Gilt das Recht auf kostenlose Auskunft auch bei anderen legitimen Zwecken, aber datenschutzfremden Zwecken?

Diese Frage soll nun der EuGH klären. Anlass ist ein Vorlagebeschluss des Bundesgerichtshofs (BGH) vom 29.03.2022, Az. VI ZR 1352/20. Insbesondere soll geklärt werden, unter welchen Voraussetzungen und in welchem Umfang Ärzte ihren Patienten eine unentgeltliche Kopie der Patientenakte herausgeben müssen.

Im konkreten Fall verlangt der Patient für die Prüfung eines möglichen Behandlungsfehlers seiner Ärztin die unentgeltliche Herausgabe einer Kopie sämtlicher bei ihr existierender, ihn betreffender Krankenunterlagen und stützt sich hierbei auf die DSGVO. Die Ärtzin hingegen ist der Auffassung, dass sie nur gegen Erstattung der Kosten eine Kopie der Unterlagen zur Verfügung stellen müsse.

Mit der Begründung, der Patient könne sich auf sein Auskunftsrecht nach der DSGVO berufen, gaben sowohl das Amts- als auch das Landgericht dem Patienten Recht. Der BGH hat allerdings Zweifel, ob das Auskunftsrecht in der DSGVO auch dann greift, wenn es nicht mit dem Anspruch auf eine datenschutzrechtliche Prüfung im Sinne von Erwägungsgrund 63 der DSGVO begründet wird. Vorliegend möchte der Patient die Kopie seiner Daten in erster Linie zur Verfolgung von Schadensersatzansprüchen erhalten, nicht aber zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung.

In diesem Zusammenhang wird der EUGH insbesondere auch der Frage nachgehen, wie es sich mit den Kosten des Auskunftsanspruchs verhält. So ergibt sich aus Art. 15 Abs. 3 DSGVO ganz allgemein das Recht der betroffenen Person vom Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu erhalten. Hierbei muss die erste Kopie unentgeltlich erfolgen und erst für weitere Kopien kann ein angemessenes Entgelt gefordert werden. Aus § 630g Abs. 2 BGB ergibt sich hingegen das Recht des Patienten eine Abschrift der Patientenakte zu verlangen. Dies kann auch in elektronischer Form erfolgen. Dafür kann der Arzt jedoch die Erstattung der entstandenen Kosten verlangen. Dieses Recht auf eine Kopie ist für den Patienten nach dieser Regelung nicht kostenlos.

Es bleibt daher abzuwarten, ob das Recht auf eine kostenlose Kopie auch dann besteht, wenn der Betroffene die Kopie zur Verfolgung von legitimen Zwecken, aber datenschutzfremden Zwecken, begehrt.

Zur Bestimmtheit des Klageantrags bei einem Auskunftsanspruch nach Art. 15 DSGVO

Das Bundesarbeitsgericht (BAG) hatte als Revisionsinstanz über die Bestimmtheit von Anträgen eines Arbeitnehmers gegen seine Arbeitgeberin zu entscheiden. Der Kläger verlangte nach Art. 15 Abs. 1, 3 DSGVO die Erteilung einer Auskunft über seine verarbeiteten personenbezogenen Daten durch die Beklagte und die Zurverfügungstellung einer Kopie seiner personenbezogenen Daten. Die Anträge enthielten die Einschränkung, dass personenbezogene Daten aus der Personalakte ausgenommen seien und dass die Anträge sich nur auf Leistungs- und Verhaltensdaten des Klägers bezögen.

Das BAG erachtete die Revision der Beklagten für begründet, da das Berufungsurteil nicht hinreichend bestimmt gewesen sei und auch die Anträge des Klägers bereits zu unbestimmt gewesen seien.

Das Gericht führte aus, dass zwar der Tatbestand und die Entscheidungsgründe eines Urteils ergänzend heranzuziehen seien, wenn der Streitgegenstand den Umfang der Rechtskraft noch nicht erkennen lasse. Für den Schuldner müsse aber aus rechtsstaatlichen Gründen erkennbar sein, mit welchen Zwangsmitteln er aufgrund des Urteils zu rechnen habe. Zugleich mache das Rechtsstaatsprinzip es aber auf für den Kläger erforderlich, dass ein Urteil auch effektiv durchgesetzt werden könne.

Vorliegend seien sich die Parteien bis zuletzt darüber uneinig gewesen, was genau unter die Anträge gefasst werden könne. Auch für das Vollstreckungsorgan werde daher nicht ersichtlich, welche Verpflichtung diese darstellen sollten, sodass sich der Streit nur in das Vollstreckungsverfahren verlagern würde.

Das Gericht erkannte, dass es aus Gründen des effektiven Rechtsschutzes einen Weg geben müsse, den aus Art. 15 Abs. 1 Halbs. 2 DSGVO folgenden Anspruch auch prozessual durchsetzen zu können. Bei den Anforderungen an die Konkretisierung der Informationen müsse berücksichtigt werden, dass der Anspruchssteller sich überhaupt erst Informationen beschaffen wolle. Die Verwendung auslegungsbedürftiger Begriffe komme aber nur dann in Betracht, wenn für den Kläger eine weitere Konkretisierung nicht möglich sei und für die Parteien kein Zweifel an dem Inhalt der Anträge bestehe.

