Wann hat eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen?

Eine Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO hat bei Datenschutzverletzungen immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.

Auch zwei Jahre nach Anwendbarkeit der Datenschutz-Grundverordnung herrscht vielerorts nach Unsicherheit darüber, wann eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen hat.

Gemäß Art. 4 Nr. 12 DSGVO stellt eine „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit dar, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Somit ist eine Datenschutzverletzung nicht mit einem Verstoß gegen datenschutzrechtliche Vorschriften gleichzusetzen, vielmehr wird ausschließlich der Aspekt der Datensicherheit in den Blick genommen.

Die Gesetzesdefinition setzt voraus, dass eine Verletzung eingetreten ist. Ob sie zu einem Schaden geführt hat, spielt keine Rolle. Auch, um welche Art personenbezogener Daten (ob sehr sensibel oder nicht) es sich handelt, ist nicht entscheidend. Die Meldepflicht besteht immer. Keine Rolle spielt auch, ob eine Datenpanne beabsichtigt war oder nicht.

Bei der Feststellung einer Datensicherheitsverletzung – einer gängigeren Terminologie folgend als „Datenschutzverletzung“ bezeichnet – muss zwischen Verletzungsverhalten und Verletzungserfolg unterschieden werden.

Ein Verhalten ist als Verletzung der Sicherheit zu werten, wenn die betreffende Person normative – insbesondere organisatorische – Vorgaben nicht beachtet oder technische Vorkehrungen überwindet, die der Verantwortliche jeweils nach Art. 32 DSGVO getroffen hat.

Der Verletzungserfolg liegt häufig darin, dass die Datenverfügbarkeit, die Datenintegrität oder die Datenvertraulichkeit beeinträchtigt sind.

Zur Abschätzung, ob eine Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss eine Risikobewertung durchgeführt werden. Dabei besteht die Herausforderung, objektive Kriterien für Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen festzulegen.

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde (egal ob er sie verschuldet hat), diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 Satz 1 DSGVO).

Grund für diese Meldungspflicht ist gemäß Satz 1 des Erwägungsgrunds 85 zur Datenschutz-Grundverordnung, dass eine Verletzung des Schutzes personenbezogener Daten — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen kann, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen (Satz 3 des Erwägungsgrunds 87 zur Datenschutz-Grundverordnung).

Die Mitteilung muss auch dann erfolgen, falls die durch die Meldung verfügbar werdenden Informationen zur Verarbeitung zur Einleitung eines Strafverfahrens führen können.

Die Meldepflicht entsteht zu dem Zeitpunkt, zu welchem der Verantwortliche von dem meldepflichtigen Ereignis Kenntnis erlangt hat. Nach Auffassung der Artikel-29-Datenschutzgruppe ist anzunehmen, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, wenn der betreffende Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat.

Ein Ereignis ist erst dann als Datenschutzverletzung zu behandeln, sobald es als eine solche identifiziert werden kann. Vor diesem Zeitpunkt kann die Datenschutzverletzung dem Verantwortlichen grundsätzlich nicht bekannt werden.

Aus aufsichtsbehördlicher Sicht kann bei Datenschutzverletzungen, die nicht auf den ersten Blick – und sei es auch nur vorläufig – einzuordnen sind, eine Aufklärungsphase von höchstens 24 Stunden ab dem Auftreten hinreichender Anhaltspunkte in Anspruch genommen werden.

Die Meldung ist nach Art. 33 Abs. 1 Satz 1 DSGVO unverzüglich, mithin ohne schuldhaftes Zögern, zu erstatten.

Die in Art. 33 Abs. 1 Satz 1 DSGVO enthaltene 72-Stunden-Frist ist eine Richtgröße, an deren Überschreitung eine Begründungspflicht (Art. 33 Abs. 1 Satz 2 DSGVO) anknüpft (die etwa dann zu erfüllen sein kann, wenn sich die 72-Stunden-Frist einmal gerade über die Weihnachtstage erstreckt).

Die Frist läuft an einem Feiertag, Sonntag oder Samstag (Sonnabend) weiter. Endet die 72-Stunden-Frist an einem Feiertag, Sonntag oder Samstag, verlängert sie sich nicht bis zum nächsten Arbeitstag.

Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist nach Art. 33 Abs. 1 Satz 2 DSGVO eine Begründung für die Verzögerung beizufügen.

Erforderlicher Inhalt der Meldung einer Verletzung des Schutzes personenbezogener Daten

Im Beitrag vom 07.05.2020 haben wir Sie darüber informiert, wann die Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen hat. Heute beschäftigen wir uns mit dem Inhalt einer derartigen Meldung.

Die Meldung einer Verletzung des Schutzes personenbezogener Daten muss gemäß Art. 33 Abs. 3 DSGVO zumindest folgende Informationen enthalten:

  • Buchstabe a: eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • Buchstabe b: den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • Buchstabe c: eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • Buchstabe d: eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Buchstabe a

Eine Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde muss eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze enthalten.

Zwar werden in der DSGVO keine Kategorien von betroffenen Personen oder personenbezogenen Datensätzen definiert. Die Artikel-29-Datenschutzgruppe schlägt jedoch vor, dass die Kategorien von betroffenen Personen auf die verschiedenen Arten von Personen Bezug nehmen, deren personenbezogene Daten durch eine Datenschutzverletzung beeinträchtigt wurden. Je nach verwendeten Deskriptoren könnten dazu unter anderem Kinder und andere schutzbedürftige Gruppen, Menschen mit Behinderungen, Beschäftige oder Kunden gehören. In ähnlicher Weise können sich die Kategorien personenbezogener Datensätze auf die unterschiedlichen Arten von Datensätzen beziehen, die ein Verantwortlicher besitzt, zum Beispiel Gesundheitsdaten, Ausbildungsunterlagen, Informationen zur Sozialfürsorge, Finanzdaten, Kontonummern, Reisepassnummern usw.

