Monat: Oktober 2020

Nach § 6 Abs. 4 Satz 1 BDSG ist die Abberufung des Datenschutzbeauftragten grundsätzlich nur bei einem Interessenkonflikt oder in entsprechender Anwendung des § 626 BGB zulässig.

Ein Datenschutzbeauftragter wird gemäß Art. 37 Abs. 5 DSGVO auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben. Die persönliche Zuverlässigkeit ist zwar nicht als Voraussetzung erwähnt. Der Datenschutzbeauftragte muss jedoch über die Fähigkeit verfügen, seine in Art. 39 DSGVO genannten Aufgaben zu erfüllen.

Die DSGVO knüpft die Tätigkeit als Datenschutzbeauftragter nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse. Welche Sachkunde hierfür erforderlich ist, richtet sich insbesondere nach der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren, dem Typus der anfallenden Daten usw. Regelmäßig sind Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen erforderlich.

Sind diese Voraussetzungen erfüllt, kann die Bestellung zum Datenschutzbeauftragten nur widerrufen werden, wenn entweder ein Interessenkonflikt mit seinen anderen Aufgaben eintritt oder sonst ein wichtiger Grund in entsprechender Anwendung von § 626 BGB vorliegt.

Ein Interessenkonflikt besteht, wenn der Datenschutzbeauftragte in erster Linie seine eigene Tätigkeit kontrollieren muss. Dagegen ist die Mitgliedschaft im Betriebsrat grundsätzlich mit der Tätigkeit eines Datenschutzbeauftragten vereinbar.

Ein wichtiger Grund in entsprechender Anwendung von § 626 BGB ist gegeben, wenn Tatsachen vorliegen, auf Grund derer dem Arbeitgeber unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile ein weiterer Einsatz des Mitarbeiters in der Funktion des Datenschutzbeauftragten nicht mehr zugemutet werden kann. Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und der Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der datenschutzrechtlichen Kontrollpflichten. Allerdings genügt es nicht, dass der Arbeitgeber eine andere Person, sei es ein anderer Arbeitnehmer oder ein externer Dienstleister, nunmehr für besser geeignet hält. Dem steht die Unabhängigkeit und Weisungsfreiheit des Datenschutzbeauftragten entgegen. Der Datenschutzbeauftragte soll seiner Kontrolltätigkeit im Interesse des Datenschutzes ohne Furcht vor einer Abberufung nachgehen können.

Fundstelle: Landesarbeitsgericht Mecklenburg-Vorpommern 5. Kammer, Urteil vom 25.02.2020, 5 Sa 108/19 – abrufbar im Internet unter http://www.landesrecht-mv.de/jportal/portal/page/bsmvprod.psml;jsessionid=0.jp35?showdoccase=1&doc.id=JURE200004715&st=ent

Am 07. Mai 2020 legte das Bundesministerium des Innern, für Bau und Heimat einen neuen Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) vor, mit dem der mit dem IT-Sicherheitsgesetz geschaffene Ordnungsrahmen erweitert werden soll.

Im Rahmen der Gesetzgebung sollen insbesondere Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen, welches die IT-Sicherheit der Produkte erstmals sichtbar machen soll. Hierdurch soll für die Bürger eine fundierte Kaufentscheidung ermöglicht werden. Außerdem soll Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des Bundesamtes in der Informationstechnik (BSI) gesetzlich etabliert werden.

Um Cyber-Sicherheitsvorfällen begegnen zu können, sollen zudem die Befugnisse des BSI zum Schutz der Bundesverwaltung, beispielsweise mit der Schaffung von Befugnissen zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze ausgeweitet werden.

Bei der rechtswidrigen Verbreitung illegal erlangter Daten tragen die Diensteanbieter nach dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) Mitverantwortung, da die von ihnen angebotenen Dienste Mittel der Verbreitung sind. Damit die rechtswidrige Verbreitung solcher Daten zukünftig schnell unterbunden werden kann, werden den Diensteanbietern Verpflichtungen zum Löschen, zum Melden und zu Bestandsauskünften auferlegt.

Zum Schutz der Wirtschaft sollen die für die Betreiber Kritischer Infrastrukturen bestehenden Meldepflichten und Verpflichtungen zur Einhaltung der Mindeststandards auf weitere Teile der Wirtschaft ausgeweitet werden.

Durch das geplante Regelungsvorhaben der Bundesregierung kommt es für die Wirtschaft nach Berechnung des Bundesministeriums des Innern, für Bau und Heimat zu einer Erhöhung des jährlichen Erfüllungsaufwands von rund 45,09 Millionen Euro. Rund 31,20 Millionen Euro davon entstehen aus neuen oder geänderten Informationspflichten. Einmalig wird die Wirtschaft mit rund 16,71 Millionen Euro belastet werden.
Soweit durch das Regelungsvorhaben für die Wirtschaft zusätzlicher laufender Erfüllungsaufwand entsteht, soll dieser durch geeignete Entlastungsmaßnahmen kompensiert werden.

Der neue Gesetzesentwurf soll nach der Sommerpause im Bundeskabinett behandelt werden.

Fundstelle:

Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) – abrufbar im Internet beispielsweise unter http://intrapol.org/wp-content/uploads/2020/05/200507_BMI_RefE_IT-SiG20.pdf

Der I. Zivilsenat des Bundesgerichtshofs hat über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind (Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II).

Sachverhalt:

Der Kläger ist der Bundesverband der Verbraucherzentralen. Die Beklagte veranstaltete im September 2013 unter ihrer Internetadresse ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Einverständniserklärungen.

Mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Andernfalls sollte die Beklagte diese Auswahl treffen.

Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“

In der mit dem Wort „hier“ verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet seien, der sich mit Namen und Adresse in das bereitgestellte Webformular eingetragen habe. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt.

Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.

Soweit im Revisionsverfahren relevant, hat der Kläger verlangt, der Beklagten zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen.

Bisheriger Prozessverlauf:

Das zuständige Landgericht hat die Beklagte hinsichtlich beider Einverständniserklärungen zur Unterlassung verurteilt. Die Berufung der Beklagten hatte hinsichtlich des Antrags auf Unterlassung der Verwendung der mit einem voreingestellten Ankreuzfeld versehenen Einwilligungserklärung in die Nutzung von Cookies Erfolg. Beide Parteien haben die vom Oberlandesgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof (BGH) hat das Verfahren mit Beschluss vom 05. Oktober 2017 ausgesetzt und dem Gerichtshof der Europäischen Union (EuGH) verschiedene Fragen zur Auslegung der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), der Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) hinsichtlich der Wirksamkeit einer Einwilligung in das Setzen von Cookies durch ein voreingestelltes Ankreuzkästchen vorgelegt. Diese Fragen hat der Gerichtshof der Europäischen Union mit Urteil vom 01. Oktober 2019 beantwortet.

Entscheidung des Bundesgerichtshofs:

Nunmehr hat der Bundesgerichtshof die Revision der Beklagten zurückgewiesen und auf die Revision des Klägers das Berufungsurteil hinsichtlich der Cookie-Einwilligung aufgehoben und die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.

Hinsichtlich der Einwilligung in telefonische Werbung ist die Beklagte gemäß §§ 1, 3 Abs. 1 Nr. 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB und § 7 Abs. 2 Nr. 2 Fall 1 UWG zur Unterlassung und zum Ersatz von Abmahnkosten verpflichtet, weil es sowohl nach der im Zeitpunkt der beanstandeten Handlung geltenden Rechtslage als auch nach der Rechtslage im Entscheidungszeitpunkt an einer wirksamen Einwilligung in telefonische Werbung fehlt. § 7 Abs. 2 Nr. 2 UWG dient der Umsetzung des Art. 13 Abs. 3 und 5 Satz 1 der Richtlinie 2002/58/EG, deren Art. 2 Satz 2 Buchst. f für die Definition der Einwilligung auf Art. 2 Buchst. h der Richtlinie 95/46/EG verweist, so dass der Begriff der „Einwilligung“ richtlinienkonform zu bestimmen ist. Für die Zeit ab dem 25. Mai 2018 ist auf die in Art. 4 Nr. 11 der DSGVO vorgesehene Definition abzustellen, weil seither gemäß Art. 94 Abs. 1 und 2 Satz 1 dieser Verordnung Verweise auf die aufgehobene Richtlinie 95/46/EG als Verweise auf diese Verordnung gelten.

Eine Einwilligung wird „in Kenntnis der Sachlage“ im Sinne des Art. 2 Buchst. h DSGVO erteilt, wenn der Verbraucher weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Die Einwilligung erfolgt im Sinne dieser Vorschrift „für den konkreten Fall“, wenn klar wird, die Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasst. Daran fehlt es im Streitfall, weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor. Aus diesen Gründen fehlt es auch an einer Einwilligung „für den bestimmten Fall“ im Sinne des Art. 4 Nr. 11 DSGVO, die insoweit keine Rechtsänderung herbeigeführt hat.

Hinsichtlich der Einwilligung in die Speicherung von Cookies steht dem Kläger gleichfalls ein Unterlassungsanspruch gemäß § 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB zu. Die von der Beklagten in Form einer Allgemeinen Geschäftsbedingung vorgesehene Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, stellt sowohl nach dem im Zeitpunkt der beanstandeten Handlung geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers dar.

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Datenschutz-Grundverordnung – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar. Der beanstandete Einsatz von Cookies durch die Beklagte als Diensteanbieter dient, wie von § 15 Abs. 3 Satz 1 TMG vorausgesetzt, der Erstellung von Nutzerprofilen zum Zwecke der Werbung, indem das Verhalten des Nutzers im Internet erfasst und zur Zusendung darauf abgestimmter Werbung verwendet werden soll. Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat entschieden, dass Art. 2 Buchst. f und Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG dahin auszulegen sind, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Auf die Frage, ob es sich bei den Informationen um personenbezogene Daten handelt, kommt es nach der Entscheidung des Gerichtshofs in diesem Zusammenhang nicht an. Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Datenschutz-Grundverordnung, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt. Soweit für die Definition der Einwilligung nicht mehr auf Art. 2 Buchst. h der aufgehobenen Richtlinie 95/46/EG abgestellt werden kann, sondern Art. 4 Nr. 11 DSGVO heranzuziehen ist, führt dies zum selben Ergebnis. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat auch mit Blick auf Art. 4 Nr. 11 DSGVO entschieden, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt.

Fundstelle:

PressemitteilungNr. 067/2020 des BGH vom 28.05.2020 – abrufbar im Internet unter https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868 (Eine Urteilsbegründung liegt noch nicht vor)

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 12.05.2020 vor dem Hintergrund des neuen Rechtsrahmens mit Geltung der DSGVO den Einsatz von Google Analytics neu bewertet und einen Beschluss zum Einsatz von Google Analytics im nicht-öffentlichen Bereich veröffentlicht.

