Das Landesarbeitsgericht Baden-Württemberg hatte kürzlich darüber zu entscheiden, ob einem Arbeitnehmer ein datenschutzrechtlicher Schadensersatzanspruch zusteht, wenn die Arbeitgeberin Foto- und Filmaufnahmen, auf denen der Arbeitnehmer zu sehen ist, nach dessen Ausscheiden aus dem Unternehmen zu Werbezwecken weiterverwendet.
Das Gericht entschied in diesem Fall, dass die Arbeitgeberin durch die unrechtmäßige Weiterverwendung der Foto- und Filmaufnahmen über das Arbeitsvertragsende hinaus, ein „das Persönlichkeitsrecht des Arbeitnehmers erheblich verletzendes Verhalten an den Tag gelegt habe“ und dem Arbeitnehmer daher ein Schadensersatzanspruch in Höhe von 10.000 € zustehe (LAG Baden-Württemberg, Urteil vom 27. Juli 2023, Az. 3 Sa 33/22).
Arbeitgeber stellen sich nun zu Recht die Frage, wie sie sich in einem solchen Fall vor möglichen Schadenersatzansprüchen ehemaliger Arbeitnehmer schützen können.
Um diese Frage beantworten zu können, ist zunächst zu beleuchten, auf welcher Rechtsgrundlage die Nutzung der Mitarbeiterfotos und -videos erfolgt. Denn bekanntlich handelt es sich bei Fotos und Videos, auf denen Personen erkennbar abgebildet sind, um personenbezogene Daten im Sinne der DSGVO. Daraus folgt, dass diese nur verarbeitet, also genutzt werden dürfen, wenn dies auf der Grundlage eines in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestandes erfolgt.
Als Erlaubnistatbestände kommen in der genannten Konstellation die Einwilligung (lit. a), eine vertragliche Vereinbarung (lit. b) oder das Vorliegen eines berechtigten Interesses (lit. f) in Betracht.
Geht man die einzelnen Erlaubnistatbestände durch, stellt man fest, dass sich bei der Einwilligung (lit. a) gleich zwei Probleme stellen. Zum einen bezüglich der Freiwilligkeit und zum anderen im Zusammenhang mit der Widerruflichkeit der Einwilligung. Aufgrund des Abhängigkeitsverhältnisses des Arbeitnehmers vom Arbeitgeber kann dieser seine Einwilligung in der Regel nicht freiwillig erteilen. Selbst wenn er sie ausnahmsweise freiwillig erteilen könnte, führt das Recht, sie jederzeit frei widerrufen zu können, dazu, dass die Position des Arbeitgebers keineswegs gesichert ist. Widerruft der Arbeitnehmer die einmal erteilte Einwilligung, kann sich der Arbeitgeber für die Zukunft nicht mehr auf diesen Erlaubnistatbestand berufen.
Konkret bedeutet dies: Hat der Arbeitnehmer während seines Arbeitsverhältnisses in die Verwendung von Foto- und Filmaufnahmen zu Werbezwecken eingewilligt, so gilt diese Einwilligung nur so lange, sie nicht widerrufen wird.
Denkbar wäre nun, in einem solchen Fall den Auffangtatbestand (lit. f) heranzuziehen und ein berechtigtes Interesse des Arbeitgebers an der Weiterverwendung der Aufnahmen zu bejahen. Allerdings wird es schwerlich möglich sein, die wirtschaftlichen Interessen des Arbeitgebers an der Weiterverwendung von Werbematerialien gegen das Persönlichkeitsrecht des Arbeitnehmers zu Gunsten des Arbeitgebers abzuwägen. Allein der Umstand, dass der Arbeitnehmer z.B. inzwischen für einen Konkurrenten des Arbeitgebers tätig ist (so im Fall des LAG Baden-Württemberg), muss letztlich zum Überwiegen der Interessen des Arbeitnehmers führen. Insgesamt ist Arbeitgebern eher davon abzuraten, sich in solchen Fällen auf ein berechtigtes Interesse zu berufen, da dieser Erlaubnistatbestand tatsächlich nicht geeignet ist, als Regel für eine Vielzahl von Fällen zu gelten. Vielmehr bedarf es stets einer Abwägung der widerstreitenden Interessen im Einzelfall.
Zu raten ist Arbeitgebern daher, in solchen Fällen eine vertragliche Vereinbarung (lit. b) mit dem jeweiligen Arbeitnehmer über die Anfertigung und Nutzung von Foto- und Filmaufnahmen zu Werbezwecken zu treffen. In dieser Vereinbarung kann sowohl die Verwendung der Aufnahmen als auch deren Nutzung über die Beendigung des Arbeitsverhältnisses hinaus DSGVO-konform geregelt werden. Zu beachten ist jedoch, dass die Vereinbarung für den Arbeitnehmer vorteilhaft sein muss. Das heißt, sie darf sich nicht darauf beschränken, dem Arbeitgeber Nutzungsrechte an den Aufnahmen einzuräumen, ohne dass der Arbeitnehmer dafür eine angemessene Gegenleistung erhält. Denn ist dies der Fall, stellt sich im Grunde das gleiche Problem wie bei der Freiwilligkeit der Einwilligung, was die vertragliche Vereinbarung letztlich angreifbar machen würde.
Sie haben Fragen zu diesem Thema oder zu datenschutzrechtlichen Themen im Allgemeinen? Benötigen Sie Unterstützung bei der Umsetzung datenschutzrechtlicher Maßnahmen? Wir unterstützen Sie gern. Sprechen Sie uns an.
