Kategorie: Datenschutz.News

Die Datenschutzaufsichtsbehörden haben durch die DSGVO Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse erhalten, mit denen sie dafür sorgen können, dass die Grundsätze der Datenschutz-Grundverordnung und die Rechte der betroffenen Personen entsprechend dem Wortlaut und dem Geist der Verordnung gewahrt werden. Nachfolgend wird auf einige der wichtigsten Untersuchungsbefugnisse der Aufsichtsbehörden näher eingegangen:

1. Bereitstellung von Informationen

Gemäß Art. 58 Abs. 1 Buchst. a DSGVO hat jede Aufsichtsbehörde das Recht, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Dies spiegelt sich auch in Art. 31 DSGVO wider, demgemäß der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten müssen. Zur Durchsetzung des Rechts kann eine Aufsichtsbehörde alle in Art. 58 Abs. 2 DSGVO aufgeführten Abhilfebefugnisse nutzen.

Die der Kontrolle unterliegenden Stellen sind gegenüber der Aufsichtsbehörde auskunftspflichtig, es sei denn, sie können gegebenenfalls von einem Auskunftsverweigerungsrecht Gebrauch machen.

Eine derartige Auskunftsverpflichtung ergibt sich im Regelfall aufgrund der Aufforderung einer Aufsichtsbehörde zu einem bestimmten Sachverhalt Stellung zu nehmen. Die Auskunft muss alle erforderlichen Angaben enthalten und somit vollständig sein.

Die Auskunft ist unverzüglich – also ohne schuldhaftes Zögern (§ 121 BGB) – gegebenenfalls innerhalb einer von der Aufsichtsbehörde eingeräumten Frist zu erteilen – auch auf schriftliche Anfragen. Ein Entgelt für eine Auskunft kann nicht verlangt werden.

2. Datenschutzüberprüfungen

Die Aufsichtsbehörden können nach der DSGVO Datenschutzüberprüfungen durchführen (Art. 58 Abs. 1 Buchst. b DSGVO). Im Rahmen dieser Prüfungen kann die Aufsichtsbehörde von den Verantwortlichen

• Auskünfte verlangen,
• Grundstücke und Geschäftsräume betreten und dort,
• Prüfungen und Besichtigungen vornehmen sowie,
• geschäftliche Unterlagen, gespeicherte personenbezogene Daten und Datenverarbeitungsprogramme einsehen.

3. Hinweis auf Datenschutzverstöße

Gemäß Art. 58 Abs. 1 Buchst. d DSGVO kann die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinweisen. So kann beispielsweise auf Verstöße im Rahmen der Allgemeinen Geschäftsbedingungen eines Unternehmens hingewiesen werden.

4. Zugang zu allen personenbezogenen Daten und Informationen und Betretungsrecht

Jede Aufsichtsbehörde kann von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen verlangen, die zur Erfüllung ihrer Aufgaben notwendig sind (Art. 58 Abs. 1 Buchst. e DSGVO).

Des Weiteren kann Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters verlangen (Art. 58 Abs. 1 Buchst. f DSGVO). Im Rahmen dieses Betretungsrechts ist das mit der Kontrolle beauftragten Personen befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben erforderlich ist,

• während der Betriebs- und Geschäftszeiten,
• Grundstücke und Geschäftsräume der der Kontrolle unterliegenden Stelle zu betreten und dort,
• Prüfungen und Besichtigungen vorzunehmen.

Dabei können die Aufsichtsbehörden geschäftliche Unterlagen (z. B. das Verzeichnis der Verarbeitungstätigkeiten und das Datensicherheitskonzept) sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme einsehen, sich Notizen machen und gegebenenfalls die Aushändigung von Fotokopien (nicht jedoch Originalunterlagen) verlangen. Der Einsichtnahme unterliegen auch Daten, die zum Brief-, Post und Telekommunikationsgeheimnis, dem Amtsgeheimnis und dem Berufsgeheimnis gehören bzw. der ärztlichen Schweigepflicht unterliegen.

Der Auskunftspflichtige, d. h. die der Kontrolle unterliegende Stelle sowie die mit deren Leitung betraute Person, hat diese Maßnahmen zu dulden.

Dieses Betretungs-, Besichtigungs- und Prüfungsrecht kann nach einhelliger Rechtsmeinung auch unangemeldet ausgeübt, d.h. es können auch Stichprobenkontrollen durchgeführt werden. Dies kann insbesondere erforderlich sein, um eine Vernichtung von belastenden Beweisen, z. B. durch Datenlöschung, zu verhindern. Allerdings wird eine Prüfung in der Regel angekündigt, damit gewährleistet ist, dass entsprechende Ansprechpartner des Unternehmens im Rahmen der Prüfung anwesend sind.

Eine Aufsichtsbehörde muss sich allerdings nicht auf einen späteren Prüfungszeitpunkt verweisen lassen, um die Anwesenheit bestimmter Mitarbeiter der zu prüfenden Stelle zu ermöglichen. Vor allem dann nicht, wenn die Verantwortlichen nicht in unmittelbarer zeitlicher Nähe in der Lage sind, der Prüfung beizuwohnen.

Die Ankündigung, während der üblichen Geschäftszeit die Betriebsräume gegenüber den Beschäftigten der Aufsichtsbehörde zu verschließen, ist bereits Ausdruck der gesetzeswidrigen Nichtduldung der Prüfung. Den Beschäftigten der Aufsichtsbehörde ist es auch nicht zuzumuten, sich einschließen zu lassen.

Das Betretungsrecht bezieht sich auf Grundstück und Geschäftsräume der speichernden Stelle, nicht jedoch auf Privatwohnungen. Bei Heim- und Telearbeit muss der Unternehmer ein entsprechendes Betretungsrecht vereinbaren.

Die Datenschutzaufsichtsbehörden fordern aufgrund des Verbots des Privacy Shields Auskunft darüber, wie künftig die Datenübermittlungen in die USA gestaltet werden. Außerdem hat sich der Europäische Datenschutzausschuss (EDSA) auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs geeinigt.

Der EDSA hat sich am 23. Juli 2020 auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Schrems II – Urteil des Europäischen Gerichtshofs zum Datentransfer in Länder außerhalb der EU geeinigt.

Nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber hat der EDSA mit der Veröffentlichung dieser Frequently Asked Questions (FAQ) entscheidende Fragen geklärt, die sich nach dem Urteil stellen. So stellt der EDSA beispielsweise fest, dass es keine ‚Gnadenfrist‘ für Datenverarbeitungen auf Grundlage des vom Europäischen Gerichtshof für ungültig erklärten „Privacy Shield“ geben wird. Die Umstellung muss ohne Verzögerung begonnen werden.

