Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

am 25. Mai feiert die Datenschutz-Grundverordnung (DSGVO) ihren vierten Geburtstag. In den vergangenen vier Jahren haben unter anderem die Stellungnahmen der Datenschutzaufsichtsbehörden dazu beigetragen, die abstrakt-generellen Vorgaben der DSGVO zu konkretisieren und die praktische Umsetzung von datenschutzrechtlichen Maßnahmen zu vereinfachen. Um Sie diesbezüglich weiter auf dem Laufenden zu halten, berichten wir auch in diesem Monat in unserem Datenschutz-Newsletter über aktuelle Geschehnisse im Datenschutzrecht, zum Beispiel über die aktuelle Positionierung der Aufsichtsbehörden hinsichtlich Facebook-Fanpages. In dem Schwerpunktthema informieren wir über die Datenverarbeitung aufgrund überwiegender berechtigter Interessen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenverarbeitung aufgrund überwiegender berechtigter Interessen

Die Verarbeitung personenbezogener Daten im Anwendungsbereich der DSGVO unterliegt einem „Verbot mit Erlaubnisvorbehalt“: Sie ist verboten, soweit sie nicht ausnahmsweise aufgrund einer gesetzlichen Ermächtigung erlaubt ist. Eine solche gesetzliche Ermächtigung, eine Rechtsgrundlage, ist demnach für die Rechtmäßigkeit einer Verarbeitung von personenbezogenen Daten erforderlich.

Die wesentlichen Rechtsgrundlagen werden in Art. 6 DSGVO aufgezählt. Zu ihnen gehört die Verarbeitung aufgrund eines überwiegenden berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f) DSGVO, dessen Voraussetzungen und Besonderheiten im Folgenden aufgezeigt werden.

Zum vollständigen Schwerpunktthema

EuGH: Verbandsklagebefugnis von Verbraucherschutz­verbänden

Nach einem Vorabentscheidungsersuchen des Bundesgerichtshofs (BGH) hat der Europäische Gerichtshof (EuGH) entschieden, dass Verbraucherschutzverbände Verbandsklagen aufgrund von Datenschutzverletzungen erheben dürfen (EuGH, Urt. v. 28.04.2022 – Az. C-319/20).

Der Entscheidung liegt eine Unterlassungsklage des Verbraucherzentrale Bundesverbands (vzbv) gegen Meta Platforms Ireland zugrunde. Meta Platforms Ireland ist die für die Verarbeitung personenbezogener Daten von Facebook-Nutzern in der EU verantwortliche Stelle. Zu dem sozialen Netzwerk Facebook gehört auch ein sogenanntes „App-Zentrum“ (App Center), über das Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht werden. Wenn der Nutzer bestimmte Spiele aufruft, erscheint der Hinweis, dass die Nutzung der Anwendung es dem Spieleanbieter ermögliche, eine Reihe von personenbezogenen Daten zu erfassen, und ihn dazu berechtige, im Namen dieses Nutzers Informationen zu veröffentlichen. Mit der Nutzung der Anwendung stimmt der Nutzer den Allgemeinen Geschäftsbedingungen und den Datenschutzbestimmungen des Spieleanbieters zu. Außerdem wird der Nutzer bei einem bestimmten Spiel darauf hingewiesen, dass die Anwendung in seinem Namen Fotos und weitere Informationen veröffentlichen dürfe. Der vzbv hielt diese Hinweise im App-Zentrum für unlauter.

Da der BGH Zweifel an der Zulässigkeit der Klage des vzbv hatte, insbesondere an dessen Befugnis zur Erhebung der Klage, erfolgte eine Vorlage an den EuGH. Dieser führt in seinem Urteil aus, dass mit der DSGVO zwar eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten vorgenommen worden sei, aber dennoch nach Art. 80 Abs. 2 DSGVO ein Ermessensspielraum für die Mitgliedsstaaten hinsichtlich der Umsetzung bestehe. Auf dieser Grundlage könnten Mitgliedstaaten daher Verbandsklagen ohne Beauftragung im Bereich von Datenschutzverletzungen in ihrem nationalen Recht vorsehen. Die entsprechenden Rechtsvorschriften dürften jedoch nicht gegen den Inhalt und die Ziele der DSGVO verstoßen.