Das Fehlen genauer Informationen (z. B. die genaue Zahl der betroffenen Personen) darf kein Hindernis für die frühzeitige Meldung einer Datenschutzverletzung sein. Nach der DSGVO dürfen ungefähre Zahlen der betroffenen Personen und der betroffenen personenbezogenen Datensätze angegeben werden. Der Fokus sollte auf der Behebung der nachteiligen Auswirkungen der Datenschutzverletzung liegen und weniger auf genauen Zahlenangaben. Daher kann, wenn eine Datenschutzverletzung eindeutig festgestellt wurde, deren genaues Ausmaß aber noch nicht bekannt ist, die Meldung schrittweise erfolgen, um der Meldepflicht dennoch ordnungsgemäß nachzukommen.

Buchstabe b

Die Nennung des Namens und der Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer) des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle soll es der Aufsichtsbehörde ermöglichen, weitere Informationen zum Sachverhalt einzuholen.

Buchstabe c

Erwägungsgrund 85 macht deutlich, dass die Meldung unter anderem dazu dienen soll, den Schaden für natürliche Personen zu begrenzen. Wenn sich also aus den Arten von betroffenen Personen oder den Arten von personenbezogenen Daten ableiten lässt, dass eine Datenschutzverletzung einen bestimmten Schaden zur Folge haben könnte (z. B. Identitätsdiebstahl, Betrug, finanzielle Verluste, Gefährdung des Berufsgeheimnisses), ist es wichtig, diese Kategorien bei der Meldung anzugeben.

Damit wird eine Verknüpfung mit der Pflicht zur Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung hergestellt. 

Buchstabe d

Gemäß Buchstabe d muss eine Meldung einer Datenschutzverletzung Informationen darüber enthalten, welche Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls welche Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen vom Verantwortlichen ergriffen worden bzw. geplant sind. Diese Maßnahmen bilden die Grundlage für eine eventuelle Beratung durch die zuständige Aufsichtsbehörde bzw. einer Anordnung von geeigneteren Abhilfemaßnahmen.

Diese Aufstellung stellt nur den Mindestumfang einer Meldung dar, im Einzelfall kann eine umfassendere Mitteilung erforderlich sein.

Die Informationen dienen der Aufsichtsbehörde als Grundlage dafür, zu entscheiden, ob die ergriffenen Maßnahmen ausreichend sind oder nicht.

Format und Verfahren der Meldung

Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbehörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände einer Verletzung des Schutzes personenbezogener Daten durch eine frühzeitige Offenlegung in unnötiger Weise behindert würde (Erwägungsgrunds 88 zur Datenschutzgrundverordnung).

Im Regelfall wird es genügen, die Meldung in schriftlicher Form oder mittels verschlüsselter E-Mail zu übersenden. Erfolgt eine Informierung zunächst telefonisch, sollte baldmöglichst eine schriftliche Benachrichtigung nachgereicht werden. Dies dient auch der gemäß Art. 33 Abs. 5 bestehenden Dokumentationspflicht.

Keine Widerrufung der Bestellung zum Datenschutzbeauftragten ohne wichtigen Grund

Nach § 6 Abs. 4 Satz 1 BDSG ist die Abberufung des Datenschutzbeauftragten grundsätzlich nur bei einem Interessenkonflikt oder in entsprechender Anwendung des § 626 BGB zulässig.

Ein Datenschutzbeauftragter wird gemäß Art. 37 Abs. 5 DSGVO auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben. Die persönliche Zuverlässigkeit ist zwar nicht als Voraussetzung erwähnt. Der Datenschutzbeauftragte muss jedoch über die Fähigkeit verfügen, seine in Art. 39 DSGVO genannten Aufgaben zu erfüllen.

Die DSGVO knüpft die Tätigkeit als Datenschutzbeauftragter nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse. Welche Sachkunde hierfür erforderlich ist, richtet sich insbesondere nach der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren, dem Typus der anfallenden Daten usw. Regelmäßig sind Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen erforderlich.

Sind diese Voraussetzungen erfüllt, kann die Bestellung zum Datenschutzbeauftragten nur widerrufen werden, wenn entweder ein Interessenkonflikt mit seinen anderen Aufgaben eintritt oder sonst ein wichtiger Grund in entsprechender Anwendung von § 626 BGB vorliegt.

Ein Interessenkonflikt besteht, wenn der Datenschutzbeauftragte in erster Linie seine eigene Tätigkeit kontrollieren muss. Dagegen ist die Mitgliedschaft im Betriebsrat grundsätzlich mit der Tätigkeit eines Datenschutzbeauftragten vereinbar.

Ein wichtiger Grund in entsprechender Anwendung von § 626 BGB ist gegeben, wenn Tatsachen vorliegen, auf Grund derer dem Arbeitgeber unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile ein weiterer Einsatz des Mitarbeiters in der Funktion des Datenschutzbeauftragten nicht mehr zugemutet werden kann. Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und der Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der datenschutzrechtlichen Kontrollpflichten. Allerdings genügt es nicht, dass der Arbeitgeber eine andere Person, sei es ein anderer Arbeitnehmer oder ein externer Dienstleister, nunmehr für besser geeignet hält. Dem steht die Unabhängigkeit und Weisungsfreiheit des Datenschutzbeauftragten entgegen. Der Datenschutzbeauftragte soll seiner Kontrolltätigkeit im Interesse des Datenschutzes ohne Furcht vor einer Abberufung nachgehen können.