Zudem gibt das Dokument Hinweise zur Zukunft der sogenannten Standardvertragsklauseln. Dazu sagte Professor Kelber: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.“

Der EDSA erklärt außerdem, welche Maßnahmen ergriffen werden müssen, wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft: „Wer nicht weiß, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, muss jetzt seine Verträge mit den Dienstleistern prüfen.“

Das Dokument sei aber nicht abschließend. Der EDSA werde weitere Antworten ergänzen. Jetzt komme es darauf an, dass die europäischen Datenschutzaufsichtsbehörden ihre beaufsichtigten Stellen intensiv zu alternativen Grundlagen für den internationalen Datenaustausch beziehungsweise Umstellungen beraten.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hebt in einer Pressemittelung vom 24.07.2020 hervor, dass der Privacy Shield ungültig sei und keine Datenübermittlung in die USA rechtfertige könne. Als Konsequenz aus diesem Urteil werde der LfDI Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben. Da dies ab sofort nicht mehr möglich sei, müssten von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden.

Datenübermittlung in die USA und sonstige Drittstaaten außerhalb der Europäischen Union seien auf der Grundlage von Standardvertragsklauseln weiterhin möglich, sie müssten aber ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich seien, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden könnten. Dies sei eine Frage des Einzelfalles. Zugleich müssten die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt.

Der LfDI Rheinland-Pfalz weist darauf hin, dass Verantwortliche ihre Datenübermittlungen aussetzen müssen, wenn diese den Anforderungen der Datenschutz-Grundverordnung, wie sie der EuGH in dem Urteil Schrems II konkretisiert hat, nicht entsprechen. Darüber hinaus müssten die Verantwortlichen die personenbezogenen Daten, die bis dahin auf der Grundlage des Privacy Shield übermittelt wurden, zurückfordern bzw. vernichten lassen und hierüber eine Dokumentation vorhalten. Falls die Verantwortlichen dies nicht tun, werde der LfDI Rheinland-Pfalz entsprechende Maßnahmen ergreifen. Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kämen auch weitere Sanktionen in Betracht: „Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stehen ihm sämtliche von der Datenschutz-Grundverordnung vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum.“

Fundstellen:

• Pressemitteilung des BfDI zum Thema „EDSA beschließt FAQ zu Schrems II – abrufbar im Internet unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/19_FAQ-zu-Schrems-II.html;jsessionid=5DA640A21AC6E97C48B9DD556A972A7A.2_cid507
• „Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems“ des EDSA – abrufbar im Internet unter https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en (in englischer Sprache)
• Pressemitteilung „Konsequenzen des LfDI Rheinland-Pfalz aus dem EuGH-Urteil Schrems II“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 24.07.2020 – abrufbar im Internet unter https://www.datenschutz.de/konsequenzen-des-lfdi-rheinland-pfalz-aus-dem-eugh-urteil-schrems-ii/

Die früheren nationalen Regelungen, wonach ein interner Datenschutzbeauftragter nur aus wichtigem Grund gekündigt und nur aus wichtigem Grund von seinem Amt abberufen werden kann (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG-alt), sind mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar (LAG Nürnberg – 2 sa 274/19).

Sachverhalt

Eine Klägerin ist auf Grundlage eines Arbeitsvertrages seit 15.01.2018 bei der Beklagten als „Teamleiter Recht“ beschäftigt gewesen. Die Beklagte beschäftigt regelmäßig mehr als 10 Vollzeitarbeitnehmer ausschließlich der Auszubildenden.

Mitte Januar 2018 wurde die Klägerin von der Beklagten mit Wirkung vom 01.02.2018 zur betrieblichen Datenschutzbeauftragten (auch der Tochterunternehmen) bestellt. Die Beklagte war zur Bestellung eines betrieblichen Datenschutzbeauftragten nach § 38 Abs. 1 Satz 1 BDSG-alt verpflichtet.

Mit Schreiben vom 13.07.2018 wurde das Arbeitsverhältnis der Klägerin (noch während der Probezeit) durch die Beklagte mit Wirkung zum 15.08.2018 gekündigt. Im Kündigungsschreiben wurde der Klägerin mitgeteilt, dass ihre bisherige Stellung als Datenschutzbeauftragte – vorsorglich auch im Auftrag der Tochterunternehmen – spätestens zum 15.08.2018 enden und hilfsweise aus wichtigem Grund widerrufen wird.

Mit Klageschriftsatz vom 02.08.2018 begehrte die Klägerin gegenüber der Beklagten die Feststellung der Unwirksamkeit der Kündigung des zwischen beiden bestehenden Arbeitsverhältnisses sowie die Feststellung des Bestehens einer Rechtsstellung der Klägerin als interne Beauftragte für den Datenschutz.

Die Beklagte erklärte, aufgrund veränderter wirtschaftlicher und rechtlicher Rahmenbedingungen die Funktion des Zentralbereichsleiters im Teilbereich Recht zu streichen, den Bereich Datenschutz extern zu vergeben und die interne Rechtsberatung durch eine Stelle im Stile eines Brückenkopfs hin zu externen Anwälten auszugestalten und im Übrigen auf eine externe Kanzlei zu übertragen. Dies habe zu einem Wegfall des Beschäftigungsbedarfs der Klägerin geführt.

Die Klägerin könne sich auf keinen Sonderkündigungsschutz als Datenschutzbeauftragte berufen. Die Regelung in § 6 Abs. 4 Satz 2 BDSG-alt verstoße gegen Art. 38 DSGVO und sei daher unwirksam. Der Betriebsrat sei ebenfalls ordnungsgemäß angehört worden. Die Benennung eines Sonderkündigungsschutzes sei gerade nicht erforderlich gewesen.

Das Arbeitsgericht Nürnberg hat mit Endurteil vom 22.07.2019 den Klageanträgen stattgegeben und die Beklagte zur Weiterbeschäftigung als Teamleiterin Recht verurteilt. Hinsichtlich der Weiterbeschäftigung als betriebliche Datenschutzbeauftragte hat es die Klage abgewiesen.

Gegen dieses Urteil legte die Beklagte Berufung beim Landesarbeitsgericht Nürnberg ein.

Urteil

Das LAG Nürnberg erklärte die Berufung für unbegründet. Bezüglich der Kündigung als interne Datenschutzbeauftragte positionierte sich das Gericht wie folgt:

1. Die Klägerin genoss zum Zeitpunkt der Kündigung den besonderen Kündigungsschutz für Datenschutzbeauftragte nach §§ 38 Abs. 2, 6 Abs. 4 Satz 2 BDSG. Danach ist die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten unzulässig, es sei denn, dass Tatsachen vorliegen, die den Arbeitgeber zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach einer wirksamen Abberufung als Datenschutzbeauftragter gilt dies noch für ein Jahr weiter (§§ 38 Abs. 2, 6 Abs. 4 Satz 3 BDSG-alt).
   
   a)  Die Klägerin war wirksam schriftlich zur Datenschutzbeauftragten nach § 4f Abs. 1 BDSG in der bis 24.05.2018 geltenden Fassung (BDSG aF) bestellt worden. Zum Zeitpunkt der Kündigung war die Beklagte unstreitig verpflichtet, einen Datenschutzbeauftragten zu bestellen (§ 38 Abs. 1 und 2, 2. HS BDSG in der vom 25.05.2018 – 25.11.2019 geltenden Fassung). Dieser Sonderkündigungsschutz gilt auch bereits in der Probezeit.
   