Google Analytics ist eines der weitest verbreiteten Tools für Website-Betreiber (Anwender). Mithilfe dieses Tools lassen sich umfassende statistische Auswertungen der Webseitennutzung vornehmen. Zudem hat Google die Verarbeitungsprozesse von Google Analytics fortlaufend angepasst. Dies hat dazu geführt, dass Google Analytics nicht mehr nur ein Tool zur statistischen Analyse (Reichweitenmessung) ist, sondern dem Anwender eine Vielzahl an weiteren Funktionen bietet, mit denen der Anwender verschiedene Zwecke verfolgen kann.

Aus diesem Grund besteht nach Ansicht der Datenschutzaufsichtsbehörden ein großer Beratungsbedarf hinsichtlich des Einsatzes von Google Analytics und die DSK beschreibt in ihrem Beschluss die datenschutzrechtlichen Mindestanforderungen, die von Seitenbetreibern nach derzeitigem Stand zwingend eingehalten werden müssen.

Verarbeitung personenbezogene Daten

In den Google Analytics-Hilfen erläutert Google, dass Nutzungsdaten keine „personenidentifizierbaren Informationen“ seien. Diese Auffassung steht nach Ansicht der DSK im Widerspruch zur Definition des Begriffs „personenbezogene Daten“ in Art. 4 Nr. 1 der DSGVO. Nach Meinung der DSK werden beim Einsatz von Google Analytics immer personenbezogene Daten der Nutzer verarbeitet.

Keine Auftragsverarbeitung

Zwar bietet Google weiterhin einen Vertrag zur Auftragsverarbeitung an, stellt aber zusätzlich in den „Google Measurement Controller-Controller Data Protection Terms“ klar, dass für bestimmte Verarbeitungsprozesse Google und der Anwender (Website-Betreiber) getrennt verantwortlich seien. Zudem stellt Google in den Nutzungsbedingungen klar, dass Google die Daten für eigene Zwecke, insbesondere auch zum Zweck der Bereitstellung seines Webanalyse- und Trackingdienstes, verarbeite. Gemäß Art. 28 Abs. 10 DSGVO handelt es sich damit bei Google nach Ansicht der DSK nicht mehr um einen Auftragsverarbeiter.

„Nach Art. 4 Nr. 7, Art. 28 Abs. 10 DSGVO hat der Verantwortliche die Zwecke und Mittel der Verarbeitung selbst zu bestimmen. Daraus folgt die Pflicht des Auftragsverarbeiters, die Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten (Art. 29 DSGVO). Beim Einsatz von Google Analytics bestimmt der Website-Betreiber nicht allein über die Zwecke und Mittel der Datenverarbeitung. Diese werden vielmehr zum Teil ausschließlich von Google vorgegeben, sodass Google insoweit selbst verantwortlich ist, und vom Seitenbetreiber vertraglich akzeptiert. Die Verarbeitung beim Einsatz von Google Analytics stellt einen einheitlichen Lebenssachverhalt dar, in dem die verschiedenen Aspekte der Verarbeitung nur als Ganzes einen Sinn ergeben. Dies hat zur Folge, dass die Beteiligten innerhalb einer Verarbeitungstätigkeit nicht ihre Rolle als Auftragsverarbeiter und/oder Verantwortlicher wechseln können.

Unter Berücksichtigung der aktuellen Rechtsprechung des EuGH sind Google und der Google-Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich, sodass die Anforderungen des Art. 26 DSGVO zu beachten sind.“

Rechtsgrundlage

Der Einsatz von Google Analytics kann nach Meinung der DSK in aller Regel nicht auf Art. 6 Abs. 1 Buchst. b DSGVO gestützt werden, da der Einsatz von Google Analytics nicht zur Vertragserfüllung zwischen Website-Betreiber und Nutzer erforderlich sei.
Der Einsatz von Google Analytics sei in der Regelauch nicht nach Art. 6 Abs. 1 Buchst. f DSGVO rechtmäßig. Angesichts der konkreten Datenverarbeitungsschritte beim Einsatz von Google Analytics überwiegen nach Ansicht der DSK die Interessen, Grundrechte und Grundfreiheiten der Nutzer regelmäßig die Interessen der Website-Betreiber. Insbesondere rechne der Nutzer vernünftigerweise nicht damit, dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden. Dies gehe weit über das hinaus, was im Rahmen des Art. 6 Abs. 1 Buchst. f DSGVO zulässig sei. Die Situation weiche insoweit erheblich von dem Fall einer Statistik-Funktion auf der eigenen Website oder mittels Auftragsverarbeitung ab.
Google verpflichtet in den vertraglichen Regelungen den Anwender von Google Analytics, unter bestimmten Voraussetzungen für den Einsatz des Dienstes eine Einwilligung der Besucher der Webseite einzuholen. Die Datenschutzaufsichtsbehörden weisen ausdrücklich darauf hin, dass es für den rechtmäßigen Einsatz von Google Analytics nicht auf die vertraglichen Vereinbarungen zwischen Google und dem Anwender ankommt. Die Rechtmäßigkeit richte sich ausschließlich nach dem Gesetz.

Im Ergebnis sei ein rechtmäßiger Einsatz von Google Analytics in der Regel nur aufgrund einer wirksamen Einwilligung der Webseitenbesuchenden gem. Art. 6 Abs. 1 Buchst. a, Art. 7 DSGVO möglich.

Empfohlene Maßnahmen

Die DSK empfiehlt insbesondere folgende Maßnahmen umzusetzen:

1) Einholung einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer

„Eine Einwilligung ist nur wirksam, wenn die Anforderungen gem. Art. 4 Nr. 11, Art. 7 DSGVO und ggf. Art. 8 DSGVO erfüllt sind“. Das bedeutet insbesondere:

• Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.
• In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller Google Accounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.
• Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.
• Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gemäß Art. 7 Abs. 4 DSGVO dazu führen, dass die Einwilligung nicht freiwillig und damit unwirksam ist.

