Sehr geehrte Damen und Herren,

die Datenschutz-Aufsichtsbehörden in Deutschland haben auf Anfrage der WELT AM SONNTAG offengelegt, in welchem Umfang bisher wegen Verstößen gegen die DSGVO Bußgelder verhängt wurden. Diese erste Bußgeld-Bilanz fällt dabei überschaubar aus; innerhalb des ersten Jahres der Anwendung der Regelungen der DSGVO wurden 81 Fällen Bußgelder gegen Unternehmen für Datenschutzverstöße verhängt. Die Summe der Bußgelder beträgt fast 500.000 Euro, wobei nur in sieben Bundesländern überhaupt Bußgelder verhängt wurden: Baden-Württemberg (7 Fälle mit insgesamt 203.000 Euro), Rheinland-Pfalz (9 Fälle mit insgesamt 124.000 Euro), Berlin (18 Fälle mit insgesamt 105.600 Euro), Hamburg (2 Fälle mit zusammen 25.000 Euro) Nordrhein-Westfalen (36 Fälle mit insgesamt 15.600 Euro), Sachsen-Anhalt (6 Fälle mit insgesamt 11.700 Euro) und Saarland (3 Fälle mit insgesamt 590 Euro). Das größte Einzelbußgeld wurde in Baden-Württemberg in Höhe von 80.000 Euro verhängt, nachdem Gesundheitsdaten ungeschützt über das Internet abgerufen werden konnten. Auf den ersten Blick sind diese Zahlen überraschend, weil im Vorfeld vor einem extrem hohen Bußgeldrisiko gewarnt wurde. Es ist aber zu bedenken, dass die Aufsichtsbehörden einen extrem weiten Ermessensspielraum haben und auch weiterhin deutlich höhere Bußgelder möglich sind. In diesem Zusammenhang dürfte zu bedenken sein, dass umfangreichere Datenschutzverstöße auch nach dem aktuellen Recht zunächst genauer aufgeklärt werden müssen, sodass derartige Verfahren im Zweifelsfall noch gar nicht abgeschlossen sind.

In unserem Datenschutz-Newsletter werden wir weiterhin über die Bußgeldpraxis und weitere Aktivitäten der Aufsichtsbehörden berichten, wenn es aktuelle Erkenntnisse oder neue Entwicklungen gibt. In der aktuellen Ausgabe berichten wir etwa über die Untersuchungen zur Nutzung von Microsoft Office 365 und anderer Microsoft-Produkte. In unserem Schwerpunktthema befassen wir uns außerdem mit dem „Datenaustausch im Kontext des Mindestlohngesetzes“. Daneben informieren wir über ein Urteil des LG Köln zur Reichweite des datenschutzrechtlichen Auskunftsanspruchs und setzen die Serie zur Vorstellung unseres Teams fort.

Wie immer gilt: Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Viel Freude mit der Lektüre unseres Newsletters wünschen Ihnen

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenaustausch im Kontext des Mindestlohngesetzes

Unternehmer, die sich im Wirtschaftsverkehr zur Erfüllung vertraglicher Pflichten eines Subunternehmers bedienen, begegnen verschiedenen Haftungsrisiken: Hält sich der Subunternehmer nicht an seine gesetzlichen Verpflichtungen, insbesondere hinsichtlich der Entlohnung seiner Angestellten und der Abführung der Sozialversicherungsbeiträge, so droht dem Auftraggeber, selbst in Haftung genommen zu werden.

Zum Schutz vor dieser Haftung verlangen die Auftraggeber häufig die Übermittlung von personenbezogenen Daten der Mitarbeiter ihrer Subunternehmer. Dies wirft die Frage auf, inwieweit diese Mitarbeiterdaten vom Subunternehmer an den Auftraggeber übertragen und von diesem verarbeitet werden dürfen, wenn dies der Vermeidung von Haftungsrisiken dient.

Die Weitergabe der Daten durch den Subunternehmer ist datenschutzrechtlich zulässig, wenn einer der gesetzlichen Erlaubnistatbestände einschlägig ist. Insoweit kommt zunächst die Spezialregelung des § 26 BDSG in Betracht, soweit die Datenverarbeitung bereits zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Jedenfalls die Weitergabe von pseudonymisierten Listen dürfte von § 26 BDSG gedeckt sein.