   b)  Dieser besondere Kündigungsschutz auf nationaler Ebene verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DSGVO. Nach dieser Vorschrift darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Zwar ist davon auszugehen, dass die DSGVO als EU-Verordnung unmittelbar und zwingend im Sinne einer Vollharmonisierung gilt und nicht lediglich Mindeststandards setzt („Mindestharmonisierung“). Die Mitgliedstaaten dürfen somit von ausdrücklichen Vorgaben der DSGVO nur insoweit abweichen, wie dies die DSGVO ausdrücklich oder durch Auslegung ermittelbar zulässt, und im Übrigen die Vorgaben der DSGVO lediglich konkretisieren.
   Eine ausdrückliche Öffnungsklausel für den nationalen Gesetzgeber, einen besonderen Kündigungsschutz für Datenschutzbeauftragte zu regeln, findet sich in der DSGVO nicht. Allerdings ergibt die Auslegung, dass die DSGVO spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten zulässt, soweit der Schutz nicht hinter des DSGVO zurückbleibt.
   Der Art. 38 DSGVO regelt die Stellung sowohl des intern als auch des extern bestellten Datenschutzbeauftragten allgemein. Im Bereich des Arbeitsrechts sind die Mitgliedstaaten nicht gehindert, strengere Schutzmaßnahmen beizubehalten oder zu treffen, die mit den EU-Verträgen vereinbar sind (Art. 153 Abs. 4, 2. Spiegelstrich AEUV). Dem nationalen Gesetzgeber ist es daher nicht verwehrt, spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten, der auf Grund eines Arbeitsvertrages als solcher tätig ist („interner Datenschutzbeauftragter“) zu erlassen, soweit sie den in Art. 38 Abs. 3 Satz 2 DSGVO gewährleisteten Abberufungs- und Benachteiligungsschutz nicht beeinträchtigen.
   Hierfür spricht auch der Wortlaut des Art. 38 Abs. 3 Satz 2 DSGVO. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Er darf deshalb also nicht gekündigt werden. Art. 38 Abs. 3 Satz 2 DSGVO enthält aber keine spezifischen Regeln des Kündigungsschutzes für Datenschutzbeauftragte und verbietet somit auch vom Wortlaut her keinen darüber hinaus gehenden Kündigungsschutz, um die Unabhängigkeit des im Übrigen abhängig beschäftigten Arbeitnehmers von der Einflussnahme seines Arbeitgebers auf die Arbeit als  Datenschutzbeauftragten zu gewährleisten. Dies dient dem in Erwägungsgrund 97 der DSGVO niedergelegten Ziel, dass der Datenschutzbeauftragte unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.
   Der Ausschluss der ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten während seiner Bestellung und ein Jahr danach steht daher mit der DSGVO in Einklang.
   
   c)  Da die Beklagte keine außerordentliche, sondern eine ordentliche Kündigung ausgesprochen hat, ist die Kündigung schon deshalb gem. § 38 Abs. 2 iVm § 6 Abs. 4 Satz 2 bzw. Satz 3 BDSG unwirksam. Eine Umdeutung gem. § 140 BGB in eine außerordentliche Kündigung ggf. mit Auslauffrist ist nicht möglich. Auch wurde der Betriebsrat nicht zu einer außerordentlichen Kündigung angehört.
   
   d) Darüber hinaus hat das Arbeitsgericht zu Recht und überzeugend begründet, dass ein wichtiger Grund für die Kündigung des Arbeitsverhältnisses nicht vorlag. Dem schließt sich das erkennende Gericht unter Bezugnahme auf das Urteil des Arbeitsgerichts an. Weiterer Ausführungen hierzu waren nicht veranlasst.
2. Die Beklagte bedurfte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Diese nunmehr in §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG enthaltene nationale Regelung verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DSGVO.
   
   a)  Auch die Abberufung des Datenschutzbeauftragten ist in der DSGVO nicht abschließend geregelt. Nach Art. 38 Abs. 3 Satz 2 DSGVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann. Mit der Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten. Die Abberufung als interner Datenschutzbeauftragter zielt auf eine Änderung der arbeitsvertraglichen Pflichten. Damit handelt es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG im Kern um eine arbeitsrechtliche Regelung. Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel.
   Ebenso wie der Kündigungsschutz dient auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (s. Erwägungsgrund 97 der DSGVO). Der externe Datenschutzbeauftrage steht hingegen nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Dies alles spricht dafür, dass die DSGVO bezogen auf interne Datenschutzbeauftragte einen national verstärkten Abberufungsschutz nicht ausschließen wollte.
   Mit dem Bundesgesetzgeber vertritt die Berufungskammer daher die Auffassung, dass es sich auch bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DSGVO auch im BDSG n. F. beibehalten werden kann.
   
   b)  Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag nicht vor. Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen.
   
   c)  Unabhängig davon folgt nach Überzeugung des erkennenden Gerichts auch aus dem Vortrag der Beklagten, dass die Abberufung jedenfalls auch wegen der Erfüllung der Aufgaben der Klägerin als Datenschutzbeauftragte erfolgte und damit nicht in Einklang mit Art. 38 Abs. 3 Satz 2 DSGVO stand. Die Beklagte beruft sich darauf, dass die Abberufung der Klägerin als Datenschutzbeauftragte wegen des relativ hohen Risiko- und Haftungspotenzials für Anwendungs- und Ausführungsfehler im Bereich Datenschutz und der daraus resultierenden Notwendigkeit der dringend notwendigen Professionalisierung für den Aufgabenbereich des Datenschutzbeauftragten erfolgt sei.
   Diese Risiken und Notwendigkeiten lagen jedoch bereits bei der Einstellung der Klägerin zum 15.01.2018 vor. Die DSGVO stammt vom 27.04.2016. Das diese ergänzende BDSG wurde am 30.06.2017 verkündet. In beiden Regelungswerken ist als Datum des Inkrafttretens von Anfang an der 25.05.2018 bestimmt gewesen. Die Klägerin wurde praktisch unmittelbar nach Beginn des Arbeitsverhältnisses mit Datum vom 15.01./31.01.2018 zur Datenschutzbeauftragten gem. § 4f BDSG aF bestellt. Die Bestellung zur Datenschutzbeauftragten war Teil der Aufgabenbeschreibung 9155, aus der sich gem. § 3 Abs. 1 des Arbeitsvertrages die Arbeitsaufgaben der Klägerin ergaben. Wenn die Beklagte nunmehr anführt, die Verlagerung der Aufgaben auf einen externen Datenschutzbeauftragten sei aus Gründen der Professionalisierung notwendig, die Klägerin andererseits aber von Anfang an mit der Aufgabe der Datenschutzbeauftragten betraut wurde, so heißt das, dass die Klägerin ihre Aufgaben insoweit nicht ausreichend professionell wahrgenommen hat, um die von Anfang an absehbaren Risiken zu beherrschen.
   Dies steht im Widerspruch zu der Behauptung, die Abberufung der Klägerin als Datenschutzbeauftragte sei nicht im Zusammenhang damit erfolgt, wie die Klägerin ihre Aufgaben als Datenschutzbeauftragte erfüllt habe. Die Beklagte hat keinerlei Gründe vorgetragen, warum eine ausreichende Professionalisierung nicht durch Einräumung von mehr Zeit für die Klägerin für den Datenschutz hätte erreicht werden können. Werden jedoch nach Art. 38 Abs. 3 Satz 2 DSGVO nicht explizit verbotene Gründe für die Abberufung nur vorgeschoben, ist die Abberufung unwirksam.
   Im Übrigen wird der europarechtlich gewährte Abberufungsschutz weit auszulegen sein, um zu gewährleisten, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann, wie in Erwägungsgrund 97 des DSGVO festgehalten ist.

