Der „Dauerbrenner“ Microsoft 365 beschäftigt nach wie vor die Datenschutz-Aufsichtsbehörden. Nun hat sich der Europäische Datenschutzbeauftragte (EDPS) zu Wort gemeldet, der als unabhängige Aufsichtsbehörde für die Organe und Einrichtungen der EU zuständig ist.
Mit einer Entscheidung vom 11. März 2024 (https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en) hat der EDPS der EU-Kommission angewiesen, bis zum 9. Dezember 2024
- alle Datenflüsse, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben und die nicht unter einen Angemessenheitsbeschluss fallen, auszusetzen und
- die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.
Die Entscheidung des EDPS stellt nicht auf die DSGVO, sondern auf die Verordnung 2018/1725 ab. Dabei handelt es sich um das Datenschutzrecht für Organe und Einrichtungen der EU. Die Verordnung entspricht jedoch inhaltlich weitgehend der DSGVO.
Nach der Meinung des EDPS hat die Kommission nicht ausreichend geprüft und vereinbart, welche personenbezogenen Daten von Microsoft zu welchen Zwecken verarbeitet und an Subunternehmer übermittelt werden.
Der Kommission wurde insbesondere aufgegeben,
- ein „Transfer-Mapping“ durchzuführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien erfolgen. Dies soll auch Weiterübermittlung (onward transfers) beinhalten, d.h. die gesamte, von Microsoft eingesetzte Subunternehmer-Kette:
„appraise […] what personal data will be transferred to which recipients in which third countries and for which purposes, thereby […] obtaining the minimum information necessary to determine whether any supplementary measures are required to ensure the essentially equivalent level of protection […]”
Die Datenübermittlung an Subunternehmer in Drittländer ohne angemessenes Schutzniveau ist zu unterlassen.
- ausdrücklich festzulegen, welche Daten zu welchen Zwecken von Microsoft verarbeitet werden und dabei den Zweckbindungsgrundsatz zu berücksichtigen:
„sufficiently determine the types of personal data collected under the […] agreement concluded with Microsoft […] in relation to each of the purposes of the processing so as to allow those purposes to be specified and explicit; ensure that the purposes for which Microsoft is permitted to collect personal data [….] are specified and explicit; provide sufficiently clear documented instructions for the processing […]”.
Es muss transparent geregelt werden, welche Daten zu welchen Zwecken vereinbart werden. Diese Verarbeitungen müssen natürlich rechtmäßig sein. Insbesondere soll durch klare und detaillierte Regelungen sichergestellt werden, dass die Daten von Microsoft wirklich nur im Auftrag der Kommission genutzt werden.
Die Kritikpunkte des EDPS entsprechen dabei zum Teil der Kritik der deutschen Aufsichtsbehörden, die zuletzt in der „Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung“ vom 2.11.2022 veröffentlicht wurde (https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf). Es bleibt abzuwarten, welche praktischen Konsequenzen die Entscheidung des EDPS für deutsche Unternehmen haben wird und ob die deutschen Aufsichtsbehörden die Entscheidung zum Anlass nehmen werden, ihre eigene Prüfungspraxis zu verschärfen.
Haftung für Fahrlässigkeit und Auftragsverarbeiter
Der Europäische Gerichtshof (EuGH) hat am 5. Dezember 2023 in zwei Urteilen Fragen im Zusammenhang mit der Verhängung von Bußgeldern gegen Unternehmen bei Verstößen gegen die DSGVO geklärt.
Einführung
Nach Art. 83 DSGVO können u.a. gegen Verantwortliche und Auftragsverarbeiter Geldbußen festgesetzt werden, wenn diese bestimmte Pflichten nach der DSGVO verletzen. Verantwortliche und Auftragsverarbeiter können natürliche oder juristische Personen sein (Art. 4 Nr. 7, Nr. 8 DSGVO).
Diese Bestimmungen kollidieren mit dem deutschen Rechtssystem, nach welchem nur natürliche Personen Straftaten oder Ordnungswidrigkeiten begehen können. Eine Strafe im Sinne des Strafgesetzbuchs, also eine Geldstrafe oder Freiheitsstrafe, kann nur gegen eine natürliche Person verhängt werden. Die Festsetzung einer Geldbuße gegen eine juristische Person, also beispielsweise eine GmbH oder Aktiengesellschaft, ist zwar möglich. Das setzt aber gemäß § 30 Abs. 1 OWiG voraus, dass eine natürliche Person in ihrer Eigenschaft als organschaftlicher Vertreter oder sonst in leitender Stellung eine Straftat oder Ordnungswidrigkeit begangen und dadurch Pflichten der juristischen Person verletzt hat. Daraus folgt im Umkehrschluss, dass eine Geldbuße unzulässig ist, wenn ein Mitarbeiter, der nicht in leitender Stellung tätig ist, eine Verpflichtung der juristischen Person verletzt hat.
Die Verhängung einer Geldbuße setzt nach deutschem Recht immer eine schuldhafte Begehung voraus, also dass die handelnde Person vorsätzlich oder fahrlässig gehandelt hat. Nach deutschem Recht ist die Ahndung fahrlässiger Handlungen nur möglich, wenn das Gesetz dies ausdrücklich bestimmt (§ 10 OWiG).