Fundstelle: Landesarbeitsgericht Mecklenburg-Vorpommern 5. Kammer, Urteil vom 25.02.2020, 5 Sa 108/19 – abrufbar im Internet unter http://www.landesrecht-mv.de/jportal/portal/page/bsmvprod.psml;jsessionid=0.jp35?showdoccase=1&doc.id=JURE200004715&st=ent

Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme

Am 07. Mai 2020 legte das Bundesministerium des Innern, für Bau und Heimat einen neuen Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) vor, mit dem der mit dem IT-Sicherheitsgesetz geschaffene Ordnungsrahmen erweitert werden soll.

Im Rahmen der Gesetzgebung sollen insbesondere Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen, welches die IT-Sicherheit der Produkte erstmals sichtbar machen soll. Hierdurch soll für die Bürger eine fundierte Kaufentscheidung ermöglicht werden. Außerdem soll Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des Bundesamtes in der Informationstechnik (BSI) gesetzlich etabliert werden.

Um Cyber-Sicherheitsvorfällen begegnen zu können, sollen zudem die Befugnisse des BSI zum Schutz der Bundesverwaltung, beispielsweise mit der Schaffung von Befugnissen zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze ausgeweitet werden.

Bei der rechtswidrigen Verbreitung illegal erlangter Daten tragen die Diensteanbieter nach dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) Mitverantwortung, da die von ihnen angebotenen Dienste Mittel der Verbreitung sind. Damit die rechtswidrige Verbreitung solcher Daten zukünftig schnell unterbunden werden kann, werden den Diensteanbietern Verpflichtungen zum Löschen, zum Melden und zu Bestandsauskünften auferlegt.

Zum Schutz der Wirtschaft sollen die für die Betreiber Kritischer Infrastrukturen bestehenden Meldepflichten und Verpflichtungen zur Einhaltung der Mindeststandards auf weitere Teile der Wirtschaft ausgeweitet werden.

Durch das geplante Regelungsvorhaben der Bundesregierung kommt es für die Wirtschaft nach Berechnung des Bundesministeriums des Innern, für Bau und Heimat zu einer Erhöhung des jährlichen Erfüllungsaufwands von rund 45,09 Millionen Euro. Rund 31,20 Millionen Euro davon entstehen aus neuen oder geänderten Informationspflichten. Einmalig wird die Wirtschaft mit rund 16,71 Millionen Euro belastet werden.
Soweit durch das Regelungsvorhaben für die Wirtschaft zusätzlicher laufender Erfüllungsaufwand entsteht, soll dieser durch geeignete Entlastungsmaßnahmen kompensiert werden.

Der neue Gesetzesentwurf soll nach der Sommerpause im Bundeskabinett behandelt werden.

Fundstelle:

Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) – abrufbar im Internet beispielsweise unter http://intrapol.org/wp-content/uploads/2020/05/200507_BMI_RefE_IT-SiG20.pdf

Urteil des BGH zur Einwilligung in telefonische Werbung und Cookie-Speicherung

Der I. Zivilsenat des Bundesgerichtshofs hat über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind (Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II).

Sachverhalt:

Der Kläger ist der Bundesverband der Verbraucherzentralen. Die Beklagte veranstaltete im September 2013 unter ihrer Internetadresse ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Seite, auf der Name und Anschrift des Nutzers einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Einverständniserklärungen.

Mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, sollte das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Dabei bestand die Möglichkeit, die werbenden Sponsoren und Kooperationspartner aus einer verlinkten Liste von 57 Unternehmen selbst auszuwählen. Andernfalls sollte die Beklagte diese Auswahl treffen.

Das zweite Ankreuzfeld war mit einem voreingestellten Häkchen versehen und wies folgenden Text auf:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“

In der mit dem Wort „hier“ verlinkten Erläuterung wurde darauf hingewiesen, dass die Cookies eine bestimmte, zufallsgenerierte Nummer (ID) erhalten würden, die den Registrierungsdaten des Nutzers zugeordnet seien, der sich mit Namen und Adresse in das bereitgestellte Webformular eingetragen habe. Falls der Nutzer mit der gespeicherten ID die Webseite eines für Remintrex registrierten Werbepartners besuchen würde, sollte sowohl dieser Besuch erfasst werden als auch, für welches Produkt sich der Nutzer interessiert und ob es zu einem Vertragsschluss kommt.

Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.

Soweit im Revisionsverfahren relevant, hat der Kläger verlangt, der Beklagten zu verbieten, entsprechende Einverständniserklärungen in Gewinnspielvereinbarungen mit Verbrauchern einzubeziehen oder sich darauf zu berufen.

Bisheriger Prozessverlauf:

Das zuständige Landgericht hat die Beklagte hinsichtlich beider Einverständniserklärungen zur Unterlassung verurteilt. Die Berufung der Beklagten hatte hinsichtlich des Antrags auf Unterlassung der Verwendung der mit einem voreingestellten Ankreuzfeld versehenen Einwilligungserklärung in die Nutzung von Cookies Erfolg. Beide Parteien haben die vom Oberlandesgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof (BGH) hat das Verfahren mit Beschluss vom 05. Oktober 2017 ausgesetzt und dem Gerichtshof der Europäischen Union (EuGH) verschiedene Fragen zur Auslegung der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), der Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) hinsichtlich der Wirksamkeit einer Einwilligung in das Setzen von Cookies durch ein voreingestelltes Ankreuzkästchen vorgelegt. Diese Fragen hat der Gerichtshof der Europäischen Union mit Urteil vom 01. Oktober 2019 beantwortet.

Entscheidung des Bundesgerichtshofs:

Nunmehr hat der Bundesgerichtshof die Revision der Beklagten zurückgewiesen und auf die Revision des Klägers das Berufungsurteil hinsichtlich der Cookie-Einwilligung aufgehoben und die erstinstanzliche Verurteilung der Beklagten wiederhergestellt.