In letzter Zeit werden vermehrt Ansprüche auf Schadensersatz wegen der Verletzung von Regelungen der DSGVO geltend gemacht. Schon seit Inkrafttreten der DSGVO gab es Befürchtungen, dass es zu „Klagewellen“ bzw. der massenhaften Geltendmachung von Schadensersatzansprüchen schon aufgrund geringfügiger DSGVO-Verstöße kommen würde.
Dazu gab es in letzter Zeit einige interessante Gerichtsentscheidungen:
- Der EuGH hat in seinem Urteil „Österreichische Post“ vom 4.5.2023 (Az. C-300/21) zwar einerseits ausgeführt, dass es für immaterielle Schadensersatzansprüche Betroffener nach der DSGVO keine Erheblichkeitsschwelle gibt. Andererseits ist ein solcher immaterieller Schaden erforderlich. Der bloße Verstoß gegen die DSGVO begründet noch keinen Schadensersatzanspruch. In dem der Entscheidung zugrundeliegenden Sachverhalt hatte die Österreichische Post Daten von Kunden und deren politische Einstellung analysiert. Auf der Grundlage der Analyse hat sie den Betroffenen Mailings, d.h eine einmalige Werbesendung, entsprechend ihren politischen Präferenzen zugesandt – ohne jedoch ihre Daten an Dritte weiterzugeben. Darin liegt zwar eine Verletzung der DSGVO – es konnte jedoch nicht festgestellt werden, dass den Empfängern des Mailings dadurch in irgendeiner Weise ein Schaden erstanden ist.
- In einer Entscheidung des OLG Hamm vom 15.08.2023 (AZ: 7 U 19/23), ging es um das Ausleiten von Facebook–Daten im Wege des „Scraping“. Dritte konnten u.a. Namen und Telefonnummern über Suchfunktionen bei Facebook auslesen. Das Facebook dies nicht mit geeigneten Maßnahmen verhindert hat, begründet nach Auffassung des Gerichts einen Verstoß gegen Art. 32, 24 DSGVO. Schadensersatz hat das Gericht der Klägerin jedoch nicht zugesprochen. Ein immaterieller Schaden entsteht nicht durch einen bloßen Verstoß gegen Vorschriften des DSVGO, sondern nur dann, wenn eine persönliche oder psychische Beeinträchtigung vorliegt. Ein pauschal behaupteter „völliger Kontrollverlust“ stellt zwar ein generelles Risiko dar, aber noch keinen konkreten Schaden.
- In diese Linie der Rechtsprechung fügt sich auch eine Entscheidung des Landgerichts Berlin (07.06.2023 – 26 O 240/22) ein. Auch hier ging es um ein Daten-Scraping bei Facebook. Zum behaupteten „Kontrollverlust“ führt das LG Berlin aus, dass ein Verstoß gegen die DSGVO immer einen Kontrollverlust desjenigen bedeutet, der seine Daten dem Datenverarbeiter anvertraut hat. Deshalb könne nicht gleichzeitig der Kontrollverlust für sich genommen ein Schaden sein. Bloßer Ärger und Zorn stellt noch keinen Schaden dar. Nicht jede im Grunde nicht spürbare Beeinträchtigung oder individuell empfundene Unannehmlichkeit reicht mithin aus, sondern es sind ein messbarer Nachteil und eine objektiv nachvollziehbare tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen notwendig.
Die klare Linie der Rechtsprechung scheint also bislang „Klagewellen“ und Massenverfahren erfolgreich einzudämmen. Der bloße „Kontrollverlust“ aufgrund eines DSGVO-Verstoßes begründet noch keine Schadensersatzansprüche. Hinzukommen muss ein konkreter, belegbarer materieller oder immaterieller Schaden.
In seinem Urteil vom 26.4.2023, Rs. T-557/20 hat sich der Europäische Gerichtshof (EuG) mit der Frage der Relativität des Personenbezugs beschäftigt. Das Urteil räumt mit einigen Missverständnissen auf, die im Zusammenhang mit dem bekannten „Breyer“-Urteil des EuGH zum Personenbezug von IP-Adressen (EuGH v. 19.10.2016, C 582/14) entstanden sind.
1. Pseudonymisierung und Anonymisierung von Daten
Wie kann man pseudonyme und anonyme Daten unterscheiden?
Pseudonyme Daten können nur unter Hinzuziehung zusätzlicher Informationen einer spezifischen betroffenen Person zugeordnet werden. Diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die Zuordnung nicht bzw. nicht ohne weiteres erfolgen kann (Art. 4 Nr. 5 DSGVO). Pseudonymisierung bedeutet also, dass z. B. ein Name durch ein Pseudonym – einen Code, eine Nummer usw. – ersetzt wird. Allerdings können die Pseudonyme mit Hilfe von Zusatzinformationen wieder entschlüsselt und personenbeziehbar gemacht werden.
Bei anonymen Daten ist eine solche „Entschlüsselung“, also die Herstellung eines Personenbezugs, nicht oder nicht mit vertretbarem Aufwand möglich (vgl. Erwägungsgrund 26 der DSGVO). Anonyme Daten gelten deshalb nicht mehr als personenbezogene Daten und unterfallen nicht mehr der DSGVO.
2. Sachverhalt
In dem vom EuG entschiedenen Fall hatte der Einheitliche Abwicklungsausschuss (SRB) Daten an Deloitte weitergeleitet, bei denen personenidentifizierende Merkmale durch alphanumerische Codes ersetzt wurden. Der SRB konnte diese Codes konkreten Personen zuordnen. Deloitte hatte keinen Zugriff auf die Codes und konnte keinen Personenbezug der Daten herstellen.