Sachverhalt
Dem ersten Fall lag eine Auseinandersetzung zwischen der Deutsche Wohnen SE, einem der größten deutschen Wohnungsunternehmen, und der Staatsanwaltschaft Berlin zugrunde. Die Berliner Datenschutz-Aufsichtsbehörde hatte gegen die Deutsche Wohnen SE wegen der Speicherung von personenbezogenen Daten von Mietern in einem elektronischen Archivsystem mehrere Geldbußen festgesetzt. Die Behörde beanstandete, dass nicht nachvollzogen werden konnte, ob die Speicherung erforderlich ist und ob die Löschung nicht mehr erforderlicher Daten gewährleistet ist.
Auf Einspruch der Deutsche Wohnen SE stellte das Landgericht Berlin das Verfahren ein, weil der Bußgeldbescheid unter so gravierenden Mängeln leide, dass er nicht als Grundlage für die Festsetzung einer Geldbuße dienen könne. Der schuldhafte Verstoß eines organschaftlichen Vertreters oder sonst in leitender Stellung tätigen Mitarbeiters sei nicht festgestellt.
Fragen an den EuGH
Auf sofortige Beschwerde der Staatsanwaltschaft Berlin legte das Kammergericht Berlin den Fall dem EuGH vor und fragte, ob nach Art. 83 DSGVO die Möglichkeit bestehen muss, eine Geldbuße gegen eine juristische Person zu verhängen, ohne dass der Verstoß gegen die DSGVO zuvor einer identifizierten natürlichen Person zugerechnet wird. Wenn das der Fall ist, fragte das Kammergericht, welche Kriterien für die Verantwortlichkeit eines Unternehmens für einen Verstoß gegen die DSGVO heranzuziehen sind. Insbesondere wollte das Kamemrgericht wissen, ob eine Geldbuße gegen eine juristische Person verhängt werden kann, ohne dass nachgewiesen werden kann, ob der ihr zuzurechnende Verstoß gegen die DSGVO schuldhaft begangen wurde.
Entscheidung
Keine Zurechnung zu einer natürlichen Person
Der EuGH entschied, dass die Bestimmungen der DSGVO einer nationalen Regelung wie in § 30 OWiG entgegenstehen, mithin also die Festsetzung einer Geldbuße nach der DSGVO nicht davon abhängig gemacht werden darf, dass der Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde (Urteil vom 5. Dezember 2023, Rechtssache C-807/21, Deutsche Wohnen SE ./. Staatsanwaltschaft Berlin).
Schuld der juristischen Person erforderlich
Der EuGH entschied des Weiteren, dass Art. 83 DSGVO die Verhängung einer Geldbuße nicht gestattet, ohne dass nachgewiesen ist, dass der Verstoß „von dem Verantwortlichen“ vorsätzlich oder fahrlässig begangen wurde, weil sich aus Art. 83 Abs. 2 Satz 2 b) und Abs. 3 DSGVO ergibt, dass die Verhängung einer Geldbuße vorsätzliches oder fahrlässiges Handeln voraussetzt (Urteil vom 5. Dezember 2023, Rechtssache C-807/21, Deutsche Wohnen SE ./. Staatsanwaltschaft Berlin).
Haftung für Auftragsverarbeiter
In einer zweiten Entscheidung vom selben Tag (Urteil vom 5. Dezember 2023, Rechtssache C-681/21, Nacionalinis visuomenes sveikatos centras prie Sveikatos apsaugos ministerijos ./. Valstybine duomenq apsaugos inspekcija) bestätigte der EuGH die Erforderlichkeit vorsätzlichen oder fahrlässigen Handelns.
Er entschied des Weiteren, dass eine Geldbuße gegen den Verantwortlichen auch dann verhängt werden kann, wenn nicht der Verantwortliche selbst die betreffenden Verarbeitungsvorgänge vornimmt, sondern in seinem Namen ein Auftragsverarbeiter, es sei denn, der Auftragsverarbeiter hat Verarbeitungen vorgenommen
- für eigene Zwecke oder
- auf eine Weise, die nicht mit dem vom Verantwortlichen festgelegten Rahmen vereinbar ist, oder
- auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.
Bewertung
Die Vorstellung, dass nicht nur eine natürliche Person, sondern auch eine juristische Person als solche schuldhaft handeln kann, widerspricht der der deutschen Rechtsdogmatik. Wie die Schuld einer juristischen Person konkret festzustellen ist, erläutert der EuGH nicht.
In Fällen, in denen es möglich ist, den Verstoß einer zuvor identifizierten Person zuzurechnen, würde es naheliegen, auf die Schuld dieser Person abzustellen. Allerdings sind durchaus Fälle denkbar, in denen zwar die konkrete Person nicht schuldhaft gehandelt hat, etwa weil ihr ein bestimmtes Wissen fehlte, die juristische Person als solche hingegen schon, etwa weil sie sich das Wissen sämtlicher Mitarbeiter zurechnen lassen muss.
Für Deutschland von besonderer Bedeutung ist, dass § 10 OWiG bei Verstößen gegen die DSGVO schlichtweg nicht gilt. Vielmehr kann fahrlässiges Handeln immer mit einer Geldbuße geahndet werden, auch wenn die betreffende Vorschrift der DSGVO dies nicht explizit regelt.
Bemerkenswert ist schließlich die durch den EuGH etablierte Haftung für Verstöße von Auftragsverarbeitern.
Fazit
Zur Vermeidung von Bußgeldern sollten Unternehmen dringend stringente Vorkehrungen gegen mögliche DSGVO-Verstöße treffen.
Wie ein fahrlässiges Handeln eines Unternehmens konkret nachzuweisen ist, ist zwar auch durch die jüngsten Entscheidungen des EuGH nicht geklärt worden.