Hinsichtlich der Einwilligung in telefonische Werbung ist die Beklagte gemäß §§ 1, 3 Abs. 1 Nr. 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB und § 7 Abs. 2 Nr. 2 Fall 1 UWG zur Unterlassung und zum Ersatz von Abmahnkosten verpflichtet, weil es sowohl nach der im Zeitpunkt der beanstandeten Handlung geltenden Rechtslage als auch nach der Rechtslage im Entscheidungszeitpunkt an einer wirksamen Einwilligung in telefonische Werbung fehlt. § 7 Abs. 2 Nr. 2 UWG dient der Umsetzung des Art. 13 Abs. 3 und 5 Satz 1 der Richtlinie 2002/58/EG, deren Art. 2 Satz 2 Buchst. f für die Definition der Einwilligung auf Art. 2 Buchst. h der Richtlinie 95/46/EG verweist, so dass der Begriff der „Einwilligung“ richtlinienkonform zu bestimmen ist. Für die Zeit ab dem 25. Mai 2018 ist auf die in Art. 4 Nr. 11 der DSGVO vorgesehene Definition abzustellen, weil seither gemäß Art. 94 Abs. 1 und 2 Satz 1 dieser Verordnung Verweise auf die aufgehobene Richtlinie 95/46/EG als Verweise auf diese Verordnung gelten.

Eine Einwilligung wird „in Kenntnis der Sachlage“ im Sinne des Art. 2 Buchst. h DSGVO erteilt, wenn der Verbraucher weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Die Einwilligung erfolgt im Sinne dieser Vorschrift „für den konkreten Fall“, wenn klar wird, die Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasst. Daran fehlt es im Streitfall, weil die beanstandete Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Auswahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von dieser Auswahl abzusehen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor. Aus diesen Gründen fehlt es auch an einer Einwilligung „für den bestimmten Fall“ im Sinne des Art. 4 Nr. 11 DSGVO, die insoweit keine Rechtsänderung herbeigeführt hat.

Hinsichtlich der Einwilligung in die Speicherung von Cookies steht dem Kläger gleichfalls ein Unterlassungsanspruch gemäß § 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB zu. Die von der Beklagten in Form einer Allgemeinen Geschäftsbedingung vorgesehene Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, stellt sowohl nach dem im Zeitpunkt der beanstandeten Handlung geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers dar.

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Datenschutz-Grundverordnung – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar. Der beanstandete Einsatz von Cookies durch die Beklagte als Diensteanbieter dient, wie von § 15 Abs. 3 Satz 1 TMG vorausgesetzt, der Erstellung von Nutzerprofilen zum Zwecke der Werbung, indem das Verhalten des Nutzers im Internet erfasst und zur Zusendung darauf abgestimmter Werbung verwendet werden soll. Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat entschieden, dass Art. 2 Buchst. f und Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG dahin auszulegen sind, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Auf die Frage, ob es sich bei den Informationen um personenbezogene Daten handelt, kommt es nach der Entscheidung des Gerichtshofs in diesem Zusammenhang nicht an. Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Datenschutz-Grundverordnung, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt. Soweit für die Definition der Einwilligung nicht mehr auf Art. 2 Buchst. h der aufgehobenen Richtlinie 95/46/EG abgestellt werden kann, sondern Art. 4 Nr. 11 DSGVO heranzuziehen ist, führt dies zum selben Ergebnis. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat auch mit Blick auf Art. 4 Nr. 11 DSGVO entschieden, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt.

Fundstelle:

PressemitteilungNr. 067/2020 des BGH vom 28.05.2020 – abrufbar im Internet unter https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868 (Eine Urteilsbegründung liegt noch nicht vor)

DSK veröffentlicht Beschluss zum Einsatz von Google Analytics im nicht-öffentlichen Bereich

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 12.05.2020 vor dem Hintergrund des neuen Rechtsrahmens mit Geltung der DSGVO den Einsatz von Google Analytics neu bewertet und einen Beschluss zum Einsatz von Google Analytics im nicht-öffentlichen Bereich veröffentlicht.

Google Analytics ist eines der weitest verbreiteten Tools für Website-Betreiber (Anwender). Mithilfe dieses Tools lassen sich umfassende statistische Auswertungen der Webseitennutzung vornehmen. Zudem hat Google die Verarbeitungsprozesse von Google Analytics fortlaufend angepasst. Dies hat dazu geführt, dass Google Analytics nicht mehr nur ein Tool zur statistischen Analyse (Reichweitenmessung) ist, sondern dem Anwender eine Vielzahl an weiteren Funktionen bietet, mit denen der Anwender verschiedene Zwecke verfolgen kann.

Aus diesem Grund besteht nach Ansicht der Datenschutzaufsichtsbehörden ein großer Beratungsbedarf hinsichtlich des Einsatzes von Google Analytics und die DSK beschreibt in ihrem Beschluss die datenschutzrechtlichen Mindestanforderungen, die von Seitenbetreibern nach derzeitigem Stand zwingend eingehalten werden müssen.

Verarbeitung personenbezogene Daten

In den Google Analytics-Hilfen erläutert Google, dass Nutzungsdaten keine „personenidentifizierbaren Informationen“ seien. Diese Auffassung steht nach Ansicht der DSK im Widerspruch zur Definition des Begriffs „personenbezogene Daten“ in Art. 4 Nr. 1 der DSGVO. Nach Meinung der DSK werden beim Einsatz von Google Analytics immer personenbezogene Daten der Nutzer verarbeitet.