Um die Anforderungen einer wirksamen Einwilligung auf Websites oder in Apps umzusetzen, sind folgende Gestaltungshinweise zu beachten:

• Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird wie beispielsweise „Datenverarbeitung ihrer Nutzerdaten durch Google“.
• Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
• Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.
• Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.

2) Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung

Beim Einsatz von Google Analytics muss stets ein einfacher und immer zugänglicher Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein. Gleiches gilt für Apps, die zum Beginn der Nutzung eine Einwilligung erfragen. Auch hier muss in den Einstellungen eine einfach zugängliche Möglichkeit zum wirksamen Widerruf der Einwilligung vorhanden sein.
Hatte ein Nutzer einmal seine Einwilligung erteilt und widerruft er sie zu einem späteren Zeitpunkt, so ist sicherzustellen, dass nach dem Widerruf das Google-Analytics-Skript nicht nachgeladen oder ausgeführt wird.
Google stellt ein Browser-Add-On zur Deaktivierung von Google Analytics zur Verfügung. Es ist nicht zulässig, den Nutzer ausschließlich auf dieses Add-On zu verweisen, da dies keine hinreichende Widerrufsmöglichkeit darstellt. Gemäß Art. 7 Abs. 3 S. 4 DSGVO ist der Widerruf so einfach wie die Erteilung der Einwilligung zu gestalten. Das von Google zur Verfügung gestellte Add-On erfüllt diese Anforderungen nicht, da der Nutzer zum Herunterladen von weiteren Programmen gezwungen wird. Im Übrigen entspricht das AddOn aufgrund der Vielzahl an Browsern und Betriebssystemen weder dem Stand der Technik noch ist es geeignet, um die Datenverarbeitung in Apps zu unterbinden.

3) Transparenz

Anwender müssen gemäß Art. 13 DSGVO die Nutzer in den Datenschutzbestimmungen umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics informieren. Bezüglich der Anforderungen an diese Informationspflicht wird auf die Leitlinie zur Transparenz des Europäischen Datenschutzausschusses sowie auf die Orientierungshilfe für Anbieter von Telemedien verwiesen.

4) Kürzung der IP-Adresse

Zusätzlich zu den o. g. Maßnahmen sollten Anwender von Google Analytics durch entsprechende Einstellungen die Kürzung der IP-Adressen veranlassen. Dazu ist auf jeder Internetseite mit einer Google Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen. Weitere Details können der technischen Anleitung von Google entnommen werden, abrufbar unter:
https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization
Die Kürzung der IP-Adresse stellt eine zusätzliche Maßnahme gem. Art. 25 Abs. 1 DSGVO zum Schutz der Nutzer dar, sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Beim Einsatz von Google Analytics werden neben der IP-Adresse weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu bewerten sind, wie z. B. Identifizierungsmerkmale der einzelnen Nutzer, die auch eine Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben. Aus diesem Grund ist in jedem Fall der Anwendungsbereich der DSGVO eröffnet, sodass Anwender von Google Analytics auch dann verpflichtet sind, die Anforderungen der DSGVO zu beachten, wenn sie die Kürzung der IP-Adressen veranlasst haben. In der Datenschutzerklärung ist der Umstand, ob die Kürzung der IP-Adressen veranlasst ist, entsprechend anzugeben.“

Abschließend weist die DSK auf Folgendes hin: „Im Übrigen gelten die Ausführungen der Orientierungshilfe für Anbieter von Telemedien.“

Fundstelle:

https://www.datenschutzkonferenz-online.de/beschluesse-dsk.html

Wie zu erwarten war, wird das Informationsbedürfnis der Bevölkerung bezüglich der Corona-Pandemie von Straftätern für ihre kriminellen Aktivitäten genutzt. So werden insbesondere Phishing-Mails verschickt, um an personenbezogene Daten der Betroffenen zu gelangen.  

Beispielsweise wurden Kunden von Sparkassen unter dem Vorwand der Schließung von Filialen aufgrund der Corona-Pandemie dazu aufgefordert, eine in der Mail angegebene Webseite aufzurufen, dort höchst persönliche Daten einzugeben, um weiterhin eine Kommunikation mit dem „Kunden“ gewährleisten zu können.

Was ist Phishing?

Phishing ist ein Kunstwort, das aus den Wörtern Password, Harvesting und Fishing besteht und dementsprechend das „Fischen“ und „Ernten“ von Passwörtern und anderen sensiblen Daten (z. B. Benutzername, Kontonummer, PIN, TAN, Kreditkartennummer) zum Ziel hat. Dabei wird die Gutgläubigkeit von Internet-Usern ausgenutzt, um in den Besitz dieser sensiblen Informationen zu gelangen und sie und/oder Andere damit schädigen zu können.

Im Regelfall läuft ein solcher Phishing-Angriff in zwei Phasen ab: Zunächst wird unter einem Vorwand eine E-Mail verschickt, die einen Link enthält, den das Opfer dazu nutzen soll, eine bestimmte (ihm scheinbar vertraute) Web-Seite aufzusuchen. Diese Mail allein ist noch nicht schädlich. Folgt der Betroffene jedoch der Aufforderung, gelangt er auf die Web-Seite eines Betrügers, die einer echten Home-Page einer vertrauenswürdigen Institution täuschen ähnlich erscheint. Hier wird der Gutgläubige dann zur Preisgabe vertraulicher Daten verleitet, die vom Täter missbräuchlich verwendet werden und womit ein Schaden für das Opfer oder eine andere Person entstehen kann.