Unternehmen, die nicht über ein detailliertes Datenschutzkonzept verfügen und nicht nachweisen können, dass dieses nicht nur als zahnloser Papiertiger in einer Schublade liegt, sondern im täglichen Geschäft beachtet wird und in entsprechenden Workflows (z.B. regelmäßige Löschungen nicht mehr benötigter personenbezogener Daten) umgesetzt wurde, müssen damit rechnen, dass der Fahrlässigkeitsvorwurf erfolgreich erhoben wird.
Vor kurzem hat sich das Landgericht Berlin in einem interessanten Urteil mit der Do-Not-Track-Funktion beschäftigt. Do-Not-Track ist eine Technologie, die es bereits seit 2009 gibt und die einen ähnlichen Zweck verfolgte wie die allseits beliebten Cookie-Banner – sie soll es nämlich ermöglichen, der Verarbeitung von personenbezogenen Daten beim Surfen im Internet automatisiert zu widersprechen. „Do-Not-Track“ ist im Grunde nur eine Einstellung im Browser. Ist das Feature aktiviert, sendet der Browser beim Abruf von Seiten das „Do-Not-Track“-Signal, mit dem man so Websites mitteilen kann, dass man nicht „verfolgt“ werden will, während man im Internet surft. Die Berücksichtigung dieses Signals durch die Website-Betreiber erfolgte bisher nur selten – sie war nämlich nicht rechtsverbindlich.
Urteil des Landgerichts Berlin
Nach dem kürzlich ergangenen Urteil des LG Berlin (Urteil vom 24.08.2023 – 16 O 420/19) wird sich die Herangehensweise an die Einbeziehung der Do-Not-Track-Funktion voraussichtlich ändern müssen.
Das Gericht entschied, dass die Verwendung dieser Technologie einen wirksamen Widerspruch gegen die Verarbeitung personenbezogener Daten (wie z. B. auch der IP-Adresse) darstellt und daher beachtet und respektiert werden sollte.
Anlass für die Entscheidung des Gerichts waren Aussagen von LinkedIn, die Do-Not-Track-Einstellung nicht für einen wirksamen Widerspruch zu halten und zu ignorieren. Gegen diese Äußerungen hat die Verbraucherzentrale Bundesverband (vzbv) geklagt.
Do-Not-Track als ein Widerspruch gegen Verarbeitung der persönlichen Daten?
Aus datenschutzrechtlicher Sicht ist für das Tracking – insbesondere unter Verwendung von Cookies – gem. § 25 TTDSG i.d.R. eine Einwilligung erforderlich. Darüber hinaus kommen als Rechtsgrundlagen eine datenschutzrechtliche Einwilligung gem. Art. 6 Abs. 1a DSGVO und das berechtigte Interesse gem. Art. 6 Abs. 1f DSGVO in Betracht.
Wird keine Einwilligung erteilt oder diese widerrufen, ist die Datenverarbeitung i. d. R. rechtswidrig.
Durch die Einstellung „Do-Not-Track“ im Browser wird der Datenverarbeitung widersprochen (auch bevor man durch das Cookie-Banner dazu aufgefordert wird). Dies könnte gleichzeitig einen Widerspruch in möglicherweise schon erteilte Einwilligungen darstellen oder eine Willensäußerung, dass keine Einwilligung abgegeben werden soll.
Das LG Berlin stellt in seiner Entscheidung aber nicht auf den Zusammenhang zwischen Do-Not-Track und Einwilligungen ab, sondern ausschließlich auf einen Widerspruch nach Art. 21 Abs. 1 und 2 DSGVO. Das erstaunt etwas, da es im Zusammenhang mit Tracking in erster Linie auf die Einwilligung nach § 25 TTDSG ankommt.
Die Konsequenzen dieser gerichtlichen Entscheidung?
Das Urteil könnte Auswirkungen auf die derzeitige Funktionsweise von Cookie-Bannern haben. Folgt man der strengen Auffassung des LG Berlin, wären demnach Cookie-Banner nicht notwendig, wenn „Do-Not-Track“ aktiviert ist: der Nutzer bringt damit seinen „Widerspruch“ gegen Tracking-Maßnahmen und seine fehlende Einwilligungsbereitschaft zum Ausdruck. Andererseits ist es auch denkbar, dass Websites trotz Aktivierung von „Do-Not-Track“ erneut über das Cookie-Banner nachfragen, ob wirklich kein Tracking erfolgen soll und keine Cookies verwendet werden dürfen – es ist auf den ersten Blick nicht ersichtlich, warum eine solche Praxis unzulässig sein sollte.
Es ist gleichwohl denkbar, dass Cookie-Banner in naher Zukunft angepasst werden. Dies ist mit einem größeren technischen Aufwand verbunden. Fraglich ist auch, ob sich die „Do-Not-Track“-Einstellung bzw. „Willenserklärung“ nur auf Funktionen und Cookies bezieht, die im engeren Sinne zu Tracking-Zwecken verwendet werden – oder auch auf Cookies, die für erweiterte Funktionalitäten verwendet werden, wie z. B. bei der Einbettung von YouTube-Videos oder Google Maps. Es bleibt abzuwarten, ob die Linie des LG Berlin in Zukunft durch weitere Gerichtsentscheidungen konkretisiert wird.
Das Landesarbeitsgericht Baden-Württemberg hatte kürzlich darüber zu entscheiden, ob einem Arbeitnehmer ein datenschutzrechtlicher Schadensersatzanspruch zusteht, wenn die Arbeitgeberin Foto- und Filmaufnahmen, auf denen der Arbeitnehmer zu sehen ist, nach dessen Ausscheiden aus dem Unternehmen zu Werbezwecken weiterverwendet.