Nicht nur der relevante Speicherort der einzubeziehenden Daten sei unklar, der Kläger die Anträge dadurch besonders unklar gemacht, dass der Informationsanspruch auf Verhaltens- und Leistungsdaten beschränkt wurde. Dies seien auslegungsbedürftige Begriffe. Der Kläger habe es auch versäumt, die Anträge im Laufe des Prozesses zu präzisieren. Das Gericht ließ offen, wie ein zulässiger, bestimmter Antrag aussehen könnte.

Der Antrag auf den Erhalt einer Kopie der personenbezogenen Daten des Klägers sei aus denselben Gründen unzulässig. Zudem sei nicht präzisiert worden, ob die Kopie in Papierform oder in elektronischer Speicherform zur Verfügung gestellt werden solle. Es genüge nicht, nur den Wortlaut des Gesetzestextes zu wiederholen.

Das BAG stellte fest, dass in Bezug auf den Antrag auf den Erhalt einer Kopie personenbezogener Daten nach Art. 15 Abs. 3 DSGVO wesentlich strengere Anforderungen an die Bestimmtheit des Antrags galten, da es einem Antragsteller möglich sei, im Wege der Stufenklage zunächst Informationen einzuklagen und erst anschließend den Antrag auf Zurverfügungstellung zu präzisieren.

Durch das vorliegende Urteil wird deutlich, dass ein Verbraucher bei der Geltendmachung eines Auskunftsanspruches präzise darzulegen hat und Hinweise des Gerichts in Bezug auf die Bestimmtheit der Anträge ernst nehmen sollte.

Das BAG entschied hier zwischen dem Spannungsfeld der Einhaltung der Rechtsstaatlichkeit für den Verarbeitenden und den Rechten der betroffenen Verbraucher, deren Daten verarbeitet werden. Einem Verarbeitenden personenbezogener Daten ist nicht zuzumuten, Auskunft erteilen zu müssen, ohne sich darüber im Klaren sein zu können, welche Informationen die Auskunft überhaupt beinhalten soll. Andererseits hatte das BAG bei der Auslegung der Norm auch den effet utile und die Rechte der Verbraucher im Blick zu behalten, denen eine effektive und zumutbare Art und Weise der Geltendmachung ihres Auskunftsanspruchs ermöglicht werden soll.

Das BAG nimmt Bezug auf ein weiteres Urteil des BAG vom 27.04.2021 (Az.: 2 AZR 342/20) und eines vom BGH vom 15.06.2021 (Az.: VI ZR 576/19), in denen jeweils offengelassen wurde, ob ein Antrag auf Erteilung „vollständiger“ Informationen über eigene personenbezogene Daten bestimmt genug wäre. In der vorliegenden Entscheidung führt das Gericht aus, dass man hierüber diskutieren könne. Aus Sicht der Rechtssicherheit von Verbrauchern ist es bedauerlich, dass auch das BAG hierzu keine Aussage trifft.

Die Aussage des Gerichts, dass an die Bestimmtheit des Antrags auf Erhalt einer Kopie personenbezogener Daten höhere Anforderungen zu stellen sind, als an den Antrag auf Erhalt von Auskünften ist dagegen gut nachvollziehbar und in Einklang mit bestehender höchstrichterlicher Rechtsprechung.

Fehlende Umsetzung der Whistleblower-Richtlinie: Folgen für Unternehmen

Mit der EU-Whistleblower-Richtline EU 2019/1937 vom 23.10.2019 verpflichteten sich die Mitgliedsstaaten Unternehmen mit mindestens 250 Mitarbeitern* vorzuschreiben, eine Hinweisgeberstelle für Rechtsverstöße im Unternehmen einzurichten. Ab dem 17.12.2023 soll die Verpflichtung auch auf kleinere Unternehmen, mit mehr als 50 Mitarbeitern, erweitert werden.

Die Umsetzung der Richtlinie in nationales Recht sollte bis zum 17.12.2021 erfolgen. Diese Frist wurde allerdings vom deutschen Gesetzgeber verpasst, u. a., weil keine Einigung über den Umfang der zu meldenden Verstöße herrschte. Wegen fehlender Umsetzungen leitete die Europäische Kommission anschließend gegen Deutschland sowie gegen 25 weitere Mitgliedsstaaten Vertragsverletzungsverfahren ein. Die fehlenden Umsetzungen erzeugen nun eine gewisse Rechtsunsicherheit für Unternehmen.

Inhalt der Whistleblower-Richtlinie

Die Richtlinie sieht vor, dass Mitarbeiter bei den einzurichtenden Hinweisgeberstellen anonym melden können, wenn sie im Unternehmen Verstöße gegen EU-Recht empfinden. Hierdurch sollen Rechtsverstöße besser aufgedeckt und unterbunden werden und die Möglichkeiten der Rechtsdurchsetzung für die Betroffenen verbessert werden.

Eine weitergehende Verpflichtung kann die Europäische Union mangels Gesetzgebungskompetenz nicht vorschreiben. Den Mitgliedsstaaten soll es aber freistehen, die Hinweisgeberstellen auch auf Verstöße gegen nationales Recht zu erweitern.

Die neue Bundesregierung kündigte an, die Richtlinie im ersten Quartal 2022 durch den Erlass eines „Hinweisgeberschutzgesetzes“ (HinSchG) umsetzen zu wollen. Dabei sollen Mitarbeiter tatsächlich die Möglichkeit erhalten, nicht nur empfundene Verstöße gegen EU-Recht, sondern auch gegen deutsches Recht oder sonstiges erhebliches Fehlverhalten melden zu können.