Eine andere Variante besteht darin, ein Formular direkt in eine HTML-Mail einzubinden, das zur Eingabe vertraulicher Daten auffordert und diese nach dem Eintrag sofort an den Absender verschickt. Bei dieser Methode ist nicht einmal mehr der Einbezug einer Web-Seite erforderlich.

Muss eine Meldung einer Verletzung des Schutzes personenbezogener Daten erfolgen?

Hat eine Phishing-Attacke zu einer Verletzung des Schutzes personenbezogener Daten (z. B. durch deren Offenlegung) geführt, liegt eine Datenschutzverletzung vor, die nach Art. 33 Abs. 1 Satz 1 DSGVO bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden ist, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (siehe Veröffentlichung vom 07.05.2020 „Wann hat eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen?“).

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Verantwortliche zusätzlich die betroffene Person unverzüglich von der Verletzung benachrichtigen (Art. 34 Abs. 1 DSGVO).

Die Frage, wann ein hohes Risiko besteht, beantwortet die Datenschutz-Grundverordnung nicht. Als Anhaltspunkt kann aber die frühere Regelung des § 42a BDSG-alt bieten, demgemäß ein hohes Risiko vorliegen dürfte, wenn

• besondere Arten personenbezogener Daten,
• personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
• personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
• personenbezogene Daten zu Bank- oder Kreditkartenkonten

Unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und deshalb schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.

Einem Arbeitnehmer steht gegenüber seinem Arbeitgeber ein Auskunftsrecht nach Art. 15 Abs. 1 DSGVO bezüglich der über ihn im Rahmen des Arbeitsverhältnisses verarbeiteten personenbezogenen Daten zu (Urteil des Arbeitsgerichts Düsseldorf, 9 Ca 6557/18, vom 05. März 2020).

Ein Arbeitnehmer verlangte von seinem ehemaligen Arbeitgeber, ihm Auskunft über die über ihn verarbeiteten personenbezogenen Daten zu erteilen. Nachdem er zu seinen diesbezüglichen Fragen keine bzw. keine befriedigenden Antworten erhielt, reichte er beim Arbeitsgericht Düsseldorf Klage ein und verlangte eine Entschädigung.

Das Amtsgericht Düsseldorf verurteilte die Beklagte dazu, dem Kläger Auskunft über folgende Fragen zu erteilen:

1. die Zwecke, für die die personenbezogenen Daten der klägerischen Partei verarbeitet werden und
2. die Kategorien personenbezogener Daten, die verarbeitet werden.

Alle übrigen Auskunftsverlagen waren bereits erfüllt bzw. nicht relevant. Des Weiteren wurde die Beklagte verurteilt, an den Kläger 5.000 € nebst Zinsen zu zahlen.

Erkenntnisse aus dem Urteil

• Die im Kapitel III der DSGVO festgehaltenen Rechte der betroffenen Person bestehen auch im Arbeitsverhältnis.
• Einem Arbeitnehmer steht ein Auskunftsanspruch gemäß Art. 15 Abs. 1 DSGVO gegenüber seinem Arbeitgeber zu, insbesondere bezüglich der Verarbeitungszwecke (Art. 15 Abs. 1 Buchstabe a DSGVO) und der Kategorien personenbezogener Daten (Art. 15 Abs. 1 Buchstabe b DSGVO), die verarbeitet werden.
• Der Verantwortliche muss im Rahmen der Auskunft auch Empfänger oder Kategorien von Empfängern mitteilen, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden (Art. 15 Abs. 1 Buchstabe c DSGVO). Durch diese Auskunft erhält der Betroffene die Möglichkeit, den Empfängern gegenüber seine Rechte aus Art. 12 ff. DSGVO geltend zu machen. Eine Pflicht zur Mitteilung über eigenverantwortliche Datenverarbeitung durch Dritte besteht nicht.
• Nach Art. 15 Abs. 1 Buchstabe d DSGVO besteht ein Anspruch auf Auskunft über die geplante Dauer, für die die personenbezogenen Daten gespeichert werden.
• Nach Art. 15 Abs. 3 S. 1, Abs. 4 DSGVO stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung, wenn die Rechte und Freiheiten anderer Personen dadurch nicht beeinträchtigt werden.
• Der Verantwortliche muss grundsätzlich keine Auskunft über Daten erteilen, die er in der Vergangenheit einmal verarbeitet hat und über die er ggf. nicht mehr verfügt. Andererseits soll er sich der Auskunftspflicht auch nicht durch ein Löschen der Daten entziehen können. Für den Umfang des Auskunftsverlangens ist grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich.
• Nach Art. 12 Abs. 1 S. 1 DSGVO muss der Arbeitgeber als Verantwortlicher geeignete Maßnahmen treffen, um insbesondere die Mitteilung nach Art. 15 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
• Die Angaben zum Zweck der Datenverarbeitung müssen vollständig und so konkret und detailliert sein, dass sich der Betroffene ein Bild davon machen kann, welche Datenverarbeitungen zu welchen Zwecken erfolgen.
• Durch die Nichterteilung von Auskünften verstößt ein Arbeitgeber als Verantwortlicher gegen die Datenschutz-Grundverordnung. Nach Art. 82 Abs. 1 DSGVO kann jeder „Verstoß gegen die Verordnung“ eine Schadensersatzpflicht begründen. Außerdem kann jede unterlassene oder nicht vollständige Auskunftserteilung nach Art. 83 Abs. 5 Buchstabe b DSGVO mit einer Geldbuße sanktioniert werden.