Für die Klagebefugnis einer Einrichtung, Organisation oder Vereinigung müsse diese die in Art. 80 Abs. 1 DSGVO aufgeführten Kriterien erfüllen. Hierunter könne ein Verband zur Wahrung von Verbraucherinteressen fallen, der ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte und Freiheiten der betroffenen Personen in ihrer Eigenschaft als Verbraucher zu gewährleisten. Die Einrichtung könne eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn ihres Erachtens die Rechte einer Person infolge einer Verarbeitung ihrer personenbezogenen Daten verletzt worden sind. Eine Ermittlung der konkret von dem mutmaßlichen Datenschutzverstoß betroffenen Person im Voraus sei jedoch nicht erforderlich. Es reiche vielmehr die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen sind, aus. Die Erhebung der Klage sei auch nicht an das Vorliegen einer konkreten Verletzung der Rechte einer Person geknüpft, sondern es reiche die Möglichkeit einer Beeinträchtigung. Der EuGH hat außerdem darauf hingewiesen, dass der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen könne.

(Johanna Schmale)

EuGH zur Vorratsdatenspeicherung

Der EuGH hat entschieden, dass das Unionsrecht einer allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten, die elektronische Kommunikation betreffen, zur Bekämpfung schwerer Straftaten entgegensteht. Ein nationales Gericht könne die Wirkungen einer Ungültigerklärung nationaler Rechtsvorschriften, die eine solche Speicherung vorsehen, nicht zeitlich begrenzen (EuGH, Urt. v. 05.04.2022 – Az. C-140/20, vgl. auch die Pressemitteilung des EuGH).

Der Entscheidung liegt ein Fall zugrunde, in dem im März 2015 der Beklagte wegen Mordes an einer Frau in Irland zu einer lebenslangen Freiheitsstrafe verurteilt wurde. In der gegen seine Verurteilung beim Court of Appeal (Berufungsgericht in Irland) eingelegten Berufung warf der Verurteilte dem erstinstanzlichen Gericht unter anderem vor, es habe zu Unrecht Verkehrs- und Standortdaten im Zusammenhang mit Telefonanrufen als Beweismittel zugelassen. Im weiteren Verlauf des Verfahrens legte der Supreme Court (Oberster Gerichtshof Irlands) ein Vorabentscheidungsersuchen bezüglich der Anforderungen des Unionsrechts im Bereich der Speicherung der genannten Daten zum Zweck der Bekämpfung schwerer Straftaten sowie bezüglich der erforderlichen Garantien im Bereich des Zugangs zu diesen Daten ein. Außerdem äußerte er Zweifel hinsichtlich der Tragweite und der zeitlichen Wirkung einer etwaigen Ungültigerklärung bezüglich eines irischen Gesetzes von 2011, das die Speicherung solcher Daten und den Zugang dazu regelte. Das Gesetz war zur Umsetzung der Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten, die der EuGH später jedoch für ungültig erklärt hatte (EuGH, Urt. v. 08.04.2014 in den verbundenen Rechtssachen C-293/12 und C-594/12), erlassen worden.

Der EuGH hat in seinem neuen Urteil entschieden, dass das Unionsrecht nationalen Rechtsvorschriften entgegenstehe, die präventiv eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten, die elektronische Kommunikationen betreffen, zum Zweck der Bekämpfung schwerer Straftaten vorsehen.

Eine Vorratsdatenspeicherung komme nur unter bestimmten Bedingungen in Betracht. Namentlich könnten Rechtsvorschriften zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit unionsrechtskonform 1) anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen, 2) eine allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen, 3) eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen oder 4) eine umgehende Sicherung der Verkehrs- und Standortdaten vorsehen, die den Betreibern elektronischer Kommunikationsdienste zur Verfügung stehen.

Die Bearbeitung von Ersuchen um Zugang zu von den Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeicherten Daten, die von der Polizei im Rahmen der Ermittlung und Verfolgung schwerer Straftaten gestellt werden, könne von nationalen Rechtsvorschriften nicht unionsrechtskonform zentralisiert einem Polizeibeamten zugewiesen werden.

In dem Fall, in dem einem nationalen Gericht die Ungültigerklärung von nationalen Rechtsvorschriften, die den Betreibern elektronischer Kommunikationsdienste eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorschreiben, wegen Unvereinbarkeit mit der Datenschutzrichtlinie für elektronische Kommunikation obliege, könne das Gericht die Wirkungen dieser Ungültigerklärung nicht unionsrechtskonform zeitlich begrenzen. Die Zulässigkeit der durch eine solche Vorratsspeicherung erlangten Beweismittel unterliege nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten jedoch grundsätzlich dem nationalen Recht.

Der EuGH hat damit in seinem Urteil seine ständige Rechtsprechung hinsichtlich der Vorratsdatenspeicherung bestätigt.

(Johanna Schmale)

BGH: Auskunftsrecht über die Herkunft von Daten

Der BGH hat entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO auch den Namen eines Hinweisgebers umfassen kann, von dem Informationen über den Betroffenen weitergegeben wurden (BGH, Urt. v. 22.02.2022 – Az. VI ZR 14 /21).

