Sehr geehrte Damen und Herren,

in der vergangenen Woche gab Amazon in seinem ausführlichen Quartalsbericht die am 16. Juli 2021 von der Datenschutzbehörde in Luxemburg gegen den Online-Händler verhängte Strafe in Höhe von 746 Millionen Euro bekannt. Amazon wies die Vorwürfe der Datenschutzbehörde zurück und kündigte eine Berufung an.

Der aktuelle Datenschutz-Newsletter beschäftigt sich wie gewohnt mit aktuellen Geschehnissen aus dem Datenschutzrecht, unter anderem mit der Auslegung des Auskunftsanspruchs der DSGVO sowie der Stellungnahme der DSK zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie. In unserem Schwerpunktthema informieren wir über den Datenschutzbeauftragten im Unternehmen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Der Datenschutzbeauftragte im Unternehmen

Unternehmen haben unter Geltung der DSGVO die Wahl zwischen der Benennung eines internen Datenschutzbeauftragten und der Beauftragung eines Dritten, der als externer Datenschutzbeauftragter für das Unternehmen tätig wird. Grundlage für die Bestellung ist dabei entweder die datenschutzrechtliche Verpflichtung des Unternehmens durch die DSGVO oder das Bundesdatenschutzgesetz (BDSG) oder die freiwillige Entscheidung des Unternehmens, einen Datenschutzbeauftragten zu bestellen, um beispielsweise den datenschutzrechtlichen Anforderungen besser gerecht zu werden.

Über die Benennung des Datenschutzbeauftragten und seine Stellung im Unternehmen haben wir bereits im Juni 2020 informiert und insbesondere die Meldung der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde sowie die aufgrund des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU vom 20.11.2019 geänderten Benennungsvoraussetzungen in den Blick genommen. In diesem Beitrag möchten wir schwerpunktmäßig beleuchten, welche Voraussetzungen und sonstigen Aspekte bei der Auswahl der Person des Datenschutzbeauftragten zu berücksichtigen sind und unter welchen Bedingungen eine Abberufung möglich ist sowie aktuelle gerichtliche Entscheidungen zu dieser Thematik in den Blick nehmen.

Zum vollständigen Schwerpunktthema

BGH: Auskunftsanspruch der DSGVO weit auszulegen

Der Bundesgerichtshof (BGH) hat in einem Grundsatzurteil entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO weit auszulegen ist (Urt. v. 15.06.2021 – Az.: VI ZR 576/19). Ein Versicherungsnehmer stritt mit seiner Versicherung darüber, über welche Informationen die Versicherung ihm Auskunft erteilen muss. Der BGH entschied, dass insbesondere auch schriftliche Korrespondenz zwischen dem Versicherungsnehmer und seiner Versicherung, sowie interne Vermerke über den Versicherten Gegenstand des Auskunftsanspruchs sein können.

Die Auskunft solle den Betroffenen in die Lage versetzen, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können.

Da Betroffene auch mehrmals gemäß Art. 15 DSGVO Auskunft verlangen können, sei der Auskunftsanspruch nicht auf solche Informationen zu beschränken, die dem Betroffenen nicht bereits bekannt sind. Vielmehr sei auch bereits geführte schriftliche Korrespondenz, die dem Betroffenen eigentlich vorliegen müsste, im Grundsatz vom Auskunftsanspruch erfasst. Dies gelte auch für Korrespondenz zwischen dem Verantwortlichen und Dritten, soweit diese Korrespondenz Informationen über den Betroffenen enthält.

Auch interne Vermerke, z. B. darüber, wie sich ein Betroffener am Telefon oder persönlich geäußert hat, seien vom Auskunftsanspruch umfasst. Die Erwägung, es handle sich um rein „interne Vorgänge“ der Versicherung, sei ohne Relevanz, da Art. 15 DSGVO weder nach seinem Wortlaut noch nach seinem Sinn und Zweck voraussetze, dass die fraglichen Daten extern zugänglich sind. Eine Grenze sei erst dann erreicht, wenn es sich z. B. um interne rechtliche Analysen handle, die keine personenbezogenen Daten des Betroffenen darstellen. Provisionszahlungen der Versicherung an Dritte seien ebenfalls nicht vom Auskunftsanspruch erfasst, da diese keinen Bezug zur Person des Versicherten aufweisen.