Der Europäische Datenschutzbeauftragte (EDSB) hielt die Daten pauschal für personenbeziehbar. Nach Auffassung des EDSB sei der Umstand, dass Deloitte keinen Zugang zu den vom SRB gespeicherten Informationen zur Rückidentifizierung gehabt habe, unbeachtlich. „Pseudonymisierte“ Daten blieben dies selbst dann, wenn sie an einen Dritten übermittelt würden, der nicht über die zusätzlichen Informationen verfüge.
Dagegen klagte der SRB mit dem Argument, dass es sich zumindest für Deloitte nicht um personenbeziehbare Daten handele und die DSGVO insoweit nicht anwendbar sei.
3. Relativität des Personenbezugs
Im Kern geht es um die Frage, ob die „Personenbeziehbarkeit“ von Daten relativ oder absolut zu beurteilen ist – ob es also dem jeweils Verantwortlichen mit vertretbaren Mitteln möglich sein muss, einen Personenbezug herzustellen („relativer“ Personenbezug) oder ob es ausreicht, dass irgendjemand über diese Mittel verfügt („absoluter“ Personenbezug).
Der EuG hat sich im Ergebnis der Argumentation des SRB angeschlossen: es kommt darauf an, ob der jeweils Verantwortliche – hier also Deloitte – über die zusätzlichen Informationen verfügt, anhand deren eine Rückidentifizierung von Personen möglich ist.
Dies steht nicht im Widerspruch zum „Breyer“-Urteil des EuGH. Darin stellte sich die Frage, ob eine dynamische IP-Adresse für den Anbieter einer Website ein personenbezogenes Datum darstellt. Über die zur Identifizierung des Nutzers anhand einer IP-Adresse erforderlichen Zusatzinformationen verfügt üblicherweise nicht der Anbieter der Website, sondern der Internetzugangsanbieter des jeweiligen Nutzers. Zu prüfen war nach Auffassung des EuGH in diesem Fall, ob die Möglichkeit, eine IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise vom Website-Betreiber zur Bestimmung der betreffenden Person eingesetzt werden kann. Der EuGH ging also ebenfalls von der Relativität des Personenbezugs aus.
Der EuG führt aus (Rn. 99, 100 des Urteils):
„[Es kann] die Situation von Deloitte mit der des Anbieters von Online-Mediendiensten im Sinne des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), verglichen werden, soweit sie über Informationen […] verfügte, bei denen es sich nicht um Informationen handelte, die sich auf eine „identifizierte natürliche Person“ bezogen, da es nicht möglich war, anhand des auf jeder Antwort vermerkten alphanumerischen Codes unmittelbar die natürliche Person zu identifizieren, die den Fragebogen ausgefüllt hatte. Zum anderen kann die Situation des SRB mit der des Internetzugangsanbieters in jener Rechtssache verglichen werden, da feststeht, dass nur der SRB über die zusätzlichen Informationen – nämlich über den alphanumerischen Code und die Identifizierungsdatenbank – verfügte, anhand deren die betroffenen Anteilseigner und Gläubiger identifiziert werden können, die den Fragebogen ausgefüllt haben.
Somit war es gemäß der oben in Rn. 91 angeführten Rn. 44 des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), Sache des EDSB, zu prüfen, ob für Deloitte die an sie übermittelten Stellungnahmen personenbezogene Daten waren.“
Diese Prüfung der Personenbeziehbarkeit der Daten aus Sicht von Deloitte hat der EDSB nicht vorgenommen. Der EuG hat damit der Klage des SRB stattgegeben. Ob vorliegend Deloitte tatsächlich über Mittel für eine Rückidentifizierung verfügte und diese hinreichend wahrscheinlich war, hat der EuG nicht mehr geprüft.
Die EU-Kommission hat am 10.07.2023 die auch als „Trans-Atlantic-Data-Privacy-Framework“ (TADPF) bezeichnete Adäquanzentscheidung für den sicheren Datenverkehr zwischen der EU und den USA verabschiedet. Nach „Safe Harbor“ und „Privacy Shield“ soll dieser dritte Anlauf nun auch die Anforderungen des EuGH erfüllen und transatlantische Datentransfers sind wieder relativ unbürokratisch möglich. Es ist aber davon auszugehen, dass auch dieses Abkommen wieder vor dem EuGH landen wird.
Das TADPF führt für US-amerikanische Datenempfänger neue verbindliche Sicherheitsvorkehrungen ein. Dazu gehören die Beschränkung des Zugangs zu Daten von EU-Bürgern durch US-Geheimdienste auf das Notwendige und Angemessene sowie die Einrichtung des Data Protection Review Court – DPRC, also einer Prüfungsinstanz, zu der Betroffene auch dann Zugang haben, wenn sie keine US-Bürger sind. Das DPRC kann bei Verstößen auch die Löschung der Daten anordnen.
Das TADPF soll regelmäßig von der Europäischen Kommission gemeinsam mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll innerhalb eines Jahres nach Inkrafttreten des TADPF stattfinden.
Wie und wann wirkt das TADPF?