In dem der Entscheidung zugrunde liegenden Fall hat eine Vermieterin außergerichtlich von einem Mieter verlangt, aufgrund von Beschwerden über starke Geruchsbelästigung und Ungeziefer im Treppenhaus eine Begehung von dessen Wohnung durchzuführen. Der Mieter verlangte daraufhin von der Vermieterin eine Auskunft unter anderem darüber, welche Person sich über ihn beschwert habe.

Nach Ansicht des BGH könne in dem vorliegenden Fall nicht die Auskunft über den Hinweisgeber mit der Begründung verneint werden, der Auskunft stünden dessen schutzwürdige Interessen entgegen. Zwar bestehe das Auskunftsrecht gemäß Art. 15 Abs. 1 lit. g) DSGVO nicht einschränkungslos, sondern es könne durch Rechte und Freiheiten anderer Personen eingeschränkt sein. Ob ein Auskunftsrecht bestünde, sei im Rahmen einer Abwägung der Interessen des Auskunftsberechtigten und des Hinweisgebers zu ermitteln. Zugunsten des auskunftsberechtigten Mieters seien die Bedeutung, das Gewicht und der Zweck des Auskunftsrechts über die Herkunft der Daten einzubeziehen. Die betroffene Person solle sich der Verarbeitung der sie betreffenden Daten bewusst werden und deren Rechtmäßigkeit und Richtigkeit überprüfen können. Das Auskunftsrecht solle es dem Betroffenen insbesondere ermöglichen, von dem Verantwortlichen etwa die Berichtigung oder Löschung seiner Daten zu verlangen. Die Pflicht des Verantwortlichen gemäß Art. 15 Abs. 1 lit. g) DSGVO, im Falle der Verarbeitung personenbezogener Daten der betroffenen Person auch alle verfügbaren Informationen über die Herkunft der Daten zur Verfügung zu stellen, solle die betroffene Person in die Lage versetzen, mögliche Rechte auch gegen die Person oder Stelle geltend zu machen, von der die (möglicherweise unrichtigen oder zu Unrecht weitergegebenen) Daten herrühren.

In dem vorliegenden Fall sei nicht von einem Überwiegen der Interessen des Hinweisgebers auszugehen. Um mögliche Rechte gegenüber dem Hinweisgeber geltend zu machen, benötige der Kläger die Information, von wem die Angaben stammen. Da es sich bei den Angaben „starke Geruchsbelästigung und Ungeziefer im Treppenhaus" unter Herstellung des Bezugs zur Wohnung des Klägers um ansehensbeeinträchtigende Behauptungen handele, liege bei einer zu unterstellenden Unwahrheit dieser Behauptung ein Anspruch gegen den Hinweisgeber auf Unterlassung der Behauptung zumindest nahe. Die Verweigerung der Auskunft könne auch nicht auf das Interesse der beklagten Hausverwaltung an einer sachgerechten und effektiven Aufgabenerfüllung, insbesondere der Erhaltung der Ordnung und des Friedens in der Hausgemeinschaft, gestützt werden.

Im Ergebnis hat der BGH den Rechtsstreit an die Vorinstanz zurückverwiesen, damit diese unter Berücksichtigung der Bewertung des BGH den Fall neu entscheidet. Generell ist für die Übertragbarkeit der Argumentation zu beachten, dass der BGH durchaus die Möglichkeit sieht, dass Geheimhaltungsinteressen des Hinweisgebers auch überwiegen können, vor allem wenn dies von dem Hinweisgeber ausdrücklich zum Ausdruck gebracht wird.

(Johanna Schmale)

Datenschutzbehörden zur Datenschutzkonformität von Facebook-Fanpages

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat am 18.03.2022 ein Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages veröffentlicht. Das Gutachten berücksichtigt die aktuelle Rechtsprechung und die Regelungen des neuen Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG), das am 01.12.2021 in Kraft getreten ist. Die DSK kommt in dem Gutachten zu dem Ergebnis, dass für die bei dem Besuch einer Fanpage in dem sozialen Netzwerk Facebook ausgelöste Verarbeitung von personenbezogenen Daten keine wirksame Rechtsgrundlage gegeben ist. Darüber hinaus würden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.

Aus dem Gutachten der DSK schlussfolgert die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), dass Fanpages bei Facebook abgeschaltet werden müssen, wenn die Betreiber nicht ihre Datenschutzrechtskonformität nachweisen können. Sie hat die Senatsverwaltungen über das Gutachten informiert und diese aufgefordert, ihre Facebook-Fanpages abzuschalten, wenn sie ihre Nachweispflicht nicht erfüllen können (vgl. die Pressemitteilung der BlnBDI vom 08.04.2022). Die Aufforderung zur Deaktivierung der Fanpages begründet die BlnBDI mit der besonderen Verantwortung und der Vorbildfunktion der Senatsverwaltungen als öffentliche Stellen.