Der BGH hat das Verfahren nicht dem EuGH vorgelegt und dabei darauf verwiesen, die Rechtslage sei durch die einschlägige europäische Rechtsprechung „eindeutig geklärt“. Dabei zitiert der BGH mehrere Urteile des EuGH aus den Jahren 2014 und 2017, die allesamt noch vor der Anwendung der Regelungen der DSGVO zu deren Vorgängervorschriften getroffen wurden. Die Auffassung, die Rechtslage sei so klar, muss jedenfalls basierend auf diesen Urteilen nicht zwingend geteilt werden. Insbesondere mit dem Interesse von Unternehmen, vor rechtsmissbräuchlichen Auskunftsansprüchen geschützt zu werden, hat sich der BGH im vorliegenden Fall nicht vertieft auseinandergesetzt. Denkbar ist insbesondere, dass Betroffene Einsicht in sie betreffende Dokumente verlangen, die nicht zur Geltendmachung von Datenschutzrechten, sondern zur Geltendmachung anderer Zivilansprüche (z. B. vertraglicher Ansprüche) benötigen werden. Die Rolle des Datenschutz-Auskunftsanspruchs als Ausforschungsanspruch dürfte damit wachsen.

Für Unternehmen bedeutet das Urteil zunächst, dass diese neue Rechtsprechung zukünftig berücksichtigt werden sollte. Es ist aber nicht auszuschließen, dass der EuGH durch eine Vorlage aus einem anderen europäischen Staat in der Sache noch einmal anders entscheiden wird. Eine entsprechende Vorlagefrage des österreichischen OHG liegt dem EuGH bereits vor (Beschl. v. 18.02.2021, Az: GZ 6Ob159/20f).

(Robert Bommel)

Österreichischer OGH: Vorlage an den EuGH zur Einwilligung von Facebook für die Datennutzung

In der langjährigen Auseinandersetzung zwischen dem österreichischen Datenschutzaktivisten Max Schrems und Facebook hat der österreichische Oberste Gerichtshof (OGH) dem Europäischen Gerichtshof (EuGH) mit Beschluss vom 23.06.2021 (Az. 6 Ob 56/21k) insgesamt vier Fragen zur Auslegung vorgelegt. Bei den Fragen geht es unter anderem um das Konkurrenzverhältnis zwischen der Einwilligung und einem Vertrag als Rechtsgrundlage für die Datenverarbeitung sowie um Fragen des Datenschutzes von besonderen Kategorien personenbezogener Daten. Wie für den OGH üblich, gibt dieser in seiner Vorlagefrage bereits selbst eine umfangreiche Stellungnahme zu den aufgeworfenen Rechtsproblemen ab. Der OGH führt beispielsweise aus, dass Facebook die Beweislast dafür trage, dass die eigene Datenverarbeitung den Anforderungen der DSGVO genüge.

Darüber hinaus erließ der OGH ein Teilurteil zu bestimmten Ansprüchen, die ohne Vorlage an den EuGH entschieden werden konnten. So wurde Max Schrems ein Schadenersatz in Höhe von 500 Euro dafür zugesprochen, dass dieser auf sein Auskunftsverlangen von Facebook weder alle Rohdaten noch entscheidende Informationen, wie die Rechtsgrundlage für die Datenverarbeitung, erhalten hatte. Das Gericht fand dabei deutliche Worte für das von Facebook vorgebrachte Argument, es habe alle seinerzeit alle „relevanten“ Daten zur Verfügung gestellt: „Dass die Auskunftspflicht nicht von der bloßen Eigeneinschätzung der Beklagten („relevant“) abhängen kann, bedarf keiner näheren Ausführungen.Nicht ausreichend ist auch, dass der Kläger Teile der zu beauskunftenden Daten über von der Beklagten bereitgestellte Online-Tools erlangen könnte. Dazu müsste der Kläger nach den Feststellungen mindestens 60 Datenkategorien mit Hunderten, wenn nicht Tausenden von Datenpunkten durchsuchen, was mehrere Stunden Arbeit erfordern würde. Auch damit kann der Kläger somit keine vollständige Auskunft erreichen. Zutreffend verweist der Kläger darauf, dass die DSGVO von einem einmaligen Auskunftsersuchen, nicht von einer „Ostereier-Suche“ ausgeht.“

Es ist zu erwarten, dass die Antworten des EuGHs auf die Vorlagefragen den Umgang mit personenbezogenen Daten durch soziale Netzwerke beschränken werden. Mit einer Entscheidung des EuGH dürfte aber nicht vor dem Sommer 2022 zu rechnen sein.