Fundstelle

Das Urteil ist beispielsweise abrufbar unter https://www.lag.bayern.de/imperia/md/content/stmas/lag/nuernberg/entscheidungen/2020/2_sa_274_19.pdf

Wurde bei der Bewertung des Sachverhalts ein Verstoß gegen die Datenschutz-Grundverordnung festgestellt, muss die zuständige Aufsichtsbehörde die Abhilfemaßnahme(n) ermitteln, die zur Behebung des Verstoßes am besten geeignet ist bzw. sind.1)

Art. 58 DSGVO gibt eine gewisse Anleitung dazu, welche Maßnahmen die Aufsichtsbehörde wählen kann, da die Abhilfemaßnahmen als solche ja unterschiedlicher Art und vorrangig für unterschiedliche Zwecke geeignet sind. Bestimmte Maßnahmen nach Art. 58 können unter Umständen sogar miteinander kombiniert werden, sodass mit mehr als einer Abhilfemaßnahme regulatorisch eingegriffen werden kann. So kann die Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zur Abhilfe gegen (voraussichtliche) Verstöße gegen die Datenschutz-Grundverordnung einen Verantwortlichen oder einen Auftragsverarbeiter warnen oder verwarnen und anweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, Verarbeitungsvorgänge in Einklang mit der Datenschutz-Grundverordnung zu bringen oder die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen.

Sie kann auch eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, verhängen und die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung ihrer Verarbeitung und die Unterrichtung der Empfänger anordnen.

Des Weiteren ist auch die Anordnung der Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation möglich.

Bereits erteilte Zertifizierungen können von den Aufsichtsbehörden selbst widerrufen oder Zertifizierungsstellen angewiesen werden, erteilte Zertifizierungen zu widerrufen oder neue Zertifizierungen nicht zu erteilen.

Welche geeigneten Maßnahmen dann von der beanstandeten Stelle ergriffen werden, unterliegt im Regelfall der Entscheidungsbefugnis des betroffenen Unternehmens. Dabei sollte die speichernde Stelle aber tunlichst den Empfehlungen der Aufsichtsbehörde folgen, da sie ansonsten mit weiteren Konsequenzen zu rechnen hat.

Die Auflistung der Befugnisse ist nicht abschließend zu sehen. Die Mitgliedstaaten können ihren Aufsichtsbehörden gem. Art. 58 Abs. 6 DSGVO weitere Befugnisse einräumen.

Bei einer Anordnung der Aufsichtsbehörden handelt es sich um einen Verwaltungsakt, gegen den mit Einlegung von Rechtsmitteln (Widerspruch, Klage vor dem Verwaltungsgericht) vorgegangen werden kann.

Bei der Wahrnehmung ihrer Befugnisse müssen die Aufsichtsbehörden die folgenden Grundsätze beachten:¹⁾

a)  Ein Verstoß gegen die Verordnung soll zur Verhängung „gleichwertiger Sanktionen“ führen
Die Aufsichtsbehörden müssen ihre Abhilfebefugnisse gemäß Artikel 58 Absatz 2 einheitlich anwenden, um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen (Erwägungsgrund 10 Satz 1 zur DSGVO). Erwägungsgrund 11 stellt klar, dass ein unionsweit gleichwertiges Schutzniveau für personenbezogene Daten unter anderem „gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung“ erfordert. Des Weiteren werden in Erwägungsgrund 13 der Datenschutz-Grundverordnung gleichwertige Sanktionen in allen Mitgliedstaaten und eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden verschiedener Mitgliedstaaten als Möglichkeiten dafür betrachtet, dass „Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden“.

Obwohl die Aufsichtsbehörden ihre Wahl der in Artikel 58 Absatz 2 genannten Abhilfemaßnahmen unabhängig treffen können, sollen sie es vermeiden, in vergleichbaren Fällen unterschiedliche Abhilfemaßnahmen anzuwenden.

b)  Abhilfemaßnahmen sollen „wirksam, verhältnismäßig und abschreckend“ sein

Alle Abhilfemaßnahmen sollen der Art, der Schwere und den Folgen des Verstoßes angemessen sein, und die Aufsichtsbehörden müssen alle Aspekte des Sachverhalts in kohärenter und objektiv gerechtfertigter Weise bewerten. Was im Einzelfall als wirksam, verhältnismäßig und abschreckend betrachtet wird, hängt auch vom Ziel der Abhilfemaßnahme ab, das heißt davon, ob mit ihr die Verletzung der Bestimmungen behoben oder rechtswidriges Verhalten bestraft werden soll (oder beides).

Die nationalen Rechtsvorschriften sollen gegebenenfalls zusätzliche Anforderungen an das von den Aufsichtsbehörden anzuwendende Durchsetzungsverfahren vorsehen. Diese können beispielsweise Anforderungen in Bezug auf Adressmeldungen, Formulare und Fristen für Stellungnahmen, Einsprüche, Ausführungen und Zahlungen einschließen.

Anforderungen dieser Art sollen gleichwohl die Wirksamkeit, die Verhältnismäßigkeit und die abschreckende Wirkung von Abhilfemaßnahmen nicht beeinträchtigen.

Eine genauere Bestimmung dieser drei Merkmale (Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung) wird sich aus der bei den Aufsichtsbehörden entstehenden Praxis im Bereich Datenschutz und aus den Erfahrungen in anderen Regulierungsbereichen sowie aus der Auslegung dieser Grundsätze im Zuge der Rechtsprechung ergeben.

Fundstelle

¹⁾ „Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679“ der Art. 29-Datenschutzgruppe – abrufbar im Internet unter https://www.datenschutzkonferenz-online.de/media/wp/20171003_wp253.pdf

Eine Verarbeitung personenbezogener Daten eines Kindes im Rahmen eins Angebotes von Diensten der Informationsgesellschaft ist nur rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Bei Kindern unter 16 Jahren muss ein Sorgeberechtigter der Datenverarbeitung zustimmen.

Gemäß dem Erwägungsgrund 38 der Datenschutz-Grundverordnung verdienen Kinder (eine Unterscheidung zwischen Kindern und Jugendlichen wird nicht gezogen) bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.

Demgemäß ist die Verarbeitung der personenbezogenen Daten eines Kindes bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, nur rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 Abs. 1 DSGVO). Somit muss sich ein Verantwortlicher, der einen Dienst der Informationsgesellschaft anbietet, vergewissern, ob das Kind das entsprechende Alter hat (Überprüfungspflicht). Ansonsten muss er angemessene Anstrengungen unternehmen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde. Ist dies nicht der Fall, so ist die Einwilligung unwirksam.