Das TADPF ist ein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DSGVO und gilt im Grunde ab sofort. Für Datenexport an US-amerikanische Empfänger sind daher keine zusätzlichen Legitimationsinstrumente, wie zum Beispiel Standard-Vertragsklauseln (SCC), mehr erforderlich, da die USA nun wieder als sicheres Drittland gelten. Allerdings müssen Unternehmen in den USA eine Selbstzertifizierung vornehmen und sich damit verpflichten, bestimmte Datenschutzverpflichtungen einzuhalten, um von den Wirkungen des TADPF profitieren zu können. Die Selbstzertifizierung gab es schon beim Vorgänger Privacy Shield und es wird sicher noch einige Tage dauern, bis die ersten Unternehmen zertifiziert sind. Der aktuelle Stand kann ab dem 17.07.2023 unter https://www.dataprivacyframework.gov/s/ eingesehen werden.
Es gilt hier also zunächst abzuwarten und bei Neuverträgen zu prüfen, ob der Datenempfänger bereits zertifiziert ist. Nur wenn dies der Fall ist, wirkt das TADPF.
Was passiert mit Verträgen, welche die SCC nutzen?
Bei bestehenden Verträgen sollte dann, wenn der Datenempfänger unter TADPF zertifiziert ist, geprüft werden ob eine Anpassung des Vertrages notwendig ist. Oft wird eine Anpassung gar nicht notwendig sein, weil die SCC nur nachrangig für den Fall gelten, dass ein Datenempfänger in einem Staat ohne Angemessenheitsbeschluss seinen Sitz hat. Wenn nun der Datenempfänger in den USA sitzt und eine TADPF Zertifizierung vorweisen kann, gelten bei dieser Konstellation die „normalen“ Regeln des Data Processing Agreements (DPA) und die SCC kommen schlicht nicht mehr zur Anwendung. Eine Anpassung des Vertrages ist dann nicht nötig.
Hat der Datenempfänger seinen Sitz in den USA und unterzieht sich nicht einer Zertifizierung nach TADPF, bleibt es bei den bisherigen Regelungen, also der Verwendung von SCC und der Durchführung eines Transfer Impact Assessment (TIA). Die Nutzung solcher Anbieter wird aber nicht allein dadurch ausgeschlossen, dass keine Selbstzertifizierung erfolgt.
Weiterer Anpassungsbedarf durch das TADPF
Das TADPF bzw. die Nutzung von Datenempfängern, welche dem TADPF unterliegen und die damit verbundene Umstellung des Transferinstruments von SCC auf TADPF, macht unter Umständen Anpassungen an Datenschutzhinweisen (Art. 13, 14 DSGVO), in AV-Verträgen, bei Datenschutz-Folgenabschätzungen und im Verarbeitungsverzeichnis notwendig. Hier müssen die Verantwortlichen ihre Dokumentation auf entsprechenden Anpassungsbedarf prüfen.
Heutzutage stellt fast jedes Unternehmen auf seiner Website nicht nur grundlegende Informationen über seine Aktivitäten und Kontaktdaten, sondern auch einen Bereich für das Team mit einer Darstellung der Mitarbeiter bereit. So können Kunden oder Geschäftspartner erfahren, wer die Ansprechpartner in den einzelnen Abteilungen des Unternehmens sind. Das Hinzufügen eines Fotos eines Mitarbeiters kann sicherstellen, dass die Kommunikation nicht zu unpersönlich wirkt. Allerdings können Mitarbeiterfotos mehr Informationen enthalten, als es auf den ersten Blick scheint.
Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten
Die Veröffentlichung von Mitarbeiterbildern kann Bedenken hinsichtlich des Schutzes personenbezogener Daten aufwerfen. Insbesondere stellt sich die Frage, ob die Veröffentlichung von Mitarbeiterbildern zu einer Veröffentlichung „besonderer Kategorien personenbezogener Daten“ nach Art. 9 DSVGO führt. Art. 9 DSGVO stellt besondere Anforderungen an die Verarbeitung personenbezogener Daten, aus denen die ethnische oder rassische Herkunft hervorgeht oder die Informationen über den Gesundheitszustand enthalten. Kann ein Foto solche besonders sensiblen Daten enthalten, auch wenn diese sich nur indirekt aus dem Foto ergeben? Das Äußere, die Hautfarbe, kann z.B. Hinweise auf ethnische Herkunft und Rassenzugehörigkeit geben. Das Tragen einer Brille informiert über Kurzsichtigkeit und ist damit eine Information über den Gesundheitszustand. Symbole wie beispielsweise Kreuze können auf eine religiöse Konfession hinweisen. Ist das aber ausreichend um Mitarbeiterfotos als besonders geschützte Daten im Sinne von Art. 9 DSGVO zu qualifizieren?
Rechtsprechung EuGH, 01.08.2022 – C-184/20
Zu diesem Thema hat sich der Gerichtshof in seinem Urteil vom 1. August 2022 geäußert. Im vorliegenden Fall ging es um Inhalte, die indirekt Rückschlüsse auf sensible Daten (in diesem Fall die sexuelle Orientierung) natürlicher Personen zuließen und auf der Website einer Behörde veröffentlicht waren. Dabei hat der EuGH den Begriff der „besonderen Kategorien personenbezogener Daten“ weit ausgelegt. Auch Daten, die indirekt sensible Informationen über eine natürliche Person offenbaren können, werden von Art. 9 Abs. 1 DSGVO erfasst, da andernfalls die praktische Wirksamkeit des Art. 9 DSGVO und der damit bezweckte Schutz der Grundrechte und Grundfreiheiten natürlicher Personen beeinträchtigt würde (Rn. 127 des Urteils).
