hinzuziehung zusätzlicher Informationen einer spezifischen betroffenen Person zugeordnet werden. Diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die Zuordnung nicht bzw. nicht ohne weiteres erfolgen kann (Art. 4 Nr. 5 DSGVO). Pseudonymisierung bedeutet also, dass z. B. ein Name durch ein Pseudonym – einen Code, eine Nummer usw. – ersetzt wird. Allerdings können die Pseudonyme mit Hilfe von Zusatzinformationen wieder entschlüsselt und personenbeziehbar gemacht werden.

Bei anonymen Daten ist eine solche „Entschlüsselung“, also die Herstellung eines Personenbezugs, nicht oder nicht mit vertretbarem Aufwand möglich (vgl. Erwägungsgrund 26 der DSGVO). Anonyme Daten gelten deshalb nicht mehr als personenbezogene Daten und unterfallen nicht mehr der DSGVO.

2. Sachverhalt

In dem vom EuG entschiedenen Fall hatte der Einheitliche Abwicklungsausschuss (SRB) Daten an Deloitte weitergeleitet, bei denen personenidentifizierende Merkmale durch alphanumerische Codes ersetzt wurden. Der SRB konnte diese Codes konkreten Personen zuordnen. Deloitte hatte keinen Zugriff auf die Codes und konnte keinen Personenbezug der Daten herstellen.

Der Europäische Datenschutzbeauftragte (EDSB) hielt die Daten pauschal für personenbeziehbar. Nach Auffassung des EDSB sei der Umstand, dass Deloitte keinen Zugang zu den vom SRB gespeicherten Informationen zur Rückidentifizierung gehabt habe, unbeachtlich. „Pseudonymisierte“ Daten blieben dies selbst dann, wenn sie an einen Dritten übermittelt würden, der nicht über die zusätzlichen Informationen verfüge.

Dagegen klagte der SRB mit dem Argument, dass es sich zumindest für Deloitte nicht um personenbeziehbare Daten handele und die DSGVO insoweit nicht anwendbar sei.

3. Relativität des Personenbezugs

Im Kern geht es um die Frage, ob die „Personenbeziehbarkeit“ von Daten relativ oder absolut zu beurteilen ist – ob es also dem jeweils Verantwortlichen mit vertretbaren Mitteln möglich sein muss, einen Personenbezug herzustellen („relativer“ Personenbezug) oder ob es ausreicht, dass irgendjemand über diese Mittel verfügt („absoluter“ Personenbezug).

Der EuG hat sich im Ergebnis der Argumentation des SRB angeschlossen: es kommt darauf an, ob der jeweils Verantwortliche – hier also Deloitte – über die zusätzlichen Informationen verfügt, anhand deren eine Rückidentifizierung von Personen möglich ist.

Dies steht nicht im Widerspruch zum „Breyer“-Urteil des EuGH. Darin stellte sich die Frage, ob eine dynamische IP-Adresse für den Anbieter einer Website ein personenbezogenes Datum darstellt. Über die zur Identifizierung des Nutzers anhand einer IP-Adresse erforderlichen Zusatzinformationen verfügt üblicherweise nicht der Anbieter der Website, sondern der Internetzugangsanbieter des jeweiligen Nutzers. Zu prüfen war nach Auffassung des EuGH in diesem Fall, ob die Möglichkeit, eine IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise vom Website-Betreiber zur Bestimmung der betreffenden Person eingesetzt werden kann. Der EuGH ging also ebenfalls von der Relativität des Personenbezugs aus.

Der EuG führt aus (Rn. 99, 100 des Urteils):

[Es kann] die Situation von Deloitte mit der des Anbieters von Online-Mediendiensten im Sinne des Urteils vom 19. Oktober 2016, Breyer (C582/14, EU:C:2016:779), verglichen werden, soweit sie über Informationen […] verfügte, bei denen es sich nicht um Informationen handelte, die sich auf eine „identifizierte natürliche Person“ bezogen, da es nicht möglich war, anhand des auf jeder Antwort vermerkten alphanumerischen Codes unmittelbar die natürliche Person zu identifizieren, die den Fragebogen ausgefüllt hatte. Zum anderen kann die Situation des SRB mit der des Internetzugangsanbieters in jener Rechtssache verglichen werden, da feststeht, dass nur der SRB über die zusätzlichen Informationen – nämlich über den alphanumerischen Code und die Identifizierungsdatenbank – verfügte, anhand deren die betroffenen Anteilseigner und Gläubiger identifiziert werden können, die den Fragebogen ausgefüllt haben.