Die Frage, wann der Verantwortliche angemessene Anstrengungen unternimmt, wird vom Gesetz nicht beantwortet. Auch welches Verfahren eingesetzt werden soll und kann, um sich zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde, bleibt unklar. Diese Fragen müssen noch durch die Datenschutzaufsichtsbehörden und die Rechtsprechung geklärt werden.

Klar ist jedoch, dass eine entsprechende Einwilligungserklärung dokumentiert sein muss und die Sensibilität der zu verarbeitenden Daten bei dem Überprüfungsverfahren zu beachten ist. Je sensibler die Daten sind, desto mehr Aufwand muss betrieben werden.

Ein „Dienst der Informationsgesellschaft“ ist gemäß Art. 4 Nr. 25 DSGVO eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates. Dabei handelt es sich um „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“. Darunter fallen insbesondere Telekommunikations- und Online-Dienste, bei denen personenbezogene Daten erhoben werden. Auch soziale Netzwerke, Messenger-Dienste und Suchmaschinen fallen unter dem Begriff, selbst wenn kein Entgelt erhoben wird.

Ein Indiz dafür, dass sich ein Dienst der Informationsgesellschaft direkt an Kinder wendet, ist, dass er in einer kindgerechten Sprache oder Illustration erstellt wurde. Andererseits fallen Dienste, die sich spezifisch an Erwachsene richten (z. B. Dating-Portale) nicht unter den Art. 8 DSGVO.

Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist die Datenverarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 Abs. 1 Satz 2 DSGVO). Somit muss sich der Diensteanbieter (z. B. durch ein Double-Opt-In-Verfahren) vergewissern, dass die Einwilligung eines Erziehungsberechtigten vorliegt.

Die Mitgliedstaaten können zwar durch Rechtsvorschriften eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf (Art. 8 Abs. 1 Satz 3 DSGVO). Somit können Kinder unter 13 Jahren in keinem Fall eine rechtsgültige Einwilligung geben.

Der deutsche Gesetzgeber hat zumindest im neuen BDSG von der Möglichkeit eine niedrigere Altersgrenze vorzusehen nicht Gebrauch gemacht.

Hinsichtlich der Formvorschriften einer entsprechenden Einwilligungserklärung ist Art. 7 DSGVO zu beachten.

Eine Studie des Fachverbands deutscher Webseiten-Betreiber (FdWB) über den Zustand deutscher Webseiten zeigt, dass über 41 % der Seiten gravierende Mängel aufweisen, wodurch sie gegen Rechtsvorschriften verstoßen und hochgradig gefährdet für Abmahnungen sind.

Um einen aktuellen Eindruck zu erhalten, wie es um den Zustand und die Sicherheit deutscher Webseiten bestellt ist, hat der Fachverband deutscher Webseiten-Betreiber im März dieses Jahres eine Studie an 2.500 zufällig ausgewählten Webseiten durchgeführt, diese auf besonders charakteristische Merkmale untersucht und das Ergebnis der Studie am 10 August 2020 veröffentlicht.

Für die Studie hat der FdWB Branchenbucheinträge kleiner und mittlerer Unternehmen verschiedener Branchen aus dem gesamten Bundesgebiet betrachtet. Zu den betrachteten Merkmalen gehörte, ob die Webseiten ein aktives und funktionierendes SSL-Zertifikat für eine verschlüsselte Datenverbindung haben, die Unternehmensdaten in der Datenschutzerklärung vollständig enthalten sind und die Datenschutzerklärung vorschriftsmäßig auf jeder Seite verlinkt ist.

Das Resultat war, dass von den insgesamt 2.500 Seiten 1.023 Webseiten identifiziert wurden, die mindestens eines dieser Merkmale nicht erfüllten. Anders ausgedrückt bedeutet dies, dass 41 % aller betrachteter Seiten fehlerhaft sind und sowohl für Webseitenbetreiber als auch Nutzer nicht sicher waren.

Die Ergebnisse im Einzelnen:

• Die meisten der fehlerhaften Webseiten verfügten über kein oder kein funktionierendes SSL-Zertifikat (87 % der fehlerhaften Seiten), was 36 % aller betrachteter Seiten entspricht.
• Bei 13 % der Webseiten war gar keine Datenschutzerklärung vorhanden (32 % der fehlerhaften Seiten).
• Auf über 14 % der Seiten waren in der Datenschutzerklärung die Unternehmensangaben nicht wie gefordert aufgeführt (35 % der fehlerhaften Seiten).
• 160 Seiten verfügten nicht über die notwendige Verlinkung auf die Datenschutzerklärung, die von jeder Seite aus erfolgen muss (16 % der fehlerhaften Seiten).
• Bei rund 160 Webseiten war der Hinweis im Cookie-Banner unvollständig/fehlerhaft (16 % der fehlerhaften Seiten) und/oder der Cookie-Banner verfügte über keine Möglichkeit der Verwendung von Cookies zu widersprechen (16 % der fehlerhaften Seiten).
• Auf fast 8 % der aller Webseiten war das Impressum unvollständig angegeben (19 % der fehlerhaften Seiten) und
• bei 11 % aller Seiten waren in den verwendeten Formularen zur Kontaktaufnahme oder Newsletter-Anmeldung ein oder mehrere Fehler enthalten (27 % der fehlerhaften Seiten).

Sämtliche betroffene Webseitenbetreiber wurden über die Mängel informiert, mit dem Hinweis diese zu ihrer eigenen Sicherheit und zur Sicherheit ihrer Seitenbesucher zu beseitigen und ihre Seite möglichst vollständig auf mögliche weitere Fehler überprüfen zu lassen.

Die Untersuchungsergebnisse zeigen einmal mehr die Bedeutung und die Relevanz, die wichtigen Punkte, die es zum Betreiben einer Webseite zu beachten gibt, für meist fachfremde Webseitenbetreiber einfach aufzubereiten und auf anschauliche Weise zu zeigen, wie diese umgesetzt werden können.
Eine gute Möglichkeit für Webseitenbetreiber, ihren Nutzern zu zeigen, dass die Webseite sicher ist, ist die Zertifizierung der Seite nach dem International Website Trust Standard (IWTS). Der IWTS-Standard prüft Webseiten auf Cyber-Sicherheit, Einhaltung von Vorschriften zum Datenschutz, Inhaberschaft und Ausweisungspflichten sowie Benutzerfreundlichkeit. Die bestandene Zertifizierung wird den Besuchern der Webseite durch das IWTS-Siegel gezeigt, sodass sie auf einen Blick erkennen, dass sie sich vertrauensvoll darauf bewegen können. Zudem wird durch Einhaltung der geprüften Kriterien das Risiko vor Abmahnungen erheblich verringert.

Fundstelle

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hat am 25.08.2020 die „Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?“ veröffentlicht. Darin gibt der LfDI Hinweise und legt sein weiteres Vorgehen zum Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) fest.

Gemäß dem Urteil des EuGH findet die Datenschutz-Grundverordnung auf die
Übermittlung personenbezogener Daten in ein Drittland auch in solchen Fällen Anwendung, in denen es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff durch Geheimdienste dieses Landes kommt.