Unzulässige Bildernutzung nach Vertragsende
Das Gericht entschied in diesem Fall, dass die Arbeitgeberin durch die unrechtmäßige Weiterverwendung der Foto- und Filmaufnahmen über das Arbeitsvertragsende hinaus, ein „das Persönlichkeitsrecht des Arbeitnehmers erheblich verletzendes Verhalten an den Tag gelegt habe“ und dem Arbeitnehmer daher ein Schadensersatzanspruch in Höhe von 10.000 € zustehe (LAG Baden-Württemberg, Urteil vom 27. Juli 2023, Az. 3 Sa 33/22).
Arbeitgeber stellen sich nun zu Recht die Frage, wie sie sich in einem solchen Fall vor möglichen Schadenersatzansprüchen ehemaliger Arbeitnehmer schützen können.
Rechtsgrundlage für die Nutzung von Mitarbeiterfotos
Um diese Frage beantworten zu können, ist zunächst zu beleuchten, auf welcher Rechtsgrundlage die Nutzung der Mitarbeiterfotos und -videos erfolgt. Denn bekanntlich handelt es sich bei Fotos und Videos, auf denen Personen erkennbar abgebildet sind, um personenbezogene Daten im Sinne der DSGVO. Daraus folgt, dass diese nur verarbeitet, also genutzt werden dürfen, wenn dies auf der Grundlage eines in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestandes erfolgt.
Als Erlaubnistatbestände kommen in der genannten Konstellation die Einwilligung (lit. a), eine vertragliche Vereinbarung (lit. b) oder das Vorliegen eines berechtigten Interesses (lit. f) in Betracht.
Einwilligung der Mitarbeiter
Geht man die einzelnen Erlaubnistatbestände durch, stellt man fest, dass sich bei der Einwilligung (lit. a) gleich zwei Probleme stellen. Zum einen bezüglich der Freiwilligkeit und zum anderen im Zusammenhang mit der Widerruflichkeit der Einwilligung.
Aufgrund des Abhängigkeitsverhältnisses des Arbeitnehmers vom Arbeitgeber kann dieser seine Einwilligung in der Regel nicht freiwillig erteilen. Selbst wenn er sie ausnahmsweise freiwillig erteilen könnte, führt das Recht, sie jederzeit frei widerrufen zu können, dazu, dass die Position des Arbeitgebers keineswegs gesichert ist.
Widerruft der Arbeitnehmer die einmal erteilte Einwilligung, kann sich der Arbeitgeber für die Zukunft nicht mehr auf diesen Erlaubnistatbestand berufen.
Konkret bedeutet dies: Hat der Arbeitnehmer während seines Arbeitsverhältnisses in die Verwendung von Foto- und Filmaufnahmen zu Werbezwecken eingewilligt, so gilt diese Einwilligung nur so lange, sie nicht widerrufen wird.
Berechtigte Interessen des Arbeitgebers?
Denkbar wäre nun, in einem solchen Fall den Auffangtatbestand (lit. f) heranzuziehen und ein berechtigtes Interesse des Arbeitgebers an der Weiterverwendung der Aufnahmen zu bejahen.
Allerdings wird es schwerlich möglich sein, die wirtschaftlichen Interessen des Arbeitgebers an der Weiterverwendung von Werbematerialien gegen das Persönlichkeitsrecht des Arbeitnehmers zu Gunsten des Arbeitgebers abzuwägen.
Allein der Umstand, dass der Arbeitnehmer z.B. inzwischen für einen Konkurrenten des Arbeitgebers tätig ist (so im Fall des LAG Baden-Württemberg), muss letztlich zum Überwiegen der Interessen des Arbeitnehmers führen.
Insgesamt ist Arbeitgebern eher davon abzuraten, sich in solchen Fällen auf ein berechtigtes Interesse zu berufen, da dieser Erlaubnistatbestand tatsächlich nicht geeignet ist, als Regel für eine Vielzahl von Fällen zu gelten. Vielmehr bedarf es stets einer Abwägung der widerstreitenden Interessen im Einzelfall.
Praxistipp: Vertragliche Vereinbarung
Zu raten ist Arbeitgebern daher, in solchen Fällen eine vertragliche Vereinbarung (lit. b) mit dem jeweiligen Arbeitnehmer über die Anfertigung und Nutzung von Foto- und Filmaufnahmen zu Werbezwecken zu treffen.
In dieser Vereinbarung kann sowohl die Verwendung der Aufnahmen als auch deren Nutzung über die Beendigung des Arbeitsverhältnisses hinaus DSGVO-konform geregelt werden. Zu beachten ist jedoch, dass die Vereinbarung für den Arbeitnehmer vorteilhaft sein muss.
Das heißt, sie darf sich nicht darauf beschränken, dem Arbeitgeber Nutzungsrechte an den Aufnahmen einzuräumen, ohne dass der Arbeitnehmer dafür eine angemessene Gegenleistung erhält. Denn ist dies der Fall, stellt sich im Grunde das gleiche Problem wie bei der Freiwilligkeit der Einwilligung, was die vertragliche Vereinbarung letztlich angreifbar machen würde.
Sie haben Fragen zu diesem Thema oder zu datenschutzrechtlichen Themen im Allgemeinen? Benötigen Sie Unterstützung bei der Umsetzung datenschutzrechtlicher Maßnahmen? Wir unterstützen Sie gern. Sprechen Sie uns an.
In letzter Zeit werden vermehrt Ansprüche auf Schadensersatz wegen der Verletzung von Regelungen der DSGVO geltend gemacht. Schon seit Inkrafttreten der DSGVO gab es Befürchtungen, dass es zu „Klagewellen“ bzw. der massenhaften Geltendmachung von Schadensersatzansprüchen schon aufgrund geringfügiger DSGVO-Verstöße kommen würde.