Da Hinweisgeber sich beim Bekanntwerden von Meldungen innerhalb ihres Unternehmens unbeliebt machen könnten, sieht die Whistleblower-Richtlinie in Art. 19, 20 und 21 einen Schutz vor Repressalien wie Kündigungen oder Versetzungen vor. Auch diese Schutzmaßnahmen sollen im „HinSchG“ wohl inhaltlich noch erweitert werden.

Weder die Details der geplanten Ausgestaltung dieses Schutzes und hierdurch entstehender zusätzlicher Pflichten eines Arbeitgebers noch die weitere Ausgestaltung der deutschen Umsetzung sind jedoch bisher bekannt. Etwa ob innerhalb eines Konzerns eine zentrale Hinweisgeberstelle für die Mitarbeiter sämtlicher Gesellschaften ausreicht oder jede Gesellschaft eine eigene Stelle einrichten muss.

Folgen der fehlenden Umsetzung

Da Deutschland die Frist zur Umsetzung und Ausgestaltung der Richtlinie in deutsches Recht verpasst hat, stellt sich für Unternehmen hierzulande nun die Frage, ob sie nun dennoch verpflichtet sind, bereits jetzt eine Hinweisgeberstelle einzurichten, was entweder intern oder auch extern erfolgen kann.

Prinzipiell kann eine nicht umgesetzte EU-Richtlinie nach dem Ende der Umsetzungsfrist selbst eine unmittelbare Wirkung entfalten. Dafür muss die Richtlinie von der EU so genau bestimmt worden sein, dass die Handlungspflicht bereits eindeutig ist. Sie darf auch nicht von zusätzlichen Bedingungen abhängig sein oder zu ihrer Anwendung weitere Rechtsvorschriften bedürfen. All diese Bedingungen dürften bei der EU-Whistleblower-Richtline vorliegen.

Dennoch kann sich ein Bürger nur gegenüber dem Staat auf die nicht umgesetzte Richtlinie berufen, nicht jedoch gegenüber anderen Privatpersonen. Momentan kann sich ein Arbeitnehmer also beispielsweise noch nicht auf den erweiterten Kündigungsschutz berufen, sodass Unternehmen durch die fehlende Umsetzung keine negativen Konsequenzen entstehen. Zugleich müssen staatliche Organisationen aber bereits jetzt eine Hinweisgeberstelle einrichten, bei der Verstöße gegen EU-Recht gemeldet werden können.

Fazit

Momentan sind Unternehmen noch nicht verpflichtet, Hinweisgeberstellen vorzuhalten. Zudem ist die Ausgestaltung des geplanten Hinweisgeberschutzgesetzes noch unklar. Dennoch ist es für Unternehmen sinnvoll, gerade in Konzernstrukturen, die Einrichtung entsprechender Stellen bereits jetzt vorzubereiten, da diese aufwändig und zeitintensiv sein könnte. Bei der Einrichtung einer Hinweisgeberstelle sind u. a. auch datenschutzrechtliche Rahmenbedingungen zu schaffen, z. B. eine sichere Möglichkeit der Kommunikation mit der Hinweisgeberstelle. Im Einzelfall ist zudem eine sog. Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen, die grundsätzlich erforderlich ist bei einer Form der Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wenn man berücksichtigt, dass über die Hinweisgeberstelle ggf. Daten über potenziell strafrechtlich relevantes Verhalten verarbeitet werden und für den Hinweisgeber zudem das greifbare Risiko besteht, dass seine Anonymität nicht geschützt wird, dann erscheint eine Datenschutz-Folgenabschätzung somit notwendig, ebenso wie eine Abstimmung mit dem betrieblichen Datenschutzbeauftragten.

*Aus Gründen der vereinfachten Lesbarkeit wird lediglich die grammatikalisch männliche Form genannt, gemeint sind jedoch Beschäftigte jeder Geschlechteridentität.

Neue Urteile zur Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO

Nach Art. 15 Abs. 1 der DSGVO sind Verantwortliche dazu verpflichtet, den Betroffenen auf Wunsch Auskunft darüber zu erteilen, welche Daten sie über sie erhoben haben und in welcher Form diese Daten verarbeitet werden.  Art. 15 Abs. 3 DSGVO regelt, dass der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellt. Welche Daten der Auskunftsanspruch und das Recht auf eine Kopie genau umfasst, ist bisher nicht klar definiert.

Der Wortlaut der DSGVO schränkt den Auskunftsanspruch nicht wirklich ein. So kann der Verantwortliche dazu verpflichtet sein, umfassende Kopien aller Unterlagen herauszugeben, die personenbezogene Daten des Betroffenen enthalten. Das wird z. B. in arbeitsrechtlichen Auseinandersetzungen zunehmend genutzt, um den Druck auf den (ehemaligen) Arbeitgeber mit umfassenden Ansprüchen auf Herausgabe z. B. der gesamten E-Mail-Korrespondenz zu erhöhen.

In der Rechtslehre ist deshalb streitig, ob der Anspruch aus Art. 15 DSGVO nicht beschränkt werden kann. Zum Umfang des Anspruchs auf Datenkopie haben sich in letzter Zeit unter anderem das Bundesarbeitsgericht (BAG) und das Oberverwaltungsgericht Münster beschäftigt.