Somit war es gemäß der oben in Rn. 91 angeführten Rn. 44 des Urteils vom 19. Oktober 2016, Breyer (C582/14, EU:C:2016:779), Sache des EDSB, zu prüfen, ob für Deloitte die an sie übermittelten Stellungnahmen personenbezogene Daten waren.“

Diese Prüfung der Personenbeziehbarkeit der Daten aus Sicht von Deloitte hat der EDSB nicht vorgenommen. Der EuG hat damit der Klage des SRB stattgegeben. Ob vorliegend Deloitte tatsächlich über Mittel für eine Rückidentifizierung verfügte und diese hinreichend wahrscheinlich war, hat der EuG nicht mehr geprüft.

Die EU-Kommission hat am 10.07.2023 die auch als „Trans-Atlantic-Data-Privacy-Framework“ (TADPF) bezeichnete Adäquanzentscheidung für den sicheren Datenverkehr zwischen der EU und den USA verabschiedet. Nach „Safe Harbor“ und „Privacy Shield“ soll dieser dritte Anlauf nun auch die Anforderungen des EuGH erfüllen und transatlantische Datentransfers sind wieder relativ unbürokratisch möglich. Es ist aber davon auszugehen, dass auch dieses Abkommen wieder vor dem EuGH landen wird.

Das TADPF führt für US-amerikanische Datenempfänger neue verbindliche Sicherheitsvorkehrungen ein. Dazu gehören die Beschränkung des Zugangs zu Daten von EU-Bürgern durch US-Geheimdienste auf das Notwendige und Angemessene sowie die Einrichtung des Data Protection Review Court – DPRC, also einer Prüfungsinstanz, zu der Betroffene auch dann Zugang haben, wenn sie keine US-Bürger sind. Das DPRC kann bei Verstößen auch die Löschung der Daten anordnen.

Das TADPF soll regelmäßig von der Europäischen Kommission gemeinsam mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll innerhalb eines Jahres nach Inkrafttreten des TADPF stattfinden.

Wie und wann wirkt das TADPF?

Das TADPF ist ein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DSGVO und gilt im Grunde ab sofort. Für Datenexport an US-amerikanische Empfänger sind daher keine zusätzlichen Legitimationsinstrumente, wie zum Beispiel Standard-Vertragsklauseln (SCC), mehr erforderlich, da die USA nun wieder als sicheres Drittland gelten. Allerdings müssen Unternehmen in den USA eine Selbstzertifizierung vornehmen und sich damit verpflichten, bestimmte Datenschutzverpflichtungen einzuhalten, um von den Wirkungen des TADPF profitieren zu können. Die Selbstzertifizierung gab es schon beim Vorgänger Privacy Shield und es wird sicher noch einige Tage dauern, bis die ersten Unternehmen zertifiziert sind. Der aktuelle Stand kann ab dem 17.07.2023 unter https://www.dataprivacyframework.gov/s/ eingesehen werden.

Es gilt hier also zunächst abzuwarten und bei Neuverträgen zu prüfen, ob der Datenempfänger bereits zertifiziert ist. Nur wenn dies der Fall ist, wirkt das TADPF.

Was passiert mit Verträgen, welche die SCC nutzen?

Bei bestehenden Verträgen sollte dann, wenn der Datenempfänger unter TADPF zertifiziert ist, geprüft werden ob eine Anpassung des Vertrages notwendig ist. Oft wird eine Anpassung gar nicht notwendig sein, weil die SCC nur nachrangig für den Fall gelten, dass ein Datenempfänger in einem Staat ohne Angemessenheitsbeschluss seinen Sitz hat. Wenn nun der Datenempfänger in den USA sitzt und eine TADPF Zertifizierung vorweisen kann, gelten bei dieser Konstellation die „normalen“ Regeln des Data Processing Agreements (DPA) und die SCC kommen schlicht nicht mehr zur Anwendung. Eine Anpassung des Vertrages ist dann nicht nötig.

Hat der Datenempfänger seinen Sitz in den USA und unterzieht sich nicht einer Zertifizierung nach TADPF, bleibt es bei den bisherigen Regelungen, also der Verwendung von SCC und der Durchführung eines Transfer Impact Assessment (TIA). Die Nutzung solcher Anbieter wird aber nicht allein dadurch ausgeschlossen, dass keine Selbstzertifizierung erfolgt.

Weiterer Anpassungsbedarf durch das TADPF

Das TADPF bzw. die Nutzung von Datenempfängern, welche dem TADPF unterliegen und die damit verbundene Umstellung des Transferinstruments von SCC auf TADPF, macht unter Umständen Anpassungen an Datenschutzhinweisen (Art. 13, 14 DSGVO), in AV-Verträgen, bei Datenschutz-Folgenabschätzungen und im Verarbeitungsverzeichnis notwendig. Hier müssen die Verantwortlichen ihre Dokumentation auf entsprechenden Anpassungsbedarf prüfen.