Keine Auftragsverarbeitung

Zwar bietet Google weiterhin einen Vertrag zur Auftragsverarbeitung an, stellt aber zusätzlich in den „Google Measurement Controller-Controller Data Protection Terms“ klar, dass für bestimmte Verarbeitungsprozesse Google und der Anwender (Website-Betreiber) getrennt verantwortlich seien. Zudem stellt Google in den Nutzungsbedingungen klar, dass Google die Daten für eigene Zwecke, insbesondere auch zum Zweck der Bereitstellung seines Webanalyse- und Trackingdienstes, verarbeite. Gemäß Art. 28 Abs. 10 DSGVO handelt es sich damit bei Google nach Ansicht der DSK nicht mehr um einen Auftragsverarbeiter.

„Nach Art. 4 Nr. 7, Art. 28 Abs. 10 DSGVO hat der Verantwortliche die Zwecke und Mittel der Verarbeitung selbst zu bestimmen. Daraus folgt die Pflicht des Auftragsverarbeiters, die Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten (Art. 29 DSGVO). Beim Einsatz von Google Analytics bestimmt der Website-Betreiber nicht allein über die Zwecke und Mittel der Datenverarbeitung. Diese werden vielmehr zum Teil ausschließlich von Google vorgegeben, sodass Google insoweit selbst verantwortlich ist, und vom Seitenbetreiber vertraglich akzeptiert. Die Verarbeitung beim Einsatz von Google Analytics stellt einen einheitlichen Lebenssachverhalt dar, in dem die verschiedenen Aspekte der Verarbeitung nur als Ganzes einen Sinn ergeben. Dies hat zur Folge, dass die Beteiligten innerhalb einer Verarbeitungstätigkeit nicht ihre Rolle als Auftragsverarbeiter und/oder Verantwortlicher wechseln können.

Unter Berücksichtigung der aktuellen Rechtsprechung des EuGH sind Google und der Google-Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich, sodass die Anforderungen des Art. 26 DSGVO zu beachten sind.“

Rechtsgrundlage

Der Einsatz von Google Analytics kann nach Meinung der DSK in aller Regel nicht auf Art. 6 Abs. 1 Buchst. b DSGVO gestützt werden, da der Einsatz von Google Analytics nicht zur Vertragserfüllung zwischen Website-Betreiber und Nutzer erforderlich sei.
Der Einsatz von Google Analytics sei in der Regelauch nicht nach Art. 6 Abs. 1 Buchst. f DSGVO rechtmäßig. Angesichts der konkreten Datenverarbeitungsschritte beim Einsatz von Google Analytics überwiegen nach Ansicht der DSK die Interessen, Grundrechte und Grundfreiheiten der Nutzer regelmäßig die Interessen der Website-Betreiber. Insbesondere rechne der Nutzer vernünftigerweise nicht damit, dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden. Dies gehe weit über das hinaus, was im Rahmen des Art. 6 Abs. 1 Buchst. f DSGVO zulässig sei. Die Situation weiche insoweit erheblich von dem Fall einer Statistik-Funktion auf der eigenen Website oder mittels Auftragsverarbeitung ab.
Google verpflichtet in den vertraglichen Regelungen den Anwender von Google Analytics, unter bestimmten Voraussetzungen für den Einsatz des Dienstes eine Einwilligung der Besucher der Webseite einzuholen. Die Datenschutzaufsichtsbehörden weisen ausdrücklich darauf hin, dass es für den rechtmäßigen Einsatz von Google Analytics nicht auf die vertraglichen Vereinbarungen zwischen Google und dem Anwender ankommt. Die Rechtmäßigkeit richte sich ausschließlich nach dem Gesetz.

Im Ergebnis sei ein rechtmäßiger Einsatz von Google Analytics in der Regel nur aufgrund einer wirksamen Einwilligung der Webseitenbesuchenden gem. Art. 6 Abs. 1 Buchst. a, Art. 7 DSGVO möglich.

Empfohlene Maßnahmen

Die DSK empfiehlt insbesondere folgende Maßnahmen umzusetzen:

1) Einholung einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer

„Eine Einwilligung ist nur wirksam, wenn die Anforderungen gem. Art. 4 Nr. 11, Art. 7 DSGVO und ggf. Art. 8 DSGVO erfüllt sind“. Das bedeutet insbesondere:

  • Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.
  • In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller Google Accounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.
  • Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.
  • Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gemäß Art. 7 Abs. 4 DSGVO dazu führen, dass die Einwilligung nicht freiwillig und damit unwirksam ist.

Um die Anforderungen einer wirksamen Einwilligung auf Websites oder in Apps umzusetzen, sind folgende Gestaltungshinweise zu beachten:

  • Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird wie beispielsweise „Datenverarbeitung ihrer Nutzerdaten durch Google“.
  • Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.
  • Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.

2) Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung

Beim Einsatz von Google Analytics muss stets ein einfacher und immer zugänglicher Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein. Gleiches gilt für Apps, die zum Beginn der Nutzung eine Einwilligung erfragen. Auch hier muss in den Einstellungen eine einfach zugängliche Möglichkeit zum wirksamen Widerruf der Einwilligung vorhanden sein.
Hatte ein Nutzer einmal seine Einwilligung erteilt und widerruft er sie zu einem späteren Zeitpunkt, so ist sicherzustellen, dass nach dem Widerruf das Google-Analytics-Skript nicht nachgeladen oder ausgeführt wird.
Google stellt ein Browser-Add-On zur Deaktivierung von Google Analytics zur Verfügung. Es ist nicht zulässig, den Nutzer ausschließlich auf dieses Add-On zu verweisen, da dies keine hinreichende Widerrufsmöglichkeit darstellt. Gemäß Art. 7 Abs. 3 S. 4 DSGVO ist der Widerruf so einfach wie die Erteilung der Einwilligung zu gestalten. Das von Google zur Verfügung gestellte Add-On erfüllt diese Anforderungen nicht, da der Nutzer zum Herunterladen von weiteren Programmen gezwungen wird. Im Übrigen entspricht das AddOn aufgrund der Vielzahl an Browsern und Betriebssystemen weder dem Stand der Technik noch ist es geeignet, um die Datenverarbeitung in Apps zu unterbinden.