Folgt man dieser Auffassung, können auch Fotos „besondere Kategorien personenbezogener Daten“ enthalten, wenn die Fotografie eines Mitarbeiters Merkmale enthält, die indirekt auf sensible Informationen hinweisen bzw. wenn aus der Fotografie solche Merkmale hervorgehen. Das bedeutet, dass in diesem Fall Art. 9 DSGVO Anwendung findet.
Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt, es sei denn es liegt eine Einwilligung vor (Art. 9 Abs. 1a DSGVO) oder die Verarbeitung dieser besonders geschützten Daten ist im Rahmen des Arbeitsverhältnisses erforderlich (§ 26 Abs. 3 BDSG).
Die Veröffentlichung von Mitarbeiterfotos wird aber i.d.R. nicht zwingend erforderlich sein. Natürlich gibt es Berufe, in denen die Veröffentlichung von Bildern notwendig ist, z.B. als Model oder Schauspieler – das sind aber Ausnahmefälle. Sie bedarf deshalb (fast) immer der Einwilligung der betroffenen Mitarbeiter. Die Einwilligung muss freiwillig und informiert sein und sollte am besten in schriftlicher Form erfolgen (dies ist zwar nicht zwingend, aber empfehlenswert). Wenn das Foto bestimmte Merkmale enthält, die als besonders sensible Daten betrachtet werden könnten, sollten diese in der Einwilligung ausdrücklich erwähnt werden. Wichtig ist, dass die Einwilligung freiwillig und ohne Zwang erfolgt. Eine Ablehnung der Einwilligung zur Veröffentlichung darf nicht mit Nachteilen für die betroffenen Mitarbeiter verbunden sein.
Diese Frage hat unser Mainzer Partner Stephan Schmidt im Rahmen einer Interviewreihe den Gastgebern der Reihe Michael Rohrlich und Marc Oliver Thoma beantwortet. Er hat dabei über seine Ausbildung und was er eigentlich in San Diego gemacht hat, aber auch über den Beginn seiner Tätigkeit als selbstständiger Rechtsanwalt und aktuelle Themen gesprochen. Herausgekommen ist ein kurzweiliges Gespräch, mit dem einen oder anderen Einblick in die Tätigkeit eines IT- und Datenschutzrechtlers.
Das Gespräch ist hier bei YouTube abrufbar.
Die Europäische Kommission veröffentlichte am 23. Februar 2022 den Entwurf des Data Act. Der Data Act-Entwurf regelt die Bereitstellung von Daten durch den Dateninhaber für den Nutzer, für Dritte und für öffentliche Stellen und beinhaltet rechtliche Rahmenbedingungen für den Datenzugang und die Datennutzung. Hintergrund der Regelung ist, dass es bisher keine gesetzliche Regelung zur Datenhoheit gibt und alle Beteiligten auf einen freiwilligen Austausch angewiesen sind.
Mit dem Data Act-Entwurf will die Europäische Kommission nun klarstellen, wer Daten wirtschaftlich verwerten darf und unter welchen Bedingungen dies erfolgt. Zudem werden Sonderregelungen für Kleinst-, Klein- und mittlere Unternehmen sowie sog. „Gatekeeper“ getroffen.
Grundlegender Inhalt des Data Act-Entwurfs
Der Entwurf regelt den Austausch nutzergenerierter Daten zwischen Unternehmen und zwischen Verbrauchern und Unternehmen. Große Teile der von Unternehmen und von Verbrauchern im Zusammenhang mit vernetzten Geräten und digitalen Diensten gesammelten Daten muss zukünftig technisch und rechtlich den Nutzern zugänglich gemacht werden, welche die Daten anschließend an Dritte weitergeben können.
Die Regelungen des Entwurfs umfassen zum Beispiel Produktanforderungen für einen leichten und sicheren Datenzugang („access by design and by default“), vorvertragliche Informationspflichten und die Notwendigkeit einer Nutzungsvereinbarung zwischen Dateninhaber und Nutzer, Datenzugangsansprüche und -bereitstellungspflichten sowie Regelungen zur Datenübermittlung durch den Dateninhaber an Dritte auf Veranlassung des Nutzers. Geregelt werden aber auch Anforderungen an entsprechende Gegenleistungen (z.B. Fairness, Angemessenheit) und Kriterien für missbräuchliche Vertragsklauseln um kleinere Unternehmen zu schützen.
Ergänzend soll es Regelungen für die Übermittlung von Daten an öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU in Notsituationen geben. Der Entwurf sieht darüber hinaus vor, dass die Europäische Kommission unverbindliche Mustervertragsbedingungen für Datenzugang und Datennutzung bereitstellen soll. Über Sanktionen bei Verstößen sollen die Mitgliedstaaten dann entsprechende Vorschriften erlassen.
Adressaten des Data Act-Entwurfs
Der Data Act-Entwurf gilt für
- alle Hersteller von Produkten und Erbringer verbundener Dienste, die in der EU in Verkehr gebracht werden, und die Nutzer solcher Produkte oder Dienste;
- Dateninhaber, die Empfängern in der EU Daten bereitstellen;
- Datenempfänger in der EU, denen Daten bereitgestellt werden;
- öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU.
Ähnlich der DGSVO sollen die Regelungen auch auf Unternehmen mit Sitz außerhalb der EU Anwendung finden, wenn diese Kunden in der EU entsprechende Dienste anbieten.