Mitarbeiterfotos und Artikel 9 DSGVO

Heutzutage stellt fast jedes Unternehmen auf seiner Website nicht nur grundlegende Informationen über seine Aktivitäten und Kontaktdaten, sondern auch einen Bereich für das Team mit einer Darstellung der Mitarbeiter bereit. So können Kunden oder Geschäftspartner erfahren, wer die Ansprechpartner in den einzelnen Abteilungen des Unternehmens sind. Das Hinzufügen eines Fotos eines Mitarbeiters kann sicherstellen, dass die Kommunikation nicht zu unpersönlich wirkt. Allerdings können Mitarbeiterfotos mehr Informationen enthalten, als es auf den ersten Blick scheint.

Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten

Die Veröffentlichung von Mitarbeiterbildern kann Bedenken hinsichtlich des Schutzes personenbezogener Daten aufwerfen. Insbesondere stellt sich die Frage, ob die Veröffentlichung von Mitarbeiterbildern zu einer Veröffentlichung „besonderer Kategorien personenbezogener Daten“ nach Art. 9 DSVGO führt. Art. 9 DSGVO stellt besondere Anforderungen an die Verarbeitung personenbezogener Daten, aus denen die ethnische oder rassische Herkunft hervorgeht oder die Informationen über den Gesundheitszustand enthalten. Kann ein Foto solche besonders sensiblen Daten enthalten, auch wenn diese sich nur indirekt aus dem Foto ergeben? Das Äußere, die Hautfarbe, kann z.B. Hinweise auf ethnische Herkunft und Rassenzugehörigkeit geben. Das Tragen einer Brille informiert über Kurzsichtigkeit und ist damit eine Information über den Gesundheitszustand. Symbole wie beispielsweise Kreuze können auf eine religiöse Konfession hinweisen. Ist das aber ausreichend um Mitarbeiterfotos als besonders geschützte Daten im Sinne von Art. 9 DSGVO zu qualifizieren?

Rechtsprechung EuGH, 01.08.2022 – C-184/20

Zu diesem Thema hat sich der Gerichtshof in seinem Urteil vom 1. August 2022 geäußert. Im vorliegenden Fall ging es um Inhalte, die indirekt Rückschlüsse auf sensible Daten (in diesem Fall die sexuelle Orientierung) natürlicher Personen zuließen und auf der Website einer Behörde veröffentlicht waren. Dabei hat der EuGH den Begriff der „besonderen Kategorien personenbezogener Daten“ weit ausgelegt. Auch Daten, die indirekt sensible Informationen über eine natürliche Person offenbaren können, werden von Art. 9 Abs. 1 DSGVO erfasst, da andernfalls die praktische Wirksamkeit des Art. 9 DSGVO und der damit bezweckte Schutz der Grundrechte und Grundfreiheiten natürlicher Personen beeinträchtigt würde (Rn. 127 des Urteils).

Folgt man dieser Auffassung, können auch Fotos „besondere Kategorien personenbezogener Daten“ enthalten, wenn die Fotografie eines Mitarbeiters Merkmale enthält, die indirekt auf sensible Informationen hinweisen bzw. wenn aus der Fotografie solche Merkmale hervorgehen. Das bedeutet, dass in diesem Fall Art. 9 DSGVO Anwendung findet.

Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt, es sei denn es liegt eine Einwilligung vor (Art. 9 Abs. 1a DSGVO) oder die Verarbeitung dieser besonders geschützten Daten ist im Rahmen des Arbeitsverhältnisses erforderlich (§ 26 Abs. 3 BDSG).

Die Veröffentlichung von Mitarbeiterfotos wird aber i.d.R. nicht zwingend erforderlich sein. Natürlich gibt es Berufe, in denen die Veröffentlichung von Bildern notwendig ist, z.B. als Model oder Schauspieler – das sind aber Ausnahmefälle. Sie bedarf deshalb (fast) immer der Einwilligung der betroffenen Mitarbeiter. Die Einwilligung muss freiwillig und informiert sein und sollte am besten in schriftlicher Form erfolgen (dies ist zwar nicht zwingend, aber empfehlenswert). Wenn das Foto bestimmte Merkmale enthält, die als besonders sensible Daten betrachtet werden könnten, sollten diese in der Einwilligung ausdrücklich erwähnt werden. Wichtig ist, dass die Einwilligung freiwillig und ohne Zwang erfolgt. Eine Ablehnung der Einwilligung zur Veröffentlichung darf nicht mit Nachteilen für die betroffenen Mitarbeiter verbunden sein.