3) Transparenz

Anwender müssen gemäß Art. 13 DSGVO die Nutzer in den Datenschutzbestimmungen umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics informieren. Bezüglich der Anforderungen an diese Informationspflicht wird auf die Leitlinie zur Transparenz des Europäischen Datenschutzausschusses sowie auf die Orientierungshilfe für Anbieter von Telemedien verwiesen.

4) Kürzung der IP-Adresse

Zusätzlich zu den o. g. Maßnahmen sollten Anwender von Google Analytics durch entsprechende Einstellungen die Kürzung der IP-Adressen veranlassen. Dazu ist auf jeder Internetseite mit einer Google Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen. Weitere Details können der technischen Anleitung von Google entnommen werden, abrufbar unter:
https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization
Die Kürzung der IP-Adresse stellt eine zusätzliche Maßnahme gem. Art. 25 Abs. 1 DSGVO zum Schutz der Nutzer dar, sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Beim Einsatz von Google Analytics werden neben der IP-Adresse weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu bewerten sind, wie z. B. Identifizierungsmerkmale der einzelnen Nutzer, die auch eine Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben. Aus diesem Grund ist in jedem Fall der Anwendungsbereich der DSGVO eröffnet, sodass Anwender von Google Analytics auch dann verpflichtet sind, die Anforderungen der DSGVO zu beachten, wenn sie die Kürzung der IP-Adressen veranlasst haben. In der Datenschutzerklärung ist der Umstand, ob die Kürzung der IP-Adressen veranlasst ist, entsprechend anzugeben.“

Abschließend weist die DSK auf Folgendes hin: „Im Übrigen gelten die Ausführungen der Orientierungshilfe für Anbieter von Telemedien.“

Fundstelle:

https://www.datenschutzkonferenz-online.de/beschluesse-dsk.html

Corona-Pandemie führt zu einem starken Anstieg von Phishing-Mails

Wie zu erwarten war, wird das Informationsbedürfnis der Bevölkerung bezüglich der Corona-Pandemie von Straftätern für ihre kriminellen Aktivitäten genutzt. So werden insbesondere Phishing-Mails verschickt, um an personenbezogene Daten der Betroffenen zu gelangen.  

Beispielsweise wurden Kunden von Sparkassen unter dem Vorwand der Schließung von Filialen aufgrund der Corona-Pandemie dazu aufgefordert, eine in der Mail angegebene Webseite aufzurufen, dort höchst persönliche Daten einzugeben, um weiterhin eine Kommunikation mit dem „Kunden“ gewährleisten zu können.

Was ist Phishing?

Phishing ist ein Kunstwort, das aus den Wörtern Password, Harvesting und Fishing besteht und dementsprechend das „Fischen“ und „Ernten“ von Passwörtern und anderen sensiblen Daten (z. B. Benutzername, Kontonummer, PIN, TAN, Kreditkartennummer) zum Ziel hat. Dabei wird die Gutgläubigkeit von Internet-Usern ausgenutzt, um in den Besitz dieser sensiblen Informationen zu gelangen und sie und/oder Andere damit schädigen zu können.

Im Regelfall läuft ein solcher Phishing-Angriff in zwei Phasen ab: Zunächst wird unter einem Vorwand eine E-Mail verschickt, die einen Link enthält, den das Opfer dazu nutzen soll, eine bestimmte (ihm scheinbar vertraute) Web-Seite aufzusuchen. Diese Mail allein ist noch nicht schädlich. Folgt der Betroffene jedoch der Aufforderung, gelangt er auf die Web-Seite eines Betrügers, die einer echten Home-Page einer vertrauenswürdigen Institution täuschen ähnlich erscheint. Hier wird der Gutgläubige dann zur Preisgabe vertraulicher Daten verleitet, die vom Täter missbräuchlich verwendet werden und womit ein Schaden für das Opfer oder eine andere Person entstehen kann.

Eine andere Variante besteht darin, ein Formular direkt in eine HTML-Mail einzubinden, das zur Eingabe vertraulicher Daten auffordert und diese nach dem Eintrag sofort an den Absender verschickt. Bei dieser Methode ist nicht einmal mehr der Einbezug einer Web-Seite erforderlich.

Muss eine Meldung einer Verletzung des Schutzes personenbezogener Daten erfolgen?

Hat eine Phishing-Attacke zu einer Verletzung des Schutzes personenbezogener Daten (z. B. durch deren Offenlegung) geführt, liegt eine Datenschutzverletzung vor, die nach Art. 33 Abs. 1 Satz 1 DSGVO bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden ist, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (siehe Veröffentlichung vom 07.05.2020 „Wann hat eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen?“).

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Verantwortliche zusätzlich die betroffene Person unverzüglich von der Verletzung benachrichtigen (Art. 34 Abs. 1 DSGVO).

Die Frage, wann ein hohes Risiko besteht, beantwortet die Datenschutz-Grundverordnung nicht. Als Anhaltspunkt kann aber die frühere Regelung des § 42a BDSG-alt bieten, demgemäß ein hohes Risiko vorliegen dürfte, wenn

  • besondere Arten personenbezogener Daten,
  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
  • personenbezogene Daten zu Bank- oder Kreditkartenkonten

Unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und deshalb schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.