Ausblick
Europäisches Parlament und der Rat haben ihre Positionen zum Entwurf beschlossen und fordern ebenso wie die Mitgliedsstaaten diverse Änderungen. In den weiteren Verhandlungen wird es insbesondere um den Anwendungsbereich des Data Act, die Sicherstellung des Schutzes von Geschäftsgeheimnissen, Vergütungsfragen und Regelungen zum Anbieter-Wechsel bzw. des Schutzes vor missbräuchlichen Vertragsklauseln gehen. Am 29. März 2023 fand der erste Trilog statt. Da die Positionen von Rat und Parlament jedoch nicht allzu weit auseinanderliegen, wird allgemein mit einer Einigung noch vor der Sommerpause oder kurz nach dieser gerechnet.
In den letzten Wochen und Monaten schwappte eine Welle von Abmahnungen durch Deutschland, die aufgrund der Vielzahl der abgemahnten Unternehmen für Aufsehen gesorgt hat. Abgemahnt wurde die, nach Ansicht der Abmahner datenschutzrechtswidrige, Nutzung von Google Fonts auf Webseiten. Betroffene sollten unter Verweis auf ein Urteil des LG München vom 20. Januar 2022 niedrige dreistelle Beträge als Schmerzensgeld zahlen. Doch sind diese Abmahnungen begründet und wie soll man mit diesen umgehen?
Diese Fragen beantwortet Stephan Schmidt in der aktuellen Ausgabe des DATENSCHUTZ-BERATER (Heft 02/2023). Mit freundlicher Genehmigung des Verlages können Sie den Beitrag hier herunterladen.
Bislang wurde nicht abschließend geklärt, ob zur Erfüllung des datenschutzrechtlichen Auskunftsanspruchs gemäß Art. 15 DSGVO die Benennung der Kategorie des Empfängers, etwa deren Branchenzugehörigkeit, ausreicht oder eine Offenlegung der konkreten Identität des Empfängers vorzunehmen ist. Diese Frage hat der EuGH mit seinem Urteil vom 12.01.2023 beantwortet und entschieden, dass bei einem Auskunftsgesuch nach Art. 15 DSGVO konkrete Angaben über den bzw. die Empfänger der personenbezogenen Daten des Betroffenen gemacht werden müssen.
Im konkreten Fall wandte sich der spätere Kläger an die Österreichische Post, um gemäß Art. 15 DSGVO die Auskunft darüber zu erhalten, welche personenbezogenen Daten über ihn gespeichert werden und wer die Empfänger bei der Weitergabe der Daten waren. Die Österreichische Post teilte zunächst nur mit, dass sie die Daten im Rahmen ihrer Tätigkeit als Herausgabe von Telefonbüchern Geschäftskunden für Marketingzwecken anbiete; später ergänzten sie ihre Angaben dahingehend, dass die Daten zu den werbetreibenden Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spenderorganisationen, Nichtregierungsorganisationen oder politische Parteien weitergegeben wurden.
Art. 15 DSGVO gewährt Betroffenen im Sinne der DSGVO einen Anspruch auf Auskunft hinsichtlich Art und Umfang der Verarbeitung von sie betreffenden personenbezogenen Daten. Neben der Information darüber, ob überhaupt Daten des Betroffenen verarbeitet werden, umfasst der Anspruch zahlreiche weitere in Art. 15 Abs. 1 lit. a) bis h) DSGVO aufgelistete Aspekte der Verarbeitung, z.B. die – streitgegenständliche – Offenlegung von den Empfängern der personenbezogenen Daten.
Aufgrund des nicht eindeutigen Wortlautes des Art. 15 Abs. 1 lit. c) DSGVO – denn auf ein Vorrangverhältnis zwischen Empfängern und Kategorien von Empfängern lässt sich nicht schließen –, sowie der Bedeutung des Aufwandes für den Verantwortlichen je nach Auslegung, stritten sich die Parteien um die Frage nach der Benennung von den Empfängern.
Der EuGH erteilte eine Absage an die für den Verantwortlichen günstige Auslegung und verpflichtet, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen. Dabei lässt der EuGH nur wenige Ausnahmen von dieser Verpflichtung zu, nämlich:
- wenn es nicht möglich ist, die Empfänger zu identifizieren, oder
- wenn der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind.
Diese Auslegung stützt der EuGH auf den Zusammenhang sowie auf die Zwecke und Ziele der Vorschrift. Der Erwägungsgrund 63 Satz 3 zur DSGVO sieht vor, dass jede betroffene Person ein Anrecht darauf haben sollte, zu wissen, wer die Empfänger der personenbezogenen Daten sind. Dieses Recht wird nicht auf „Kategorien von Empfängern“ beschränkt. Zudem trage die Preisgabe der konkreten Identität der Empfänger zu einem hohen Datenschutzniveau bei (Erwägungsgrund 10 der DSGVO) und komme dem Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a) DSGVO nach. Weiterhin müsse das Auskunftsrecht die betroffene Person in die Lage versetzen, die Überprüfung von den Daten, deren Verarbeitung und Befugnis der Offenlegung gegenüber den Empfängern vornehmen zu können, und ggf. weitere Rechte wahrnehmen zu können.