(Robert Bommel)

DSK: Stellungnahme zur Kontaktverfolgung in Zeiten der Corona-Pandemie und Orientierungshilfe zum Einsatz digitaler Dienste zur Kontaktnachverfolgung

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat sich in einer Stellungnahme zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie geäußert. In ihrer Stellungnahme geht die DSK insbesondere auf die luca-App und deren Einsatz in Unternehmen ein. Nach Auffassung der DSK hat die culture4life GmbH, die Betreibergesellschaft der luca-App, die von der DSK bisher identifizierten Risiken teilweise behandelt. Die DSK fordert das Unternehmen dennoch auf, weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen. Die Stellungnahme der DSK kann hier heruntergeladen werden.

Bereits im April 2021 hat die DSK eine Orientierungshilfe zum „Einsatz von digitalen Diensten zur Kontaktnachverfolgung anlässlich von Veranstaltungs-, Einrichtungs-, Restaurants- und Geschäftsbesuchen zur Verhinderung der Verbreitung von Covid-19“ veröffentlicht. Die Orientierungshilfe enthält auf 13 Seiten umfassende rechtliche Erwägungen der Aufsichtsbehörde zu Fragen der Kontaktnachverfolgung. Die Ausführungen der Aufsichtsbehörde sind überwiegend rechtlich-abstrakt und richten sich deswegen insbesondere an datenschutzrechtlich ausreichend vorgebildete Leser. Die Orientierungshilfe kann hier heruntergeladen werden.

(Robert Bommel)

EDSA: Kein Dringlichkeitsbeschluss gegen Facebook wegen WhatsApp

Der Europäische Datenschutzausschuss (EDSA) hat keinen Dringlichkeitsbeschluss wegen der Verarbeitung von WhatsApp-Daten durch Facebook erlassen. Der Ausschuss hat am 15.07.21 eine Pressemitteilung veröffentlicht, wonach die Voraussetzungen für den Nachweis des Vorliegens eines Regelverstoßes nicht vorlägen und daher keine endgültigen Maßnahmen gegen Facebook eingeleitet würden.

In seiner Entscheidung stellte der EDSA aber gleichzeitig fest, dass es verschiedene Widersprüche und Unklarheiten innerhalb der Nutzerinformationen und schriftlichen Stellungnahmen von WhatsApp sowie der schriftlichen Verpflichtungserklärungen von Facebook gebe und man aus diesem Grund nicht sicher feststellen könne, welche Datenverarbeitungen tatsächlich in welchem Umfang durchgeführt werden. Insoweit sei eine weitere Sachverhaltsermittlung vor der Einleitung weiterer Maßnahmen erforderlich.

Inhaltlich ging es in dem Verfahren um die jüngst geänderten Nutzungsbedingungen und Datenschutzbestimmungen von WhatsApp, denen Nutzer bis Mitte Mai zustimmen sollten. Wir berichteten in unserem Newsletter bereits über die Kritik des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) an den neuen Bestimmungen und das durch ihn eingeleitete Verfahren gegen die Facebook Ireland Ltd., das auf eine sofort vollziehbare Anordnung mit dem Inhalt, keine Daten von WhatsApp-Nutzern zu erheben und zu eigenen Zwecken zu verarbeiten, abzielte.

In Anbetracht der auch aus Sicht des EDSA hohen Wahrscheinlichkeit von Verstößen forderte der Ausschuss die irische Aufsichtsbehörde nunmehr zur raschen Einleitung einer weiteren Untersuchung auf.

(Christina Prowald)

LfDI Baden-Württemberg: Schutz für Studierende bei Online-Prüfungen

Im Zuge der Digitalisierung gehen Hochschulen – und zwar nicht nur Fern-Hochschulen – immer mehr dazu über, Studien-Prüfungen online durchzuführen. Sie reagieren damit auf eine gestiegene Nachfrage von Studierenden, aber insbesondere auch auf die in Zeiten der Pandemie stark eingeschränkten Möglichkeiten von Präsenzprüfungen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) hat nun eine Handreichung für Hochschulen veröffentlicht, wie Prüfungen unter Beachtung der datenschutzrechtlichen Anforderungen durchgeführt werden können. Die Handreichung kann hier heruntergeladen werden.

(Robert Bommel)