Dazu gab es in letzter Zeit einige interessante Gerichtsentscheidungen:
- Der EuGH hat in seinem Urteil „Österreichische Post“ vom 4.5.2023 (Az. C-300/21) zwar einerseits ausgeführt, dass es für immaterielle Schadensersatzansprüche Betroffener nach der DSGVO keine Erheblichkeitsschwelle gibt. Andererseits ist ein solcher immaterieller Schaden erforderlich. Der bloße Verstoß gegen die DSGVO begründet noch keinen Schadensersatzanspruch. In dem der Entscheidung zugrundeliegenden Sachverhalt hatte die Österreichische Post Daten von Kunden und deren politische Einstellung analysiert. Auf der Grundlage der Analyse hat sie den Betroffenen Mailings, d.h eine einmalige Werbesendung, entsprechend ihren politischen Präferenzen zugesandt – ohne jedoch ihre Daten an Dritte weiterzugeben. Darin liegt zwar eine Verletzung der DSGVO – es konnte jedoch nicht festgestellt werden, dass den Empfängern des Mailings dadurch in irgendeiner Weise ein Schaden erstanden ist.
- In einer Entscheidung des OLG Hamm vom 15.08.2023 (AZ: 7 U 19/23), ging es um das Ausleiten von Facebook–Daten im Wege des „Scraping“. Dritte konnten u.a. Namen und Telefonnummern über Suchfunktionen bei Facebook auslesen. Das Facebook dies nicht mit geeigneten Maßnahmen verhindert hat, begründet nach Auffassung des Gerichts einen Verstoß gegen Art. 32, 24 DSGVO. Schadensersatz hat das Gericht der Klägerin jedoch nicht zugesprochen. Ein immaterieller Schaden entsteht nicht durch einen bloßen Verstoß gegen Vorschriften des DSVGO, sondern nur dann, wenn eine persönliche oder psychische Beeinträchtigung vorliegt. Ein pauschal behaupteter „völliger Kontrollverlust“ stellt zwar ein generelles Risiko dar, aber noch keinen konkreten Schaden.
- In diese Linie der Rechtsprechung fügt sich auch eine Entscheidung des Landgerichts Berlin (07.06.2023 – 26 O 240/22) ein. Auch hier ging es um ein Daten-Scraping bei Facebook. Zum behaupteten „Kontrollverlust“ führt das LG Berlin aus, dass ein Verstoß gegen die DSGVO immer einen Kontrollverlust desjenigen bedeutet, der seine Daten dem Datenverarbeiter anvertraut hat. Deshalb könne nicht gleichzeitig der Kontrollverlust für sich genommen ein Schaden sein. Bloßer Ärger und Zorn stellt noch keinen Schaden dar. Nicht jede im Grunde nicht spürbare Beeinträchtigung oder individuell empfundene Unannehmlichkeit reicht mithin aus, sondern es sind ein messbarer Nachteil und eine objektiv nachvollziehbare tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen notwendig.
Die klare Linie der Rechtsprechung scheint also bislang „Klagewellen“ und Massenverfahren erfolgreich einzudämmen. Der bloße „Kontrollverlust“ aufgrund eines DSGVO-Verstoßes begründet noch keine Schadensersatzansprüche. Hinzukommen muss ein konkreter, belegbarer materieller oder immaterieller Schaden.
In seinem Urteil vom 26.4.2023, Rs. T-557/20 hat sich der Europäische Gerichtshof (EuG) mit der Frage der Relativität des Personenbezugs beschäftigt. Das Urteil räumt mit einigen Missverständnissen auf, die im Zusammenhang mit dem bekannten „Breyer“-Urteil des EuGH zum Personenbezug von IP-Adressen (EuGH v. 19.10.2016, C 582/14) entstanden sind.
1. Pseudonymisierung und Anonymisierung von Daten
Wie kann man pseudonyme und anonyme Daten unterscheiden?
Pseudonyme Daten können nur unter Hinzuziehung zusätzlicher Informationen einer spezifischen betroffenen Person zugeordnet werden. Diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die Zuordnung nicht bzw. nicht ohne weiteres erfolgen kann (Art. 4 Nr. 5 DSGVO). Pseudonymisierung bedeutet also, dass z. B. ein Name durch ein Pseudonym – einen Code, eine Nummer usw. – ersetzt wird. Allerdings können die Pseudonyme mit Hilfe von Zusatzinformationen wieder entschlüsselt und personenbeziehbar gemacht werden.
Bei anonymen Daten ist eine solche „Entschlüsselung“, also die Herstellung eines Personenbezugs, nicht oder nicht mit vertretbarem Aufwand möglich (vgl. Erwägungsgrund 26 der DSGVO). Anonyme Daten gelten deshalb nicht mehr als personenbezogene Daten und unterfallen nicht mehr der DSGVO.
2. Sachverhalt
In dem vom EuG entschiedenen Fall hatte der Einheitliche Abwicklungsausschuss (SRB) Daten an Deloitte weitergeleitet, bei denen personenidentifizierende Merkmale durch alphanumerische Codes ersetzt wurden. Der SRB konnte diese Codes konkreten Personen zuordnen. Deloitte hatte keinen Zugriff auf die Codes und konnte keinen Personenbezug der Daten herstellen.