Problematischer ist indes, inwieweit auch die Weitergabe einer Mitarbeiterliste datenschutzrechtlich gerechtfertigt werden kann. Soweit jedoch § 26 BDSG einen Sachverhalt nicht abschließend regelt, dürfte es richtig sein, auf die weiteren Rechtfertigungstatbestände der DSGVO zurückzugreifen. In diesem Zusammenhang kommt insbesondere eine Rechtfertigung über die Berufung auf berechtigte eigene Interessen nach Art. 6 Abs. 1 lit. f) DSGVO in Frage. Der Erwägungsgrund 47 Satz 2 DSGVO sieht insoweit ausdrücklich vor, dass auch berechtigte Interessen Dritter, also hier des Auftraggebers, zur Datenweitergabe berechtigen können. Im Hinblick darauf, dass im Falle der Übermittlung von Namen und Vornamen der Arbeitnehmer keine besonders sensiblen Daten der Betroffenen übermittelt werden und zudem die Datenübermittlung gerade der Durchsetzung ihrer eigenen Mindestlohnansprüche dient, ist vorliegend nicht anzunehmen, dass die Grundfreiheiten und Interessen der Betroffenen die wirtschaftlichen Interessen des Auftraggebers überwiegen, soweit nur diese Daten bspw. in Form einer Mitarbeiterliste weitergegeben werden.

Zum vollständigen Schwerpunktthema

Niederlande: Microsoft Office verstößt gegen die DSGVO

In den Niederlanden wurde auf Veranlassung der öffentlichen Verwaltung eine umfangreiche Datenschutz-Folgenabschätzung zur Nutzung von Microsoft-Produkten in Behörden vorgenommen. Die Privacy Company, die mit der Durchführung der Prüfung beauftragt war, kommt in ihrer umfangreichen Stellungnahme zu dem Ergebnis, dass die Nutzung von Microsoft Office 2016 und Office 365 in zahlreichen Punkten gegen die DSGVO verstößt. Microsoft sammle und speichere insbesondere personenbezogene Daten seiner Nutzer in großem Umfang, ohne dass dies öffentlich dokumentiert wäre. Hieraus ergäben sich große Risiken für den betroffenen Nutzer.

Nach Ansicht der Privacy Company ist Microsoft zudem kein Auftragsverarbeiter, da Microsoft selbstständig über diverse Datenverarbeitungen bestimme. Tatsächlich setzt die Einordnung als Auftragsverarbeitung gem. Art. 28 DSGVO voraus, dass der Auftraggeber die Datenverarbeitung ausschließlich für den Auftraggeber nach dessen Weisung verarbeitet. Aufgrund der eigenständigen Nutzung der Daten durch Microsoft komme allenfalls eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO in Betracht, für die aber keine entsprechende Vereinbarung vorliegt.

Microsoft hat nach Vorlage der Datenschutz-Folgenabschätzung angekündigt, die betroffenen Versionen von Office anzupassen, um die zahlreichen Bedenken auszuräumen. Mittlerweile sind durch Updates auch bereits erste Verbesserung erreicht worden. Die niederländische Aufsichtsbehörde (Autoriteit Persoonsgegevens) geht vor diesem Hintergrund davon aus, dass sich das Datenschutzniveau bei der Nutzung von Microsoft-Produkten deutlich verbessert hat.

Die Prüfung in den Niederlanden ist vor allem deshalb von Relevanz, weil die technischen Erkenntnisse unmittelbar für die Nutzung von Microsoft-Produkten in Deutschland übertragbar sind. Außerdem wird aufgezeigt, wie durch eine gründliche Prüfung datenschutzrechtliche Schwachstellen aufgezeigt werden können. Inwieweit unter Berücksichtigung der Prüfung Microsoft-Produkte in Deutschland rechtskonform eingesetzt werden können, bleibt weiter fraglich. Eine Pflicht für Unternehmen, zukünftig auf den Einsatz von Microsoft Office generell zu verzichten, gibt es aktuell nicht. Es bleibt aber dabei, dass die deutschen Aufsichtsbehörden die Nutzung generell kritisch sehen und daher vor allem die Einführung der cloudbasierten Lösung Microsoft Office 365 datenschutzrechtlich begleitet werden sollte.

Die vollständige 91-seitige Datenschutz-Folgenabschätzung kann in englischer Sprache hier  heruntergeladen werden.