In diesem Zusammenhang wurde das sogenannte „Privacy Shield“, ein Angemessenheitsbeschluss der Kommission nach Art. 45 DSGVO (2016/1250 vom 12.07.2016, noch zur Datenschutz-Richtlinie 95/46/EC), mit dem diese 2016 beschlossen hatte, dass die USA unter bestimmten Umständen ein angemessenes Schutzniveau für die Daten natürlicher Personen bieten und so die Übermittlung von Daten in die USA allgemein ermöglicht hatte, als für ab sofort ungültig erklärt.

Zwar sind die von der Kommission im Jahr 2010 beschlossenen Standardvertragsklauseln (2010/87/EU vom 05.02.2010), Art. 46 Abs. 2 Buchst. c DSGVO, weiterhin gültig, aber es muss ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht.

Der LfDI weist in seiner Orientierungshilfe darauf hin, dass der Verantwortliche nunmehr für den Einzelfall prüfen muss, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Denkbare Maßnahmen wären beispielsweise:

• Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann,
• Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann.

Wo der Verantwortliche auch mit zusätzlichen Maßnahmen keinen geeigneten Schutz vorsehen kann, muss er den Transfer aussetzen/beenden. Das gilt insbesondere, wenn das Recht des Drittlandes dem Datenimporteur Verpflichtungen auferlegt, die geeignet sind, vertraglichen Regeln, die einen geeigneten Schutz gegen den Zugriff durch staatliche Behörden vorsehen, zuwider zu laufen. Dies gilt beispielsweise – aber nicht ausschließlich – für folgende Fälle:

• Ein Unternehmen steht in Handelsbeziehung mit Unternehmen, die einen Sitz in den USA haben und tauschen mit diesen personenbezogene Daten über Kunden (Lieferadressen, Beschwerden, Bestellungen etc.) oder Ihre Beschäftigten (Verträge, Netzwerke, etc.) aus.
• Ein Verantwortlicher speichert Daten in einer Cloud, die von einem Unternehmen in den USA außerhalb der EU gehostet wird.
• Es wird ein Videokonferenzsystem eines US-amerikanischen Anbieters genutzt, der Daten der Teilnehmenden erhebt und in die USA übermittelt.

Ist ein angemessenes Schutzniveau nicht sichergestellt, muss die Aufsichtsbehörde für den Datenschutz die Datenübermittlung aussetzen oder verbieten, wenn der Schutz nicht durch andere Maßnahmen hergestellt werden kann.

Besonders interessant ist für Unternehmen und Behörden (nicht nur in Baden-Württemberg) die im Kapitel 4 der Orientierungshilfe enthaltene Checkliste.

Fundstelle

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 03.09.2020 eine neue Orientierungshilfe zur Videoüberwachung durch nicht-öffentliche Stellen veröffentlicht.

Videoüberwachungsanlagen werden in immer größerer Zahl eingesetzt. Das Risiko, dass damit die Rechte von Betroffenen verletzt werden, hat sich in den vergangenen Jahren deutlich erhöht. Grund dafür sind die geringen Anschaffungskosten und die verbesserte Qualität der Technik.

So wird aufgezeichnet, zu welcher Uhrzeit, an welchem Tag, in welchem Zustand, mit welchem Erscheinungsbild, wie lange und an welchem Ort sich Betroffene aufhalten, wie sie diesen Bereich nutzen, wie sie sich dort verhalten und ob sie allein oder in Begleitung sind. Bereits eine einfache Überwachungsanlage verarbeitet in erheblichem Umfang personenbezogene Daten, ohne dass der Großteil der erfassten Informationen für Überwachende je eine Rolle spielt.

Kameras erfassen und verarbeiten Daten von Personen, um personalisierte Werbung anzuzeigen oder Produkte zielgruppengenau anzubieten. Softwaregesteuerte Videotechnik vermisst in der Öffentlichkeit Gesichtszüge und Gefühlsregungen von Personen oder verfolgt das Bewegungs- oder Einkaufsverhalten von Kunden. Betroffene haben kaum Einfluss auf eine solche Erfassung und erfahren selten, was mit den Aufnahmen geschieht.

Im Jahr 2014 hatte daher der sogenannte „Düsseldorfer Kreis“ der DSK die Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ erstellt. Diese Orientierungshilfe wurde nunmehr grundlegend überarbeitet und an die rechtlichen Rahmenbedingungen der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung angepasst. Dabei wurden die Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, angenommen am 29. Januar 2020, berücksichtigt. Neu hinzugekommen sind die Abschnitte zur Videoüberwachung in der Nachbarschaft und zur datenschutzrechtlichen Bewertung von Tür- und Klingelkameras, Drohnen und Wildkameras sowie Dashcams.

Mit der Orientierungshilfe sollen Betroffene und Verantwortliche Informationen über die Voraussetzungen für eine datenschutzgerechte Videoüberwachung in unterschiedlichen Lebensbereichen erhalten. Im Anhang finden sich Muster für Hinweisschilder, die es den Verantwortlichen erleichtern, den Transparenzpflichten gem. Art. 12 ff. DSGVO nachzukommen. Darüber hinaus wird eine Checkliste mit den wichtigsten Prüfungspunkten im Vorfeld einer Videoüberwachung bereitgestellt.

Fundstellen

Die Pressemitteilung „DSK veröffentlicht neue Orientierungshilfe zur Videoüberwachung durch nicht-öffentliche Stellen“ ist unter https://www.datenschutzkonferenz-online.de/media/pm/20200903_pm_oh_video%C3%BCberwachung.pdf abrufbar.

Die Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ kann unter https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_v%C3%BC_dsk.pdf heruntergeladen werden.

Der Bundesgerichtshof (BGH) musste sich in zwei Verfahren mit der Frage befassen, unter welchen Umständen Google Suchergebnisse nach einer Beschwerde von Betroffenen löschen muss und am 27. Juli 2020 entschieden, dass es kein automatisches „Recht auf Vergessenwerden“ im Internet gibt, sondern der jeweilige Einzelfall maßgeblich ist.

Verfahren VI ZR 405/18

Beim Verfahren VI ZR 405/18 war der Kläger Geschäftsführer eines Regionalverbandes einer Wohlfahrtsorganisation. Im Jahr 2011 wies dieser Regionalverband ein finanzielles Defizit von knapp einer Million Euro auf; kurz zuvor meldete sich der Kläger krank. Über beides berichtete seinerzeit die regionale Tagespresse unter Nennung des vollen Namens des Klägers. Der Kläger begehrte von der Beklagten als der Verantwortlichen für die Internetsuchmaschine „Google“, es zu unterlassen, diese Presseartikel bei einer Suche nach seinem Namen in der Ergebnisliste nachzuweisen. Das Landgericht hatte die Klage abgewiesen. Die Berufung des Klägers hatte keinen Erfolg.