Urteil des BAG vom 27.04.2021 – 2 AZR 342/20

In seiner Entscheidung vom 27. April 2021 beschäftigte sich das BAG mit dem Auskunftsanspruch ehemaliger Arbeitnehmer.

Sachverhalt

Der Kläger verlangte von seinem ehemaligen Arbeitgeber Auskunft über seine personenbezogenen Daten und verlangte zudem pauschal Kopien des E-Mail-Verkehrs zwischen ihm und dem Unternehmen sowie Kopien von allen E-Mails, in denen er namentlich erwähnt wurde.

Entscheidung

Das Bundesarbeitsgericht lehnte den Anspruch auf Erteilung einer Kopie der Daten in seinem Urteil ab. Als Begründung führte das Gericht aus, dass der Klageantrag zu unbestimmt sei. So könne sich der Auskunftsanspruch nicht auf eine unbestimmte Anzahl von E-Mails beziehen. Das Auskunftsbegehren müsse vielmehr auf bestimmte Dokumente und E-Mails konkretisiert werden. Anträge müssen vom Arbeitnehmer so genau bezeichnet werden, dass im Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich die Verurteilung beziehe.

Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20

Wie weit der Auskunftsanspruch nach Art. 15 Abs. 3 reicht, zeigt auch das Urteil des Oberverwaltungsgericht Münster 8. Juni 2021 (Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20).

Sachverhalt

Ein Examenskandidat forderte die unentgeltliche Zusendung von Kopien seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege. Das Prüfungsamt war jedoch nur zur Übersendung der Kopien gegen eine Vorschusszahlung bereit. Der Kandidat reichte daraufhin Klage ein und begründete seinen  Anspruch auf Erhalt der Kopien nach Art. 15 Abs. 3 DSGVO i. V. m. Art. 12 Abs. 5 DSGVO. Das Gericht gab dem Kläger Recht und stellte fest, dass der gesamte Inhalt der Aufsichtsarbeiten des Klägers digital oder postalisch als Kopie unentgeltlich herauszugeben ist.

Entscheidung

Auch in der Berufungsinstanz wurde bestätigt, dass der Kläger einen Anspruch auf Zurverfügungstellung einer unentgeltlichen Datenkopie seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege habe.

Als Begründung führt das Gericht aus, dass sich dies aus der DSGVO, die vorliegend über die Regelungen im Landesdatenschutzgesetz NRW anwendbar sei, ergebe. Der damit aus Art. 15 Abs. 3 DSGVO folgende Anspruch auf Zurverfügungstellung einer Datenkopie umfasse eine unentgeltliche Kopie sämtlicher vom Landesjustizprüfungsamt verarbeiteter, den Kläger betreffender personenbezogener Daten, worunter auch die angefertigten Aufsichtsarbeiten einschließlich der Prüfergutachten fielen.

Das Recht aus Art. 15 Abs. 3 DSGVO unterliege keiner einschränkenden Auslegung auf bestimmte Daten oder Informationen. Weiter führt das Gericht aus, dass keine anderen  Gründe für einen Ausschluss des geltend gemachten Anspruchs vorlägen. Insbesondere seien keine Anhaltspunkte für ein rechtsmissbräuchliches Verhalten des Klägers zu erkennen. Auch lasse sich kein unverhältnismäßig großer Aufwand für das Landesjustizprüfungsamt feststellen.

Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision zum Bundesverwaltungsgericht zugelassen.

Es bleibt hier abzuwarten, wie das Bundesverwaltungsgericht entscheiden wird.

Fazit

Die vor allem von Arbeitgebern erhoffte Klärung haben die Entscheidungen leider nicht geschaffen. Das BAG hat seine Klageabweisung in erster Linie prozessrechtlich begründet: um zu einem vollstreckbaren Titel zu kommen, muss der Klagegegenstand konkret bestimmt sein. Dem Grunde nach umfasst der Anspruch auf Datenkopie nach Art. 15 Abs. 3 DSGVO aber offenbar auch nach Auffassung des BAG die gesamte E-Mail-Korrespondenz, soweit diese personenbezogene Daten des Klägers enthält (z. B. seinen Namen). Diese dem Grunde nach umfassende Herausgabepflicht von Dokumenten bestätigt die Entscheidung des OVG Münster.

Es bleibt zu hoffen, dass der Gesetzgeber das Auskunftsrecht aus Art. 15 DSGVO sinnvoll einschränkt.

Formularhandbuch Datenschutzrecht erscheint in neuer Auflage mit Beiträgen von Stephan Schmidt

Die neue Auflage des im Verlag C.H.BECK erscheinenden Formularhandbuch Datenschutzrecht von Koreng/ Lachenmann ist nun im gut sortierten Buchhandel erhältlich.

Wie bereits die bisherigen Auflagen bietet auch diese stark erweiterte Auflage des Handbuchs einen guten Überblick und zahlreiche Muster zu den komplexen und vielfältigen Themen des Datenschutzrechts. Neben vielen anderen ausgewiesenen Datenschutz-Experten hat sich an dieser Auflage auch erneut unser Mainzer Partner Stephan Schmidt beteiligt. Wie bereits in der Vorauflage, hat er zusammen mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink ein Vertragsmuster zur Auftragsverarbeitung beigesteuert. Neu in dieser Auflage sind zwei weitere Beiträge von Stephan Schmidt: eine Checkliste zu Aufgaben und Umfang des Vertreters nach Art. 27 DSGVO und ein Muster für einen Vertrag über die Benennung eines Vertreters nach Art. 27 DSGVO.