Der Europäische Datenschutzbeauftragte (EDSB) hielt die Daten pauschal für personenbeziehbar. Nach Auffassung des EDSB sei der Umstand, dass Deloitte keinen Zugang zu den vom SRB gespeicherten Informationen zur Rückidentifizierung gehabt habe, unbeachtlich. „Pseudonymisierte“ Daten blieben dies selbst dann, wenn sie an einen Dritten übermittelt würden, der nicht über die zusätzlichen Informationen verfüge.
Dagegen klagte der SRB mit dem Argument, dass es sich zumindest für Deloitte nicht um personenbeziehbare Daten handele und die DSGVO insoweit nicht anwendbar sei.
3. Relativität des Personenbezugs
Im Kern geht es um die Frage, ob die „Personenbeziehbarkeit“ von Daten relativ oder absolut zu beurteilen ist – ob es also dem jeweils Verantwortlichen mit vertretbaren Mitteln möglich sein muss, einen Personenbezug herzustellen („relativer“ Personenbezug) oder ob es ausreicht, dass irgendjemand über diese Mittel verfügt („absoluter“ Personenbezug).
Der EuG hat sich im Ergebnis der Argumentation des SRB angeschlossen: es kommt darauf an, ob der jeweils Verantwortliche – hier also Deloitte – über die zusätzlichen Informationen verfügt, anhand deren eine Rückidentifizierung von Personen möglich ist.
Dies steht nicht im Widerspruch zum „Breyer“-Urteil des EuGH. Darin stellte sich die Frage, ob eine dynamische IP-Adresse für den Anbieter einer Website ein personenbezogenes Datum darstellt. Über die zur Identifizierung des Nutzers anhand einer IP-Adresse erforderlichen Zusatzinformationen verfügt üblicherweise nicht der Anbieter der Website, sondern der Internetzugangsanbieter des jeweiligen Nutzers. Zu prüfen war nach Auffassung des EuGH in diesem Fall, ob die Möglichkeit, eine IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise vom Website-Betreiber zur Bestimmung der betreffenden Person eingesetzt werden kann. Der EuGH ging also ebenfalls von der Relativität des Personenbezugs aus.
Der EuG führt aus (Rn. 99, 100 des Urteils):
„[Es kann] die Situation von Deloitte mit der des Anbieters von Online-Mediendiensten im Sinne des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), verglichen werden, soweit sie über Informationen […] verfügte, bei denen es sich nicht um Informationen handelte, die sich auf eine „identifizierte natürliche Person“ bezogen, da es nicht möglich war, anhand des auf jeder Antwort vermerkten alphanumerischen Codes unmittelbar die natürliche Person zu identifizieren, die den Fragebogen ausgefüllt hatte. Zum anderen kann die Situation des SRB mit der des Internetzugangsanbieters in jener Rechtssache verglichen werden, da feststeht, dass nur der SRB über die zusätzlichen Informationen – nämlich über den alphanumerischen Code und die Identifizierungsdatenbank – verfügte, anhand deren die betroffenen Anteilseigner und Gläubiger identifiziert werden können, die den Fragebogen ausgefüllt haben.
Somit war es gemäß der oben in Rn. 91 angeführten Rn. 44 des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), Sache des EDSB, zu prüfen, ob für Deloitte die an sie übermittelten Stellungnahmen personenbezogene Daten waren.“
Diese Prüfung der Personenbeziehbarkeit der Daten aus Sicht von Deloitte hat der EDSB nicht vorgenommen. Der EuG hat damit der Klage des SRB stattgegeben. Ob vorliegend Deloitte tatsächlich über Mittel für eine Rückidentifizierung verfügte und diese hinreichend wahrscheinlich war, hat der EuG nicht mehr geprüft.
Die EU-Kommission hat am 10.07.2023 die auch als „Trans-Atlantic-Data-Privacy-Framework“ (TADPF) bezeichnete Adäquanzentscheidung für den sicheren Datenverkehr zwischen der EU und den USA verabschiedet. Nach „Safe Harbor“ und „Privacy Shield“ soll dieser dritte Anlauf nun auch die Anforderungen des EuGH erfüllen und transatlantische Datentransfers sind wieder relativ unbürokratisch möglich. Es ist aber davon auszugehen, dass auch dieses Abkommen wieder vor dem EuGH landen wird.
Das TADPF führt für US-amerikanische Datenempfänger neue verbindliche Sicherheitsvorkehrungen ein. Dazu gehören die Beschränkung des Zugangs zu Daten von EU-Bürgern durch US-Geheimdienste auf das Notwendige und Angemessene sowie die Einrichtung des Data Protection Review Court – DPRC, also einer Prüfungsinstanz, zu der Betroffene auch dann Zugang haben, wenn sie keine US-Bürger sind. Das DPRC kann bei Verstößen auch die Löschung der Daten anordnen.
Das TADPF soll regelmäßig von der Europäischen Kommission gemeinsam mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll innerhalb eines Jahres nach Inkrafttreten des TADPF stattfinden.
Wie und wann wirkt das TADPF?
Das TADPF ist ein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DSGVO und gilt im Grunde ab sofort. Für Datenexport an US-amerikanische Empfänger sind daher keine zusätzlichen Legitimationsinstrumente, wie zum Beispiel Standard-Vertragsklauseln (SCC), mehr erforderlich, da die USA nun wieder als sicheres Drittland gelten. Allerdings müssen Unternehmen in den USA eine Selbstzertifizierung vornehmen und sich damit verpflichten, bestimmte Datenschutzverpflichtungen einzuhalten, um von den Wirkungen des TADPF profitieren zu können. Die Selbstzertifizierung gab es schon beim Vorgänger Privacy Shield und es wird sicher noch einige Tage dauern, bis die ersten Unternehmen zertifiziert sind. Der aktuelle Stand kann ab dem 17.07.2023 unter https://www.dataprivacyframework.gov/s/ eingesehen werden.