Europäischer Datenschutzbeauftragter untersucht EU-Verträge mit Microsoft

Der Europäische Datenschutzbeauftragte (European Data Protection Supervisor, EDPS) hat eine Überprüfung der Verträge zwischen EU-Institutionen und Microsoft eingeleitet. Zur Begründung wird darauf verwiesen, dass EU-Institutionen diverse Microsoft-Produkte und Dienstleistungen im Rahmen ihrer täglichen Arbeit nutzen. Dabei würde auch eine große Menge personenbezogener Daten verarbeitet. Es sei Aufgabe des EDPS, die Einhaltung der datenschutzrechtlichen Anforderungen auch durch EU-Institutionen zu überprüfen. Insoweit Microsoft als Dienstleister eingesetzt werden, verbleibe die datenschutzrechtliche Verantwortung bei den EU-Institutionen. Entsprechend falle auch die Prüfung der Verträge zwischen den EU-Institutionen und Microsoft in den Aufgabenbereich des EDPS. Als Anlass für die Überprüfung wird unter anderem auf den Prüfbericht aus den Niederlanden zu Microsoft Office (s. o.) verwiesen.

LG Köln: Reichweite des datenschutzrechtlichen Auskunftsanspruchs

Das Landgericht Köln (LG Köln) hat sich im Rahmen eines Urteils zur Reichweite des datenschutzrechtlichen Auskunftsanspruchs gemäß At. 15 DSGVO geäußert (Urteil vom 18.03.2019, Az: 26 O 25/18). Im konkreten Fall hatte die Klägerin bei der Beklagten zwei Lebensversicherungsverträge abgeschlossen. In diesem Zusammenhang gab es umfangreiche Korrespondenz zwischen der Klägerin und der Beklagten. Im Rahmen eines von der Klägerin geltend gemachten Auskunftsanspruchs nach Art. 15 DSGVO erteilte die Beklagte diverse Informationen, die der Klägerin zur Erfüllung des Auskunftsanspruchs aber nicht genügten. Aus diesem Grund klagte die Klägerin vor dem LG Köln auf die Erteilung „sämtlicher [zu ihr] gespeicherter Informationen“.

Das LG Köln teilte die Auffassung der Klägerin nicht. Das Gericht betonte, der Auskunftsanspruch beziehe sich gerade nicht auf sämtliche interne Vorgänge, sodass beispielsweise Vermerke, Bewertungen oder rechtliche Analysen nicht von dem Anspruch umfasst seien. Auch sämtlicher bisher zwischen der Klägerin und dem Beklagten geführte Schriftverkehr sei nicht von dem Auskunftsanspruch umfasst und müsse nicht erneut ausgedruckt und übersandt werden. Das LG Köln begründete seine Auffassung damit, dass der Anspruch aus Art. 15 DSGVO nicht der Vereinfachung der Buchführung der Klägerin diene. Dies ergebe sich auch aus der Formulierung von Art. 15 Abs. 3 DSGVO, wonach der Betroffene (lediglich) eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhalten könne.

Die Frage der Reichweite datenschutzrechtlicher Auskunftsansprüche ist in unserem Datenschutz-Newsletter bereits im vergangenen Monat im Rahmen eines Urteils des LAG Baden-Württemberg intensiv diskutiert worden. In diesem Zusammenhang waren wir bereits auf die Entscheidungen des Europäischen Gerichtshofs aus dem Jahr 2014 zum Auskunftsanspruch unter der Datenschutz-Richtlinie eingegangen. Anders als das LAG Baden-Württemberg scheint das LG Köln die Wertentscheidungen des EuGH aus dem Jahr 2014 in seiner Entscheidung berücksichtigt zu haben, auch wenn die EuGH-Urteile nicht direkt zitiert wurden.

Eine weitere inhaltliche Überprüfung der Entscheidung des LG Köln ist nicht möglich, da in den Entscheidungsgründen nicht konkret benannt wird, welche Informationen die Beklagte zur Verfügung gestellt hat. Die allgemeinen Erwägungen des Gerichts vermögen aber zu überzeugen. Unternehmen können sich insoweit in ihrer Auffassung bestätigt sehen, dass die bisherige Korrespondenz mit Betroffenen im Rahmen der Erfüllung von Auskunftsansprüchen nicht zur Verfügung gestellt werden müssen.

In eigener Sache: Vorstellung von Herrn Robert Bommel LL.M.