Die Neuauflage berücksichtigt die bisherigen Erfahrungen mit der DSGVO. Es wurden alle bisherigen Muster aktualisiert und neue Entscheidungen von Aufsichtsbehörden und Gerichten berücksichtigt. Die neue Auflage enthält darüber hinaus diverse neue Kapitel, z.B. zum Gesundheitsdatenschutz, anwaltlichem Berufsrecht und der Verwendung von Personenbildnissen. Die Unterstützung von KMU und Vereinen wurde zudem durch spezielle Muster vertieft. Der internationale Kontext wird durch die Sicht auf Österreich abgerundet.

Zum Werk gehört ein Zugang zur Online-Version bei Beck-Online. Bestellungen sind auch direkt beim Verlag möglich.

Die Datenschutzerklärung des Schiedsgerichts

In der aktuellen Ausgabe der Zeitschrift für Schiedsverfahren (SchiedsVZ) ist ein Beitrag unserer Partnerin Dr. Truiken Heydn mit dem Titel „Die Datenschutzerklärung des Schiedsgerichts“ erschienen (SchiedsVZ 2020, 242). Unsere Partnerin Dr. Truiken Heydn ist in internationalen und nationalen Schiedsverfahren als Schiedsrichterin tätig. Die DSGVO gilt nach allgemeiner Meinung auch in Schiedsverfahren. Der Beitrag enthält ein Muster einer Datenschutzerklärung eines Schiedsgerichts und soll Schiedsgerichten, die mit dem Datenschutzrecht weniger vertraut sind, eine Hilfestellung bieten, ein Schiedsverfahren datenschutzrechtskonform durchzuführen.

EuGH er­klärt mit Ur­teil in Sa­chen Schrems II den Pri­va­cy Shield Be­schluss für un­wirk­sam

1. Schrems II – Das Urteil

Mit Urteil vom 16.07.2020 (C-311/18) hat der EuGH über Vorlagefragen des Irischen High Courts in einem Rechtsstreit von Max Schrems gegen Facebook Ireland entschieden. Der EuGH erklärt das Privacy-Shield-Abkommen (genau genommen den entsprechenden Beschluss der EU-Kommission) zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam. Privacy-Shield stellt kein der DSGVO entsprechendes Datenschutzniveau sicher, da es insbesondere an einer wirksamen Durchsetzungsmöglichkeit für Betroffenenrechte in den USA fehlt.

Der EuGH äußert sich darüber hinaus auch zu den Standardvertragsklauseln (SCC), welche für die Übermittlung von Daten an Auftragsverarbeiter außerhalb der EU genutzt werden können und hält diese für grundsätzlich geeignet. Diese grundsätzliche Geeignetheit wird durch den EuGH allerdings dadurch eingeschränkt, dass die Parteien auch bei vereinbarten Standardvertragsklauseln sicherstellen müssen, dass wirksame Durchsetzungsmöglichkeiten für Betroffenenrechte bestehen. Dass dies insbesondere im Fall der USA und den dortigen Zugriffsrechten für Geheimdienste derzeit nicht der Fall ist, stellt der EuGH in seiner Urteilsbegründung ausdrücklich fest. Die Erwägungen dürften in dieser Form aber auch auf andere Staaten mit unzureichendem Schutz vor Zugriffen der nationalen Geheimdienste übertragbar sein. Der EuGH stellt zudem fest, dass es eine Aussetzungspflicht der Datenschutzbehörden gibt, wenn die Standardvertragsklauseln im Drittland nicht eingehalten werden oder nicht eingehalten werden können.

Damit ist derzeit offen, wie Datenübermittlungen in die USA unter der DSGVO rechtmäßig gestaltet werden können.

2. Keine Übergangsfrist für Privacy-Shield basierte Datentransfers

Wenn Unternehmen Datentransfers in die USA bisher allein auf eine Privacy Shield-Zertifizierung des amerikanischen Partners / Dienstleisters gestützt haben, sind diese Transfers ab sofort datenschutzrechtswidrig. Eine Übergangsfrist gibt es in diesem Zusammenhang nicht, da der EuGH den entsprechenden Kommissionsbeschluss zu Privacy Shield für unwirksam erklärt hat. Dies gilt sowohl für Übermittlungen an Dienstleister (Auftragsverarbeiter) als auch an Geschäftspartner und Gesellschaften innerhalb von Unternehmensgruppen oder Konzernen.

3. Reaktionen der Aufsichtsbehörden

Der EuGH macht in der Begründung seines Urteils deutlich, dass die zuständigen Aufsichtsbehörden verpflichtet sind, einen Datentransfer auch dann zu verbieten, wenn dieser auf Standardvertragsklauseln basiert, wenn diese im betroffenen Land nicht durchsetzbar sind.

Es ist daher wenig verwunderlich, dass beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit bereits fordert, dass Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln sollen (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf). Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat in einem Interview in der FAZ ausgeführt, dass die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen müssen, ob die Standardvertragsklauseln ausreichen (https://zeitung.faz.net/faz/politik/2020-07-20/22ea53d809ccc61cfe25da3e213e61e6/?GEPC=s3). Andere Aufsichtsbehörden haben angekündigt sich zunächst abstimmen zu wollen. Diese Abstimmungen sollen insbesondere auch mit anderen europäischen Datenschutzbehörden erfolgen.