Es gilt hier also zunächst abzuwarten und bei Neuverträgen zu prüfen, ob der Datenempfänger bereits zertifiziert ist. Nur wenn dies der Fall ist, wirkt das TADPF.
Was passiert mit Verträgen, welche die SCC nutzen?
Bei bestehenden Verträgen sollte dann, wenn der Datenempfänger unter TADPF zertifiziert ist, geprüft werden ob eine Anpassung des Vertrages notwendig ist. Oft wird eine Anpassung gar nicht notwendig sein, weil die SCC nur nachrangig für den Fall gelten, dass ein Datenempfänger in einem Staat ohne Angemessenheitsbeschluss seinen Sitz hat. Wenn nun der Datenempfänger in den USA sitzt und eine TADPF Zertifizierung vorweisen kann, gelten bei dieser Konstellation die „normalen“ Regeln des Data Processing Agreements (DPA) und die SCC kommen schlicht nicht mehr zur Anwendung. Eine Anpassung des Vertrages ist dann nicht nötig.
Hat der Datenempfänger seinen Sitz in den USA und unterzieht sich nicht einer Zertifizierung nach TADPF, bleibt es bei den bisherigen Regelungen, also der Verwendung von SCC und der Durchführung eines Transfer Impact Assessment (TIA). Die Nutzung solcher Anbieter wird aber nicht allein dadurch ausgeschlossen, dass keine Selbstzertifizierung erfolgt.
Weiterer Anpassungsbedarf durch das TADPF
Das TADPF bzw. die Nutzung von Datenempfängern, welche dem TADPF unterliegen und die damit verbundene Umstellung des Transferinstruments von SCC auf TADPF, macht unter Umständen Anpassungen an Datenschutzhinweisen (Art. 13, 14 DSGVO), in AV-Verträgen, bei Datenschutz-Folgenabschätzungen und im Verarbeitungsverzeichnis notwendig. Hier müssen die Verantwortlichen ihre Dokumentation auf entsprechenden Anpassungsbedarf prüfen.
Heutzutage stellt fast jedes Unternehmen auf seiner Website nicht nur grundlegende Informationen über seine Aktivitäten und Kontaktdaten, sondern auch einen Bereich für das Team mit einer Darstellung der Mitarbeiter bereit. So können Kunden oder Geschäftspartner erfahren, wer die Ansprechpartner in den einzelnen Abteilungen des Unternehmens sind. Das Hinzufügen eines Fotos eines Mitarbeiters kann sicherstellen, dass die Kommunikation nicht zu unpersönlich wirkt. Allerdings können Mitarbeiterfotos mehr Informationen enthalten, als es auf den ersten Blick scheint.
Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten
Die Veröffentlichung von Mitarbeiterbildern kann Bedenken hinsichtlich des Schutzes personenbezogener Daten aufwerfen. Insbesondere stellt sich die Frage, ob die Veröffentlichung von Mitarbeiterbildern zu einer Veröffentlichung „besonderer Kategorien personenbezogener Daten“ nach Art. 9 DSVGO führt. Art. 9 DSGVO stellt besondere Anforderungen an die Verarbeitung personenbezogener Daten, aus denen die ethnische oder rassische Herkunft hervorgeht oder die Informationen über den Gesundheitszustand enthalten. Kann ein Foto solche besonders sensiblen Daten enthalten, auch wenn diese sich nur indirekt aus dem Foto ergeben? Das Äußere, die Hautfarbe, kann z.B. Hinweise auf ethnische Herkunft und Rassenzugehörigkeit geben. Das Tragen einer Brille informiert über Kurzsichtigkeit und ist damit eine Information über den Gesundheitszustand. Symbole wie beispielsweise Kreuze können auf eine religiöse Konfession hinweisen. Ist das aber ausreichend um Mitarbeiterfotos als besonders geschützte Daten im Sinne von Art. 9 DSGVO zu qualifizieren?
Rechtsprechung EuGH, 01.08.2022 – C-184/20
Zu diesem Thema hat sich der Gerichtshof in seinem Urteil vom 1. August 2022 geäußert. Im vorliegenden Fall ging es um Inhalte, die indirekt Rückschlüsse auf sensible Daten (in diesem Fall die sexuelle Orientierung) natürlicher Personen zuließen und auf der Website einer Behörde veröffentlicht waren. Dabei hat der EuGH den Begriff der „besonderen Kategorien personenbezogener Daten“ weit ausgelegt. Auch Daten, die indirekt sensible Informationen über eine natürliche Person offenbaren können, werden von Art. 9 Abs. 1 DSGVO erfasst, da andernfalls die praktische Wirksamkeit des Art. 9 DSGVO und der damit bezweckte Schutz der Grundrechte und Grundfreiheiten natürlicher Personen beeinträchtigt würde (Rn. 127 des Urteils).
Folgt man dieser Auffassung, können auch Fotos „besondere Kategorien personenbezogener Daten“ enthalten, wenn die Fotografie eines Mitarbeiters Merkmale enthält, die indirekt auf sensible Informationen hinweisen bzw. wenn aus der Fotografie solche Merkmale hervorgehen. Das bedeutet, dass in diesem Fall Art. 9 DSGVO Anwendung findet.
Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt, es sei denn es liegt eine Einwilligung vor (Art. 9 Abs. 1a DSGVO) oder die Verarbeitung dieser besonders geschützten Daten ist im Rahmen des Arbeitsverhältnisses erforderlich (§ 26 Abs. 3 BDSG).