Fundstelle:

Urteil des Arbeitsgerichts Düsseldorf vom 05.03.2020 – Az.: 9 Ca 6557/18, abrufbar im Internet unter https://www.justiz.nrw.de/nrwe/arbgs/duesseldorf/arbg_duesseldorf/j2020/9_Ca_6557_18_Urteil_20200305.html

Das generelle Einsichtsrecht des Betriebsrats in die elektronische Personalakte der Arbeitnehmer, das nicht von deren Zustimmung abhängig ist, verletzt die Arbeitnehmer in ihrem allgemeinen Persönlichkeitsrecht aus Art. 1 Abs. 1 GG i. V. m. Art. 2 Abs. 1 GG, das die Betriebsparteien gemäß § 75 Abs. 2 BetrVG bei ihren Regelungen zu achten haben.

In einer Gesamtbetriebsvereinbarung über die Einführung und Nutzung von elektronischen Personalakten war folgender Passus in der Ziffer 8.3 beinhaltet:

„Der Gesamtbetriebsratsvorsitzende und der örtliche Betriebsratsvorsitzende erhält permanenten Zugriff auf die elektronische Personalakte mit Ausnahme der Akten der Leitenden Mitarbeiter und der Mitarbeiter des Personalbereichs. Die örtlichen Betriebsratsvorsitzenden erhalten Zugriff auf die Akten des Wahlbetriebs, für den sie zuständig sind. Der Gesamtbetriebsratsvorsitzende erhält Zugriff auf die Akten des gesamten Unternehmens.“

Die Arbeitgeberin verwehrte jedoch der Betriebsratsseite diesen Zugriff. Der Gesamtbetriebsrat hatte daher ein Verfahren zunächst beim Arbeitsgericht und dann beim Landesarbeitsgericht Düsseldorf eingeleitet, mit dem er einen Anspruch auf Durchführung von Ziffer 8.3 der Gesamtbetriebsvereinbarung und damit die Einräumung eines Einsichtsrechts in die elektronischen Personalakten für die örtlichen Betriebsratsvorsitzenden sowie anderenfalls hilfsweise die Feststellung geltend macht, dass die Gesamtbetriebsvereinbarung insgesamt unwirksam ist. Die Arbeitgeberin wandte ein, Ziffer 8.3 der Gesamtbetriebsvereinbarung sei rechtswidrig.

Das Landesarbeitsgericht hat die Anträge des Gesamtbetriebsrats ebenso wie das Arbeitsgericht zurückgewiesen. Ziffer 8.3. der Gesamtbetriebsvereinbarung ist unwirksam. Das generelle Einsichtsrecht der Betriebsratsvorsitzenden in die elektronische Personalakte der Arbeitnehmer, das nicht von deren Zustimmung abhängig ist, verletzt die Arbeitnehmer in ihrem allgemeinen Persönlichkeitsrecht aus Art. 1 Abs. 1 GG i. V. m. Art. 2 Abs. 1 GG, das die Betriebsparteien gemäß § 75 Abs. 2 BetrVG bei ihren Regelungen zu achten haben. Zur Kontrolle der Regelungen aus der Gesamtbetriebsvereinbarung ist ein derart weites Einsichtsrecht der Betriebsratsseite weder geeignet noch erforderlich und verletzt das allgemeine Persönlichkeitsrecht der Arbeitnehmer in unangemessener Weise. Dies gilt insbesondere auch deshalb, weil die Gesamtbetriebsvereinbarung weitere spezifische Kontrollrechte für die Betriebsratsseite enthält. Die GBV EFM bleibt im Übrigen wirksam, weil sie auch ohne Ziffer 8.3. in sich geschlossene und sinnvoll anwendbare Regelungen enthält.

Eine Rechtsbeschwerde hat das Landesarbeitsgericht nicht zugelassen.

Fundstelle:

Pressemitteilung des Landesarbeitsgerichts Düsseldorf zum Beschluss vom 23.06.2020 (3 TaBV 65/19) – abrufbar im Internet unter https://www.justiz.nrw/JM/Presse/presse_weitere/PresseLArbGs/23_06_2020_1/index.php

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 die Vereinbarung zur Übermittlung personenbezogener Daten in die USA (Privacy Shiel) für unwirksam erklärt (Rechtssache C‑311/18). Gleichzeitig hält er die Übertragung personenbezogener Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland für zulässig, falls diese die erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten.

Alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet.

Am 25. Juni 2013 legte der österreichische Staatsbürger Max Schrems bei der Europäischen Kommision eine Beschwerde ein, mit der er im Wesentlichen forderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Dabei machte er geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. Die Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in der Entscheidung 2000/520 (Safe Harbour) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten.

Der High Court (Hoher Gerichtshof, Irland), vor dem Herr Schrems Klage gegen die Zurückweisung seiner Beschwerde erhoben hatte, befasste den Gerichtshof mit einem Vorabentscheidungsersuchen betreffend die Auslegung und die Gültigkeit der Entscheidung 2000/520. Mit Urteil vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650), erklärte der Gerichtshof diese Entscheidung und das Safe Harbour-Abkommen für ungültig. Grund für dieses Urteil war insbesondere die Zugriffsmöglichkeit der US-Nachrichtendienste auf die übermittelten Daten und die fehlenden Mechanismen zur Durchsetzung der Betroffenenrechte.