Unternehmen sollten hier unbedingt weitere Hinweise und etwaige Handlungsempfehlungen der Aufsichtsbehörden beachten und diese entsprechend bewerten.

4. Was müssen Unternehmen nun beachten?

Unternehmen, die personenbezogenen Daten in Drittstaaten übertragen, haben nun akuten Handlungsbedarf:

a) Identifizierung von Privacy-Shield basierten Datenflüssen

Basierend auf ihrem Verarbeitungsverzeichnis sollten Unternehmen prüfen, ob derzeit Datenflüsse allein auf Privacy Shield gestützt werden, also ohne dass (zusätzlich) Standardvertragsklauseln genutzt wurden. Wenn solche Datenflüsse vorhanden sind, sollten diese umgehend auf Standardvertragsklauseln oder eine ausdrückliche Einwilligung der Betroffenen umgestellt werden. Zu prüfen sind in diesem Zusammenhang insbesondere auch Standard-Tracking-, Marketing- und Kollaborationsdienste. Es muss in diesem Zusammenhang auch geprüft werden, inwieweit Anpassungen in Datenschutzhinweisen für Webseitenbesucher, Kunden, Lieferanten oder Mitarbeiter notwendig sind.

b) Prüfung von Datenflüssen die auf Standardvertragsklauseln basieren

Datentransfers in die USA oder andere Drittstaaten unter Standardvertragsklauseln sind weiterhin möglich, die Unternehmen müssen hier aber prüfen, ob im betreffenden Drittland das vom Unionsrecht verlangte Schutzniveau eingehalten wird. Wenn dies nicht der Fall ist, muss geprüft werden, ob der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann. Dabei muss die Prüfung immer die im konkreten Fall zu übermittelnden Daten und den konkreten Empfänger berücksichtigen. Denkbar sind hier beispielsweise der Einsatz von Verschlüsselungstechniken, bei denen der Schlüssel im Besitz des in der EU ansässigen Verantwortlichen bleibt, der Dienstleister also faktisch keine Möglichkeit der Entschlüsselung hat und daher bei Zugriff von Sicherheitsbehörden auch nur verschlüsselte Daten herausgeben könnte. Das heißt, es muss sich um eine echte Ende-zu-Ende-Verschlüsselung handeln, Transportverschlüsselungen sind nicht ausreichend. Unternehmen mit Sitz in der EU sollten in Verhandlungen mit Partnern versuchen, möglichst konkrete Informations- und Handlungspflichten für den Fall von Anfragen von Sicherheitsbehörden zu vereinbaren. Was die Reihenfolge der Prüfungen angeht, empfiehlt es sich den Verträgen Priorität einzuräumen, bei denen die Vertragspartner einschlägigen nationalen Überwachungsgesetzen unterliegen.

Bei neu abzuschließenden Verträgen muss geprüft werden, ob die Standardvertragsklauseln in unveränderter Form ausreichend sind, oder ob zusätzliche Maßnahmen getroffen werden müssen. Dabei ist zu beachten, dass der Text der Standardvertragsklauseln nicht verändert werden darf.

Die vorstehenden Erwägungen gelten auch bei Übermittlungen auf Basis von behördlich genehmigten sog. Binding Corporate Rules (BCR).

c) Datenflüsse, bei denen das Unternehmen selbst Auftragsverarbeiter ist

Wenn die Datenübermittlung in die USA im Rahmen einer Unterbeauftragung stattfindet, ist zu beachten, dass der Verantwortliche selbst und unmittelbar die Standardvertragsklauseln mit dem entsprechenden Unterauftragsverarbeiter in den USA abschließen muss. Viele Anbieter sind auf diese Anforderung bisher nicht eingestellt und es muss geprüft werden, wie diese Anforderung umgesetzt werden kann.

d) Einwilligung des Betroffenen

Ein Datentransfer in ein Drittland kann, wenn der Dienstleister keine Garantie für ein angemessenes Datenschutzniveau bietet, auch auf eine Einwilligung des Betroffenen gestützt werden. An die Einwilligung sind jedoch – nicht erst seit der BGH-Entscheidung zu Cookie Bannern – hohe Anforderungen zu stellen. So muss diese ausdrücklich erfolgen und der Verantwortliche muss über alle Risiken der Datenübermittlung informieren, also auch darüber, welches Risiko für seine Rechte und Freiheiten und welche Einschränkungen des Rechtsschutzes gegenüber der DSGVO und dem europäischen Recht bestehen. Dies muss aufgrund der Transparenz-Anforderungen sorgfältig umgesetzt werden.  

e) Nicht betroffene Datenflüsse

Datenübermittlungen auf Basis von Art. 49 DSGVO, zum Beispiel wenn diese zur Erfüllung eines Vertrages (oder Durchführung vorvertraglicher Maßnahmen) mit dem Betroffenen erforderlich sind und die weiteren Anforderungen der DSGVO erfüllt werden, bleiben zulässig. Dies umfasst zum Beispiel die Abwicklung von Aufträgen von Kunden oder Lieferanten mit Sitz in den USA, die Versendung von E-Mails in die USA oder die Buchungen bei amerikanischen Hotels. Das gleiche gilt für die Übermittlung von Mitarbeiterdaten im Konzern, soweit dies erforderlich ist und der internationale Bezug des Arbeitsverhältnisses bei Abschluss des Arbeitsvertrags bekannt war.