Die Veröffentlichung von Mitarbeiterfotos wird aber i.d.R. nicht zwingend erforderlich sein. Natürlich gibt es Berufe, in denen die Veröffentlichung von Bildern notwendig ist, z.B. als Model oder Schauspieler – das sind aber Ausnahmefälle. Sie bedarf deshalb (fast) immer der Einwilligung der betroffenen Mitarbeiter. Die Einwilligung muss freiwillig und informiert sein und sollte am besten in schriftlicher Form erfolgen (dies ist zwar nicht zwingend, aber empfehlenswert). Wenn das Foto bestimmte Merkmale enthält, die als besonders sensible Daten betrachtet werden könnten, sollten diese in der Einwilligung ausdrücklich erwähnt werden. Wichtig ist, dass die Einwilligung freiwillig und ohne Zwang erfolgt. Eine Ablehnung der Einwilligung zur Veröffentlichung darf nicht mit Nachteilen für die betroffenen Mitarbeiter verbunden sein.
Diese Frage hat unser Mainzer Partner Stephan Schmidt im Rahmen einer Interviewreihe den Gastgebern der Reihe Michael Rohrlich und Marc Oliver Thoma beantwortet. Er hat dabei über seine Ausbildung und was er eigentlich in San Diego gemacht hat, aber auch über den Beginn seiner Tätigkeit als selbstständiger Rechtsanwalt und aktuelle Themen gesprochen. Herausgekommen ist ein kurzweiliges Gespräch, mit dem einen oder anderen Einblick in die Tätigkeit eines IT- und Datenschutzrechtlers.
Das Gespräch ist hier bei YouTube abrufbar.
Die Europäische Kommission veröffentlichte am 23. Februar 2022 den Entwurf des Data Act. Der Data Act-Entwurf regelt die Bereitstellung von Daten durch den Dateninhaber für den Nutzer, für Dritte und für öffentliche Stellen und beinhaltet rechtliche Rahmenbedingungen für den Datenzugang und die Datennutzung. Hintergrund der Regelung ist, dass es bisher keine gesetzliche Regelung zur Datenhoheit gibt und alle Beteiligten auf einen freiwilligen Austausch angewiesen sind.
Mit dem Data Act-Entwurf will die Europäische Kommission nun klarstellen, wer Daten wirtschaftlich verwerten darf und unter welchen Bedingungen dies erfolgt. Zudem werden Sonderregelungen für Kleinst-, Klein- und mittlere Unternehmen sowie sog. „Gatekeeper“ getroffen.
Grundlegender Inhalt des Data Act-Entwurfs
Der Entwurf regelt den Austausch nutzergenerierter Daten zwischen Unternehmen und zwischen Verbrauchern und Unternehmen. Große Teile der von Unternehmen und von Verbrauchern im Zusammenhang mit vernetzten Geräten und digitalen Diensten gesammelten Daten muss zukünftig technisch und rechtlich den Nutzern zugänglich gemacht werden, welche die Daten anschließend an Dritte weitergeben können.
Die Regelungen des Entwurfs umfassen zum Beispiel Produktanforderungen für einen leichten und sicheren Datenzugang („access by design and by default“), vorvertragliche Informationspflichten und die Notwendigkeit einer Nutzungsvereinbarung zwischen Dateninhaber und Nutzer, Datenzugangsansprüche und -bereitstellungspflichten sowie Regelungen zur Datenübermittlung durch den Dateninhaber an Dritte auf Veranlassung des Nutzers. Geregelt werden aber auch Anforderungen an entsprechende Gegenleistungen (z.B. Fairness, Angemessenheit) und Kriterien für missbräuchliche Vertragsklauseln um kleinere Unternehmen zu schützen.
Ergänzend soll es Regelungen für die Übermittlung von Daten an öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU in Notsituationen geben. Der Entwurf sieht darüber hinaus vor, dass die Europäische Kommission unverbindliche Mustervertragsbedingungen für Datenzugang und Datennutzung bereitstellen soll. Über Sanktionen bei Verstößen sollen die Mitgliedstaaten dann entsprechende Vorschriften erlassen.
Adressaten des Data Act-Entwurfs
Der Data Act-Entwurf gilt für
- alle Hersteller von Produkten und Erbringer verbundener Dienste, die in der EU in Verkehr gebracht werden, und die Nutzer solcher Produkte oder Dienste;
- Dateninhaber, die Empfängern in der EU Daten bereitstellen;
- Datenempfänger in der EU, denen Daten bereitgestellt werden;
- öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU.
Ähnlich der DGSVO sollen die Regelungen auch auf Unternehmen mit Sitz außerhalb der EU Anwendung finden, wenn diese Kunden in der EU entsprechende Dienste anbieten.
Ausblick
Europäisches Parlament und der Rat haben ihre Positionen zum Entwurf beschlossen und fordern ebenso wie die Mitgliedsstaaten diverse Änderungen. In den weiteren Verhandlungen wird es insbesondere um den Anwendungsbereich des Data Act, die Sicherstellung des Schutzes von Geschäftsgeheimnissen, Vergütungsfragen und Regelungen zum Anbieter-Wechsel bzw. des Schutzes vor missbräuchlichen Vertragsklauseln gehen. Am 29. März 2023 fand der erste Trilog statt. Da die Positionen von Rat und Parlament jedoch nicht allzu weit auseinanderliegen, wird allgemein mit einer Einigung noch vor der Sommerpause oder kurz nach dieser gerechnet.