Nach neuen Verhandlungen einigten sich die Europäische Kommission und die US-Regierung auf (neue) Rahmenbedingungen, die gewährleisten sollten, dass beim Empfänger in den USA ein angemessenes Datenschutzniveau besteht. Daraufhin sah sich die Europäische Kommission veranlasst, am 12. Juli 2016 festzustellen, dass ein angemessenes Datenschutzniveau unter den Rahmenbedingungen des EU-US Privacy Shieldbesteht (vgl. Durchführungsbeschluss (2016) 1250, veröffentlicht im Amtsblatt EU vom 1. August 2016, L 207/1).

Auch dieses Abkommen hat der EuGH nunmehr kassiert und Folgendes ausgeführt:

1. Art. 2 Abs. 1 und 2 der Datenschutz-Grundverordnung ist dahin auszulegen, dass eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer in den Anwendungsbereich dieser Verordnung fällt, ungeachtet dessen, ob die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.
2. Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c DSGVO sind dahin auszulegen, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Europäischen Union durch diese Verordnung im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Europäischen Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 DSGVO genannten Elemente.
3. Art. 58 Abs. 2 Buchst. f und j DSGVO ist dahin auszulegen, dass die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet ist, eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 DSGVO sowie nach der Charta der Grundrechte, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder beendet.
4. Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung anhand der Art. 7, 8 und 47 der Charta der Grundrechte hat nichts ergeben, was seine Gültigkeit berühren könnte.
5. Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 (Privacy Shield) gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.

Fundstelle:

http://curia.europa.eu/juris/document/document.jsf;jsessionid=4B581CD2AD4837AD722422B24FDEBF2A?text=&docid=228677&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=9903838

Die Datenschutzaufsichtsbehörden haben durch die DSGVO Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse erhalten, mit denen sie dafür sorgen können, dass die Grundsätze der Datenschutz-Grundverordnung und die Rechte der betroffenen Personen entsprechend dem Wortlaut und dem Geist der Verordnung gewahrt werden. Nachfolgend wird auf einige der wichtigsten Untersuchungsbefugnisse der Aufsichtsbehörden näher eingegangen:

1. Bereitstellung von Informationen

Gemäß Art. 58 Abs. 1 Buchst. a DSGVO hat jede Aufsichtsbehörde das Recht, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Dies spiegelt sich auch in Art. 31 DSGVO wider, demgemäß der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten müssen. Zur Durchsetzung des Rechts kann eine Aufsichtsbehörde alle in Art. 58 Abs. 2 DSGVO aufgeführten Abhilfebefugnisse nutzen.

Die der Kontrolle unterliegenden Stellen sind gegenüber der Aufsichtsbehörde auskunftspflichtig, es sei denn, sie können gegebenenfalls von einem Auskunftsverweigerungsrecht Gebrauch machen.

Eine derartige Auskunftsverpflichtung ergibt sich im Regelfall aufgrund der Aufforderung einer Aufsichtsbehörde zu einem bestimmten Sachverhalt Stellung zu nehmen. Die Auskunft muss alle erforderlichen Angaben enthalten und somit vollständig sein.

Die Auskunft ist unverzüglich – also ohne schuldhaftes Zögern (§ 121 BGB) – gegebenenfalls innerhalb einer von der Aufsichtsbehörde eingeräumten Frist zu erteilen – auch auf schriftliche Anfragen. Ein Entgelt für eine Auskunft kann nicht verlangt werden.

2. Datenschutzüberprüfungen

Die Aufsichtsbehörden können nach der DSGVO Datenschutzüberprüfungen durchführen (Art. 58 Abs. 1 Buchst. b DSGVO). Im Rahmen dieser Prüfungen kann die Aufsichtsbehörde von den Verantwortlichen

• Auskünfte verlangen,
• Grundstücke und Geschäftsräume betreten und dort,
• Prüfungen und Besichtigungen vornehmen sowie,
• geschäftliche Unterlagen, gespeicherte personenbezogene Daten und Datenverarbeitungsprogramme einsehen.

3. Hinweis auf Datenschutzverstöße

Gemäß Art. 58 Abs. 1 Buchst. d DSGVO kann die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinweisen. So kann beispielsweise auf Verstöße im Rahmen der Allgemeinen Geschäftsbedingungen eines Unternehmens hingewiesen werden.

4. Zugang zu allen personenbezogenen Daten und Informationen und Betretungsrecht

Jede Aufsichtsbehörde kann von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen verlangen, die zur Erfüllung ihrer Aufgaben notwendig sind (Art. 58 Abs. 1 Buchst. e DSGVO).

Des Weiteren kann Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters verlangen (Art. 58 Abs. 1 Buchst. f DSGVO). Im Rahmen dieses Betretungsrechts ist das mit der Kontrolle beauftragten Personen befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben erforderlich ist,

• während der Betriebs- und Geschäftszeiten,
• Grundstücke und Geschäftsräume der der Kontrolle unterliegenden Stelle zu betreten und dort,
• Prüfungen und Besichtigungen vorzunehmen.

Dabei können die Aufsichtsbehörden geschäftliche Unterlagen (z. B. das Verzeichnis der Verarbeitungstätigkeiten und das Datensicherheitskonzept) sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme einsehen, sich Notizen machen und gegebenenfalls die Aushändigung von Fotokopien (nicht jedoch Originalunterlagen) verlangen. Der Einsichtnahme unterliegen auch Daten, die zum Brief-, Post und Telekommunikationsgeheimnis, dem Amtsgeheimnis und dem Berufsgeheimnis gehören bzw. der ärztlichen Schweigepflicht unterliegen.