Der unter anderem für Ansprüche aus dem Datenschutzrecht zuständige VI. Zivilsenat des Bundesgerichtshofs hat die vom Berufungsgericht zugelassene Revision des Klägers zurückgewiesen. Der geltend gemachte Anspruch des Klägers auf Auslistung der streitgegenständlichen Ergebnislinks ergibt sich nicht aus Art. 17 Abs. 1 DSGVO. Der Auslistungsanspruch aus Art. 17 Abs. 1 DSGVO erfordert nach der Rechtsprechung des Europäischen Gerichtshofs und dem Beschluss des Ersten Senats des Bundesverfassungsgerichts vom 6. November 2019 (1 BvR 276/17 – Recht auf Vergessen II) eine umfassende Grundrechtsabwägung, die auf der Grundlage aller relevanten Umstände des Einzelfalles und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits (Art. 7, 8 Charta der Grundrechte der Europäischen Union), der Grundrechte der Beklagten, der Interessen ihrer Nutzer und der Öffentlichkeit sowie der Grundrechte der Anbieter der in den beanstandeten Ergebnislinks nachgewiesenen Inhalte andererseits (Art. 11, 16 Charta der Grundrechte der Europäischen Union) vorzunehmen ist. Da im Rahmen dieser Abwägung die Meinungsfreiheit der durch die Entscheidung belasteten Inhalteanbieter als unmittelbar betroffenes Grundrecht in die Abwägung einzubeziehen ist, gilt keine Vermutung eines Vorrangs der Schutzinteressen des Betroffenen, sondern sind die sich gegenüberstehenden Grundrechte gleichberechtigt miteinander abzuwägen. Aus diesem Gebot der gleichberechtigten Abwägung folgt aber auch, dass der Verantwortliche einer Suchmaschine nicht erst dann tätig werden muss, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt. An seiner noch zur Rechtslage vor Inkrafttreten der Datenschutz-Grundverordnung entwickelten gegenteiligen Rechtsprechung hält der Senat insoweit nicht fest.

Nach diesen Grundsätzen haben die Grundrechte des Klägers auch unter Berücksichtigung des Zeitablaufs im konkreten Fall hinter den Interessen der Beklagten und den in deren Waagschale zu legenden Interessen ihrer Nutzer, der Öffentlichkeit und der für die verlinkten Zeitungsartikel verantwortlichen Presseorgane zurückzutreten, wobei der fortdauernden Rechtmäßigkeit der verlinkten Berichterstattung entscheidungsanleitende Bedeutung für das Auslistungsbegehren gegen die Beklagte zukommt.

Im Hinblick auf den Anwendungsvorrang des vorliegend unionsweit abschließend vereinheitlichten Datenschutzrechts und die bei Prüfung eines Auslistungsbegehrens nach Art. 17 DSGVO vorzunehmende umfassende Grundrechtsabwägung kann der Kläger seinen Anspruch auch nicht auf Vorschriften des nationalen deutschen Rechts stützen.

Verfahren VI ZR 476/18 

Beim Verfahren VI ZR 476/18 ist der Kläger für verschiedene Gesellschaften, die Finanzdienstleitungen anbieten, in verantwortlicher Position tätig oder an ihnen beteiligt. Die Klägerin ist seine Lebensgefährtin und war Prokuristin einer dieser Gesellschaften. Auf der Webseite eines US-amerikanischen Unternehmens, dessen Ziel es nach eigenen Angaben ist, „durch aktive Aufklärung und Transparenz nachhaltig zur Betrugsprävention in Wirtschaft und Gesellschaft beizutragen“, erschienen im Jahr 2015 mehrere Artikel, die sich kritisch mit dem Anlagemodell einzelner dieser Gesellschaften auseinandersetzten. Einer dieser Artikel war mit Fotos der Kläger bebildert. Über das Geschäftsmodell der Betreiberin der Webseite wurde seinerseits kritisch berichtet, u. a. mit dem Vorwurf, sie versuche, Unternehmen zu erpressen, indem sie zunächst negative Berichte veröffentliche und danach anbiete, gegen ein sog. Schutzgeld die Berichte zu löschen bzw. die negative Berichterstattung zu verhindern. Die Kläger machen geltend, ebenfalls erpresst worden zu sein. Sie begehren von der Beklagten als der Verantwortlichen für die Internetsuchmaschine „Google“, es zu unterlassen, die genannten Artikel bei der Suche nach ihren Namen und den Namen verschiedener Gesellschaften in der Ergebnisliste nachzuweisen und die Fotos von ihnen als sog. „thumbnails“ anzuzeigen. Die Beklagte hat erklärt, die Wahrheit der in den verlinkten Inhalten aufgestellten Behauptungen nicht beurteilen zu können. Das Landgericht hat die Klage abgewiesen. Die Berufung der Kläger blieb ohne Erfolg.

Der Bundesgerichtshof hat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union zwei Fragen zur Vorabentscheidung vorgelegt.

Zum einen ist durch den Gerichtshof der Europäischen Union zu klären, ob es mit den Rechten des Betroffenen auf Achtung seines Privatlebens (Art. 7 Charta der Grundrechte der Europäischen Union) und auf Schutz der ihn betreffenden personenbezogenen Daten (Art. 8 Charta der Grundrechte der Europäischen Union) vereinbar ist, bei der im Rahmen der Prüfung seines Auslistungsbegehrens gegen den Verantwortlichen eines Internet-Suchdienstes gemäß Art. 17 Abs. 3 Buchst. a DSGVO vorzunehmenden Abwägung der widerstreitenden Rechte und Interessen aus Art  7, 8, 11 und 16 Charta der Grundrechte der Europäischen Union (GRCh) dann, wenn der Link, dessen Auslistung beantragt wird, zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt, und dessen Rechtmäßigkeit mit der Frage der Wahrheitsgemäßheit der in ihm enthaltenen Tatsachenbehauptungen steht und fällt, maßgeblich auch darauf abzustellen, ob der Betroffene in zumutbarer Weise -– z. B. durch eine einstweilige Verfügung – Rechtsschutz gegen den Inhalteanbieter erlangen und damit die Frage der Wahrheit des vom Suchmaschinenverantwortlichen nachgewiesenen Inhalts einer zumindest vorläufigen Klärung zuführen könnte.

Zum anderen bittet der Bundesgerichtshof um Antwort auf die Frage, ob im Falle eines Auslistungsbegehrens gegen den Verantwortlichen eines Internet-Suchdienstes, der bei einer Namenssuche nach Fotos von natürlichen Personen sucht, die Dritte im Zusammenhang mit dem Namen der Person ins Internet eingestellt haben, und der die von ihm aufgefundenen Fotos in seiner Ergebnisübersicht als Vorschaubilder („thumbnails“) zeigt, im Rahmen der nach Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a Datenschutz-Richtlinie (DS-RL) / Art. 17 Abs. 3 Buchst. a DSGVO vorzunehmenden Abwägung der widerstreitenden Rechte und Interessen aus Art. 7, 8, 11 und 16 GRCh der Kontext der ursprünglichen Veröffentlichung des Dritten maßgeblich zu berücksichtigen ist, auch wenn die Webseite des Dritten bei Anzeige des Vorschaubildes durch die Suchmaschine zwar verlinkt, aber nicht konkret benannt und der sich hieraus ergebende Kontext vom Internet-Suchdienst nicht mit angezeigt wird.