Wie kommt man eigentlich zum IT-Recht?

Diese Frage hat unser Mainzer Partner Stephan Schmidt im Rahmen einer Interviewreihe den Gastgebern der Reihe Michael Rohrlich und Marc Oliver Thoma beantwortet. Er hat dabei über seine Ausbildung und was er eigentlich in San Diego gemacht hat, aber auch über den Beginn seiner Tätigkeit als selbstständiger Rechtsanwalt und aktuelle Themen gesprochen. Herausgekommen ist ein kurzweiliges Gespräch, mit dem einen oder anderen Einblick in die Tätigkeit eines IT- und Datenschutzrechtlers.

Das Gespräch ist hier bei YouTube abrufbar.

Abmahnungen wegen der Nutzung von Google Fonts – Beitrag von Stephan Schmidt im DATENSCHUTZ-BERATER 02/2023

In den letzten Wochen und Monaten schwappte eine Welle von Abmahnungen durch Deutschland, die aufgrund der Vielzahl der abgemahnten Unternehmen für Aufsehen gesorgt hat. Abgemahnt wurde die, nach Ansicht der Abmahner datenschutzrechtswidrige, Nutzung von Google Fonts auf Webseiten. Betroffene sollten unter Verweis auf ein Urteil des LG München vom 20. Januar 2022 niedrige dreistelle Beträge als Schmerzensgeld zahlen. Doch sind diese Abmahnungen begründet und wie soll man mit diesen umgehen?

Diese Fragen beantwortet Stephan Schmidt in der aktuellen Ausgabe des DATENSCHUTZ-BERATER (Heft 02/2023). Mit freundlicher Genehmigung des Verlages können Sie den Beitrag hier herunterladen.

<strong>EuGH: Empfänger müssen in Auskunft konkret benannt werden, Urteil vom 12.01.2023 – Az. C-154/21</strong>

Bislang wurde nicht abschließend geklärt, ob zur Erfüllung des datenschutzrechtlichen Auskunftsanspruchs gemäß Art. 15 DSGVO die Benennung der Kategorie des Empfängers, etwa deren Branchenzugehörigkeit, ausreicht oder eine Offenlegung der konkreten Identität des Empfängers vorzunehmen ist. Diese Frage hat der EuGH mit seinem Urteil vom 12.01.2023 beantwortet und entschieden, dass bei einem Auskunftsgesuch nach Art. 15 DSGVO konkrete Angaben über den bzw. die Empfänger der personenbezogenen Daten des Betroffenen gemacht werden müssen.

Im konkreten Fall wandte sich der spätere Kläger an die Österreichische Post, um gemäß Art. 15 DSGVO die Auskunft darüber zu erhalten, welche personenbezogenen Daten über ihn gespeichert werden und wer die Empfänger bei der Weitergabe der Daten waren. Die Österreichische Post teilte zunächst nur mit, dass sie die Daten im Rahmen ihrer Tätigkeit als Herausgabe von Telefonbüchern Geschäftskunden für Marketingzwecken anbiete; später ergänzten sie ihre Angaben dahingehend, dass die Daten zu den werbetreibenden Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spenderorganisationen, Nichtregierungsorganisationen oder politische Parteien weitergegeben wurden.

Art. 15 DSGVO gewährt Betroffenen im Sinne der DSGVO einen Anspruch auf Auskunft hinsichtlich Art und Umfang der Verarbeitung von sie betreffenden personenbezogenen Daten. Neben der Information darüber, ob überhaupt Daten des Betroffenen verarbeitet werden, umfasst der Anspruch zahlreiche weitere in Art. 15 Abs. 1 lit. a) bis h) DSGVO aufgelistete Aspekte der Verarbeitung, z.B. die – streitgegenständliche – Offenlegung von den Empfängern der personenbezogenen Daten.

Aufgrund des nicht eindeutigen Wortlautes des Art. 15 Abs. 1 lit. c) DSGVO – denn auf ein Vorrangverhältnis zwischen Empfängern und Kategorien von Empfängern lässt sich nicht schließen –, sowie der Bedeutung des Aufwandes für den Verantwortlichen je nach Auslegung, stritten sich die Parteien um die Frage nach der Benennung von den Empfängern.

Der EuGH erteilte eine Absage an die für den Verantwortlichen günstige Auslegung und verpflichtet, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen. Dabei lässt der EuGH nur wenige Ausnahmen von dieser Verpflichtung zu, nämlich:

  • wenn es nicht möglich ist, die Empfänger zu identifizieren, oder
  • wenn der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind.