Eine Frage, die sich aufgrund des Urteils stellt, ist, ob die zu Art. 15 Abs. 1 lit. c) DSGVO getroffene Auslegung auch auf die Informationspflichten aus Art. 13, 14 DSGVO übertragbar sind. Denn diese verlangen vom Verantwortlichen als Teil der Datenschutzinformationen auch die Angabe von „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“. Allerdings haben die beiden Regelungen zur Informations- bzw. Auskunftspflicht unterschiedliche Zwecke und – vor allem – unterschiedliche Zeitpunkte im Blick: Im Zusammenhang mit Art. 13, 14 DSGVO steht zum Zeitpinkt der eigenständigen, proaktiven Pflicht im Zweifel nicht fest an welche konkreten Empfänger (Dritte oder Auftragsverarbeiter) Daten weitegegeben werden. Dagegen sind die Auskünfte im Sinne von Art. 15 DSGVO stets reaktiv und auf eine gezielte Nachfrage eines Betroffenen hin zu erteilen. Zu diesem Zeitpunkt sind dem Verantwortlichen alle Empfänger der Daten bekannt. Deshalb zieht der EuGH wohl auch Art. 13, 14 DSGVO nicht in einer Weise heran, die eine Art. 15 Abs. 1 lit. c) DSGVO vergleichbare Auslegung naheliegen würde. Auch der Generalanwalt formulierte in seinen Schlussanträgen (Nr. 21), dass die Informationspflichten eine andere Zielrichtung als das Auskunftsrecht haben.
Praktisch bedeutet die Entscheidung des EuGH vor allem „mehr Aufwand“ für die Verantwortlichen im Datenschutz: Mehr Aufwand bei der Pflege des Datenschutzmanagements, mehr Aufwand bei der Einholung von Informationen bei der Beantwortung von Auskunftsersuchen, mehr Aufwand bei der Nachhaltung von Auftragsverarbeitern und etwaigen Unterauftragnehmern in der Leistungskette.
Es ist zu beachten, dass das Urteil nicht nur Auswirkungen bezüglich der Identität von „direkten“ Empfängern hat, sondern aufgrund des weiten Empfängerbegriffes aus Art. 4 Nr. 9 DSGVO auch alle Personen oder Stellen außerhalb des Verantwortlichen, die unter der Verantwortung des Verantwortlichen befugt sind, personenbezogenen Daten zu verarbeiten, umfasst sind. Dies schließt alle etwaige Unterauftragnehmer ein, also auch die sogenannten weiteren Auftragsverarbeiter i.S.v. Art. 28 Abs. 1, Abs. 4 DSGVO. Somit ist in der Regel die Preisgabe der Identität aller Empfänger in der Leistungskette erforderlich.
Ehemalige Empfänger der Daten müssen jedoch nicht benannt werden, wenn der Verantwortliche positive Kenntnis davon hat, dass der „nicht mehr aktuelle“ Empfänger die Daten der betroffenen Person bereits gelöscht hat. Ansonsten würde das Recht auf Löschung leerlaufen.
Schließlich hat der EuGH – mit Blick auf die Vorlagefrage – nur einen umfassenden Auskunftsanspruch bejaht, wenn die betroffene Person auch dementsprechend konkrete Auskunft begehrt hat. Nicht entschieden hat der EuGH die Frage, ob der Verantwortliche generell zur umfassenden Auskunft verpflichtet ist. Dies könnte im Umkehrschluss bedeuten, dass die umfassende Offenbarung der Empfänger-Identitäten der Daten nicht bei jeglicher Anfrage durchzuführen ist und der konkrete Wortlaut der Anfrage maßgeblich ist.
EuGH Urteil vom 22.6.2022 – C-534/20
Die Pflicht zur Benennung eines Datenschutzbeauftragten trifft viele Unternehmen. Eine deutsche Besonderheit ist dabei der besondere Kündigungsschutz des internen betrieblichen Datenschutzbeauftragen. Zur Vereinbarkeit dieses Kündigungsschutzes mit europarechtlichen Vorgaben hat nun der EuGH entschieden.
Besonderer Schutz des Datenschutzbeauftragten
Der betriebliche und behördliche Datenschutzbeauftragte wird aufgrund seiner Funktion besonders geschützt. Nach Art. 38 III 2 DSGVO dürfen Datenschutzbeauftragte vom Verantwortlichen oder Auftragsverarbeiter wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden. Allerdings geht der nationale Gesetzgeber in § 6 Abs. 4 BDSG noch einen Schritt weiter und regelt arbeitsrechtliche Vorschriften in Form von einem strengeren Kündigungsschutz – auch dann, wenn die Kündigung nicht mit der Erfüllung der Aufgaben als Datenschutzbeauftragter zusammenhängt, sondern aus anderen Gründen erfolgt. Die Rechtmäßigkeit eines solch starken Kündigungsschutzes ist in der deutschen Fachliteratur stark umstritten, insbesondere ob es sich nur um eine rein arbeitsrechtliche Regelung handelt oder aber gegen EU-Recht verstößt.
Daher befasste sich der EuGH im Rahmen eines Vorabentscheidungsverfahren nach Art. 267 AEUV mit der Frage, ob der stringentere Kündigungsschutz für Datenschutzbeauftragte in Deutschland vereinbar sei mit dem datenschutzrechtlichen Europarecht.
Zulässigkeit einer betriebsbedingten Kündigung des internen Datenschutzbeauftragten
Im konkreten Fall ging es um eine betriebsbedingte Kündigung eines betrieblichen Datenschutzbeauftragten. Dabei berief sich der Arbeitsgeber eines privatrechtlich organisierten Unternehmens auf eine Umstrukturierungsmaßnahme, die zum Wegfall des Beschäftigungsbedürfnisses für die Datenschutzbeauftragte geführt habe. Die Funktion der Datenschutzbeauftragten sollte ausgelagert werden und durch einen Externen wahrgenommen werden. Daraufhin erhob die Datenschutzbeauftragte eine Kündigungsschutzklage, mit der sie die Unwirksamkeit der Kündigung geltend machte. Die Instanzgerichte gaben der Datenschutzbeauftragten Recht, denn aus den speziellen deutschen Datenschutzregelungen in § 38 II iVm § 6 IV 2 BDSG ergibt sich, dass verpflichtend bestellte Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund nach § 626 BGB gekündigt werden können. Dagegen wandte sich das Unternehmen mit seiner Revision beim BAG.