Für weitere Informationen und Rückfragen stehen wir gerne zur Verfügung.

Land­ge­richt Frank­furt – Re­ge­lun­gen des KUG über Art.85 DS­GVO wei­ter­hin an­wend­bar

Mit Urteil vom 26.09.2019 (Az.2-03 O 402/18) hat das LG Frankfurt a.M. über die Verbreitung eines Bildnisses entschieden, die ohne Einwilligung nach den Grundsätzen der §§ 22, 23 Kunsturhebergesetz (KUG) erfolgte. Diese seien trotz Geltung der Datenschutzgrundverordnung (DSGVO) weiterhin (direkt) anwendbar.

I. KUG über Art.85 DSGVO weiter anwendbar

Die Verbreitung des Bildes einer Person ist nur zulässig, wenn die abgebildete Person hierzu eingewilligt hat. Dieses Recht am eigenen Bild ist seit jeher durch die §§ 22, 23 KUG geregelt. Die Rechtsprechung hat sich im Jahr 2018 noch zurückhaltend gezeigt, was die Anwendung des KUG neben der DSGVO betrifft, insbesondere dann, wenn eine Prüfung nach der DSGVO zu demselben Ergebnis kommt, wie nach dem KUG.

Das OLG Köln hat mit Urteil vom 18.06.2018 – 15 W 27/18 klargestellt, dass das KUG im journalistischen Bereich weiterhin vorrangig anwendbar ist. Dies Rechtsprechung führt das OLG mit Zurückweisungsbeschluss vom 08.10.2018 – 15 U 110/18 konsequent fort. Das LG Frankfurt hat im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO bisher die Grundsätze des KUG zumindest herangezogen (vgl. Urteil vom 13.09.2018 – 2-03 O 283/18), musste aber über die direkte Anwendung damals noch nicht entscheiden.

In der Folge seiner Rechtsprechung aus 2018 hat dieselbe Kammer des Landgericht Frankfurt a.M. nun mit Urteil vom 26.09.2019 – 2-03 O 402/18 entschieden, dass die Grundsätze der §§ 22, 23 KUG mit Blick auf Art. 6 Abs. 1 lit. f), 85 Abs. 2 DSGVO weiter anwendbar sind. Konkret führt das Landgericht aus:

„(…) Bei der dargestellten Abwägung hat die Kammer ferner berücksichtigt, dass seit dem 25.05.2018 die DSGVO Geltung erlangt hat. Insoweit wendet die Kammer jedoch unter Berücksichtigung von Art. 85 Abs. 2 DSGVO die §§ 22 f. KUG und die hierzu in der Rechtsprechung ergangenen Grundsätze mit Blick auf Art. 6 Abs. 1 lit. f) DSGVO an (LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 2018, 587; so wohl auch OLG Köln, Urt. v. 28.03.2019 – 15 U 155/18, BeckRS 2019, 13613 Rn. 26; vgl. auch LG Frankfurt a.M., Urt. v. 27.09.2018 – 2-03 O 320/17; Sydow/Specht, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 13 ff.; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060). (…)“

In dieser Konsequenz wurde ein Unterlassungsanspruch wegen des Verbreitens eines Bildnisses auf die §§ 823, 1004 BGB i.V.m. §§ 22 f. KUG, Art. 85 DSGVO gestützt. Bemerkenswert daran ist, dass das Landgericht Frankfurt das KUG wohl nun auch für die Verbreitung im gewerblichen Bereich über Art. 85 DSGVO als anwendbar betrachtet.

Es handelt sich bei Art. 85 Abs.2 DSGVO um eine sog. Öffnungsklausel für den jeweiligen Gesetzgeber des Mitgliedsstaates der Europäischen Union. Diese erlaubt, dass die Mitgliedsstaaten Abweichungen oder Ausnahmen von bestimmten Kapiteln der DSGVO vorsehen können. Als solche Ausnahmeregelung gelten nach Ansicht des LG Frankfurt die §§ 22, 23 KUG.

II. Ausblick und Bedeutung

In der Fachliteratur ist die Anwendung des KUG über Art. 85 DSGVO nicht unumstritten. Dies wird nicht zuletzt damit begründet, dass das KUG bereits vor Inkrafttreten der DSGVO galt. So oder so wird man aber zumindest auf die Grundsätze des KUG abstellen können, sei es in einer direkten Anwendung des KUG oder im Wege der Prüfung nach Art. 6 Abs. 1 lit f) DSGVO.

Offen bleibt weiterhin die spannende Frage, ob hinsichtlich des Widerrufs das freiwillige Widerrufsrecht aus der DSGVO gilt oder die sich aus dem KUG ergebenden Widerrufsregeln Anwendung finden, nach denen ein Widerruf nur mit wichtigem Grund möglich ist.

Land­ge­richt Frank­furt – Re­ge­lun­gen des KUG über Art.85 DS­GVO wei­ter­hin an­wend­bar

Mit Urteil vom 26.09.2019 (Az.2-03 O 402/18) hat das LG Frankfurt a.M. über die Verbreitung eines Bildnisses entschieden, die ohne Einwilligung nach den Grundsätzen der §§ 22, 23 Kunsturhebergesetz (KUG) erfolgte. Diese seien trotz Geltung der Datenschutzgrundverordnung (DSGVO) weiterhin (direkt) anwendbar.