Erfüllung des Auskunftsanspruchs im Arbeitsverhältnis

Einem Arbeitnehmer steht gegenüber seinem Arbeitgeber ein Auskunftsrecht nach Art. 15 Abs. 1 DSGVO bezüglich der über ihn im Rahmen des Arbeitsverhältnisses verarbeiteten personenbezogenen Daten zu (Urteil des Arbeitsgerichts Düsseldorf, 9 Ca 6557/18, vom 05. März 2020).

Ein Arbeitnehmer verlangte von seinem ehemaligen Arbeitgeber, ihm Auskunft über die über ihn verarbeiteten personenbezogenen Daten zu erteilen. Nachdem er zu seinen diesbezüglichen Fragen keine bzw. keine befriedigenden Antworten erhielt, reichte er beim Arbeitsgericht Düsseldorf Klage ein und verlangte eine Entschädigung.

Das Amtsgericht Düsseldorf verurteilte die Beklagte dazu, dem Kläger Auskunft über folgende Fragen zu erteilen:

  1. die Zwecke, für die die personenbezogenen Daten der klägerischen Partei verarbeitet werden und
  2. die Kategorien personenbezogener Daten, die verarbeitet werden.

Alle übrigen Auskunftsverlagen waren bereits erfüllt bzw. nicht relevant. Des Weiteren wurde die Beklagte verurteilt, an den Kläger 5.000 € nebst Zinsen zu zahlen.

Erkenntnisse aus dem Urteil

  • Die im Kapitel III der DSGVO festgehaltenen Rechte der betroffenen Person bestehen auch im Arbeitsverhältnis.
  • Einem Arbeitnehmer steht ein Auskunftsanspruch gemäß Art. 15 Abs. 1 DSGVO gegenüber seinem Arbeitgeber zu, insbesondere bezüglich der Verarbeitungszwecke (Art. 15 Abs. 1 Buchstabe a DSGVO) und der Kategorien personenbezogener Daten (Art. 15 Abs. 1 Buchstabe b DSGVO), die verarbeitet werden.
  • Der Verantwortliche muss im Rahmen der Auskunft auch Empfänger oder Kategorien von Empfängern mitteilen, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden (Art. 15 Abs. 1 Buchstabe c DSGVO). Durch diese Auskunft erhält der Betroffene die Möglichkeit, den Empfängern gegenüber seine Rechte aus Art. 12 ff. DSGVO geltend zu machen. Eine Pflicht zur Mitteilung über eigenverantwortliche Datenverarbeitung durch Dritte besteht nicht.
  • Nach Art. 15 Abs. 1 Buchstabe d DSGVO besteht ein Anspruch auf Auskunft über die geplante Dauer, für die die personenbezogenen Daten gespeichert werden.
  • Nach Art. 15 Abs. 3 S. 1, Abs. 4 DSGVO stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung, wenn die Rechte und Freiheiten anderer Personen dadurch nicht beeinträchtigt werden.
  • Der Verantwortliche muss grundsätzlich keine Auskunft über Daten erteilen, die er in der Vergangenheit einmal verarbeitet hat und über die er ggf. nicht mehr verfügt. Andererseits soll er sich der Auskunftspflicht auch nicht durch ein Löschen der Daten entziehen können. Für den Umfang des Auskunftsverlangens ist grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich.
  • Nach Art. 12 Abs. 1 S. 1 DSGVO muss der Arbeitgeber als Verantwortlicher geeignete Maßnahmen treffen, um insbesondere die Mitteilung nach Art. 15 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
  • Die Angaben zum Zweck der Datenverarbeitung müssen vollständig und so konkret und detailliert sein, dass sich der Betroffene ein Bild davon machen kann, welche Datenverarbeitungen zu welchen Zwecken erfolgen.
  • Durch die Nichterteilung von Auskünften verstößt ein Arbeitgeber als Verantwortlicher gegen die Datenschutz-Grundverordnung. Nach Art. 82 Abs. 1 DSGVO kann jeder „Verstoß gegen die Verordnung“ eine Schadensersatzpflicht begründen. Außerdem kann jede unterlassene oder nicht vollständige Auskunftserteilung nach Art. 83 Abs. 5 Buchstabe b DSGVO mit einer Geldbuße sanktioniert werden.

Fundstelle:

Urteil des Arbeitsgerichts Düsseldorf vom 05.03.2020 – Az.: 9 Ca 6557/18, abrufbar im Internet unter https://www.justiz.nrw.de/nrwe/arbgs/duesseldorf/arbg_duesseldorf/j2020/9_Ca_6557_18_Urteil_20200305.html

Keine Einsicht des Betriebsrats in die elektronische Personalakte ohne Zustimmung der Arbeitnehmer

Das generelle Einsichtsrecht des Betriebsrats in die elektronische Personalakte der Arbeitnehmer, das nicht von deren Zustimmung abhängig ist, verletzt die Arbeitnehmer in ihrem allgemeinen Persönlichkeitsrecht aus Art. 1 Abs. 1 GG i. V. m. Art. 2 Abs. 1 GG, das die Betriebsparteien gemäß § 75 Abs. 2 BetrVG bei ihren Regelungen zu achten haben.