Der EuGH hat eine solche schärfere, schützende Regelung als grundsätzlich mit der DSGVO für vereinbar erklärt. Allerdings schränkt er dies damit ein, dass diese schärfere Regelung nur gelte, solange sie die Zwecke des europäischen Datenschutzes nicht beeinträchtigt. Dies begründet der EuGH im Wesentlichen mit dem Telos des Datenschutzes sowie der jeweiligen Gesetzgebungskompetenz. In der DSGVO ist in Art. 38 III 2 DSGVO nicht geregelt, wie ein Datenschutzbeauftragter gekündigt werden kann. Art. 16 II AEUV bildet nur eine Datenschutzrechtsgrundlage. Hier hat Deutschland seine arbeitsrechtliche Kompetenz genutzt, um den Kündigungsschutz auszuweiten. Denn im Bereich der Sozialpolitik hat die EU keine spezifische Kompetenz, sondern bestehen geteilte Zuständigkeiten. Die EU hat gem. Art. 2 II, 4 II b), 153 AEUV beschränkte Richtlinienkompetenzen. Nach Art. 153 II b) AEUV hat die EU lediglich eine Richtlinienkompetenz für Mindestvorschriften. Nach dem Kohärenzprinzip müssen sich die Mitgliedstaaten an den europarechtlichen Rahmen halten, allerdings ist gegen strengere mitgliedstaatliche Regelungen kein Einwand zu erheben. Somit scheidet mangels entsprechender EU-Gesetzgebungskompetenz eine Kollision von EU-Recht und deutschem Sonderkündigungsschutz aus.
Weiterhin müsse laut EuGH auf die Systematik und Telos der Datenschutzvorschriften abgestellt werden. Aspekte des Arbeitsverhältnisses sind kein direktes Regelungsziel der DSGVO, sondern allenfalls am Rande betroffen, um die Unabhängigkeit von Datenschutzbeauftragten zu gewährleisten. Aus Art. 38 DSGVO sowie den Erwägungsgründen 97 und 10 DSGVO folgt, dass die EU als Zweck der Vorschrift Art. 38 III DSGVO die funktionelle Unabhängigkeit der Datenschutzbeauftragten sichergestellt werden soll. Erwägungsgrund 10 der DSGVO deutet an, welches hohe Harmonisierungsniveau mit der DSGVO erzielt werden soll und infolgedessen das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten gleichwertig sein sollte. Auch der Kündigungsschutz dient der funktionellen Unabhängigkeit eines Datenschutzbeauftragten. Dabei bleibt jedoch die Frage, ob ein derart strenger Kündigungsschutz wie es im deutschen BDSG vorgesehen ist, wirklich erforderlich ist.
Schließlich schränkt der EuGH die Anwendbarkeit des Sonderkündigungsschutzes im BDSG dahingehend ein, dass der Datenschutz damit nicht ausgehebelt werden darf. Ein stärkerer Kündigungsschutz darf nicht bedeuten, dass ein Datenschutzbeauftragter unabhängig von datenschutzrechtlichen Zwecken unkündbar ist und die Kündigung per se verhindert werden kann, wenn ein Datenschutzbeauftragter nicht mehr für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder die Aufgaben nicht im Einklang mit der DSGVO erfüllt. Dies zeigt abermals auf, dass es sich beim Datenschutz von Natur aus um eine Querschnittsmaterie handelt und deren Regelungen unvermeidlich auf andere Rechtsbereiche ausstrahlt.
Es ist somit in jedem Einzelfall durch die nationalen Gerichte neu zu prüfen, ob ein wichtiger Kündigungsgrund iSv § 626 BGB vorliegt. Dabei bildet die Europarechtskonformität den übergeordneten Auslegungsmaßstab. Diese Wechselwirkung mit den datenschutzrechtlichen Pflichten nach der DSGVO müssen auch die deutschen Arbeitsgerichte bei ihren Entscheidungen zwingend berücksichtigen. Beispielsweise könnten Interessenkonflikte aus Gründen wie der Wahrnehmung verschiedener Rollen in einer Organisation zu einem anderen Ergebnis im Rahmen einer Abwägung führen.
Der externe Datenschutzbeauftragte als bessere Alternative? Praktisch bedeutet diese EuGH-Entscheidung, dass die relativ starke Stellung und Unabhängigkeit interner Datenschutzbeauftragten bestätigt und bestärkt wurde. Damit bleibt es für Arbeitgeber weiterhin schwierig, sich von internen Datenschutzbeauftragten zu trennen, sofern eine gesetzliche Benennungspflicht vorliegt. Letztlich muss der Verantwortliche bzw. der Auftragsverarbeiter unter Abwägung aller Gesichtspunkte entscheiden, ob er aus Gründen der Flexibilität Externe statt eigene Beschäftige zu betrieblichen Datenschutzbeauftragten bestellen. Eine Möglichkeit für interne Datenschutzbeauftragte könnte eine befristete Benennung sein. Teilweise wird, aus Gründen der Verhinderung des Unterlaufens der gesetzlichen Vorgaben für die Abberufung eines Datenschutzbeauftragten, dazu ein sachlicher, angemessener Grund verlangt.