I. KUG über Art.85 DSGVO weiter anwendbar

Die Verbreitung des Bildes einer Person ist nur zulässig, wenn die abgebildete Person hierzu eingewilligt hat. Dieses Recht am eigenen Bild ist seit jeher durch die §§ 22, 23 KUG geregelt. Die Rechtsprechung hat sich im Jahr 2018 noch zurückhaltend gezeigt, was die Anwendung des KUG neben der DSGVO betrifft, insbesondere dann, wenn eine Prüfung nach der DSGVO zu demselben Ergebnis kommt, wie nach dem KUG.

Das OLG Köln hat mit Urteil vom 18.06.2018 – 15 W 27/18 klargestellt, dass das KUG im journalistischen Bereich weiterhin vorrangig anwendbar ist. Dies Rechtsprechung führt das OLG mit Zurückweisungsbeschluss vom 08.10.2018 – 15 U 110/18 konsequent fort. Das LG Frankfurt hat im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO bisher die Grundsätze des KUG zumindest herangezogen (vgl. Urteil vom 13.09.2018 – 2-03 O 283/18), musste aber über die direkte Anwendung damals noch nicht entscheiden.

In der Folge seiner Rechtsprechung aus 2018 hat dieselbe Kammer des Landgericht Frankfurt a.M. nun mit Urteil vom 26.09.2019 – 2-03 O 402/18 entschieden, dass die Grundsätze der §§ 22, 23 KUG mit Blick auf Art. 6 Abs. 1 lit. f), 85 Abs. 2 DSGVO weiter anwendbar sind. Konkret führt das Landgericht aus:

„(…) Bei der dargestellten Abwägung hat die Kammer ferner berücksichtigt, dass seit dem 25.05.2018 die DSGVO Geltung erlangt hat. Insoweit wendet die Kammer jedoch unter Berücksichtigung von Art. 85 Abs. 2 DSGVO die §§ 22 f. KUG und die hierzu in der Rechtsprechung ergangenen Grundsätze mit Blick auf Art. 6 Abs. 1 lit. f) DSGVO an (LG Frankfurt a.M., Urt. v. 13.09.2018 – 2-03 O 283/18, ZD 2018, 2018, 587; so wohl auch OLG Köln, Urt. v. 28.03.2019 – 15 U 155/18, BeckRS 2019, 13613 Rn. 26; vgl. auch LG Frankfurt a.M., Urt. v. 27.09.2018 – 2-03 O 320/17; Sydow/Specht, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 13 ff.; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060). (…)“

In dieser Konsequenz wurde ein Unterlassungsanspruch wegen des Verbreitens eines Bildnisses auf die §§ 823, 1004 BGB i.V.m. §§ 22 f. KUG, Art. 85 DSGVO gestützt. Bemerkenswert daran ist, dass das Landgericht Frankfurt das KUG wohl nun auch für die Verbreitung im gewerblichen Bereich über Art. 85 DSGVO als anwendbar betrachtet.

Es handelt sich bei Art. 85 Abs.2 DSGVO um eine sog. Öffnungsklausel für den jeweiligen Gesetzgeber des Mitgliedsstaates der Europäischen Union. Diese erlaubt, dass die Mitgliedsstaaten Abweichungen oder Ausnahmen von bestimmten Kapiteln der DSGVO vorsehen können. Als solche Ausnahmeregelung gelten nach Ansicht des LG Frankfurt die §§ 22, 23 KUG.

II. Ausblick und Bedeutung

In der Fachliteratur ist die Anwendung des KUG über Art. 85 DSGVO nicht unumstritten. Dies wird nicht zuletzt damit begründet, dass das KUG bereits vor Inkrafttreten der DSGVO galt. So oder so wird man aber zumindest auf die Grundsätze des KUG abstellen können, sei es in einer direkten Anwendung des KUG oder im Wege der Prüfung nach Art. 6 Abs. 1 lit f) DSGVO.

Offen bleibt weiterhin die spannende Frage, ob hinsichtlich des Widerrufs das freiwillige Widerrufsrecht aus der DSGVO gilt oder die sich aus dem KUG ergebenden Widerrufsregeln Anwendung finden, nach denen ein Widerruf nur mit wichtigem Grund möglich ist.

Bei­trag von Rechts­an­walt Ste­phan Breck­hei­mer im Ex­per­ten­fo­rum Ar­beits­recht

Mit Beitrag vom 05.12.2018 hat Rechtsanwalt Stephan Breckheimer im Expertenforum Arbeitsrecht (#EFAR) sich damit auseinandergesetzt, welche Anforderungen seit Geltung der DS-GVO in Bezug auf Mitarbeiterfotos zu beachten sind. Er stellt die bisherige Rechtslage der neueren im Lichte des Rechts am eigenen Bild gegenüber, gibt Stellungnahmen verschiedener Datenschutzbeauftragter der Bundesländer wieder und resümiert erste Urteile im Zusammenhang mit Fotos und DS-GVO. Schließlich werden grobe Handlungsempfehlungen mitgeteilt, wie mit Mitarbeiterfotos auf betrieblichen Weihnachtsfeiern umgegangen werden sollte.

Der Beitrag ist hier abrufbar.