Diese Auslegung stützt der EuGH auf den Zusammenhang sowie auf die Zwecke und Ziele der Vorschrift. Der Erwägungsgrund 63 Satz 3 zur DSGVO sieht vor, dass jede betroffene Person ein Anrecht darauf haben sollte, zu wissen, wer die Empfänger der personenbezogenen Daten sind. Dieses Recht wird nicht auf „Kategorien von Empfängern“ beschränkt. Zudem trage die Preisgabe der konkreten Identität der Empfänger zu einem hohen Datenschutzniveau bei (Erwägungsgrund 10 der DSGVO) und komme dem Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a) DSGVO nach. Weiterhin müsse das Auskunftsrecht die betroffene Person in die Lage versetzen, die Überprüfung von den Daten, deren Verarbeitung und Befugnis der Offenlegung gegenüber den Empfängern vornehmen zu können, und ggf. weitere Rechte wahrnehmen zu können.

Eine Frage, die sich aufgrund des Urteils stellt, ist, ob die zu Art. 15 Abs. 1 lit. c) DSGVO getroffene Auslegung auch auf die Informationspflichten aus Art. 13, 14 DSGVO übertragbar sind. Denn diese verlangen vom Verantwortlichen als Teil der Datenschutzinformationen auch die Angabe von „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“. Allerdings haben die beiden Regelungen zur Informations- bzw. Auskunftspflicht unterschiedliche Zwecke und – vor allem – unterschiedliche Zeitpunkte im Blick: Im Zusammenhang mit Art. 13, 14 DSGVO steht zum Zeitpinkt der eigenständigen, proaktiven Pflicht im Zweifel nicht fest an welche konkreten Empfänger (Dritte oder Auftragsverarbeiter) Daten weitegegeben werden. Dagegen sind die Auskünfte im Sinne von Art. 15 DSGVO stets reaktiv und auf eine gezielte Nachfrage eines Betroffenen hin zu erteilen. Zu diesem Zeitpunkt sind dem Verantwortlichen alle Empfänger der Daten bekannt. Deshalb zieht der EuGH wohl auch Art. 13, 14 DSGVO nicht in einer Weise heran, die eine Art. 15 Abs. 1 lit. c) DSGVO vergleichbare Auslegung naheliegen würde. Auch der Generalanwalt formulierte in seinen Schlussanträgen (Nr. 21), dass die Informationspflichten eine andere Zielrichtung als das Auskunftsrecht haben.

Praktisch bedeutet die Entscheidung des EuGH vor allem „mehr Aufwand“ für die Verantwortlichen im Datenschutz: Mehr Aufwand bei der Pflege des Datenschutzmanagements, mehr Aufwand bei der Einholung von Informationen bei der Beantwortung von Auskunftsersuchen, mehr Aufwand bei der Nachhaltung von Auftragsverarbeitern und etwaigen Unterauftragnehmern in der Leistungskette.

Es ist zu beachten, dass das Urteil nicht nur Auswirkungen bezüglich der Identität von „direkten“ Empfängern hat, sondern aufgrund des weiten Empfängerbegriffes aus Art. 4 Nr. 9 DSGVO auch alle Personen oder Stellen außerhalb des Verantwortlichen, die unter der Verantwortung des Verantwortlichen befugt sind, personenbezogenen Daten zu verarbeiten, umfasst sind. Dies schließt alle etwaige Unterauftragnehmer ein, also auch die sogenannten weiteren Auftragsverarbeiter i.S.v. Art. 28 Abs. 1, Abs. 4 DSGVO. Somit ist in der Regel die Preisgabe der Identität aller Empfänger in der Leistungskette erforderlich.

Ehemalige Empfänger der Daten müssen jedoch nicht benannt werden, wenn der Verantwortliche positive Kenntnis davon hat, dass der „nicht mehr aktuelle“ Empfänger die Daten der betroffenen Person bereits gelöscht hat. Ansonsten würde das Recht auf Löschung leerlaufen.

Schließlich hat der EuGH – mit Blick auf die Vorlagefrage – nur einen umfassenden Auskunftsanspruch bejaht, wenn die betroffene Person auch dementsprechend konkrete Auskunft begehrt hat. Nicht entschieden hat der EuGH die Frage, ob der Verantwortliche generell zur umfassenden Auskunft verpflichtet ist. Dies könnte im Umkehrschluss bedeuten, dass die umfassende Offenbarung der Empfänger-Identitäten der Daten nicht bei jeglicher Anfrage durchzuführen ist und der konkrete Wortlaut der Anfrage maßgeblich ist.