Fundstellen

• Pressemitteilung Nr. 095/2020 des BGH vom 27.07.2020 – abrufbar im Internet unter https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020095.html?nn=10690868
• Dokument „Löschung bei Suchmaschinen: „Recht auf Vergessenwerden“ erfordert Einzelfallprüfung“ des Rechtsportals juris – abrufbar im Internet unter https://www.juris.de/jportal/portal/page/homerl.psml?nid=jnachr-JUNA200702640&wt_mc=pushservice&cmsuri=%2Fjuris%2Fde%2Fnachrichten%2Fzeigenachricht.jsp

Jede Aufsichtsbehörde muss in ihrem Hoheitsgebiet die Anwendung der DSGVO überwachen und durchsetzen (Art. 57 Abs. 1 Buchstabe a DSGVO). Dabei wird sie u. a. in beratender Funktion tätig. So soll sie die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären.

Nachdem wir uns auf dem Fachportal bereits mit den Abhilfe- und Untersuchungsbefugnissen der Aufsichtsbehörden beschäftigt haben, wollen wir in diesem Beitrag auf einige ihrer wichtigsten Aufgaben eingehen:

1. Sensibilisierung der Öffentlichkeit

Die Aufsichtsbehörden haben die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufklären (Art. 57 Abs. 1 Buchstabe b DSGVO).

Diese Informierung kann beispielsweise über entsprechende Veröffentlichungen (Informationsbroschüren, Faltblätter und sonstigen Publikationen) im Internet und durch die Tätigkeitsberichte der Aufsichtsbehörden geschehen.

Besondere Beachtung sollen dabei spezifische Maßnahmen für Kinder erhalten. Dies kann z. B. durch entsprechende Schulveranstaltungen oder auch Hinweise an die Lehrerschaft erfolgen.

2. Sensibilisierung und Beratung der Verantwortlichen und Auftragsverarbeiter

Die Aufsichtsbehörden haben die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten zu sensibilisieren (Art. 57 Abs. 1 Buchstabe d DSGVO). Damit soll ausgedrückt werden, dass die zu ergreifenden Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit in einem angemessenen Verhältnis zu den Sensibilität der zu verarbeitenden personenbezogenen Daten zu stehen haben.

So stellt die Sensibilisierung und Beratung der ihrer Prüfungskompetenz unterliegenden Daten verarbeitenden Stellen (z. B. bezüglich der zu ergreifenden technisch-organisatorischen Datensicherheitsmaßnahmen) einen außerordentlich wichtigen Schwerpunkt der Tätigkeit der Aufsichtsbehörden dar. Eine entsprechende Sensibilisierung und Beratung verhilft vielfach zu Lösungen, die sowohl den Erfordernissen des Datenschutzes und der Datensicherheit dienen, wie auch den Bedürfnissen des betreffenden Unternehmens bzw. der betreffenden Behörde gerecht werden. Unnötige Konflikte können dadurch schon im Ansatz vermieden werden.

Diese Sensibilisierungen und Beratungen können auch dazu dienen, Mängel bezüglich der Datensicherheit von Anfang an zu vermeiden bzw. Verletzungen des informationellen Selbstbestimmungsrechts vorzubeugen.

Allerdings darf eine Beratung nicht so weit gehen, dass die entsprechende Aufsichtsbehörde in Konkurrenz zu privaten Unternehmensberatungsfirmen treten.

Die Beratungstätigkeit erfolgt aus Zeitgründen zumeist telefonisch. Schwierigere Fallgestaltungen oder umfangreiche Auskunftsbegehren werden auch schriftlich erörtert.

3. Informierung der betroffenen Personen

Betroffene Personen können sich an die Aufsichtsbehörden wenden und erhalten auf Antrag Informationen über die Ausübung ihrer Rechte. Dieser Antrag kann formlos und mit Hilfe jedes Mediums (mündlich, schriftlich, per E-Mail, über ein Kontaktformular im Internet) gestellt werden.

Zur Vermeidung einer entsprechenden Antragsflut sind die Aufsichtsbehörden dazu übergegangen, entsprechende allgemeine Informationen für betroffene Personen im Rahmen ihres Internetauftritts zu veröffentlichen.

4. Bearbeitung von Beschwerden

Art. 58 Abs. 1 Buchstabe f in Verbindung mit Art. 77 Abs. 1 DSGVO gewährleistet Betroffenen ein Anrufungsrecht gegenüber der Aufsichtsbehörde. Sie können sich dabei über (vermeintliche) Datenschutzverstöße durch Verantwortliche oder Auftragsverarbeiter beschweren.  

Diese Beschwerden nehmen den größten Raum in der alltäglichen Arbeit einer Aufsichtsbehörde ein, da die Aufsichtsbehörden aufgrund dieser Eingaben tätig werden müssen, um einen aufgezeigten Sachverhalt zu überprüfen.

Nach Abschluss der Ermittlungen muss der Betroffene im Regelfall über das Ergebnis informiert werden. Dadurch wird der Betroffene auch in die Lage versetzt, eventuelle zivilrechtliche Ansprüche (z. B. Schadensersatzpflicht gemäß § 823 Abs. 2 BGB) an den Verursacher zu richten.

5. Amtshilfe

Durch Art. 57 Abs. 1 Buchstabe g DSGVO wird die Amtshilfe unter den Aufsichtsbehörden der Mitgliedstaaten der Europäischen Union geregelt. Die Aufsichtsbehörden sollen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit sorgen, insbesondere durch den Austausch sachdienlicher Informationen.

In der Praxis kommt eine derartige Amtshilfe (zumindest mit ausländischen Aufsichtsbehörden) bisher aber selten vor.

6. Tätigkeitsbericht

Alle sind aufgrund der Gesetzeslage (Art. 59 DSGVO) dazu verpflichtet, jährlich einen Bericht über ihre Tätigkeit vorzulegen.

Das Lesen dieser Tätigkeitsberichte sollte für einen betrieblichen oder behördlichen Datenschutzbeauftragten eine selbstverständliche Pflicht sein, haben sich diese Berichte doch zur Klärung immer wieder auftretender strittiger und spezieller Fragen des Datenschutzes bestens bewährt.

Die veröffentlichten Hinweise stützen sich zumeist auf im Rahmen von Datenschutzprüfungen gewonnene Erkenntnisse. So wird in diesen Tätigkeitsberichten insbesondere auf die im Rahmen der durchgeführten Prüfungen vorgefundenen schwerwiegenden Mängel eingegangen. Weniger, um generell vorhandene Schwachstellen aufzuzeigen.

Für viele Daten verarbeitende Stellen ist daher jede Veröffentlichung eines Tätigkeitsberichtes ihrer (aber auch einer anderen) Aufsichtsbehörden ein willkommener Anlass, die eigene IT-Landschaft und die im Rahmen der Datenverarbeitung ergriffenen technisch-organisatorischen Sicherheitsmaßnahmen dahingehend zu überprüfen, ob sie den Anforderungen des Datenschutzes entsprechen.

Die Tätigkeitsberichte der Aufsichtsbehörden müssen den nationalen Parlamenten (Bundes- bzw. Landtag) vorgelegt werden und müssen der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht werden. Für diese Veröffentlichung ist keine besondere Form und kein besonderes Medium vorgeschrieben.