In einer Gesamtbetriebsvereinbarung über die Einführung und Nutzung von elektronischen Personalakten war folgender Passus in der Ziffer 8.3 beinhaltet:

„Der Gesamtbetriebsratsvorsitzende und der örtliche Betriebsratsvorsitzende erhält permanenten Zugriff auf die elektronische Personalakte mit Ausnahme der Akten der Leitenden Mitarbeiter und der Mitarbeiter des Personalbereichs. Die örtlichen Betriebsratsvorsitzenden erhalten Zugriff auf die Akten des Wahlbetriebs, für den sie zuständig sind. Der Gesamtbetriebsratsvorsitzende erhält Zugriff auf die Akten des gesamten Unternehmens.“

Die Arbeitgeberin verwehrte jedoch der Betriebsratsseite diesen Zugriff. Der Gesamtbetriebsrat hatte daher ein Verfahren zunächst beim Arbeitsgericht und dann beim Landesarbeitsgericht Düsseldorf eingeleitet, mit dem er einen Anspruch auf Durchführung von Ziffer 8.3 der Gesamtbetriebsvereinbarung und damit die Einräumung eines Einsichtsrechts in die elektronischen Personalakten für die örtlichen Betriebsratsvorsitzenden sowie anderenfalls hilfsweise die Feststellung geltend macht, dass die Gesamtbetriebsvereinbarung insgesamt unwirksam ist. Die Arbeitgeberin wandte ein, Ziffer 8.3 der Gesamtbetriebsvereinbarung sei rechtswidrig.

Das Landesarbeitsgericht hat die Anträge des Gesamtbetriebsrats ebenso wie das Arbeitsgericht zurückgewiesen. Ziffer 8.3. der Gesamtbetriebsvereinbarung ist unwirksam. Das generelle Einsichtsrecht der Betriebsratsvorsitzenden in die elektronische Personalakte der Arbeitnehmer, das nicht von deren Zustimmung abhängig ist, verletzt die Arbeitnehmer in ihrem allgemeinen Persönlichkeitsrecht aus Art. 1 Abs. 1 GG i. V. m. Art. 2 Abs. 1 GG, das die Betriebsparteien gemäß § 75 Abs. 2 BetrVG bei ihren Regelungen zu achten haben. Zur Kontrolle der Regelungen aus der Gesamtbetriebsvereinbarung ist ein derart weites Einsichtsrecht der Betriebsratsseite weder geeignet noch erforderlich und verletzt das allgemeine Persönlichkeitsrecht der Arbeitnehmer in unangemessener Weise. Dies gilt insbesondere auch deshalb, weil die Gesamtbetriebsvereinbarung weitere spezifische Kontrollrechte für die Betriebsratsseite enthält. Die GBV EFM bleibt im Übrigen wirksam, weil sie auch ohne Ziffer 8.3. in sich geschlossene und sinnvoll anwendbare Regelungen enthält.

Eine Rechtsbeschwerde hat das Landesarbeitsgericht nicht zugelassen.

Fundstelle:

Pressemitteilung des Landesarbeitsgerichts Düsseldorf zum Beschluss vom 23.06.2020 (3 TaBV 65/19) – abrufbar im Internet unter https://www.justiz.nrw/JM/Presse/presse_weitere/PresseLArbGs/23_06_2020_1/index.php

EuGH erklärt Privacy Shield für ungültig

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 die Vereinbarung zur Übermittlung personenbezogener Daten in die USA (Privacy Shiel) für unwirksam erklärt (Rechtssache C‑311/18). Gleichzeitig hält er die Übertragung personenbezogener Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland für zulässig, falls diese die erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten.

Alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet.

Am 25. Juni 2013 legte der österreichische Staatsbürger Max Schrems bei der Europäischen Kommision eine Beschwerde ein, mit der er im Wesentlichen forderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Dabei machte er geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. Die Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in der Entscheidung 2000/520 (Safe Harbour) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten.

Der High Court (Hoher Gerichtshof, Irland), vor dem Herr Schrems Klage gegen die Zurückweisung seiner Beschwerde erhoben hatte, befasste den Gerichtshof mit einem Vorabentscheidungsersuchen betreffend die Auslegung und die Gültigkeit der Entscheidung 2000/520. Mit Urteil vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650), erklärte der Gerichtshof diese Entscheidung und das Safe Harbour-Abkommen für ungültig. Grund für dieses Urteil war insbesondere die Zugriffsmöglichkeit der US-Nachrichtendienste auf die übermittelten Daten und die fehlenden Mechanismen zur Durchsetzung der Betroffenenrechte.

Nach neuen Verhandlungen einigten sich die Europäische Kommission und die US-Regierung auf (neue) Rahmenbedingungen, die gewährleisten sollten, dass beim Empfänger in den USA ein angemessenes Datenschutzniveau besteht. Daraufhin sah sich die Europäische Kommission veranlasst, am 12. Juli 2016 festzustellen, dass ein angemessenes Datenschutzniveau unter den Rahmenbedingungen des EU-US Privacy Shieldbesteht (vgl. Durchführungsbeschluss (2016) 1250, veröffentlicht im Amtsblatt EU vom 1. August 2016, L 207/1).

Auch dieses Abkommen hat der EuGH nunmehr kassiert und Folgendes ausgeführt:

  1. Art. 2 Abs. 1 und 2 der Datenschutz-Grundverordnung ist dahin auszulegen, dass eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer in den Anwendungsbereich dieser Verordnung fällt, ungeachtet dessen, ob die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.
  2. Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c DSGVO sind dahin auszulegen, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Europäischen Union durch diese Verordnung im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Europäischen Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 DSGVO genannten Elemente.
  3. Art. 58 Abs. 2 Buchst. f und j DSGVO ist dahin auszulegen, dass die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet ist, eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 DSGVO sowie nach der Charta der Grundrechte, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder beendet.
  4. Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung anhand der Art. 7, 8 und 47 der Charta der Grundrechte hat nichts ergeben, was seine Gültigkeit berühren könnte.
  5. Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 (Privacy Shield) gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.

Fundstelle:

http://curia.europa.eu/juris/document/document.jsf;jsessionid=4B581CD2AD4837AD722422B24FDEBF2A?text=&docid=228677&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=9903838