Der Auskunftspflichtige, d. h. die der Kontrolle unterliegende Stelle sowie die mit deren Leitung betraute Person, hat diese Maßnahmen zu dulden.

Dieses Betretungs-, Besichtigungs- und Prüfungsrecht kann nach einhelliger Rechtsmeinung auch unangemeldet ausgeübt, d.h. es können auch Stichprobenkontrollen durchgeführt werden. Dies kann insbesondere erforderlich sein, um eine Vernichtung von belastenden Beweisen, z. B. durch Datenlöschung, zu verhindern. Allerdings wird eine Prüfung in der Regel angekündigt, damit gewährleistet ist, dass entsprechende Ansprechpartner des Unternehmens im Rahmen der Prüfung anwesend sind.

Eine Aufsichtsbehörde muss sich allerdings nicht auf einen späteren Prüfungszeitpunkt verweisen lassen, um die Anwesenheit bestimmter Mitarbeiter der zu prüfenden Stelle zu ermöglichen. Vor allem dann nicht, wenn die Verantwortlichen nicht in unmittelbarer zeitlicher Nähe in der Lage sind, der Prüfung beizuwohnen.

Die Ankündigung, während der üblichen Geschäftszeit die Betriebsräume gegenüber den Beschäftigten der Aufsichtsbehörde zu verschließen, ist bereits Ausdruck der gesetzeswidrigen Nichtduldung der Prüfung. Den Beschäftigten der Aufsichtsbehörde ist es auch nicht zuzumuten, sich einschließen zu lassen.

Das Betretungsrecht bezieht sich auf Grundstück und Geschäftsräume der speichernden Stelle, nicht jedoch auf Privatwohnungen. Bei Heim- und Telearbeit muss der Unternehmer ein entsprechendes Betretungsrecht vereinbaren.

Die Datenschutzaufsichtsbehörden fordern aufgrund des Verbots des Privacy Shields Auskunft darüber, wie künftig die Datenübermittlungen in die USA gestaltet werden. Außerdem hat sich der Europäische Datenschutzausschuss (EDSA) auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs geeinigt.

Der EDSA hat sich am 23. Juli 2020 auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Schrems II – Urteil des Europäischen Gerichtshofs zum Datentransfer in Länder außerhalb der EU geeinigt.

Nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber hat der EDSA mit der Veröffentlichung dieser Frequently Asked Questions (FAQ) entscheidende Fragen geklärt, die sich nach dem Urteil stellen. So stellt der EDSA beispielsweise fest, dass es keine ‚Gnadenfrist‘ für Datenverarbeitungen auf Grundlage des vom Europäischen Gerichtshof für ungültig erklärten „Privacy Shield“ geben wird. Die Umstellung muss ohne Verzögerung begonnen werden.

Zudem gibt das Dokument Hinweise zur Zukunft der sogenannten Standardvertragsklauseln. Dazu sagte Professor Kelber: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.“

Der EDSA erklärt außerdem, welche Maßnahmen ergriffen werden müssen, wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft: „Wer nicht weiß, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, muss jetzt seine Verträge mit den Dienstleistern prüfen.“

Das Dokument sei aber nicht abschließend. Der EDSA werde weitere Antworten ergänzen. Jetzt komme es darauf an, dass die europäischen Datenschutzaufsichtsbehörden ihre beaufsichtigten Stellen intensiv zu alternativen Grundlagen für den internationalen Datenaustausch beziehungsweise Umstellungen beraten.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hebt in einer Pressemittelung vom 24.07.2020 hervor, dass der Privacy Shield ungültig sei und keine Datenübermittlung in die USA rechtfertige könne. Als Konsequenz aus diesem Urteil werde der LfDI Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben. Da dies ab sofort nicht mehr möglich sei, müssten von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden.

Datenübermittlung in die USA und sonstige Drittstaaten außerhalb der Europäischen Union seien auf der Grundlage von Standardvertragsklauseln weiterhin möglich, sie müssten aber ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich seien, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden könnten. Dies sei eine Frage des Einzelfalles. Zugleich müssten die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt.

Der LfDI Rheinland-Pfalz weist darauf hin, dass Verantwortliche ihre Datenübermittlungen aussetzen müssen, wenn diese den Anforderungen der Datenschutz-Grundverordnung, wie sie der EuGH in dem Urteil Schrems II konkretisiert hat, nicht entsprechen. Darüber hinaus müssten die Verantwortlichen die personenbezogenen Daten, die bis dahin auf der Grundlage des Privacy Shield übermittelt wurden, zurückfordern bzw. vernichten lassen und hierüber eine Dokumentation vorhalten. Falls die Verantwortlichen dies nicht tun, werde der LfDI Rheinland-Pfalz entsprechende Maßnahmen ergreifen. Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kämen auch weitere Sanktionen in Betracht: „Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stehen ihm sämtliche von der Datenschutz-Grundverordnung vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum.“

Fundstellen:

• Pressemitteilung des BfDI zum Thema „EDSA beschließt FAQ zu Schrems II – abrufbar im Internet unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/19_FAQ-zu-Schrems-II.html;jsessionid=5DA640A21AC6E97C48B9DD556A972A7A.2_cid507
• „Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems“ des EDSA – abrufbar im Internet unter https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en (in englischer Sprache)
• Pressemitteilung „Konsequenzen des LfDI Rheinland-Pfalz aus dem EuGH-Urteil Schrems II“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 24.07.2020 – abrufbar im Internet unter https://www.datenschutz.de/konsequenzen-des-lfdi-rheinland-pfalz-aus-dem-eugh-urteil-schrems-ii/