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) hat die ihrer Aufsicht unterstehenden obersten Landesbehörden ebenfalls über das Gutachten informiert (vgl. die Pressemitteilung der LDA vom 06.04.2022). Ihrer Ansicht nach hätten es sowohl die Betreiber der Fanpages als auch Facebook in den vergangenen Jahren versäumt, die Einhaltung aller rechtlichen Regelungen zu gewährleisten. Sie müsse davon ausgehen, dass die Behörden einen datenschutzgerechten Betrieb der Fanpages nicht nachweisen können. Die Behörden würden nach Ansicht der LDA ihrer Vorbildfunktion gerecht, wenn sie in diesem Fall ihre Facebook-Auftritte abschalten würden. Die LDA kündigte an, in einem nächsten Schritt konkret zu überprüfen, welche Landesbehörden gegenwärtig Facebook-Fanpages betreiben, und darauf hinzuwirken, dass diese Seiten deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.

Bei ihrem Vorgehen orientieren sich die Behörden an einem Beschluss der DSK, wonach zunächst öffentliche Stellen im Fokus stehen und unter anderem darauf hingewirkt werden soll, dass diese ihre Facebook-Fanpages deaktivieren, sofern die Verantwortlichen ihre Datenschutzkonformität nicht nachweisen können. Der Nachweis betreffe nach Angaben der DSK vor allem den Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit mit Facebook, Informationen über die Datenverarbeitung für die Nutzer, die Zulässigkeit der Speicherung von Informationen in der Endeinrichtung des Nutzers und der Zugriff auf diese Informationen sowie die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten. Das Gutachten bilde für die Mitglieder des DSK jedoch auch eine wichtige Grundlage ihrer aufsichtsbehördlichen Tätigkeit gegenüber nichtöffentlichen Stellen. In der Zukunft sind entsprechende Maßnahmen daher auch gegenüber nichtöffentlichen Stellen denkbar, weshalb diese möglichst frühzeitig ihre eigene Nutzung von Facebook-Fanpages in datenschutzrechtlicher Hinsicht überprüfen sollten und die weiteren Äußerungen der Aufsichtsbehörden sowie etwaige Reaktionen von Facebook verfolgen sollten.

(Johanna Schmale)

Datenschutzbeauftragter Baden-Württemberg: Stellungnahme zu Microsoft 365 an Schulen

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) erwartet von Schulen, dass sie Schülerinnen und Schülern bis zu den Sommerferien 2022 Alternativen zu dem Cloud-Dienst Microsoft 365 für den Schulbetrieb anbieten (vgl. die Pressemitteilung des LfDI vom 25.04.2022). Ab dem kommenden Schuljahr sei die Nutzung von Microsoft 365 an Schulen zu beenden oder dessen datenschutzkonformer Betrieb von den verantwortlichen Schulen eindeutig nachzuweisen.

Der LfDI plant nach eigenen Angaben, in Kürze auf rund 40 ihm bekannte Schulen, die Microsoft 365 oder Microsoft Teams verwenden, zuzugehen und sie über seine rechtliche Bewertung des Online-Dienstes zu informieren und um einen verbindlichen Zeitplan für den Umstieg auf Alternativen zu bitten. Bei der Suche nach Alternativen berate er die Schulen nicht nur, sondern wirke gemeinsam mit dem Kultusministerium darauf hin, dass sie ihren Bedürfnissen entsprechend Alternativen nutzen können.

In der Vergangenheit hatte der LfDI bereits dem Kultusministerium Baden-Württemberg empfohlen, aufgrund hoher datenschutzrechtlicher Risiken von der Nutzung von Microsoft 365 an Schulen abzusehen. Das Kultusministerium hatte zuvor im Rahmen eines Pilotprojekts versucht, eine möglichst datenschutzkonforme Nutzung von Microsoft 365 an Schulen zu ermöglichen. Eine generelle Übertragbarkeit der Bewertung auf jegliche Fälle der Nutzung von Microsoft 365 dürfte allerdings nicht in Betracht kommen, weil auch die Aufsichtsbehörden immer von einer Einzelfallabwägung ausgehen und die schulische Nutzung insoweit als besonders problematisch einzustufen ist, schon alleine wegen der besonderen Anforderungen bei personenbezogenen Daten von Minderjährigen.

(Johanna Schmale)